m0_68976043的博客

我们来看一下这个样本，它提交的一个参数是 StringBuilder，cmd，把我们执行结果转换成一个流放进InputStreamReader进行一个包装，把字节流转换成字符流，执行之后把结果放入stringBuilder.toString();而这个WebShell为什么可以绕过，正因为它加载的是一个字节码，没有任何关键词，所以我们来尝试进行一个执行，很明显咱们的一个命令执行已经生效了，并且权限相当大可以执行net user。运行一下看看相当于对这个类生成了一个字节码。也可以执行一个计算器。

雷池官网docker安装我的版本是看官网介绍主要防御top10。

这个漏洞很早之前了，但是为了避免大家在面试等等的时候被问到，这里给大家温习一下CSRF全程是没有黑客参与的，全程都是用户自己在操作。

那既然这样我们怎么去处理呢，这个是非常巧妙的current是返回当前数组的元素，也就是当前数组的值current，此时它就从current重新变成了current($_POST[a])($_POST[b]),变成它a是一个数组，b就是你的任意命令。当然，这只是两款免费的webshell查杀工具，当前我们算是绕过了，但如果是花钱买的，这个动态传参多半是可以监控到的，因为用户可以控制，至少免费的绕过了，如何去利用呢，call_user_func老朋友了，回调函数。

我们经过前面文章很清楚知道，shiro是将数据存储在内存当中，内存落盘实现一个数据存储，而当其结合python，python将登录的session存储到shiro里面就会造成一个反序列化漏洞看看环境登录信息存到session序列化一个引擎序列化存入那我们就需要反序列化的方式取出pass：python序列化的两个方法pickle.dumps、pickle.loads。

网上自己找vulhub-master.zip，我这里没用docker，本地自己搭建的。

pass:readis【6379】未授权访问（写入webshell，物理路径，写入任务计划（反弹webshell），写入公钥（直接登录服务器））很盛行，因为低版本90%的人基本上不会设置密码，但到2024年有些企业很注意这个点了，大部分人也开始设置了。所以像 mysql 的服务，因为也是基于 tcp 协议开发，所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容，比如我本地开的mysql我们尝试读取。pikachu，这里我直接docker拉取的，我只写原理，靶场都是随便找的。

蚁剑官网拉取。

首先disable_function不能禁用mail和error_log这两个函数，因为putenv可以创建环境变量，可以把LD_PRELOAD环境变量创建出来，加载我们创建的一个.so文件，而我们的mail函数在执行的时候会创建一个新进程调用sendmail，sendmail会创建系统服务getuid，而我们创建的恶意的.so文件恰好就劫持了mail调用诸多函数的其中一个比如getuid，会提前执行我们的恶意函数，自然也就执行了。

那怎么污染的，我们通过结果看过程，最后因为svg是我们插进去的，在没有插进去之前div应该是第一个，相当于就是将root覆盖为了root，但是我们的命令在进去之前已经被js处理为数组了，所以最后[outerHTML]后面还有一个1去取payload。JavaScript中，数组的下标可以⽤字符或是字符串数字来取值，所以在原型链中，我们可 以给[]对象添加⼀个名称为1的属性，这样 temp 在通过下标 1 取值的时候，实际上取到的 是数组中属性为 1 的值。我们可以看到已经被污染。要求：弹出域名就算成功。

JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象，对象以其原型为模板、从原型继承方法和属性。原型对象也可能拥有原型，并从中继承方法和属性，一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。

如果notify为真的话那么html是代码解析meme-code的值在页面随便输入一个text=aaaa&img=bbbbb很明显调用到这里因为text和img都存在了而我们可以很明显看到一点Meme Code没值，没值的话那就代表onload根本没有加载，当我们什么都没写的情况下很明显加载值了当我们把地址参数写对的情况下，我们的onload很明显是可以执行的而我们从始至终都没有看到created...，因为notify是false1.绕过过滤框架2.html 逃逸出style标签。

docker直接搭建。

所谓rce简单来说就是可以执行系统命令的函数，举个例子php。

不完整的汉字导致转utf-8的时候被抛弃了。

通过审计代码中，有远程登录板块，而可以看到这个板块是从cookie中拿出来安全码，而上一步未授权我们已经成功拿到安全码，拿到后通过xxtea_decrypt这个函数进行解密，解密后进行一个反序列化。我们可以看到构造函数ip是通过X_FORWARDED_FOR来获取的，而这个刚好可以伪造，那我们再加着ishtml=1就达成了第一个要点未授权访问。我们将安全cookie添加到我们的index.php后，开始写我们的语句。原因：我们需要和源码是反着的，源码：先解码，再解密，再序列化。先序列化再加密再编码。

