Fly_鹏程万里

[~] order by [~]/**/ORDER/**/BY/**//*!order*/+/*!by*//*!ORDER BY*//*!50000ORDER BY*//*!50000ORDER*//**//*!50000BY*//*!12345ORDER*/+/*!BY*/[~] UNION select [~]/*!00000Union*/ /*!00000Select*/...

本文将向大家分享一个新的非常有意思的漏洞。利用该漏洞可以为我们泄漏云环境中的Metadata数据，并进一步的实现远程代码执行（RCE ）。测试范围在对该站点进行子域枚举时，我找到了[docs.redact.com]这个子域。查找带外资源加载[docs]子域名显示了一些文档和统计信息在点击统计数据的照片时，我看到了一些奇怪的链接：我想到的第一件事就是将[url]的值改...

SSRF漏洞是如何产生的SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址...

0x00 前言XML外部实体攻击非常常见，特别是通过基于HTTP的API，我们经常遇到并利用以此通常获得对客户端环境的特权访问。不常见的是用Excel进行XXE攻击。0x01 这是什么方式实际上，与所有post-Office 2007文件格式一样，现代Excel文件实际上只是XML文档的zip文件。这称为Office Open XML格式或OOXML。许多应用程序允许上传文件。有些...

本文中提供的例子均来自网络已公开测试的例子，仅供参考。斗哥又带着业务逻辑漏洞来找你们探讨啦，这次的内容是上传漏洞。许多网站都允许用户自行上传照片、电子档材料，如果上传功能没有做好防护措施，就存在巨大的安全风险。如果web应用在文件上传过程中没有对文件的安全性进行有效的校验，攻击者可以通过上传webshell等恶意文件对服务器进行攻击，这种情况下认为系统存在文件上传漏洞。以下是斗哥总结的...

本文中提供的例子均来自网络已公开测试的例子，仅供参考。近期，万豪酒店被爆近5亿客人的信息或泄露。近年来，用户隐私泄露事件时有发生，也不得不给我们敲响警钟。敏感信息时业务系统中的保密性要求较高的数据，通常包括系统敏感信息和引用敏感信息。系统敏感信息指的是业务系统本身的基础环境信息，比如系统信息，中间件版本之类的，一旦泄露可能可以协助攻击者提供更多的攻击途径和方法；应用敏感信息指的是应用中存储...

本文中提供的例子均来自网络已公开测试的例子，仅供参考。本期斗哥带来越权漏洞和大家探讨探讨。什么是越权呢？越权，顾名思义，就是超出了权限或权力范围。多数WEB应用都具备权限划分和控制，但是如果权限控制功能设计存在缺陷，那么攻击者就可以通过这些缺陷来访问未经授权的功能或数据，这就是我们通常说的越权漏洞。攻击者越权后就可以进行一些操作，例如查看敏感信息、进行一些增删改查的操作等等。我们一...

本文中提供的例子均来自网络已公开测试的例子，仅供参考。本期带来绕过验证漏洞。为了保障业务系统的安全，几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等，但程序员在涉及验证方法时可能存在缺陷导致被绕过，于是斗哥总结了以下几种绕过验证的姿势和大家一起讨论讨论~客户端校验绕过客户端校验是常见的一种校验...

本文希望分享一些本地文件包含、远程文件包含、PHP的封装协议(伪协议)中可能包含的漏洞目录1. 文件包含的基本概念2. LFI(Local File Include)3. RFI(Remote File Include)4. PHP中的封装协议(伪协议)、PHP的流式文件操作模式所带来的问题1. 文件包含的基本概念严格来说，文件包含漏洞是"代码注入"的一种。"代码注入"...

1 概述Gopher 协议是 HTTP 协议出现之前，在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。Gopher 协议可以做很多事情，特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。2 攻击面测...

RPO(Relative Path Overwrite) 攻击又称为 攻击，依赖于浏览器和网络服务器的反应，  利用服务器的Web缓存技术和配置差异。本文中的例子利用css进行攻击，相当于利用页面中相对路径的css进行欺骗,让浏览器将xss代码写进页面中 。一、 初识RPO攻击例子 ：http://www.google.com/tools/toolbar/buttons/apis/ho...

