mooyuan的网络安全博客

本文通过《iwebsec靶场代码执行漏洞第九关 10 可变函数2》来进行渗透实战。很明显这段代码存在严重的代码注入漏洞，允许攻击者执行任意函数和代码，因为源码未过滤的用户输入直接作为代码逻辑，且由于PHP灵活的变量函数特性。本文通过《iwebsec靶场代码执行漏洞第九关 10 可变函数2》来进行渗透实战。查看第10关源码，如下所示红框所示使用可变函数进行调用。PHP内置许多可以执行的函数会导致执行漏洞（如。：PHP允许通过字符串变量名调用函数。提取php代码，具体源码如下所示，获取到whoami信息

本文通过《iwebsec靶场代码执行漏洞第九关 09可变函数1》来进行渗透实战。进入第09关，如下所示查看第09关源码，如下所示红框所示使用可变函数进行调用。提取php代码，这段PHP代码实现了一个动态函数（注意该函数没有参数）调用的功能。当程序接收到包含func参数的请求时（通过GET、POST或COOKIE方式），会执行相应的函数调用操作。

本文通过《iwebsec靶场代码执行漏洞第七关和第八关 preg_replace函数》来进行渗透实战。preg_replace() 函数在使用 /e 修饰符时存在代码执行漏洞，这是PHP历史上一个著名的高危安全问题。下面我将详细通过源码分析和渗透实战解释其原理和危险性。preg_replace — 执行一个正则表达式的搜索和替换。

本文通过《iwebsec靶场代码执行漏洞第六关 06 array_map函数》来进行渗透实战。array_map — 为数组的每个元素应用回调函数，可以调用自定义函数或自带函数。array_map()：返回数组，是为array1每个元素应用callback函数之后的数组。

该函数的问题在于，若传入的 $args 或者 $function_body_code参数来源于用户输入且未经过严格过滤，攻击者就能够通过构造恶意输入来执行任意 PHP 代码。举例，当代码如下时，加入参数为2和3，那么输出为5。string create_function（string $args，string $function_body_code）根据传递的参数创建匿名函数，并为其返回唯一名称。通过查看源码，分析可知调用了关键代码create_function，具体如下所示。将代码整理后，代码如下。

本文通过《iwebsec靶场代码执行漏洞第三关 04 call_user_func_array函数》来进行渗透实战。call_user_func_array通过post参数fun函数调用了eval函数，再通过post行参数传入phpinfo()命令，执行了phpinfo()返回当前PHP服务的敏感信息，通过POST传入func=assert&arg=phpinfo();实现渗透

本文通过《iwebsec靶场代码执行漏洞第三关 03 call_user_func函数》来进行渗透实战。call_user_func第一个参数 callback 是被调用的回调函数，其余参数是回调函数的参数。根据代码审计我们可以构造fun为system函数，而arg为id的命令注入，即执行system(id)命令获取当前用户的id信息。

本文通过《iwebsec靶场代码执行漏洞第二关 01 assert函数》来进行渗透实战。在iwebsec靶场的第02关中，很明显POST的参数仍然是1，继续传入phpinfo()获取到后台php服务的版本号;通过攻击脚本1=phpinfo();接下来查看源码，源码中出现@assert($_POST[1])的函数调用，这其中assert函数通过POST参数传入，该参数1未经过过滤，故而有代码执行漏洞，如下图所示。

本文通过《iwebsec靶场代码执行漏洞第一关 01 eval函数》来进行渗透实战。首先讲解eval(string $code)，其中$code 需要为有效的PHP代码字符串。当 eval 函数被调用时，它会将 $code 中的代码作为PHP语句执行。在这段代码中，$_POST[ljn]是一个POST请求参数，为用户提交的命令或代码，eval函数会将这段PHP代码进行执行。该功能是非常危险的，因为用户可以通过输入恶意代码来执行任意操作，从而会导致安全漏洞和系统被攻击，这就是代码执行漏洞。

iwebsec靶场代码执行漏洞10个关卡通关笔记。

JBoss是一套开源的企业级Java中间件系统，用于实现基于SOA的企业应用和服务，基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可，可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器，一般与Tomcat或Jetty绑定使用。

