mooyuan的博客

Cross-Site Scripting 简称为“CSS”，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。

通过对iwebsec靶场文件上传的第七关卡讲解条件竞争法实现文件上传的方法，通过python脚本配合burpsuite工具实现渗透过程。

通过对iwebsec第六关卡讲解文件截断绕过的文件上传漏洞利用方法。magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有：post、get、cookie过来的数据增加转义字符“\”，对POST、POST、__GET以及进行数据库操作的sql进行转义处理，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误，可以防止sql注入。

文件上传漏洞通常是由于程序员在对代码中文件上传部分的控制不足或者处理缺陷，而导致黑客可以越过其本身权限向服务器上上传可执行的恶意脚本文件。本次通过iwebsec靶场文件上传的第四关来讲解如何通过图片马实现文件头绕过过滤。

Tomcat配置文件conf/web.xml 文件，当 readonly 设置为 false 时，可以允许 PUT、DELETE 方法，上传或删除文件，通过上传的JSP文件可以在服务器上执行任意代码。tomcat6/7/8+会针对登陆次数过多的用户进行锁定，经过统计分析，当登录错误>5次后，就会锁定用户，所以要注意这个问题，如果已经锁定了账号需要重启服务。由于靶场环境搭建在linux系统中，故而需要使用/方法进行渗透，构造的ljn.jsp内容为。构造协议，路径中输入ljn.jsp然后点击执行后，bp抓包。

iwebsec靶场反序列化关卡渗透实战：关键函数destruct是通过参数来判断，如果传入参数时show就决定调用show函数，如果传入参数时login就调用login函数，另外如果参数时source就调用source函数。如上所示，打印了obj内容中的username和role，select *内容为3列，由于不知道顺序使什么样的，为了使可以查询password，我们可以构造语句。这里可以看到函数被wakeup函数处理，输出的内容中包含了mysql_escape_string，增加了转义符处理，如下所示。

JBoss是一套开源的企业级Java中间件系统，用于实现基于SOA的企业应用和服务，基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可，可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器，一般与Tomcat或Jetty绑定使用。

通过实战iwebsec靶场的Weblogic SSRF中间件漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。

Apache服务器在解析一个文件时，当文件有多个以点分隔的后缀时,如果右边的后缀无法识别(不在mime.types内),则继续从右向左识别，那么我们请求这样一个文件:ljn.php.aaa，遇到第一个扩展名 aaa ->发现无法识别,于是从右向左 识别第二个扩展名php -> 发现后缀是php可以识别，于是交给php 处理。

于是在访问http://192.168.71.151:8000/parse/index.jpg/x.php时，由于x.php不存在，PHP会递归向前解析,如果index.jpg存在就会把index.jpg当做PHP解析，造成了解析漏洞。http://x.x.x.x:8000/parse/index.jpg/x.php时，如果x.php不存在，PHP会递归向前解析,如果index.jpg存在就会把index.jpg当做PHP解析，造成了解析漏洞.在配置的过程中，查看nginx的php配置文件，如下所示。

data协议和input协议差不多，指定data是get方法，而input是post方法常用方法

file协议也叫本地文件传输协议 ,主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件或者通过右键单击‘打开’一样。基本的格式：file:///文件路径。

​php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行，如果存在文件包含漏洞,可将php://input作为文件名传入,同时在post中注入设置想要注入的代码,php执行时就会将post的内容作为php代码执行。

​php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行，如果存在文件包含漏洞,可将php://input作为文件名传入,同时在post中注入设置想要注入的代码,php执行时就会将post的内容作为php代码执行。

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件行。如果我们对其进行编码，就可以任意文件读取。

前言。

远程文件包含是文件包含漏洞的其中一种。这种漏洞在文件的URI位于其他服务器上并作为参数传递给PHP函数“include”，“include_once”，“require”，或“require_once”的情况下可能会出现。

3）当PHP脚本执行结束时，未被销毁的session变量会被自动保存在本地一定路径下的session库中，这个路径可以通过php.ini文件中的session.savepath指定，下次浏览网页时可以加载使用。2）若读取到PHPSESSID这个COOKIE，创建SESSION变量，并从相应的目录中（可以再php.ini中设置）读取sess_xxxxxx（默认是这种命名方式）文件,将字符装在入SESSION变量中;2）当执行PHP脚本时，通过使用SESSION超全局变量注册session变量。

