m0_69583059的博客

通过抓包可以发现，客户端的数据是以xml的格式发送的，并且有回显，后端通过解析xml数据然后输出，利用xml写文件读取，再改包发送，因为有回显就可以获得文件的内容。文件读取的时候，如果没有数据回显，那么我们就无法判断是否有漏洞，通过带外测试可以判断漏洞是否存在，而且能向外发送数据 //dnslog.cn。可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。利用xml写一个带有文件读取的代码尝试发送，类似文件功能读取实现。选）、文档元素，其焦点是数据的内容，其把数据从。

kali如何结束线程，ctrl+z然后输入kill -9 %1。端口扫描，最小速度10000，扫描全部端口(-p-)端口扫描-通过传统nc进行扫描。扫描UDP协议端口，防止遗漏。端口扫描-通过伪设备扫描。主机发现，扫描整个C段。主机发现，扫描整个C段。

本章知识点：1CSRF-审计复现测试同源策略2SSRF-审计功能追踪函数搜索代码审计-CSRF-SCMSFH 无验证CSRF1，直接复现有没有成功->有漏洞，失败->代码->缺陷过滤（绕过）->有漏洞，失败->代码->完整过滤->没有漏洞其它漏洞：关键函数和应用功能直接复现，存在漏洞代码审计。

本章知识点：1CSRF-原理危害探针利用等2SSRF-原理危害探针利用等3CSRF&SSRF-黑盒下漏洞探针点CSRF-原理后台自动添加管理员漏洞原理CSRF全称：，即，跨站请求伪造，也被称为“One Click Attack” 或，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。举个生活中的例子：就是某个人点了个奇怪的链接，自己什么也没输，但 自己的 qq号或其他的号就被盗了。

本章知识点：1XSS跨站过滤绕过便签语句符号等2XSS跨站修复方案-CSP&函数&http_only等XSS绕过到331关卡绕过WP316-反射型直接远程调用window.location.href='' 表示指向跳转链接 document.cookie 表示获取cookie值317-反射型过滤318 319-反射型过滤320-326-反射型过滤空格327-存储型无过滤328-存储型注册插入JS。

XSS-后台植入 Cookie&表单劫持（权限维持）什么是权限维持，就是虽然我们获取到了网站权限，但是并不能保证一直拥有权限，因为可能某一天对方的杀毒软件将我们植入的后门代码给删除了，那么就不能保证权限的持续，所以要获取管理员后台的登入账号密码，虽然可以通过获取Cookie值进行登入，但是如果在有防护的情况下获取到的Cookie值可能是错误的，这样就无法登入后台。当然我们在拥有权限的基础上，可以直接进入通过数据库查看账号密码，但是如果密码加密了呢，而且还是无法解密呢，虽然数据库里面也能获取到一些数据，但

本章知识点不是很重要，涉及到的漏洞也不是常见的，所以没有过多的阐述。是利用浏览器或者浏览器扩展漏洞来制造产生。并执行代码的一种攻击类型。MXSS突变型XSS漏洞。、通过文件上传获取直链。、直链地址访问后被触发。

本章知识点：1XSS跨站原理攻击分类等2XSS跨站反射型存储型&DOM型等3XSS跨站攻击手法劫持盗取凭据等4XSS跨站攻击项目&XSS平台&Beef-XSS。

无法上传php文件，但是通过修改名称抓包，将后缀改掉可以成功将文件后缀该成.php,但是.php文件并不能执行，没有执行权限，因为同目录下有.htaccess文件，限制了php文件的权限。通过抓包发现，请求数据包并没有看到图片的名称以及类型，这里猜测tk的值就是图片信息，并且进行了base64编码，这里解码tk值看看。返回404错误，现在有两种可能，一就是没有上传成功，二就是上传成功但是路径不一样了，或者文件名被改了。发现执行成功，说明我们刚刚上传的php文件上传成功了，只是名称被改了。

2，黑名单验证（在黑名单的后缀不让上传php jsp等），就可以通过php%0a绕过黑名单，但是需要保证这个后缀是能够正常解析的脚本代码。如果是白名单可能不行（在白名单里面才可以上传jpj，png，gif 等），但是如果没有考虑以最后一个点为后缀，通过1.jpj.php。2，看文件上传是引用外部的编辑器还是程序员自己编写，如果是引用外部的编辑器就看是什么编辑器，然后查看此编辑器有没有爆出过漏洞，是否可以利用。这个环境是黑名单验证，我们无法上传php后缀的文件，需要利用CVE-2013-4547。