相对VS绝对RPO（相对路径覆盖）是一种通过覆盖目标文件来利用相对URL的技术。要理解该技术，我们必须首先研究相对URL和绝对URL之间的差异。绝对URL基本上是目标地址的完整URL，包括协议和域名，而相对URL不指定域或协议，并使用现有目标来确定协议和域。绝对网址：https://hackvertor.co.uk/public相对URL：public / somedirectory...

在这篇博文中，我将向您展示一种更好的方法来利用ASP.NET Web窗体应用程序中的非根相对路径覆盖问题。这是一个低风险漏洞，可用于将资源（如样式表）甚至动态JavaScript注入受影响的网页。介绍很长一段时间以来，我们很多人都知道路径信息以及.Net，php或java等几种Web应用技术的能力，这些技术可以通过使用斜杠（“/”）或半波段在文件扩展名后接受参数-colon（“;”）字符。...

去年年初，Gareth Heyes推出了一种引人入胜的新技术，通过利用路径相对样式表导入来攻击Web应用程序，并将其称为“ 相对路径覆盖 ”。此攻击通过滥用许多常见Web语言和框架的路径处理功能，欺骗浏览器将HTML页面导入为样式表。由于极其宽容的样式表解析，这可以经常用于注入恶意CSS和劫持用户帐户。这种技术目前非常深奥，因此对于已经接受过专业或众包审计的网站来说，它通常很有效。然而，在...

1 引言RPO(relative path overwrite)是一类由于浏览器和服务器中间件或web server本身,对用户传入的url本身进行解析时,产生了理解差异而导致的漏洞。1.1 背景RPO漏洞最早由Gareth Heyes发表的文章中的提出,这种漏洞本质上是利用前端源码中加载css/js的路径,来加载其他文件实现XSS等攻击。而还可以做更多的推广。1.2 测试环境...

       在前段时间的这两周时间里，爆出了各种大网站数据库泄漏的问题(这个好像跟今天的主题没什么关系)，所以我今天就来讨论一下在平时的渗透过程中密码那些事情(果然跟数据库泄漏没什么)；       其实密码导致的漏洞在漏洞平台爆出的问题真的很多，不过大部分都是弱口令，其它类型的还是比较少见的；就让我们一起聊一聊密码或者密码衍生的问题吧！！！弱口令百年不变的话题，其实说白了就是网站管...

支付漏洞乌云案例之顺丰宝业务逻辑漏洞案例说明顺丰宝存在支付逻辑漏洞，可以允许用户1元变1亿元。这个漏洞在其他网站很难存在，原因是页面交互都使用了对字段做签名。但是顺丰宝没做签名，导致支付金额可以被修改为任意数值。猜测成因是开发人员为了快速实现功能，而忽略了其中数据签名的步骤。可以想象，如果我充值1个亿，然后再使用取款功能，会产生神马效果。利用过程1 登录顺风宝查看余额2...

密码找回验证条件可社工1 只验证帐号是否存在即可修改密码2 只验证帐号与邮箱地址是否匹配即可修改密码3 只验证帐号与手机号是否匹配即可修改密码密码修改页面可预测案例介绍： 问题出现在忘记密码处，可以通过手机找回和邮箱找回密码两种方式获得指定帐户的新密码设置权限，进入忘记密码，填写想要获取权限帐号的ID，获得url选择邮箱找回获得url:系统已将新密码设置ur...

逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞，现在的攻击者更倾向于利用业务逻辑层的应用安全问题，这类问题往往危害巨大，可能造成了企业的资产损失和名誉受损，并且传统的安全防御设备和措施收效甚微。今天漏洞盒子安全研究团队就与大家分享Web安全测试中逻辑漏洞的挖掘经验。一：订单金额任意修改很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或...