文件包含漏洞中，在服务器执行一个PHP文件时可以通过文件包含函数执行另一个文件，无论这个文件是不是PHP为其后缀，都可以当成PHP执行。文件上传的截断绕过通常源码包含如下字段，比如说传入的参数filename=phpinfo.txt，那么include时会为文件名加上 .html后缀，于是include的文件名就变为了phpinfo.txt.html，这样会导致文件包含漏洞利用出现失败。

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如 在PHP中，提供了：这些文件包含函数，这些函数在代码设计中被经常使用到。

htaccess文件全称是超文本入口，提供了针对目录改变配置的方法，即在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。上传.htaccess文件，来绕过黑名单。（2）如何配置使.htaccess生效。

第01关 前端js过滤绕过1.禁用js法（1）禁用js（2）刷新页面使生效（3）上传脚本（4）开启js并刷新页面2.修改页面法1（1）右键查询元素（2）搜索关键字check（3）删除函数调用（4）上传脚本 （5）访问脚本3.bp改包法（1）分析源码（2）将脚本后缀改为jpg（3）上传info.jpg并bp抓包（4）bp中将info.jpg改名为info.php并发送（5）访问脚本打开第一关靶场iwebsec 靶场漏洞库iwebsechttp://iwebsec.com:81/upload/01.php构

分析可知仅对php后缀进行判断，而且是黑名单判断，只要是php后缀那就会提示失败，而其他类型则会成功。由于后缀仅判断php关键字，故而可以考虑使用大小写绕过，比如说.PHP、.pHP、.PhP、.PHp等等，都可以绕过php关键字过滤。由于后台源码仅过滤php后缀，那么可以通过大小写后缀绕过，构建脚本info2.pHp。随手上传脚本info.php，如下所示提示不能上传php文件。在图片预览处点击鼠标右键，选择复制图片地址。如下所示为02.php的源码内容。iwebsec 靶场漏洞库。

在HTTP协议消息头中，使用Content-Type来表示请求和响应中的媒体类型信息。它用来告诉服务端如何处理请求的数据，以及告诉客户端（一般是浏览器）如何解析响应的数据。如下所示服务端的源码仅检查content-type类型，而不是检查后缀等其他信息，基于此我们在渗透时只需将报文发送到bp时，用bp将报文的content-type修改为图片即可。根据源码，需要将content-type修改为如下四种类型才可以绕过。如下所示，repeater中需要修改如下红框处。image/jpeg方法。

打开靶场，url为如下所示是一个注册界面，参数为用户名、密码和邮箱，源码猜测是SQL insert语句，将其插入到数据库的某个表中。点击通过邮箱找回密码进入如下界面，根据功能应该是通过邮箱找到用户名和密码，并展示出来SQL二次注入主要分析几个内容（1）注入点是什么？iwebsec的第13关关卡的注入点为username（2）注入点闭合方式与注入？这部分是普通的字符型注入，闭合方式为单引号（3）是否满足二次注入？很明显通过源码分析符合二次注入条件。

总结SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第12关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的数字型注入，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的第12关卡过滤了等号关键字了解了如上信息就可以针对性进行SQL渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的等号过滤绕过的SQL注入渗透内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。

打开靶场，url为id=1如下所示SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第11关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的报错型注入（3）是否过滤了关键字？很明显通过源码，iwebsec的11关增加了addslashes和get_magic_quotes_gpc函数，可以使用16进制编码的方式进行绕过。

打开靶场，url为id=1如下所示SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第10关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的报错型注入（3）是否过滤了关键字？很明显通过源码，iwebsec的第10关卡过滤了select关键字并且进行了双重url解码了解了如上信息就可以针对性进行SQL渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的双重url解码型注入内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。

打开靶场第09关，http://192.168.71.151/sqli/09.php?id=1如下所示​SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第9关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的数字型注入，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的第09关卡过滤了不区分大小写select关键字。

iwebsec靶场 SQL注入漏洞通关笔记1- 数字型注入_mooyuan的博客-CSDN博客iwebsec靶场 SQL注入漏洞通关笔记2- 字符型注入（宽字节注入）_mooyuan的博客-CSDN博客iwebsec靶场 SQL注入漏洞通关笔记3- bool注入（布尔型盲注）_mooyuan的博客-CSDN博客iwebsec靶场 SQL注入漏洞通关笔记4- sleep注入（时间型盲注）_mooyuan的博客-CSDN博客iwebsec靶场 SQL注入漏洞通关笔记5- updatexml注入（报错型盲注）_m

