- 博客(18)
- 收藏
- 关注
RSS订阅原创 SSRF(10)302跳转 Bypass
题目描述:SSRF中有个很重要的一点是请求可能会跟随302跳转。尝试利用这个来绕过对IP的检测,访问到位于127.0.0.1的flag.php吧。相关知识什么是HTTP 302 跳转?首先我们要知道状态码,状态码是HTTP请求过程结果的描述,由三位数字组成。这三位数字描述了请求过程中所发生的情况。状态码位于响应的起始行中,如在 HTTP/1.0 200 OK 中,状态码就是 200。每个状态码的第一位数字都用于描述状态(“成功”、“出错”等)。如200 到 299 之间的状态码表示成功;3
2022-05-22 20:00:27
2508
原创 SSRF(9)数字IP Bypass
题目描述:这次ban掉了127以及172,不能使用点分十进制的IP了,但是又要访问127.0.0.1,该怎么办呢?先构造:/?url=http://127.0.0.1/flag.php得到发现127以及172被ban了,所以根据题目描述尝试绕过127.0.0.1。绕过127.0.0.1的方法有很多一,利用进制的转换可以使用一些不同的进制替代ip地址,从而绕过WAF搜索找到了一个一键转换的php脚本<?php$ip = '127.0.0.1';$ip =.
2022-05-21 16:43:24
777
原创 SSRF学习(8)URL Bypass
什么是Bypass?大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系
2022-05-19 16:41:49
476
原创 蚁剑连接一句话木马
一,在服务器上安装phpstudy二,安装成功后启动apache三,打开网站,看看是否成功四,在攻击端安装菜刀安装好后尝试用浏览器进入服务器搭建的网站(必须先设置好桥接)输入服务器ip即可cmd输入:ipconfig正常情况下需要通过网站的漏洞,将一句话木马上传到网站上,五,将一句话木马复制到网站不过这次只是测试学习如何使用一句话木马的,所以直接将一句话木马复制到网站中:创建一个文本,写入<?php eval($_REQUEST[123..
2022-05-18 20:41:21
8547
1
原创 SSRF学习(7)Redis协议
主要是利用Redis未授权访问,实现像目标主机写入Webshell、SSH公钥,或写入计划任务实现反弹shellRedis是一个key-value存储系统。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis 在默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访
2022-05-17 21:08:23
380
原创 SSRF学习(6)FastCGI协议
这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助FastCGI原理:Wikipedia对FastCGI的解释:快速通用网关接口(FastCommon Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网关接口(CGI)的增强版本。FastCGI致力于减少网页服务器与CGI程序之间交互的开销,从而使服务器可以同时处理更多的网页请求。php-fpm官方对php-fpm的解释是FPM(FastCG..
2022-05-16 21:16:22
226
原创 SSRF学习(5)gopher协议上传文件
题目:这次需要上传一个文件到flag.php了.祝你好运首先从目标机本地访问flag.php:url=http://127.0.0.1/flag.php得到一个文件上传的界面,需要上传一个Webshell。再查看源代码:/?url=file:///var/www/html/flag.php<?phperror_reporting(0);if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){echo "...
2022-05-14 20:07:31
711
1
原创 SSRF学习(4)Gopher协议POST请求
和前两题一样,先使用file:///协议http://127.0.0.1/flag.php得到一个输入框右键查看源代码:得到keykey=f80bb4e68df72b3f98569b958219be05所以应该是通过key进入,从而得到flag,但是没有提交的按钮,所以我们要自己构造post请求,将这个key发送过去。用gopher协议构造post请求:<?phperror_reporting(0);if ($_SERVER["REM...
2022-05-13 20:59:20
1251
原创 SSRF(3)伪协议读取文件&Gopher协议的利用
一:Http、Dict和file等协议的利用1,内网访问所以构造:/?url=http://127.0.0.1/flag.php得到:ctfhub{ce475b59a4baee959112777b}2,伪协议读取文件最经典的PHP伪协议就是file:///协议了,可以用来读取php源码构造payload:/?url=file:///var/www/html/flag.php得到:在单击右键查看源代码:得到flag:ctfh..