与传统类型漏洞相比，逻辑漏洞具有不易发现、不易防护的特点，不像SQL注入、XSS有像WAF那样现成的防护手段;而且，每个企业的业务逻辑参差不齐，也形成了千奇百怪的逻辑漏洞。前言与传统类型漏洞相比，逻辑漏洞具有不易发现、不易防护的特点，不像SQL注入、XSS有像WAF那样现成的防护手段;而且，每个企业的业务逻辑参差不齐，也形成了千奇百怪的逻辑漏洞。下面就和大家分享一下我都是从哪些维度去发现逻...

概述Web站点一般会有用户注册的功能，当用户注册之后，大多数情况下都会存在类似头像上传等个性化的设置，这些功能点往往存在上传验证方式不严格的安全缺陷，这些安全缺陷在Web渗透中是非常关键的突破口，只要经过仔细测试分析上传验证机制，往往就能找到绕过验证的方法，进而上传恶意代码获取整个Web业务控制权，复杂一点的情况是配合 Web Server的解析漏洞来获取控制权。上传检测流程通常一...

服务器解析漏洞算是历史比较悠久了，但如今依然广泛存在。在此记录汇总一些常见服务器的解析漏洞，比如IIS6.0、IIS7.5、apache、nginx等方便以后回顾温习。（一）IIS5.x-6.x解析漏洞使用iis5.x-6.x版本的服务器，大多为windows server 2003，网站比较古老，开发语句一般为asp；该解析漏洞也只能解析asp文件，而不能解析aspx文件。目录解析(...

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞，因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易，其中有很多技巧，也有很多需要掌握的知识。俗话说，知己知彼方能百战不殆，因此想要研究怎么防护漏洞，就要了解怎么去利用。此篇文章主要分三部分：总结一些常见的上传文件校验方式，以及绕过校验的各种姿势，最后对此漏洞提几点防护建议。（根据个人经验总结，欢迎补充纠错~~）文件上传校...

0x00 前言玩waf当然也要讲究循序渐进，姊妹篇就写文件上传好了，感觉也就SQLi和Xss的WafBypass最体现发散性思维的，而文件上传、免杀、权限提升这几点的Bypass更需要的是实战的经验。本文内容为沉淀下来的总结以及一些经典案例。想到哪写到哪，所以可能不是很全。创造姿势不易，且行且珍惜。（案例图不好上，毕竟是upload的Bypass，就直接上姿势）阅读此文你会发现新老姿势都有...

文件包含漏洞是渗透测试过程中用得比较多的一个漏洞，主要用来绕过waf上传木马文件。今日在逛Tools论坛时，发现了一种新型的文件包含姿势，在此记录分享，并附上一些文件包含漏洞的基础利用姿势。特殊姿势利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测，phar:// 数据流包装器自 PHP 5.3.0 起开始有效，貌似可以绕过安全狗。利用过程新建shell.php代码...

之前已经总结了一次文件包含漏洞相关的知识点，最近一段时间做CTF又遇到了不少以前没见过的包含新姿势，这里在总结一下，以后看的时候方便一些。phar LFI0x01 什么是phar文件phar是一个文件归档的包，类似于Java中的Jar文件，方便了PHP模块的迁移。php中默认安装了这个模块。0x02 创建一个phar文件在创建phar文件的时候要注意phar.readonl...

导语：当程序员在编写代码的过程中，由于使用PHP文件包含函数过滤不严，从而导致了文件包含漏洞。在PHP中用于文件包含的函数有四个：require require_once include include_onceinclude和require区别主要是include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而require函数出现错误的时候，会直接报错并退出程序...

这个方法适用于验证包含文件为特定后缀时。 例如以下代码<?php$file = $_GET['file'];if(isset($file) && strtolower(substr($file, -4)) == ".jpg"){ include($file);}?><?php$file = $_GET['file'];include($fi...

前言PHP是一种非常流行的Web开发语言，互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中，PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析，希望对大家攻击方法和防御上有帮助。如果内容有错误纰漏，请留言指正哦~一、 文件包含概念1、 概念"代码注入"...

严正声明：本文仅限于技术讨论与学术学习研究之用，严禁用于其他用途（特别是非法用途，比如非授权攻击之类），否则自行承担后果，一切与作者和平台无关，如有发现不妥之处，请及时联系作者和平台。0×00. 前言 Flask 是python语言编写的轻量级的MVC （也可以称为MTV, T: Template）框架具体详见：http://docs.jinkan.org/docs/flask/对...