Tomcat配置文件conf/web.xml 文件，当 readonly 设置为 false 时，可以允许 PUT、DELETE 方法，上传或删除文件，通过上传的JSP文件可以在服务器上执行任意代码。tomcat6/7/8+会针对登陆次数过多的用户进行锁定，经过统计分析，当登录错误>5次后，就会锁定用户，所以要注意这个问题，如果已经锁定了账号需要重启服务。由于靶场环境搭建在linux系统中，故而需要使用/方法进行渗透，构造的ljn.jsp内容为。构造协议，路径中输入ljn.jsp然后点击执行后，bp抓包。

通过实战iwebsec靶场的Weblogic SSRF中间件漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。

iwebsec靶场的redis漏洞为未授权漏洞

iwebsec靶场的数据库漏洞第一项内容为MySQL漏洞渗透，如下所示我们可以使用kali的msf模块对其进行渗透。

iwebsec靶场反序列化关卡渗透实战：关键函数destruct是通过参数来判断，如果传入参数时show就决定调用show函数，如果传入参数时login就调用login函数，另外如果参数时source就调用source函数。如上所示，打印了obj内容中的username和role，select *内容为3列，由于不知道顺序使什么样的，为了使可以查询password，我们可以构造语句。这里可以看到函数被wakeup函数处理，输出的内容中包含了mysql_escape_string，增加了转义符处理，如下所示。

iwebsec靶场反序列漏洞通关笔记。

于是在访问http://192.168.71.151:8000/parse/index.jpg/x.php时，由于x.php不存在，PHP会递归向前解析,如果index.jpg存在就会把index.jpg当做PHP解析，造成了解析漏洞。http://x.x.x.x:8000/parse/index.jpg/x.php时，如果x.php不存在，PHP会递归向前解析,如果index.jpg存在就会把index.jpg当做PHP解析，造成了解析漏洞.在配置的过程中，查看nginx的php配置文件，如下所示。

Apache服务器在解析一个文件时，当文件有多个以点分隔的后缀时,如果右边的后缀无法识别(不在mime.types内),则继续从右向左识别，那么我们请求这样一个文件:ljn.php.aaa，遇到第一个扩展名 aaa ->发现无法识别,于是从右向左 识别第二个扩展名php -> 发现后缀是php可以识别，于是交给php 处理。

通过对iwebsec靶场文件上传的第七关卡讲解条件竞争法实现文件上传的方法，通过python脚本配合burpsuite工具实现渗透过程。

通过对iwebsec第六关卡讲解文件截断绕过的文件上传漏洞利用方法。magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有：post、get、cookie过来的数据增加转义字符“\”，对POST、POST、__GET以及进行数据库操作的sql进行转义处理，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误，可以防止sql注入。

htaccess文件全称是超文本入口，提供了针对目录改变配置的方法，即在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。上传.htaccess文件，来绕过黑名单。（2）如何配置使.htaccess生效。

文件上传漏洞通常是由于程序员在对代码中文件上传部分的控制不足或者处理缺陷，而导致黑客可以越过其本身权限向服务器上上传可执行的恶意脚本文件。本次通过iwebsec靶场文件上传的第四关来讲解如何通过图片马实现文件头绕过过滤。

在HTTP协议消息头中，使用Content-Type来表示请求和响应中的媒体类型信息。它用来告诉服务端如何处理请求的数据，以及告诉客户端（一般是浏览器）如何解析响应的数据。如下所示服务端的源码仅检查content-type类型，而不是检查后缀等其他信息，基于此我们在渗透时只需将报文发送到bp时，用bp将报文的content-type修改为图片即可。根据源码，需要将content-type修改为如下四种类型才可以绕过。如下所示，repeater中需要修改如下红框处。image/jpeg方法。

分析可知仅对php后缀进行判断，而且是黑名单判断，只要是php后缀那就会提示失败，而其他类型则会成功。由于后缀仅判断php关键字，故而可以考虑使用大小写绕过，比如说.PHP、.pHP、.PhP、.PHp等等，都可以绕过php关键字过滤。由于后台源码仅过滤php后缀，那么可以通过大小写后缀绕过，构建脚本info2.pHp。随手上传脚本info.php，如下所示提示不能上传php文件。在图片预览处点击鼠标右键，选择复制图片地址。如下所示为02.php的源码内容。iwebsec 靶场漏洞库。

