- 博客(28)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 云演靶场 本地文件包含漏洞练习
里面有4关新建立个phpinfo文件上传第一关直接可以读到第二关双写绕过,或反斜杠绕过第三关在前面的基础上加上00截断第4关多了个指定目录用…\试出来
2020-06-21 16:46:07
662
原创 XCTF篇:Web (高手进阶区) 3 ThinkPHP5.0.20远程命令执行漏洞复现
3.php_rce感觉是让我找ThinkPHP V5的漏洞??但我连ThinkPHP V5是什么都不知道==对我这小白一点也不友好搜索发现框架和cms的区别框架就是提供一个快速bai敏捷开发的平台,里面一些常du用的功zhi能,都封装好,然后你要按照框架的语法和文件结dao构来进行网站的建设,就好比是搭建了一个房子外面的框架都设计好,你需要做的是修改里面的东西.而cms是将整个房间,不仅框架搭建好了.里面的各个房间也给你布置好,可以不经过任何加工直接可以入住.两者的优缺点是:框架相对比较灵
2020-06-21 09:42:02
1224
1
原创 XCTF篇:Web (高手进阶区) 1-2题
1.baby_web访问index.phpF12查看发现重定向了,但是拿到flag2.Training-WWW-Robots访问robots.txt完成本来打算做1-12题的,后来发现第三题要漏洞复现
2020-06-20 17:11:47
472
原创 模拟cisp-pte 综合题三个key
1.拿到ip地址,扫端口,扫目录不多说有1443端口(SQL sever数据库)和27666端口2.扫出来这个地址,查看一下访问一下,发现一个是后台,一个存在文件包含的网页,一个大概是上传地址爆破一下后台发现不成功试一下利用文件包含把web.config下载下来成功下载下来打开发现数据库账号和密码然后我们试图连上连接上后,我们拿到后台账号密码,第一个key拿到然后我们试图上传木马拿webshell找到第二个key查看文件时发现后面少了,我们卡位置刚好把jpg后缀
2020-06-15 15:39:28
6517
4
原创 模拟cisp-pte 第五题 代码审计
根据提示可能172.16.12.12是攻击者ip我们搜索172.16.12.12.*admin.*200很多post请求我们访问这个页面爆破完事
2020-06-14 20:55:37
2449
原创 模拟cisp-pte 第四题 命令执行
输入127.0.0.1 | find / -name “key.php”找到文件位置,php文件不可以直接读tac /app/key.php用tac读php文件成功
2020-06-14 20:36:46
2986
原创 模拟cisp-pte 第二题文件上传
查看源代码发现白名单没写在js前端中我们优先弄个图片马插入一句话,防检测文件头上传php3Content-Type的值是application/octet-stream,上传文件时,Content-Type的值改image/jpeg菜刀连成功
2020-06-13 23:24:15
2769
原创 模拟cisp-pte 第一题sql注入
and 1=1,发现被过滤了空格,用/**/代替继续,而且看到有引号应该是字符型加个单引号和括号成功报错,后面用%23过滤确定有注入点group by确认回显位置,发现是4联合查询显示回显位置,发现union被过滤,双写绕过查看当前数据库database(),查表,查到最后也没发现key最后发现题目要求的是要读取/tmp/360/key文件成功了...
2020-06-13 22:26:35
4524
2
原创 xss challenge accepted靶场 11-20关 详细教程
第11关唯一有变化的就是这个地方referer会传入参数我们直接在会改变的元素改成功第12关发现了这条User-Agent头注入第13关cookie注入15关发现有个网站,打开发现要科学上网才可以访问找了好久,之后才发现是被修复了漏洞的网站在乌云倒是找到了,用上传有xss代码的图片触发15关我这里不知道为什么打不开16关script,/被过滤了,可以借用img标签的onerror事件,img标签支持onerror 事件,在装载文档或图像的过
2020-06-10 17:58:52
913
原创 upload-labs靶场 11-19关 详细教学 上传漏洞
第11关这关采用的防御手法是白名单过滤,只允许上传jpg、png和gif类型,并且将上传的文件给重命名为了白名单中的后缀这里我们用00截断,要求是php版本低于或等于5.3.4这一关上传目录是可控的,所以可以先上传一个后缀名为.jpg,然后修改上传目录为.php后缀,之后在.php后使用截断后面的拼接内容注意这里的00字符因为在url的GET参数中,所以需用进行url编码第12关和Less-11不同的是这次的save_path是通过post传进来的,我们还利用00截断,但这题需要在十六进
2020-06-09 22:48:27
1175
原创 XCTF篇:Web (新手练习区)
1.view_sourceF12调出,后复制2.robots这里打开robots.txt 可以查看不让爬虫爬的目录3.backup备份文件,后缀加 .bak 下载下来4.cookief12,查看加载的cookie,发现在文件里访问查看5.disabled_buttonf12把disabled删了6.weak_authbp爆破7.simple_php解释=== 会同时比较字符串的值和类型== 会先将字符串换成相同类型,再作比较,属于弱类.