打开靶场，url为iwebsec靶场 SQL注入漏洞通关笔记7- 空格过滤绕过（1）闭合方式是什么？iwebsec的第7关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的数字型注入，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的第07关卡过滤了空格。

打开靶场的SQL注入关卡的第06关宽字节注入关卡id=1​通过源码再来分析下时间盲注关卡重点内容：（1）闭合方式是什么？iwebsec的第06关关卡为字符型注入，闭合方式为单引号（2）注入类别是什么？这部分是宽字节盲注（3）是否过滤了关键字？很明显通过源码，iwebsec的宽字节型关卡无过滤任何信息了解了如上信息就可以针对性进行SQL渗透。

iwebsec靶场的SQL注入漏洞的第05关updatexml注入漏洞渗透。​通过源码再来分析下时间盲注关卡重点内容：（1）闭合方式是什么？iwebsec的第05关关卡为数字型注入，无闭合方式（2）注入类别是什么？这部分是报错型盲注（3）是否过滤了关键字？很明显通过源码，iwebsec的时间报错型关卡无过滤任何信息了解了如上信息就可以针对性进行SQL渗透。初学者还是应该以手动注入方法练习，真正了解原理后可以在使用sqlmap来提升速度。

iwebsec靶场的SQL注入漏洞的第04关sleep注入漏洞渗透，iwebsec靶场的时间型盲注由于没有任何过滤信息，与bool型盲注一样为数字型布尔盲注，故而使用sqlmap渗透十分方便高效。时间型盲注相对而言十分耗时，手注或者半自动化注入相对而言操作过程较为麻烦，初学者还是应该以手动与半自动化注入结合方法练习，真正了解原理后可以在使用sqlmap来提升速度。

iwebsec靶场的SQL注入漏洞的第03关bool注入漏洞渗透，通过源码再来分析下布尔型SQL注入重点内容：（1）闭合方式是什么？iwebsec的第03关关卡为数字型（2）注入类别是什么？这部分通过源码分析与手注很容易判断出是布尔型注入（3）是否过滤了关键字？很明显通过源码，iwebsec的布尔型关卡无过滤任何信息了解了如上信息就可以针对性进行SQL渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的第3关bool注入内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。

打开靶场，url为id=1如下所示本次渗透的关卡为字符型注入，其实总结来讲本关卡的难度相对而言作为第二关有些难度。通过源码再来分析下SQL注入重点内容：（1）闭合方式是什么？iwebsec的第02关关卡为字符型，闭合方式为单引号（2）注入类别是什么？这部分是宽字节型注入，需要使用%df（3）是否过滤了关键字？很明显通过源码，iwebsec的字符型关卡无过滤任何信息。

iwebsec靶场的SQL注入关卡共13关SQL注入漏洞，覆盖了数字型注入、字符型注入、报错型盲注、布尔型盲注、时间型盲注以及各种过滤绕过的注入，外加上二次注入，是SQL注入知识点覆盖较为全面的一个靶场。SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第一关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的数字型注入，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的数字型关卡无过滤任何信息。

iwebsec靶场可以通过两种方法进行渗透。第二种是本地搭建：目前可以通过两种方法搭建，一种是虚拟机绿色版解压即用，另外一种则是通过docker安装。

iwebsec靶场的命令执行通关笔记，共有五个关卡，分别涉及到基础的命令执行漏洞、空格绕过、关键字绕过、通配符绕过、base64绕过共五方面的渗透。什么是命令执行漏洞？命令执行漏洞是服务器端没有对客户端用户输入的参数进行过滤，导致用户可以通过任意拼接系统命令，使服务器端成功执行任意系统命令。命令执行漏洞主要是服务端没有对执行命令的函数做出过滤导致的，因为在web服务程序有时候去需要调用执行命令的函数，所以如果没有对客户端用户输入的命令进行过滤，可能发生命令执行漏洞。

iwebsec靶场的数据库漏洞第一项内容为MySQL漏洞渗透，如下所示我们可以使用kali的msf模块对其进行渗透。