m0_62100902的博客

2024年8月13日 微软官方发布了一个重量级的漏洞补丁-Windows TCP/IP 远程执行代码漏洞，CVSS评分9.8，poc未公开，尚未发现在野利用。

上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep（CVE-2019-0708）漏洞，相较BlueKeep，MadLicense的稳定性更高，且不受网络级身份验证（Network Level Authentication，NLA)的影响。研究人员的全网扫描结果显示，公网上至少有17万台活跃的Windows服务器开启了相关服务，而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码，我们预计攻击者可能迅速开发出完整的漏洞利用方案。

不知道是哪位大哥无聊时候偶尔发现的。

默认预编译是指一个参数PDO::ATTR_EMULATE_PREPARES，这个选项用来配置PDO是否使用模拟预编译，默认是true，因此PDO默认情况下采用的是模拟预编译，开启这个选项主。预编译是将sql语句参数化，那么，对于不可参数化的位置，预编译将没有办法，比如表名，列名，order by、group by排序，limit，join等，这种。对于默认预编译，宽字节注入，二次堆叠注入可以绕过，对于真预编译，就是用不可参数化如order by，limit等来进行绕过。什么是默认预编译，什么是真预编译？

我认为公益src要挖掘的话分两种，一种是你去找固定的漏洞，去用fofa或者Google语法去找可能有对应漏洞的url，然后去进一步测试，另一种就是正常的渗透测试，对一个公益网站进行完整的渗透测试，今天的实战先说第一种的src挖掘方法及漏洞如何提交。先丢一个 ’ 看回显，页面空白，继续丢 and 1=1 and 1=2 ，页面还是空白，然后在后面丢一个sleep(3) ，网页有延迟回显，说明这里存在一个时间盲注的sql注入漏洞，然后丢kali的sqlmap去跑。公司inurl:aspx?

经过一系列的代码审计，终于找到一个可以利用的点，其余的属性全都是写死了的，也就是静态this的调用方式，而这里不是静态的，它可以是别的对象里面去调用这个属性，那么我们可以想到一种魔术方法：__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法，那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了)，继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子，php与java之间是如何相互传输的呢？

选人

alter("手机号格式错误","../reg_view.php");alter("登录失败","../login_view.php");alter("重复密码错误","../reg_view.php");alter("生日格式错误","../reg_view.php");alter("用户名错误","../reg_view.php");alter("性别错误","../reg_view.php");alter("注册失败","../reg_view.php");

因为是黑盒测试，所以很多东西都没法去测试，比如一些rce，ssrf，反序列化等等，都是没办法的，然后这个官网很简单，也没有什么逻辑方面的漏洞可以去尝试的，所以这次测试差不多到这里就结束了，虽然没找到任何漏洞，但是我觉得那个文件上传那里还是有点东西的，并且学到了不少东西，也复习了之前学过的一些东西，这里把一些新学的东西整理一下吧。剩下的就是sql注入，xss注入，csrf，这些是相对容易进行测试的，而ssrf与rce、反序列化，xxe，变量覆盖是不太好找的，如果有源码的话可以根据危险函数去找，

SSI具有强大的功能，只要使用一条简单的SSI 命令就可以实现整个网站的内容更新，时间和日期的动态显示，以及执行shell和CGI脚本程序等复杂的功能。在windows下，会直接根据最后的.来进行分隔，将其判定为doc文件，但是在apache中可不是这样的，apache会从后往前依次进行判别，遇到不认识的后缀，便会往前读，如果还是不认识再往前，若是都不认识，则会将该文件当成默认类型文件读取。>' > /var/www/html/shell.php" -->即可上传简单的一句话木马。

3 浅谈：对于公司内网而言，如果是以自己的电脑为攻击机，也无法进行访问，因为根本访问不到内网，除非你拿下了一个外站，靠这个外站可以。连接到内网，这个漏洞才算可以利用的漏洞，其次，内网主机的6379端口要对外开放，但是默认都是关闭的，所以这个条件也是比较苛刻的，如。1 对于weblogic未授权而言，首先它是一个Java生态的漏洞，然后对于cve漏洞，利用msf我觉得是最简单的，over。2 redis未授权有两个条件：首先，你的攻击机可以ping通靶机，其次靶机的6369端口要对外开放。

1 还是老样子，审查源码，寄，直接对文件头进行校验，那么之前的所有操作，不管是你改文件名也好，改路径也好，你的内容是不可能变的，所以之前的所以操作在这。2 观察之后的源码，取后缀名的流程为：去点，首尾去空，删除末尾的点，以末尾的点截取后缀名，后缀名大小写转换，去除末尾的字符串::$DATA,首尾去空。1 审查源码，ok，这里终于换成了白名单了，那么之前那些所有的操作在这里都挂掉了，因为之前的操作都是去对文件后缀名进行的操作，这里是白名单，无论如何。ps：每次上传成功的意思是上传并且6=phpinfo();