anquanniu的博客

命令执行判断命令执行可能会存在命令执行完没有回显，首先要判断命令是否有执行，可以通过三种方式来判断：延时、HTTP请求、DNS请求。1、 延时无延时无回显有延时无回显通过是否延时来判断该条命令是否有执行，有延时则代表命令有执行。（”sleep 3”表示延时3秒）2、 HTTP请求目标机通过向公网可通信的机子发起http请求，而这个公网可通信的机子是我们可控的，则当该公网机子收到h...

命令注入和代码注入区别之前我们讲过的都是代码注入，注入的代码相当于网页中新的代码，比如去执行数据库读取的操作，我们想办法插入一段代码去执行，这就是代码执行。命令注入命令注入执行的是系统中的命令,使目标服务器的命令在目标服务器上去执行我们想要执行的命令，系统命令的执行还是要基于某些函数的调度去实现的。1、system函数例如system函数执行系统命令并输出相应的结果：String ...

代码/命令执行比如说能够对一个php的站点，控制php代码，那么我们就把它划分为代码执行，如果能执行网站所在服务器中的命令，我们这就把它划分为命令执行，因为它执行的是系统命令。一般来说代码或命令执行漏洞都存在一个相关函数，通过控制部分参数传递到函数中实现命令执行。说到CTF题型中的这种攻击手段，一定要知道哪些函数能够被利用需要我们去关注的，首先会带大家了解一些代码注入的相关函数，例如执行...

具体场景——php自包含getshell两个思路：1、Phpinfo()包含文件返回临时文件名，我们是在文件上传环节进行包含，如果不删除临时文件我们可以生成临时文件，2、没有phpinfo，上传文件同样会生成临时文件，没有删除也可以实现包含，爆破文件名即可。如何让它不进行删除？​操作演示​我们从这道题学一些解题思路，注册后登录：我们刚刚传的值会入数据库，这里我们可以...

具体场景——sessionPHP默认生成的session文件往往存放在/tmp目录下举栗子​题目内容：看看我的notebooktips；tips：文件包含phpinfo是不是有新的发现用给到的内容去做题目，我们可以看一下这道题目，进来之后首页找到url。如果把php删掉，会发现登录入口不存在，初步推断php是后缀名会自动拼接到URL后面。有了这个设想判断后，我们去读文件log...

具体场景——session我们可以查一下手册，看看这个参数是默认开启：举栗子​通过上传一个orange作为key传一个值传给这个变量，放到file函数中，再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配，如果是orange就会作为包含，否则就会显示源代码。这道题的难点在于包含一个文件要控制里面的内容，file函数的作用是把一个整一个文件读到一个数据中去，file...

​​服务端校验——白名单白名单和上一节讲的黑名单的区别在哪里？黑名单是未经许可非法用户禁止入内，我禁止某些人入内，大部分人是可以进去的。白名单是未经允许禁止入内，只有允许的人才能进入，对应的文件上传就是只有合法文件才能上传。解析的时候我们为什么要文件合法？因为中间件能够解析，只允许不能被解释的文件且只符合当前业务的文件才能够上传。比如头像png、jpg、gif，不需要其他的文件名，做好限制极...

文件上传主要是配合一些漏洞的利用，普遍意义上的文件上传是指将信息从个人计算机传送至中央计算机，也就是我们所说的远程计算机，对站点来说，就是传到运行网站的服务器上。一般网站都有自己的逻辑，比如在网站的注册页面，你想要上传个头像，网站只需要你上传头像，而不是传其他类型的文件。 CTF上传文件的目的是get shell，我们最终目的是拿到题目的flag，如果说存在一个上传的地方，很有可能它的目的就...

desc注入及相关例题分享desc是函数describe的简写，一般用来提供和表相关的列信息来查看表的结构。很多CTF赛题考点都是运用它的一些我们不太熟悉的特性或者说使用方法。常规来讲desc后面跟的是表名，但事实远不止于此，除了表名还可以有第二个参数。 而且在第二个参数中，它除了列名之外，还可以是包含sql通配符的字符串。演示一下：它会出一个表的一个结构。下一个参数去跟一个列名：...

本次分享内容：insert update delete对数据表操作的一些基本问题及例题分享。insert语法介绍insert插入到某张表中，后面跟上设置的参数以及值。在insert的时候可以使用哪些注入方法呢？比如这个报错的方法，如果报错可以使用，那么同理其他函数也是可以使用的。首先看下语句使用，如下图：update 语法介绍update 即对整张表做数据更新我们在set 这个...

位运算符我们都知道常规的注入，比如id=100这种类型可以查询出一篇文章，如果把100换成99+1它一样可以查出，因为它会做计算。order_by 去判断列数的时候，如果把id=4换成3+1去执行，出来的结果并没有做计算，所以这个运算效果没有意义。运算符如何运算呢？位运算是将每一个值转化成一个二进制字符串。按位的“and”或“or”，假设2 | 3，转成字符串就是3。ORDER ...

bool型盲注有区别与之前的基于时间的盲注，bool型盲注的页面输入会影响输出。​​我们来看操作理解一下：语句结构id=1 ，我们去做判断的时候是id=1 and 1=1，and 1=1的本质是返回一个true，true可以用1来代替，正常回显。我们很多时候就会去接and=0，0类似于1=2返回是false， false类似于0的作用。最后会影响到查询结果的是后面的0和1。比如说触发查询...

关于基于约束的SQL攻击在创建数据库的时候，一般会先定义整个表的结构，假设我要做的是登录入口，先简单地创建一个用户表。（用户表中，我这里是定义了三个字段，第一个是ID，然后第二个是用户名）表已经建完之后，看起来也没什么问题，那么如果说我开发完了之后，应该有个登录入口。对没有账号的人来说，需要有一个注册入口。注册的本质是一个insert的过程，就是往里插入一条数据。假如里面数据库没有数据，我...

基于时间的盲注，本次内容会涉及到写一些脚本。​​这里我先简单的示范，有两个网址推荐给大家，看一下到底能不能影响到这个数据，这里用一个插件。​这个插件更新之前还挺好用的，更新之后就不太好用了。这里添加三个参数。第一个，添加字段头用哪一个网址，这里添加了Headername，添加字段的名称X-Forwarded-For，然后到页面开启。我们会发现它可以成功去修改它回写的内容，这个数据段...

CTF入门到放弃为什么说是从入门到放弃呢？（开个玩笑）如果说大家对CTF有了解的话，其实应该知道CTF是一个什么类型的比赛，这个比赛涉及的范围和影响有多大。如果说你真的想打好比赛，那也是真的非常不容易的，所以说这是非常困难的一件事情，初期可能学着学着就想放弃了，所以我就以这个来作为一个标题，当然本意不是让大家去放弃，就是为了让大家入个门然后再提升！ 我会和我朋友一起来完成这门课程的讲解。课程主...

本次内容会先介绍一些函数，然后结合一些题目进行讲解。这里的基于时间是指延时。​​我们对于盲注最早接触的应该就是SLEEP函数， 很多编程语言中都有它。函数的特点就是添加延时功能，我们可以看一下它的一个效果是什么样子的。（在这里我做一个演示，如果大家想看可以到安全牛课堂的视频里看动手操作 CTF从入门到提升 课时3：1分10秒）举栗子：在添加了SLEEP函数之后，它的运行结果要是...