2020-06-09 15:53:54
512
原创 DVWA low难度全通关
low难度1.暴力破解抓包破解成功2.命令执行我们可以用通道符绕过 |&&也行3.跨站请求伪造这里把url发给登陆了的用户,就可以密码修改成功了4.文件包含通过这样来访问到phpinfo.php5.文件上传毫无防备可以直接上传6.不安全验证码由于国内无法访问 GOOGLE,这个模块就不试了7.SQL注入sqlmap跑起8.布尔型SQL注入sqlmap跑起9.Weak Session Ids当用户登陆后,在服务器端就会
2020-06-08 00:27:47
686
原创 cisp-pet考证 第二天培训笔记
1.扫描技术 (nmap软件)1.测试主机是否存活扫网段nmap -sP 网段nmap -sP 192.168.1.0/24-sP 用ping命令来检测原理基础第一次握手由客户端发送syn请求给服务端 (问是否有空)syn第二次握手由服务端发送syn+ack响应给到客户端(服务端回复有空)syn+ack第三次握手由客户端发送ack确认给到服务端(确定建立连接)acksyn,syn+ack,ack为一个完整的tcp请求然后-sS TCP的 SYN扫描(速度快)只发起syn-
2020-06-07 21:18:28
822
1
原创 cisp-pet考证 第一天培训笔记
第一天讲的都是很基础的1.web服务器和http基础2.burpsuite的基本配置这俩个一定要钩,放回和请求包的拦截字体的编码的配置线程改20加密解密各种功能的介绍和简单的暴力破解1.正常burp -> intruder2.限制本地来源插件X-Forw-> X-Forwarded-For:127.0.0.13.密码需要加密bp选择加密,正常操作4.万能密码,也可能这个登录点是错的,路径扫3.上传漏洞的利用1.文件头校验在图片中插入一句话木
2020-06-06 23:56:46
1383
1
原创 sqlmap----Cookie注入实战
这里我们用封神台的靶场演示一个典型的cookie注入测试时被waf,限制了上sqlmapsqlmap.py -u "xxxxxxxx/shownews.asp" --cookie "?id=170" --leve2 --table这里不知道为什么leve 5 不行,不过2是专门给cookie注入用的,还有这里为什么不爆库呢,因为这里是asp+access数据库,查询不了,所以直接查2表拿到密码,找后台,登陆...
2020-06-06 09:12:15
486
原创 sqlmap过SQLi-LABS靶场 11-20关
第11关后面基本都是post注入了不过我们用的是神器sqlmap我们先随便输入,然后bp抓包把抓到的包保存问txt格式然后在sqlmap 指定他 用 -rsqlmap.py -r "C:\Users\Administrator\Desktop\post.txt" --leve=5 --sisk=3 --dbs全部就扫出来啦第12关一模一样第13关多了两条,要用空值测试,线程默认10跑这个速度好慢然后也是一模一样14关一模一样15关一模一样16关-20关都
2020-06-05 23:24:06
3612
原创 sqlmap过SQLi-LABS靶场 1-10关
今天我们来用sqlmap去做SQLi-LABS靶场首先来讲一下基础命令1.清除sqlmap缓存:第一个办法:在C:\Users\dragoneyes.sqlmap\output,删除output里面的内容第二个办法:sqlmap.py --purge2.sqlmap -u 注入点 检测注入点是否可用sqlmap -u 注入点 –batch 自动输入暴库sqlmap -u 注入点 –dbs //暴库Web当前使用的数据库sqlmap -u 注入点 –current-db //爆当前使用的库
2020-06-04 17:44:16
7976
2
原创 SQLmap tamper脚本注释
apostrophemask.py 用UTF-8全角字符替换单引号字符apostrophenullencode.py 用非法双字节unicode字符替换单引号字符appendnullbyte.py 在payload末尾添加空字符编码base64encode.py 对给定的payload全部字符使用Base64编码between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BE..