在今年的黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》，从服务端模板注入的形成到检测，再到验证和利用都进行了详细的介绍。本文在理解原文内容的基础上，结合更为具体的示例对服务端模板注入的原理和扫描检测方法做一个浅析。一、模板注入与常见Web注入就注入类型的漏洞来说，常见 Web...

前言今天，无意间看到自己某个文件夹下有个JSONP的东西。慢慢回忆起，这个东西是之前想写的一个demo，也不知道是多久以前了，但是不知道怎么的，给忘那边了。那么，就趁这个机会把它完成吧，其实也说不上是一个demo，就是一个小实验，虽然，网上也已经有很多关于JSONP的文章和例子了，但是有些东西看看很简单，不亲自试一下总觉得不踏实。我今天为什么要实验，一方面也是经常在网上看到有些网站需要跨域获得...

0x01 JSONView 介绍Github: https://github.com/gildas-lormeau/JSONView-for-Chrome ChromeStore: https://chrome.google.com/w.....bnpoihckbnefhakgolnmc?hl=en-USJSONView 插件是目前最热门的一款开发者工具插件，它是查看json数据的神器。通...

关于 JSONPJSONP 全称是 JSON with Padding ，是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 <script></script> 元素标签，远程调用 JSON 文件来实现数据传递。如要在 a.com 域下获取存在 b.com 的 JSON 数据( getUsers.JSON ):{"i...

前言JSONP注入是一个不太常见但影响非常广泛且极危险的漏洞，由于最近几年对JSON, web APIs以及跨域通信的需求增多，不得不引起我们的重视。什么是JSONP这里我们假设大家都了解JSON为何物，以此为基础我们来谈谈JSONP。JSONP全名为JSON with Padding，其存在的意义便有绕过诸如同源策略强制执行XMLHttpRequest(AJAX requests)。...

之前一直想把零零碎碎的知识整理下来，作为知识沉淀下来，正好借着wooyun峰会的机会将之前的流程又梳理了一遍，于是就有了下文。也希望整理的内容能给甲方工作者或则白帽子带来一些收获。0x00 概述 随着网络安全越来越受到重视，发展越来越快。随之也出现了越来越多的安全防护的软件。例如有：1.云waf；[阿里云盾，百度云加速，360网站卫士，加速乐等]2.传统安全厂商的硬件waf以及一...

0x00 前言I am back ... 再不出这篇就要被笑然老板吊打了 ... 本来这一篇打算写免杀的。考虑了下既然是预期最后一篇那就写个汇总和一些偏门的吧。并且在辍写本文时将前两篇进行了增改。本文主要讲以下几点，也是讲的并不全，但是实用。对其进行简单的阐述下：Bypass 菜刀连接拦截     多数waf对请求进行检测时由于事先早已纳入了像菜刀这样的样本。通常waf对这块的检测就是基...

0x00 前言玩waf当然也要讲究循序渐进，姊妹篇就写文件上传好了，感觉也就SQLi和Xss的WafBypass最体现发散性思维的，而文件上传、免杀、权限提升这几点的Bypass更需要的是实战的经验。本文内容为沉淀下来的总结以及一些经典案例。想到哪写到哪，所以可能不是很全。创造姿势不易，且行且珍惜。（案例图不好上，毕竟是upload的Bypass，就直接上姿势）阅读此文你会发现新老姿势都有...

最近php伪协议的各种神奇妙用好像突然又常常提到了，php中支持的伪协议有下面这么多file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的文件路...

0x00 前言去年到现在就一直有人希望我出一篇关于WAF的文章，我觉得这种老生常 谈的话题也没什么可写的。很多人一遇到waf就发懵，不知如何是好，能搜到的各 种姿势也是然并卵。但是积累姿势的过程也是迭代的，那么就有了此文，用来总 结一些学习和培养突破waf的思想。可能总结的并不全，但目的并不是讲那些网上 搜来一大把的东西，So…并不会告诉大家现有的姿势，而是突破Waf Bypass思维定势达到...