炸毛的飞鼠-CSDN博客

原创 SQL注入总结

id=1’ and if(ascii(substr((select database()),1,1))>100,1,sleep(5))–+ //如果数据库名字的第一个字符的acsii值小于100，则进行延时。id=1"--+，正常，再输入?id=1' and ascii(substr(database(),1,1))>100 --+ //100为ascii表中的十进制，对应字母s。

2024-07-18 00:47:18 1015

（数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件，用于建立、使用和维护数据库，简称DBMS。它是在数据库领域一直处于领先地位的产品。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。（关系数据库，是建立在关系数据库模型基础上的数据库，借助于集合代数等概念和方法来处理数据库中的数据，同时也是一个被组织成一组拥有正式描述性的表格。MSSQL是一个数据库平台，提供数据库的从服务器到终端的完整的解决方案，其中数据库服务器部分，是一个。

2024-07-15 21:08:04 204

原创 SSRF(2)

Fastcgi协议由多个record组成，record也有header和body一说，服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端，语言后端解码以后拿到具体数据，进行指定操作，并将结果再按照该协议封装好后返回给服务器中间件。HTTP协议是浏览器和服务器中间件进行数据交换的协议，浏览器将HTTP头和HTTP体用某个规则组装成数据包，以TCP的方式发送到服务器中间件，服务器中间件按照规则将数据包解码，并按要求拿到用户需要的数据，再以HTTP协议的规则打包返回给服务器。

2024-06-19 20:53:36 731

原创 SSRF漏洞

昨天在做题的时候遇到这个漏洞，简单的了解了一下，今天打算进行系统性的学习，参考了别人的文章，比较全面。

2024-06-14 18:05:15 1148

原创 NSS题目练习9

可以利用一个网络请求的服务，当跳板进行攻击，攻击者在访问A时，利用A的特定功能构造特殊payload，由A发起对内部网络中系统B（内网隔离，外部不可访问）的请求，从而获取敏感信息。curl_exec()：初始化一个新的会话，返回一个cURL句柄，供curl_setopt()，curl_exec()和curl_close() 函数使用。file:/// -- 本地文件传输协议，主要用于访问本地计算机中的文件(file:///etc/passwd。ldap:// -- 轻量级目录访问协议。

2024-06-13 12:09:17 1190

原创 NSS题目练习8

本身strtolower是需要接受一个string，而这里转义数字，表示正则表达式 \1 实际上指定的是第一个子匹配项，也就是一旦匹配到，会进入strtolower() 先执行匹配到的内容（替换“\1”的位置），然后再变成小写，这里就可以命令执行，但是替换进来的不是字符串么？构造payload：?preg_replace的第二个参数用于替换的字符串， \\1表示匹配出第一个分组的正则（即$re，也就是我们使用GET传入的），把输入的值转为小写，然后用于替换。并且每个用户的Session信息都是不同的。

2024-06-12 20:58:47 1056

原创 NSS题目练习7

json_decode接受一个JSON格式的字符串并且把它转换为PHP变量,当该参数assoc为TRUE时，将返回array，否则返回object。Referer 是另一个 HTTP 请求头部字段，它包含了当前请求的来源页面 URL 地址，即前一个页面的 URL 地址。第三层，get_flag接收参数，作为系统命令执行，传参不能有空格，如果有cat，将会被替换为wctf2020。先用dirsearch扫描一下，发现有三个东西，但是不能直接访问flag.php。打开后看到源代码，关闭了报错，有三层绕过。

2024-06-05 21:02:10 777

原创 NSS题目练习6

打开看到一串源代码，大概意思是关闭报错，第一层是post传参传入ctf和gdou，md5强比较绕过，满足进入下一层判断，回显“菜菜”这里因为没找到flag就查找了一下wp，发现在这个文件里，base64转图片，缺少头部data:image/jpg;可以看到绕过了第一层，第二层是一个cookie，值要等于“j0k3r”，满足进入下一层判断回显“行不行啊细狗”弹窗提示用pst传参传入了cmd，并且包含eval函数，应该是一句话木马。用ls命令查看根目录，在下面找到flag文件。再用cat查看，得到flag。

