- 博客(113)
- 收藏
- 关注
RSS订阅原创 本地裸文件包含
首先通过各种方法找到web日志,然后利用上面说的include的方式来包含之。如果找不到web日志,利用条件竞争的方法,包含tmp文件也可以.1.存在phpinfo等可以泄露临时文件名的页面2.网络条件好,才能让Race Condition成功exp.py我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时
2022-06-20 06:04:52
453
1
转载 [WMCTF2020]Make PHP Great Again 2.0
进入页面给出代码这里有个require_once()函数需要了解一下,如果require_once包含过一次flag.php再次出现则不会执行发现require文件时,在对软链接的操作上存在一些缺陷,似乎并不会进行多次解析获取真实路径。/proc/self指向当前进程的/proc/pid//proc/self/root/是指向/的符号链接使用伪协议来读取flag,构造payload:?file=php://filter/read=convert.base64-encode/resource=/pr
2022-06-18 02:16:43
551
原创 [CISCN2019 总决赛 Day1 Web4]Laravel1
反序列化漏洞laravel pop链的挖掘显而易见的考察反序列化漏洞,并且告诉了备份source.tar.gz,直接下载下来开始找pop链。反序列化的触发点一般为__wakeup()或者__destruct(),更多的是destruct,先找destruct。使用phpstrom,Ctrl+Shift+R查找function __destruct:通过逐个分析找到一个可以文件包含的链,TagAwareAdapter类:调用过程:__destruct() -> commit() -> invalidat
2022-06-17 22:08:24
897
转载 sql注入绕过方法总结
转至:sql注入绕过方法总结_huanghelouzi的博客-CSDN博客_sql绕过 我们希望用户输入的 id 的值,仅仅是一个字符串,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 是作为了 sql语句 来执行的。常用的注释符有 实例大小写绕过常用于 的正则对大小写不敏感的情况,一般都是题目自己故意这样设计。例如:waf过滤了关键字,可以尝试使用等绕过。内联注释绕过内联注释就是把一些特有的仅在MYSQL上的语句放在 中,这样这些
2022-06-17 04:32:24
2751
原创 [安洵杯 2019]iamthinking
thinkphp6.0反序列化漏洞一进来就发现forbiden,直接目录扫描一波~发现www.zip,下载下来开始代码审计:挺简单的就一个index.php控制器,代码大概意思将GET传入的payload参数进行发序列化,但是payload不能以O开头,妥妥的考反序列化漏洞,O是php对象序列化后的第一个字符,既然不能以O开头,那么就把对象放进一个数组里就行了,这样就是以a开头了从而绕过。接下来就是找pop链了,先看看thinkphp6.0有没有已知反序列化漏洞。 发现6.0刚好存在反序列化漏洞,网上随便搜
2022-06-17 02:02:28
706
原创 [羊城杯2020]easyphp
1. .htaccess的利用.htaccess利用方式.htaccess相关问题2.php://filter的利用关于php://filter在file_put_contents中的利用_bfengj的博客-CSDN博客 核心代码:filename只能由点和字母组成,content不能有flag和file。乍一看挺简单的filename传a.php,content传再用蚁剑访问就行了。但事实是想多了,确实能够将木马写入a.php,也可以访问a.php,但......
2022-06-15 17:45:38
549
原创 [NPUCTF2020]ezlogin
xPath注入这题服务端用户名和密码通过xml文件存储,通过将提交的用户名和密码拼接到xpath中进行查询,查询到数据即通过验证,反之则未通过。猜测后台xpath语法:我们可以在$username处进行注入1.获取根下的节点个数通过count(/)获取根下节点个数,当等于2时错误因此判断根下只有一个节点。2.获取根下节点名string-length() :获取字符串长度substring() :截取字符串name() :获取节点名称3.重复1和2遍历出所有叶子
2022-06-13 02:07:55
574
原创 [GoogleCTF2019 Quals]Bnv -S
考点:通过xml的参数实体的路径爆错读取敏感信息知识点1:参考该文章通过枚举文件,找到了不同系统可能本地含有的dtd文件。例如linux可能存在/usr/share/yelp/dtd/docbookx.dtd并且该dtd中引用了一个ISOamsa参数实体,因此我们可以定义ISOamsa的内容进行某些攻击。做题:1.开启bp,点击submit抓包。2.发现通过json格式传送message参数,此处尝试使用xml格式传送数据,如果可以的话,就可以考虑使用xxe进行攻击。构造xml: 服务器成功解析,
2022-06-04 01:13:11
448
1
原创 内网渗透简洁笔记
第二章-内网信息收集2.1 ================= 工作组手动信息收集 ==================1.查询网络配置信息 ipconfig /all2.查询操作系统及软件信息 systeminfo 查看系统体系结构 echo %PROCESSOR_ARCHItECTURE% 查看安装的软件及版本及路径 wmic product get name,version3.查询本机服务信息 wmic service list
2022-05-31 01:50:37
559
原创 第6章域控制器安全
使用卷影拷贝服务提取ntds.dit方法:通过ntdsutil.exe提取ntds.dit 利用 vssadmin提取 ntds.dit 利用vssown.vbs脚本提取ntds.dit 使用ntdsutil的iFM创建卷影拷贝 使用diskshadow导出ntds.dit通过ntdsutil.exe提取ntds.dit在通常情况下,即使拥有管理员权限,也无法读取域控制器中的ndts.dit文件, 但是我们又非常想获得这个文件的内容,这个时候就需要使用windows本地卷影拷贝服务VS
2022-05-31 01:09:40
466
原创 第5章域内横向移动分析及防御
域内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被用于横向移动攻击,从而避免域内其他
2022-05-19 01:16:07
758
原创 Linux常用命令
查询cpu,内存占用信息:ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | headfree -hshutdown -r now 重启sudo killall firefox 结束进程------------------------------------------------------------------------------fdisk -l 查看磁盘cat /proc/meminfo 查看内存大小cat /proc/cpuinfo...