2022-05-12 20:19:21
4172
原创 SSRF学习(2)语句
PHP伪协议使用的语句: file://:访问本地系统,读取本地文件。 条件:allow_url_fopen:off/on,allow_url_include:off/on php://filter:读取文件源码(针对php文件需要base64编码)。 条件:allow_url_fopen:off/on,allow_url_include:off/on 用法:php://filter/read=convert.base64-encode/resource=[文件名
2022-05-10 21:36:50
218
原创 SSRF学习(1)
SSRF的定义与成因SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。ep:最常见的是当
2022-05-09 19:02:56
523
原创 (SQL初实践2)SQL报错注入
使用Extractvalue函数进行报错注入:首先,Extractvalue函数对于“~”不能识别,“~”的ASCII码对应的是0x7e。1.查询数据库名称id=1 and extractv1 and extractvalue(1,concat(0x7e,(select database())))alue("anything",concat(0x7e,(select database())))#得到 数据库名称:sqli2.查询表名1 union select 1,e.
2022-05-07 08:00:00
325
原创 SQL初学(4):报错注入
感觉比上一个时间盲注要简单一些。SQL报错注入就是利用数据库的机制,人为地制造错误条件,使得在显示错误信息同时返回查询结果。这种手段在联合查询受限且能返回错误信息的情况下比较好用。一,xpath语法错误引发的报错注入:使用的函数语句:1,extractvalue的作用是从xml文档中查询指定字符串,具体用法是: EXTRACTVALUE (XML_document, XPath_string);第一个参数:XML_document是String格式,为XML文档对象的名称;第.
2022-05-06 15:57:21
384
原创 SQL初学(3):时间盲注
一,时间盲注如果页面对于sql语句的执行没有任何回显,或者说回显没有任何差异时,可以使用时间盲注使用的语句:if 语句:if(<condition>,<true_expr>,<false_expr>) 对condition的结果进行判断,如果返回为true就执行 true_expr ,返回为false就执行 false_expr sleep语句:sleep(<seconds>) 让程序静默一段时间再继续执行...
2022-05-05 21:19:52
2043
原创 (sql初学实践1)SQL 整数型注入--wp
进入环境:只有输入1和2有回显接着,判断列数:依次输入id=1 order by 1id=1 order by 2id=1 order by 3到3时,没有回显,报错,说明这时表格只有两列下一步取得数据库名称:1 and 0 union select 1,database()s数据库名称为sqli下一步爆表名-1 union select 1,group_concat(table_name) from informa...
2022-05-03 21:03:50
664
原创 SQL注入(2):布尔盲注
书接上回,继续学习dalao的教学:《小黄的revenge》被入侵的小黄改了代码:将回显输出删除,只保留用户存在判断功能, 对id进行过滤,禁止输入union、order by、and、空格等字符我们提交查询后网站只会告诉我们用户是否存在很明显,联合查询注入已经不行了,那么可以使用盲注试试看:首先来理解几个SQL函数和语法:1,substr、mid、left、right:作用是截取字符串,subtr和mid用法一样都是指定开头、步长从左到右对字符串进行截取。
2022-05-01 20:43:51
198
原创 SQL注入初学(1)
,DAY1:在知识星球上看到了师兄的《从0开始学习sql注入》,最近开头蛮有意思的,而且最近学了一点点PHP、MySQL,于是感兴趣的试图开始学习一点sql注入。那就从最简单的网页开始吧首先是小黄同学搭建了一个简单的数据管理系统,其中有一个查询功能点可以查询学生的用户名(搭网站看起来也挺有意思下次试试=)如果在MySQL数据库users中的表userinfo中存有三列:学号id,用户名uname,密码password;表建立完成后添加了五个用户信息,其中包含了管理员账号admin
2022-04-29 20:44:36
820
原创 大数据校内赛(一点点总结)
虽然智警杯是真的不太会,但还是总结点心得吧=)一,虚拟环境链接有两种方法,(1)是通过Xshell工具链接虚拟环境(2)是通过VScode Remote-ssh 连接虚拟环境先是第一种,通过Xshell比较方便快捷1,到官网下载XShell官网下载软件安装2,...
2022-04-28 11:33:21
843
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人