2024-06-04 11:24:41 439

原创文件上传题目练习

用法：把一句话木马压缩成zip格式，shell.php -> shell.zip，然后再上传到服务器（后续通过前端页面上传也没有问题，通常服务器不会限制上传 zip 文件），再访问：?因为Apache默认一个文件可以有多个用.分割得后缀，当最右边的后缀无法识别（mime.types文件中的为合法后缀）则继续向左看，直到碰到合法后缀才进行解析（以最后一个合法后缀为准）,可用来绕过黑名单过滤。这里因为尝试了很多绕过方式都不成功，去搜索了一下wp，发现要用到Phar://伪协议。尝试蚁剑连接，返回为空。

2024-06-03 20:47:00 595

原创 NSS题目练习5

当上传的文件名为 /flag ，上传后通过uuid访问文件后，查询到的文件名是 /flag ，那么进行路径拼接时，uploads/ 将被删除，读取到的就是根目录下的 flag 文件。然而，这个函数有一个少有人知的特性，如果拼接的某个路径以 / 开头，那么包括基础路径在内的所有前缀路径都将被删除，该路径将视为绝对路径。拼接意味着只能读取上传后的文件，而且上传的文件没有后缀名，不能直接利用，但。题目提示泄露，直接用dirsearch扫描，发现一个文件，访问后下载。读取 flag 文件，在文件名前被。

2024-05-31 18:30:13 630

原创 php反序列化初步了解

序列化（串行化）：将变量转换为可保存或传输的字符串的过程（通常是字节流、JSON、XML格式）反序列比（反串行化）：把这个字符串再转化成原始数据结构或对象（原来的变量）使用。

2024-05-29 20:21:44 1258

原创 NSS题目练习4

Client-IP： - Client-IP是另一个用于传递客户端IP地址的HTTP请求头字段，但并不如X-Forwarded-For常用。Referer请求头包含了当前请求页面的来源页面的地址，即表示当前页面是通过此来源页面里的链接进入的。[protocol-name] 表示使用的协议，比如 "HTTP" 或 "HTTPS"。[proxy-node-name] 表示代理服务器的名称，可以是一个标识符或主机名。通过请求中的"Via"字段，可以获取有关请求的中间代理服务器的信息。

2024-05-27 20:43:54 601

原创 md5绕过

一种运用与密码的函数。

2024-05-22 20:28:07 821

原创 NSS‘题目练习3

解码后搜索可以发现要用php://input，且flag被过滤，用的是&&，说明不满足一个可绕过。但可以用伪协议读取 /etc/passwd 文件，说明被过滤的不是伪协议，是php字符串。都试过之后尝试上传.htaccess文件，发现上传成功。访问后出现新的代码，要求传入url，又有空格绕过。因为这是个游戏，在game.js中找到flag。查看源代码，直接在js文件中找到flag。直接上传一个php木马，显示上传成功。查看源代码，发现有很多js文件。构造url查看，得到flag。先上传抓包，尝试更改后缀。

2024-05-21 16:35:35 597

原创云曦24期中考核复现（部分）

搜索发现这句意思是进行一次URL解码，在网页上输入网址位置时也会进行一次URL解码，也就是进行两次，所以说url解码 + url解码 = admin，用bp对admin进行两次编码。可以从第二句if看出当id=admin时显示flag，再看前面会发现二者直接相等时会输出not allowed并退出。发现有一个md5绕过，下面要求c=d，并且可以读取flag.php。修改content-type，再次重放发现上传成功。先连接，然后用ls /查看，最后cat得到flag。打开发现已知n，c，e，求m。