2022-05-18 20:14:22
1850
1
原创 内网渗透第4章-权限提升(windwos)
1.内核溢出漏洞提权利用Metasploit发现缺失补丁2.Windows操作系统配置错误利用分析及防范系统服务权限配置错误Windows系统服务文件在操作系统启动时加载和执行,并在后台调用可执行文件。因此,如果一个低权限的用户对此类系统服务调用的可执行文件拥有写权限,就可以将该文件替换成任意可执行文件,并随着系统服务的启动获得系统权限。Windows服务是以System权限运行的,因此,其文件夹、文件和注册表键值都是受强访问控制机制保护的。但是,在某些情况下,操作系统中仍然存在一些没有
2022-05-15 01:24:32
2634
4
转载 内网渗透隧道
安全实验室 | 利用EarthWorm实现内网穿透相信我们在内网渗透的过程中总会遇到各种各样配置复杂的网络区域,有的能通DMZ、有的能互联、有的不能通外网等等。有时我们好不容易拿下了一台机器的权限,却被限制在他的网络分区中无法深入,彻夜难眠。少年不要灰心,不妨我们一起学习内网穿透的姿势,分分钟搞穿内网不是梦!01、内网穿透原理1)什么是内网穿透专业点来讲内网穿透就是利用各种隧道技术,以网络防火墙允许的协议,绕过网络防火墙的封锁,实现访问被封锁的目标网络。通俗点来说,就是电脑A和电脑B分别在两
2022-05-14 00:28:57
1219
原创 内网渗透2
工作组:工作组就像一个可以自由进入和退出的社团,方便同组的计算机互相访问。工作组没有集中管理作用,工作组里的所有计算机都是对等的(没有服务器和客户机之分)。密码策略修改:https://www.csdn.net/tags/OtDaQg5sMjA3MC1ibG9n.html内网主机扫描:主机扫描:1.利用NetBIOS快速探测内网nbtscan是一个命令行工具,用于扫描本地或远程TCP/IP 网络上的开放 NetBIOS名称服务器。nbtscan有Windows 和Linux两个版本,体积很小,不需
2022-05-08 22:05:00
663
转载 内网渗透之域内信息收集
01、判断是否存在域(1)一般我们在进行本机信息收集,查询IP网络或系统信息时,就很容易发现存在域控。ipconfig/all命令systeminfo命令(2)查看当前登录域及域用户netconfigworkstation(3)域服务器都会同时作为时间服务器,所以使用下面命令判断主域。运行nettime/domain该命令后,一般会有如下三种情况:1.存在域,但当前用户不是域用户,提示说明权限不够C:\Users&...