BUUCTF在线评测首先我们通过靶场进入发现是一个留言板通过dirsearch收集目录获取一个重要资产目录，我们通过访问，很清楚是一个.get的源码泄露,我们尝试恢复一下，恢复工具为githacker工具安装：开始恢复恢复源码如下2.2源码分析2.2.1源码中写了一个get[do]这个参数点击发帖我们可以看到而源码中这个地方没有注入点因为有addslashes（php中防注入函数）我们提交个数据看看详情，代码是走到了comment底下而这个地方很明显没有过滤而addslashes在

我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息，而在市面上很多厂商的waf会对其进行过滤和黑名单，而我们在不使用information_schema库，那只能去看看mysql中其他与生俱来的库，这个时候sys库就尤为显眼。

一定添加--privileged不然只能拉取环境首页不显示。二、thinkphp远程代码执行。vulfocus网上自行下载。

在浏览器中访问ip+端口号+cgi-bin/rpc?action=verify-haras （端口号：每一个都尝试，直到获取到session值CID）Cookies添加拿到的CID后加上payload请求。首先打开nmap扫描向日葵主机端口。网上下载低版本的向日葵

我们使用这个命令执行漏洞去添加一个用户。输入我们刚才创建的ad和123456。将用户添加到管理员组和远程桌面组。将用户添加到远程桌面组。

网上自己找。

这个漏洞很早之前了，但是为了避免大家在面试等等的时候被问到，这里给大家温习一下CSRF全程是没有黑客参与的，全程都是用户自己在操作。

自行搭建，kill，Windows10，cs。

官网介绍：SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons连接后，子Beacon从父Beacon获取到任务并发送。因为连接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。

看源码可以看到，开发人员将该密码修改操作分成了两步，第一步通过验证码验证是否机器人且验证两次密码输入是否一样，验证通过后，服务器返回表单，第二步，要求用户确认修改密码，客户端提交post请求，服务器完成更改密码的操作。session称为会话信息，位于web服务器上，主要负责访问者与网站之间的交互，当访问浏览器请求http地址时，将传递到web服务器上并与访问信息进行匹配， 当关闭网站时就表示会话已经结束，网站无法访问该信息了，所以它无法保存永久数据，我们无法访问以及禁用网站。

这个进程干两件事情，把你的明文密码在进程中存储一份（这里就是它的破绽，既然你在内存中，那我就可以存内存中抓取出来），第二个事情把你的密码进行一个加密，加密后存到SAM这个文件中。迁移了还是没有抓取到那我们可能需要继续迁移，也可能Windows有限制，但其实我们抓到hash值已经够了，因为明文进去也是加密，用密文去进行比对，我们为何不直接用密文？去kill上面看，我的权限很容易可以看到是在管理员组的，那我们hashdump，拿到我们对应win-10的hash值。所以我们要干的一件事情就是迁移我们的进程。

为了方便大家跟bilibili课程，出了第一节环境bilibili搜凌晨五点的星可以观看相关的教程。

wireshack抓包会有一个MSS（1460），代表什么--（除去IP和TCP头部，数据包TCP数据的最大长度）本地DNS缓存查询-->DNS递归查询-->根域名服务器查询-->顶级域名服务器查询-->解析失败。重要点：TTL值（防环，linux64.Windows128 ），IP数据包包头格式字节（20）文件上传为什么1.为什么消失 2.谁删除的 3.如果我现在要做一个正常的文件上传，应该怎么做。如何最多获取一个网站的ip地址（nslookup[域名解析]，tracert）