2024-05-19 17:34:48 895

原创文件包含漏洞

相同的类型还有zlib://和bzip2://allow_url_include = On/Off，默认是Off ，是否允许include/require以文件形式打开url(如http://或ftp://))。data://同样类似与php://input，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。allow_url_fopen = On/Off，默认是On，是否允许将url(如http://或ftp://))作为文件处理。

2024-05-14 11:12:24 1019

原创 NSS题目练习2

补充可以利用phpinfo获取敏感信息，可以构造类似http://127.0.0.1/phpinfo.php的url查看。访问后得到代码，大概意思是为a参数利用file_get_contents()函数已只读的方式打开，如果内容等于。用hackbar构造url，在链接后面加上/phpinfo.php，接着用全局搜索找到flag。查看刚才dirsearch扫描的结果，发现还有phpinfo.php，想到信息泄露。代码要求用get的方式请求参数，使用data://伪协议传入，得到flag。

2024-05-11 16:21:26 482

原创 NSS题目练习

题目打开后能看到一串php代码，要求是用post传参传入id=wllmNB以及用get传参传入json['x']=="wllm"即可得到flag。运用数组绕过（md5函数无法处理数组，会返回null，所以数组的md5值进行比较时，结果相等）即可得到flag。提示flag的位置在flag.php中，这时候可以用base64编码的方式读取指定文件的源码。两个表，尝试users无果，换第一个，得到两个字段，发现有flag。可以看到里面有flag文件，用cat查看得到flag。打开题目看到要求用WLLM浏览器。

2024-05-08 20:33:52 359

原创信息泄露中的目录遍历，phpinfo，备份文件下载

指的是在没有授权的情况下读取文件，某些情况下还可对服务器里的文件任意写入通过访问PHPINFO这种特殊的php脚本获取信息。

2024-05-07 11:58:37 741 1

原创 Windows及Linux常用命令

find 路径 -name "*.jpg"(扩展名为jpg的图片)或"*1*"(包含1的文件)或"1*"(以1开头的文件) 在特定目录下查找符合条件的文件。net localgroup administrators /add 将普通用户设置为管理员权限。自动补全：输入文件/目录/命令前几个字母后可通过tab键补齐。less：逐行查看文件，按方向键，不可主动退出，按q退出。more：逐项查看文件，按空格继续，最后自己退出。tac：cat倒着写，由最后一行到第一行查看。

2024-05-02 23:13:35 295

原创攻防世界upload1、[ACTF2020 新生赛]Upload、[极客大挑战 2019]Upload、[MRCTF2020]你传你呢、[GXYCTF2019]BabyUpload

补充：只要有这个配置文件，并且内容为“AddType application/x-httpd-php .jpg(就是把所有以.jpg后缀的文件全都当作php文件来执行），上传成功后再上传jpg文件就可以了。接着上传jpg文件，可以发现上传成功，那是因为.htaccess文件自动将1.jpg文件当作php解析了。尝试先上传一个.htaccess文件，抓包更改content-type后，在重放器测试发现中有回显。上传jpg文件，抓包更改后缀，发现php后缀无法上传。先尝试上传一个php文件，发现有白名单。

2024-04-29 21:13:05 333 3

原创 SVN泄露+HG泄露

HG就是mercuri的缩写，是一款DCVS（分布式版本控制系统），具有高效率、跨平台、可扩展、使用简便且开源等优点，是目前最为流行的版本控制工具之一DCVS：即使源码服务器故障或网络连接出错也能提交本地修改。

2024-04-25 20:13:05 881 1

原创 Git泄露

通过git stash存储的修改列表，可以通过git stash list查看，git stash show用于校验，git stash apply用于重新存储，直接执行git stash等同于git stash save，执行 git stash pop 是恢复文件。前几步大致相同，都是用dirsearch扫描是否存在git漏洞，然后打开githack连接，后面则是分为git log，git stash和git index几种。用git reset --hard 回退版本，打开文件夹可找到flag。