2022-05-08 20:02:27
1371
原创 应急响应(日志/流量)
事件分类有害程序事件 网络攻击事件 信息破坏事件 事件内容安全事件 设备设施故障事件 灾害性事件 其它事件应急响应工作流程准备阶段应急团队建设 应急方案制定 等级保护测评检测阶段判断安全设备告警 判断事件类型 判断事件级别 确定应急方案抑制阶段阻断:封禁IP、断开网络连接.隔离失陷主机 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件根除阶段修复:系统漏洞.网站漏洞 更新:安全策略、威胁情报 还原:操作系统.业务系统恢复
2022-03-25 11:50:10
4644
原创 MSF工具
模块介绍它是一个渗透测试框架(模块介绍)auxiliary:辅助模块,辅助渗透(端口扫描、登陆密码爆破、漏洞验证等)exploits(exp):漏洞利用模块,包含主流的漏洞利用脚本,通常是对某些可能存在漏洞的目标进行漏洞利用。命名规则:操作系统/各种应用协议分类payloads:攻击载荷,主要是攻击成功后在目标机器执行的代码,比如反弹shell的代码post:后渗透阶段模块,漏洞利用成功获得meteroreter之后,向目标发送的一些功能性指令,如提权等。encoders:编码器模块,主要包含各种编码
2022-03-24 09:09:43
607
原创 JAVA反序列化漏漏洞(组件)
weblogic:反序列化Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。漏洞检测:可访问目录/_async/AsyncResponseService/wls-w
2022-03-23 21:03:08
2173
原创 SQL注入
分类:从注入参数类型分:数字型注入、字符型注入、搜索型注入从注入方法分:基于报错、基于布尔盲注、基于时间盲注、联合查询、堆叠注入、内联查询注入、宽字节注入从提交方式分:GET注入、POST注入、COOKIE注入、HTTP头注入mysql 5.0 注入 区别_SQL注入的那些面试题总结_苏爽爽的博客-CSDN博客...
2022-03-22 21:08:51
4861
原创 文件上传漏洞2
检查后缀型上传漏洞>客户端js检查漏洞原理有些系统只是在客户端使用js对上传文件的后缀进行检查,服务端没有进行检查。由于客户端的js用户可以禁用,修改等等,导致可以绕过客户端的检测,上传不合法文件。漏洞利用1.将js禁用2.修改客户端的js3.上传合法后缀,使用burp抓包,再改后缀。检查后缀型上传漏洞>服务端MIME检查漏洞原理有些系统只是在客户端使用js对上传文件的后缀进行检查,服务端没有进行检查。由于客户端的js用户可以禁用,修改等等,导致可以绕过客户端的检测,上传
2022-03-22 17:00:45
6662
原创 文件上传漏洞
原理这主要看一些文件上传的代码有没有 严格限制用户上传的文件类型,比如,只可以上传.jpg|.png|.gif文件,但是由于代码不严谨,或者只在前端验证这个文件的格式等等,造成了攻击者可以上传任意PHP文件,自定义文件。危害可以通过这个漏洞上传后门文件,webshell,可以直接获取网站权限,然后获取服务器的提权,获取内网权限,或去用户信息等等。属于高危漏洞。文件木马ASP<%eval request( "x")%><%execute request(...
2022-03-22 15:44:47
4030
原创 CSRF漏洞
CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行
2022-03-22 10:19:15
154
原创 xss漏洞
XSS 漏洞简介跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。常见的输出函数有: echo printf print print_r sprintf die var-dump var_export.XSS分类:反射型:
2022-03-22 09:51:39
553
原创 JSP笔记
JSP 处理以下步骤表明了 Web 服务器是如何使用JSP来创建网页的: 就像其他普通的网页一样,您的浏览器发送一个 HTTP 请求给服务器。 Web 服务器识别出这是一个对 JSP 网页的请求,并且将该请求传递给 JSP 引擎。通过使用 URL或者 .jsp 文件来完成。 JSP 引擎从磁盘中载入 JSP 文件,然后将它们转化为 Servlet。这种转化只是简单地将所有模板文本改用 println() 语句,并且将所有的 JSP 元素转化成 Java 代码。 ...
2021-08-22 17:09:37
142
原创 Servlet笔记
Servlet 生命周期 Servlet 初始化后调用 init () 方法。 Servlet 调用 service() 方法来处理客户端的请求。 Servlet 销毁前调用 destroy() 方法。 最后,Servlet 是由 JVM 的垃圾回收器进行垃圾回收的。init()方法 只调用一次public void init() throws ServletException { // 初始化代码...}service() 方法public ...
2021-08-20 23:50:49
221
原创 JAVA笔记
----------------------------------------基本类型对应的包装类表如下:基本类型 引用类型boolean Booleanbyte Byteshort Shortint Integerlong Longfloat Floatdouble Doublechar Characte...
2021-08-15 22:50:45
181
原创 jQuery
jQuery 选择器元素选择器在页面中选取所有 <p> 元素:$("p")#id 选择器页面中元素的 id 应该是唯一的,所以您要在页面中选取唯一的元素需要通过 #id 选择器。$("#test").class 选择器jQuery 类选择器可以通过指定的 class 查找元素。$(".test")更多实例语法 描述 实例 $("*") 选取所有元素 在线实例 $(this) 选取当前 HTML 元素 在线实例 $..