第01关 前端js过滤绕过1.禁用js法（1）禁用js（2）刷新页面使生效（3）上传脚本（4）开启js并刷新页面2.修改页面法1（1）右键查询元素（2）搜索关键字check（3）删除函数调用（4）上传脚本 （5）访问脚本3.bp改包法（1）分析源码（2）将脚本后缀改为jpg（3）上传info.jpg并bp抓包（4）bp中将info.jpg改名为info.php并发送（5）访问脚本打开第一关靶场iwebsec 靶场漏洞库iwebsechttp://iwebsec.com:81/upload/01.php构

ssh服务如果开启了日志记录功能，那么在进行ssh连接时会将登录的日志记录到ssh日志文件内，这个文件的默认路径是/var/log/auth.log。filename=../../../../var/log/auth.log和ljn，如下所示。查看/var/log/auth.log 文件，发现已经将恶意的一句话木马通过登录用户写入到了ssh登录日志中，如下所示。于是构造日志访问路径 filename=../../../../var/log/auth.log。用户名设置为为如下一句话木马脚本，参数为ljn。

本文通过《iwebsec靶场文件包含漏洞第十关 10 data伪协议》来进行渗透实战。如下所示include函数对GET参数filename没有任何过滤，存在文件包含漏洞。访问后如下所示，提示使用data协议进行渗透。

本文通过《iwebsec靶场文件包含漏洞第九关  file伪协议》来进行渗透实战。file协议也叫本地文件传输协议 ,主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件或者通过右键单击‘打开’一样。基本的格式：file:///文件路径。

​本文通过《iwebsec靶场文件包含漏洞第八关 08 php://infput 伪协议原理》来进行渗透实战。php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行，如果存在文件包含漏洞,可将php://input作为文件名传入,同时在post中注入设置想要注入的代码,php执行时就会将post的内容作为php代码执行。

​php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行，如果存在文件包含漏洞,可将php://input作为文件名传入,同时在post中注入设置想要注入的代码,php执行时就会将post的内容作为php代码执行。

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件行。如果我们对其进行编码，就可以任意文件读取。

PHP的文件包含可以直接执行包含文件的代码，包含的文件格式是不收限制的，只要能正常执行即可。文件包含函数有include、include_once，require、require_once。他们之前的区别就是include遇到报错还会执行下面的代码，require则是会报错退出程序。

远程文件包含是文件包含漏洞的其中一种。这种漏洞在文件的URI位于其他服务器上并作为参数传递给PHP函数“include”，“include_once”，“require”，或“require_once”的情况下可能会出现。

3）当PHP脚本执行结束时，未被销毁的session变量会被自动保存在本地一定路径下的session库中，这个路径可以通过php.ini文件中的session.savepath指定，下次浏览网页时可以加载使用。2）若读取到PHPSESSID这个COOKIE，创建SESSION变量，并从相应的目录中（可以再php.ini中设置）读取sess_xxxxxx（默认是这种命名方式）文件,将字符装在入SESSION变量中;2）当执行PHP脚本时，通过使用SESSION超全局变量注册session变量。

文件包含漏洞中，在服务器执行一个PHP文件时可以通过文件包含函数执行另一个文件，无论这个文件是不是PHP为其后缀，都可以当成PHP执行。文件上传的截断绕过通常源码包含如下字段，比如说传入的参数filename=phpinfo.txt，那么include时会为文件名加上 .html后缀，于是include的文件名就变为了phpinfo.txt.html，这样会导致文件包含漏洞利用出现失败。

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如 在PHP中，提供了：这些文件包含函数，这些函数在代码设计中被经常使用到。

打开靶场，url为如下所示是一个注册界面，参数为用户名、密码和邮箱，源码猜测是SQL insert语句，将其插入到数据库的某个表中。点击通过邮箱找回密码进入如下界面，根据功能应该是通过邮箱找到用户名和密码，并展示出来SQL二次注入主要分析几个内容（1）注入点是什么？iwebsec的第13关关卡的注入点为username（2）注入点闭合方式与注入？这部分是普通的字符型注入，闭合方式为单引号（3）是否满足二次注入？很明显通过源码分析符合二次注入条件。

总结SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第12关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的数字型注入，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的第12关卡过滤了等号关键字了解了如上信息就可以针对性进行SQL渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的等号过滤绕过的SQL注入渗透内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。

打开靶场，url为id=1如下所示SQL注入主要分析几个内容（1）闭合方式是什么？iwebsec的第11关关卡为数字型，无闭合（2）注入类别是什么？这部分是普通的报错型注入（3）是否过滤了关键字？很明显通过源码，iwebsec的11关增加了addslashes和get_magic_quotes_gpc函数，可以使用16进制编码的方式进行绕过。