在Kerberos协议中主要是有三个角色的存在：访问服务的Client(以下表述为Client 或者用户)提供服务的Server(以下表述为服务)KDC（Key Distribution Center）密钥分发中心 kerberos 测试工具介绍流程图：简单来说：Kerberos是一种基于票据Ticket的认证方式。客户端想要访问服务端的某个服务，首先需要购买服务端认可的。也就是说，客户端在访问服务之前需要先买好票，等待服务验票之后才能访问。但是这张票并不能直接购买，需要一张。

我们是有一款工具hashcat专门破解net-HTLMv2-HashMD5的值不是破解出来的，是对明文对出来的md5在线解密破解,md5解密加密 (cmd5.com)但是对于破解net-HTLMv2-Hash概率很小。

因此我尝试了注入，在order by 1和order by 2的时候是没有报错的，而3就有了证明一件事情，表格是两列，咱们暂且确定他是user列和password当然是我猜的。那就ok了，我们直接去sqlmap爆破即可,这里提示一个小点，BurpSuite联合sqlmap使用，将数据包导出来然后导入sqlmap目录下使用。首先我先去网站的robots.txt去看了看无意间发现很多资产。很明显我输入的已经到里面了，我们现在尝试更改命令为查询语句。而当我注入列的时候情况出现了。出现了报错，有报错必有注入点。

一个简单的域环境，3台机器即可，一个server2012，win7,，win10。

编码形式，并且通过这个编码形式产生的字符串里面， C 字符前面的字符对于 PHP Base64 来说是非法字符，所以接下来我们只需要 base64-decode 一下就可以去掉不可见字符了，但是与此同时，我们的 C 字符也被 base64-decode 解码了，这时候我们需要再把解码结果使用一次 base64-encode 即可还原回来原来的 C 字符了。那这里有小伙伴就有疑问了，字符集编码怎么来的，这里就要说一个国外的老师将字符集编码进行了一个开源。那我们可以用Base64创造我们想要的内容吗？

所以整个流程我们可以总结为以下：1.利用compress.zlib://http://或者compress.zlib://ftp://来上传任意文件，并保持 HTTP 长链接竞争保存我们的临时文件2.利用超长的 name 溢出 output buffer 得到 sandbox 路径3.利用 Nginx 配置错误，通过.well-known../files/sandbox/来获取我们 tmp 文件的文件名目录穿越：4.发送另一个请求包含我们的 tmp 文件，此时并没有 PHP 代码。

我们在文件包含的时候可以将错误的用户名包含进日志，但是权限问题让人很烦恼，今天的侧重点主要是跟大家聊一聊提权。

我们先来看一个简单的代码当我点击click go baidu的时候直接就会实现跳转，而我的url后面会出现?file=这就是文件包含最经典的反应因为我靶机搭建在windows上面所以，我尝试读一下本地文件，但是会显示flag在当前目录文件下原因是在过滤了四个协议的情况下，不等于百度便会跳转到if返回本质其实是在file处传递了一个php://input这个协议，我们前几篇文章页说了phpinput可以接收post原始流比如任意命令执行。

include_once()与require()_once()，如果文件已包含，则不会包含，其他特性如上。文件包含可以读本地文件 ，但是只能读非php文件，因为include会将php文件解析。require()，会生成致命错误（E_COMPILE_ERROR）并停止脚本。include()，只生成警告（E_WARNING），并且脚本会继续。那我们可以让a=I want flag嘛，试试。现在报了一个没有这个文件的错误。因为此为文件流的形式读取。一、常见的文件包含函数。

1.没有递归函数，导致文件夹内的文件并未被删除修复方法：递归函数2.先上传，后删除，利用时间竞争修复方式：创一个随机字符的文件夹名3.直接解压报错修复方式：在解压后，先删除一次4.利用../../跳出目录究竟是什么原因造成了这个漏洞，究其根本还是以为将用户不安全的POST数据写入了文件，并解压到web目录下了。把压缩包放进tmp目录里，如果上传、解压缩的操作都能在tmp目录里完成，再把我们需要的头像文件拷贝到web目录中，就不会有麻烦的安全问题了。

因为我们经常了解的%00截断，在Windows里面还有一个111.php:jpg上传的话从jpg处会截断但是我们的php文件为空，而我们可以利用上面所说的特性对其进行覆盖。那我们就可以利用小于号代表星号，星号又代表所有，上传一个空白的php文件。很明显上传上来了但是没有值。三、那我先随便上传一个。