2021-08-13 14:07:09
174
原创 JavaScript 笔记
JavaScript 函数定义1.函数声明function myFunction(a, b) { return a * b;}2.函数表达式var x = function (a, b) {return a * b};var z = x(4, 3);3.Function() 构造函数var myFunction = new Function("a", "b", "return a * b");var x = myFunction(4, 3);4.箭头函数
2021-08-11 21:45:43
182
转载 NO.3-19 [SWPUCTF 2018]SimplePHP /phar
[SWPUCTF 2018]SimplePHP模糊测试这个题首先,看到后会有一点觉得是文件上传。没有错,这只是一部分。上传了文件之后发现会被“安排”。这个过程比较模糊所以叫做模糊的测试叭。发现文件包含在查看文件的tab中,我萌可以看到 ?file= ;不用多说这个点了。我萌把所有的源码规制下来。下面的源码搞出来的话就跳过叭,挺长的。首先我们是得到的file.php的内容。然后根据file.php的源码取得function.php,class.php。然后再
2021-08-08 16:26:59
288
转载 NO.3-18 [GYCTF2020]Ezsqli
GYCTF2020]Ezsqli过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键接下来就可以写脚本判断表名了import requestsurl = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuo.
2021-08-08 15:57:19
141
转载 NO.3-16 [HITCON 2017]SSRFme
文章目录 知识点 新学会的函数 代码审计知识点perl脚本GET open命令漏洞GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理open存在命令执行,并且还支持file函数新学会的函数pathinfo代码审计前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行,命令执行的结果会被存入我们以filename参数的值命名的文件...
2021-08-07 16:21:10
115
转载 NO.3-14 [CSCCTF 2019 Qual]FlaskLight
?search={{7*7}}#通过回显判断SSTI?search={{''.__class__.__mro__[2].__subclasses__()}}#爆出所有类编写脚本查找可利用的类利用subprocess.Popen执行命令import requestsimport reimport htmlimport timeindex = 0for i in range(170, 1000): try: url = "http://...
2021-08-07 15:31:14
139
转载 NO.3-13 [RCTF2015]EasySQL
打开靶机,是如下界面 到注册页面,试了一下,username 和 email 处有过滤,直接 fuzz 一下哪些字符被禁了 注册成功之后,有一个修改密码的功能,这里的考点应该就是二次注入 它在存入数据库时进行了特殊字符的处理,但是在修改密码这里,从数据库中读取出来时,没有对数据处理 注册用户名 'sss"\ ,在修改密码处的有个报错的回显 可以猜出来 sql 语句应该是类似于这样子的 select * from user wher..
2021-08-07 15:25:15
165
转载 NO.3-12 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
解题过程首先进入题目页面看起来没有什么特别的,就是一个可以提交信息的页面。查看响应报文也没有什么提示,但是在网页注释里有东西。<!--?file=?-->这里可能有一个文件包含,尝试payloadhttp://xxx.xxx/index.php?file=php://filter/convert.base64-encode/resource=index.php结果得到了当前页面经过加密后的源码有关伪协议的内容,可以大致参考下这篇文章:https://
2021-08-07 15:14:16
192
转载 NO.3-11 [CISCN2019 总决赛 Day2 Web1]Easyweb
. 知识点 备份文件泄露 SQL注入利用 php短标签2.感悟这到题,我就写到SQL注入的地方,成功绕过了单引号的限制用\0,但是没有往盲注上想。以为是任意文件下载。看完题解,知道了思路应该是bool盲注,语句成功的话,就让id = 1,回显正常,错误的话 id = 0,就什么都没有。 这是我没有想到的,气死我了,应该是可以想到了。3.实践3.1 image.php.bak御剑扫描到robots.txt,打开提示有备份文件,最后找到这个文件,然后下载下来3....
2021-08-07 15:08:54
179
转载 NO.3-10 [Zer0pts2020]Can you guess it?
知识点basename函数WP进入页面,审一下源码:<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_
2021-08-07 12:45:38
177
转载 NO.3-9 [FBCTF2019]RCEService
题目叫我们以JSON的格式提交命令,先随便输提交JSON格式?cmd={"cmd":"ls"}但是经测试发现很多命令被禁止了在网上找到的源码2333:<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt de...
2021-08-06 18:21:13
276
转载 NO.3-8 [WUSTCTF2020]颜值成绩查询
考察sql bool注入,过滤空格;题目题目已经说了查询,多半和sql注入脱不了干系简单的查询框FUZZ测试输入1,并查询发现页面变化了,而且url多了个stunum参数http://101.200.53.102:10114/?stunum=1输入2,3,4依次提交,发现页面都有变化可是再往下输入,就没反应了~一开始以为是flag会在某个stunum页面下,所以用bp跑了stunum=1 到1000结果只有stunum=1,2,3,4的时候页面有变化方向不对,换..
2021-08-06 17:17:42
225
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人