将上传的图片和上传后的图片用16进制编辑器打开，发现两张图片有些地方不一样，明明是同一张图片，为什么会不一样，因为我们将图片上传后，后台对它进行了二次渲染，导致了一些内容的改变。然后上传.user.ini文件，用.user.ini包含a1118962020.gif，尝试用哥斯拉连接。可以上传php文件，但是后门代码会限制，过滤了一些关键词，eval，system等。目录没有首页文件，可以让.user.ini包含日志文件，将后门代码写入到日志文件。后门代码，不能被触发，所以连接不上后门。

知识点：1、文件上传-前端验证2、文件上传-黑白名单3、文件上传-user.in妙用4、文件上传-PHP语言特性后门代码需要特定后缀格式解析，不能以图片后缀解析脚本后门代码（解析漏洞除外），如：jpg图片里面有php后门代码，不能被触发，所以连接不上后门。

对于web安全刚入门的小伙伴来说，漏洞靶场搭建是很重要的，可以通过靶场学以致用，对所学知识点进行巩固练习。下面和我一起搭建5个比较常用的初学者入门靶场，演示搭建环境：win11系统+phpstudy。

现在我们假设用户注册的时候，用户名输入的是一条SQL注入的语句，那么在用户更改密码的时候就造成了SQL注入，修改密码的sql语句：update user set password='123456' where username='SQL注入代码' ，简单来说就是先将SQL注入语句存入到数据库，然后再次使用数据的时候触发SQL注入。第一步：插入恶意数据：第一次进行数据库数据插入的时候，仅仅对其中的特殊字符进行了转义，在写入数据库的时候还是保留了原来的数据，但是数据本身包含恶意内容。获取当前数据库名：?

因为时间盲注是运用于没有任何错误信息或者回显的注入情况，所以我们并不能从页面上获取我们发送的语句返回情况，由于发送请求到服务器回显是需要一段时间的，所以我们可以利用回显时间来判断服务器返回情况，其实就是在布尔盲注的基础上加上一个if语句，错误时让页面正常返回，正确时让页面延时返回，由此我们就可以通过返回时间来判断是否注入成功。用Burp爆破字母a的位置，即可得到数据库名每个位置上的字符。盲注就是在注入的过程中，获取的数据不能回显到前端页面，此时，我们要利用一些方法进行判断 或者尝试，这个过程称之为盲注。

数据库类型决定-攻击手法，payload不一样数据类型注入-payload考虑闭合，数据格式不同提交方式不同-注入需要按照指定的方式去测试，url没有参数并不代表没有注入，有些数据在数据包才会有体现，http数据包任何一个地方，只要被接受了，就有可能产生漏洞。

如果在实战中我们遇到了这样的问题应该如何解决，这里我们可以采用宽字节绕过，就是借助一些繁体字符或者乱码字符来占用字节位数，从而尝试绕过，例如，如果对单引号'进行了转义，我们可以通过在单引号前面加上%df来占用转义符号，没有了转义字符传入的数据就是正常的了。开发程序里面，数字不需要单引号，字符需要单引号，双引号去概括的，在注入的时候，需要考虑到符号的闭合，才能正确去执行SQL，完成注入。在注入的过程中，会遇到一些复杂的注入（waf绕过，过滤，编码等），tamper脚本可以尝试绕过。

sqlmap 是一个开源渗透测试工具，可自动检测和利用 SQL 注入缺陷并接管数据库服务器的过程。它配备了强大的检测引擎、用于终极渗透测试仪的许多利基功能以及从数据库指纹识别、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令的各种切换。

Access无高权限注入点，只能猜解，还是暴力猜解MYSQL，PostgreSQL，MSSQL高权限注入点可以升级读写执行等，高权限注入可以通过写入后门或者读取相关配置文件获取当前网站的相关权限，不需要通过一步一步猜解数据，当然这只是里理论，在实际环境中，可能会因为数据库的某些设置或者防护导致无法读写注入，如果能绕过当然是最好的，如果不能绕过那么我们只能乖乖的一步一步猜解 读取文件：union select load_file('读取路径'）,2,3 写入文件：union select '写入信息',2,

SQL注入漏洞：脚本代码在实现代码与数据库进行通讯时（从数据库取出相关数据进行页面显示），将定义的SQL语句进行执行查询数据时。其中的SQL语句能够通过参数传递自定义值来实现控制SQL语句，从而执行恶意的SQL语句，可以实现查询其他数据（数据库中的敏感信息，如管理员账号密码）。这一个过程叫做SQL注入漏洞 漏洞产生的根本条件：可控变量 特定函数http://xxxxx/xxx.asp 没有参数，不一定不存在注入http://xxxxx/xxx.asp ?id=xx 有参数 如果下面的URL地址测试