hackerXxxt的博客

4.从抓取中的数据包可以看出admin.php是在xxe的目录下面，所以我们打开192.168.200.131/xxe/admin.php页面，将刚刚获取到的账号密码输入。2. 打开burp suite，抓取登录页面的数据包，可以看到XML的格式，这里就可以看出我们所要攻击的XXE漏洞了。（在线php的网站各有差异，我刚开始找的都没有显示出来，还以为是我的数据弄错了，后面试了很多个才找到可以运行出的）将读取到的数据发送到Decoder下，使用base64解密，可以得到账号和密码，密码用md5解密可以得到。

：有的检测可能是基于单引号和双引号来获取数据，可以修改单引号或双引号的位置或增加删除单双引号来干扰waf。Payload : 大量垃圾数据缓冲溢出(Ccontent-Disposition,filename等)数据溢出-防匹配(xxx...) :就是在关键点前面写入大量的无用数据来干扰对后面主要数据的检测。自定义函数过滤:function check_file(){ }Content-Type:文件MIME，视情况更改。WAF防护产品:宝塔,云盾,安全公司产品等。内容检测:文件头，完整性检测。

利用场景: 我们可以利用文件上传，上传一个不识别的文件后缀(x.php. xxx.yyy)，apache 识别不了最后的yyy， 向前解析直到识别，利用解析漏洞规则成功解析文件，随后后门代码被触发。第一步：看中间件，确立是否存在解析漏洞/CMS/编辑器漏洞/CVE。字典扫描：扫描会员中心，文件上传的位置。Apache配置安全--vuthub。Apache换行解析-vulhub。IIS6/ 7简要说明-本地搭建。Nginx解析漏洞-vulhub。Apache 低版本解析漏洞。ueditor 漏洞利用。

图片一句话制作方法文件头检测图像文件信息判断逻辑安全-二次渲染：指的是网站接受目标后会再进行操作，也就是说会对文件进行二次操作。逻辑安全-条件竞争：有的网站会对上传的文件进行上传后再验证（上传过程不进行验证），这样文件会暂时 保存到服务器上，可以趁程序未对此文件进行操作（例如改名，移位等），访问文件进行占用，产生条件竞 争。目录命名-x.php/. ：这种命名方法会保存为一个x.php文件脚本函数漏洞-CVE-2015-2348：数组接受+目录命名。

文件上传常见验证：后缀名，类型，文件头等后缀名：黑名单，白名单文件内容：MIME信息文件头：文件头信息黑名单：明确不让上传的格式后缀当黑名单后缀名不完整，可以通过其他后缀名达到相同的效果php5，Phtml白名单：明确可以上传的格式后缀。

测试某CMS及CVE编号文件上传漏洞测试。关于文件上传漏洞在实际应用中的说明?文件上传漏洞有哪些需要注意的地方？文件上传漏洞如何查找及判断？下的文件类型后门测试本地文件。常规文件上传地址的获取说明。不同格式下的文件类型后门测。文件上传漏洞有哪些危害?什么是文件上传漏洞？上传漏洞靶场环境搭建。

1.白名单方式一:IP白奖单从网络层获取的ip，这种一般伪造不来，如果是获取客户端的IP，这样就可能存在伪造IP绕过的情况。测试方法:修改http的header来bypass wafx-Real-ip方式二:静态资源特定的静态资源后缀请求，常见的静态文件(.js .jpg .swf .css等等)，类似白名单机制,waf为了检测效率，不去检测这样一些静态文件名后缀的请求。id=1id=1备注: Aspx/php只识别到前面的.aspx/.php后面基本不识别。

思维导图堆叠注入查询 堆叠注入就是一堆sql语句一起执行，在mysql命令行中，每一条语句结尾加；表示语句结束。eg:select * from users where id=1;select * from emails;堆叠注入用处：注入时需要管理员账号密码，密码加密，无法解密；堆叠追进行插入数据，用户密码自定义可以正常登陆WAF安全狗演示资源防护（一般默认设置）安全狗的拦截

源代码中加密了一次，所以要先将cookie的值解密，加上注入语句后加密，再来测试注入点。面对输出的长度限制，若是在前端，可以直接在源代码中修改，后端则无办法。#将后面语句注释，使得修改的账户变成dhakkan。DNSlog解决了盲注不能回显，效率低的问题。要有文件读取的权限才能进行。

select 查询数据在网站应用中进行数据显示查询操作例：select * from news where id=$idinsert 插入数据在网站应用中进行用户注册添加等操作例：insert into news(id,url,text) values(2,'x','$t')delete 删除数据后台管理里面删除文章删除用户等操作例：delete from news where id=$idupdate 更新数据会员或后台中心数据同步或缓存等操作。

Access,mysql mssql,mongoDB,postgresql,sqlite,oracle,sybass等。--JSON的双引号（前端语言）不需要闭合，需要闭合的是SQL语句中的单引号和双引号。1.找支持MangoDB注入的工具--NoSQLAttack（Linux环境）3.tojson函数可以输出json数据，不然只输出“数组”。Access注入时，如果列名或者表名猜解不到的情况。直接查表名，查取数据--可用字典跑一下。熟悉工具的支持库，注入模式，优缺点等。#简要学习各种数据库的注入特点。

Cookie:uname=admin' and 1=1 union select database(),2,3#--爆库。其中SQI语句干扰符号: ', ", %, ), } 等，具体需看写法 '"]})可以作为默认测试写法。通过源代码发现，对于提交内容，有长度限制和魔术引号过滤，这时候可以考虑cookie注入，绕过防护。GET, POST, COOKIE, REQUEST, HTTP头等。#考虑单引号，双引号闭合问题--sqli5,6。id=1' and '1'='2--报错。（request全部接受）

union select 1,'x',3 into outfile 'C:\\phpstudy_pro\\WWW\\sqli-labs-master\\x.php'--+ 本地文件写入。当magic_quotes_gpc = On时，输入数据中含单引号（’）、双引号（”）、反斜线（\）与 NULL （NULL 字符）等字符，都会被加上反斜线。union select 1,load_file('C:\\key.txt'),3 读取本地文件。获取指定DVWA下的users数据。

--简要sql注入1.思维导图2.知识点#SQL注入安全测试中危害--对数据库造成影响，危害网站权限#注入点产生原理--可控变量，代入数据库查询，变量未存在或过滤不严谨 都有可能存在注入，第4个post提交，也有可能存在 下列2,3注入测试正确 ​​​​​​，x有注入写到x后面3.信息收集#如何判断注入点老办法： and 1=1 页面正常 and 1=2

APP及其他资产1.APP#APP提取一键反编译提取#APP抓数据包进行工具配合使用apk数据提取可以得到关于app的相关url建议配合使用抓包工具（burpsuite），在HTTP history分析数据包#各种第三方应用相关探针技术#各种服务接口信息相关探针技术扫描--端口，接口，接口部分一：nmap -sV IP地址二：https://www.shodan.io/https://fofa.info/https://w

《小迪安全学习笔记》