2024-04-23 10:42:07 1352

原创 RCE漏洞

当allow_url_include为On，而allow_url_fopen为Off的是否，不可以直接远程包含文件，但是可以使用php://input、 php://stdin、 php://memory 和 php://temp等伪协议。php://filter/格式:php://filter/convert.base64-encode/resource=xxx.php 用于读取指定文件的源码，需要base64解密。data协议支持编码，例如base64：data://text/plain;

2024-04-17 20:48:36 712 1

原创文件上传漏洞

用户上传了一个可执行的脚本文件（php、jsp、xml、cer等文件），并通过此脚本文件获得了执行服务器端命令的能力通过流的方式将文件写到服务器上，以post提交表单表单中需要。

2024-04-15 21:38:12 603 1

原创文件头和尾

txt 文件(txt) , 文件头：Unicode：feff / Unicode big endian：fffe / UTF-8：efbbbf /ANSI编码是没有文件头的。GIF (gif) 文件头：47494638 文件尾：00 3B。ZIP Archive (zip)，文件头：504B0304 文件尾：50 4B。

2024-04-14 21:02:49 833 1

原创 web密码爆破

Cluster bomb兼备了前面三种模式的所有的功能，允许使用多组字典，如果你设置了$用户名$、$密码$、$验证码$，那么集束炸弹模式会进行笛卡尔积。使用一组字典，如果你设置了$用户名$、$密码$、$验证码$，那么狙击手模式只会先狙击用户名，狙击完成后会逐一狙击密码和验证码。两个参数同时进行遍历一个字典，如果你设置了$用户名$、$密码$、$验证码$，那么攻城锤模式会一次性全部替换执行攻击。允许使用多组字典，如果你设置了$用户名$、$密码$、$验证码$，那么草叉模式会在这些地方遍历所有字典。

2024-04-10 09:11:56 390 1

原创 sql学习5（cookie注入，UA注入，refer注入，过滤空格）

获取cookie可免密登录管理员账户Cookie通常被用来辨别用户身份，就是保存用户的账号和密码用来自动登录网站cookie注入的基本条件：使用了request方法，但是注入保护程序中只对get\post方法提交的数据进行了过滤。

2024-04-08 20:37:06 1145 1

原创 sql学习4（时间注入）

id=1’ and if(ascii(substr((select database()),1,1))>100,1,sleep(5))–+ //如果数据库名字的第一个字符的acsii值小于100，则进行延时。id=1%20and%20if(substring(database(),1,1)=%27a%27,sleep(5),sleep(1))观察请求的时间，大概在5秒以上，说明构造的sleep(5) 语句起作用，可以把这个时间线作为sql 注入的判断依据。步骤同上，得到表名flag。

2024-04-05 23:03:53 645 1

原创 sql学习3(sqlmap的使用)

接上一篇学习2。

2024-04-03 23:53:59 670 1

原创 sql学习2(布尔盲注)

接上一篇学习1。

2024-04-01 21:02:26 1021

原创 sql学习1（union注入和报错注入）

id=1' or extractvalue(1,right(concat('~',(select group_concat(column_name)from information_schema.columns where table_name='users'),'~'),32))%23 //右侧末位32字符。id=1"--+，正常，再输入?id=1" and "1"="2 报错，说明是双引号注入。id=1' and '1'='2报错，说明是单引号注入；id=1 and 1=1正常，输入?

2024-03-30 21:59:09 983

原创 css学习记录

颜色由border-color属性设置，name——指定颜色的名称，如 "red"，RGB——指定 RGB 值, 如 "rgb(255,0,0)"，Hex——指定16进制值, 如 "#ff0000"（border-color单独使用是不起作用的，必须得先使用border-style来设置边框样式，例如。在 HTML中，有两种类型的列表：无序列表 ul——列表项标记用特殊图形（如小黑点、小方框等），有序列表 ol——列表项的标记有数字或字母，使用 CSS，可以列出进一步的样式，并可用图像作列表项标记。

2024-03-27 16:30:00 941

空空如也

空空如也