2020-06-03 16:39:21
567
原创 SQLmap用户手册
当给sqlmap这么一个url的时候,它会:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。4、联合查询注入,可以使用union的情况下
2020-06-03 16:33:33
470
原创 xss challenge accepted靶场 6-10关 详细教程
第六关查看一下元素直接来一条1"><script>alert(1)</script>发现script被替换了我们试一下换部分大写1"> <sCRipt>alert('xss')</scRipt>直接过关是我没想到的那我们分享一个小技巧有时候不知道闭合的是单引号还是双引号,我们可以用' " > 测试闭合符号,谁出框外就是用的什么号了例如:第七关上来也是直接1"><script>alert(1)<
2020-06-02 23:23:25
389
原创 upload-labs靶场 6-10关 详细教学 上传漏洞
第六关发现前面几关的都进黑名单了,大写也默认转小写了但对比发现没有做对首尾去空处理我们上传时抓包在文件名加个空格,发现成功了第七关空格后缀也被禁了,但是少了删除文件名后的点 “.”所以我们利用windwos特性,会自动去掉文件后缀名最后的“.”进行上传。抓包在文件名后面加个点成功第八关老办法对比前面的关卡发现少了一句,应该就是抓包在后缀加上::$DATA了原理查了一下就是必须是windows, 必须是php, 必须是那个源文件php在window的时候如果文件名
2020-06-02 16:38:50
672
原创 upload-labs靶场 1-5关 详细教学 上传漏洞
第一关我们来上传一个一句话木马php格式的发现不允许上传php类型,只能上传图片类型我们打算用bp抓包改包,实现上传通关先把文件改成jpg类型,然后打开代理和bp抓包,再改成php类型放包上传成功我们来查看上传地址,f12审查找到上传地址菜刀连他通关第二关(记得把第一关的上传文件删了)继续用第一关的方法试一下发现还是可以直接成功的但这里也可以有第二种方法直接用php上传,抓包,看Content-Type的值上传php文件时,Content-Type的.
2020-06-02 00:30:26
753
原创 xss challenge accepted靶场 1-5关 详细教程
来到第一关发现没有输入框,尝试一下改url试一下发现在url中可以输入我们直接来个最普通的xss代码,看一下是否可以<script>alert(1)</script>发现直接可以了,下一关第二关继续来个普通的,发现不行我们来查看一下网页源码,按f12或右键查看源码发现我们输入的script语句在包含中所以我们要把input闭合掉输入1"><script>alert(1)</script>过关第三关老规矩.
2020-06-01 00:44:42
951
2
原创 最详细SQLi-LABS靶场 less-3教学
来到第三关继续老规矩and 1=1,and 1=2没反应那我们继续来用单引号来试 ’报错了细心的会发现相比第一关多出了一个 )我们就可以猜测后台语句可能是select * from * where id = (’$id’) LIMIT 0,1我们就可以构造语句了把(‘1’) 构造成 (‘1’) sql语句 #’)例如:?id=1') order by 3 %23代入进去成功通关...
2020-05-31 23:17:02
462
原创 最详细SQLi-LABS靶场 less-2教学
接下来我们来到第二关同样我们用and1=1 ,and1=2来试一下发现1=1时正常1=2时出现报错接下来和第一关一样我们就构造语句吧?id=1 and 1=1 order by 3?id=1 and 1=1 order by 4 报错然后联合回显位置?id=1 and 1=2 union select 1,2,3然后接下来的查询什么的都套用第一关的就可以啦,不懂的可以回去看看...
2020-05-31 22:53:04
362
原创 最详细SQLi-LABS靶场 less-1教学
我们打开靶场第一关我们来试一下经典的 and 1=1 and 1=2,并没什么反应,可以猜测有引号把他们变成字符串了,我们加个 id?=1'试一下报错了翻译一下发现是mysql数据库我们下一步可以构造一下语句用 order by 猜测字段构造语句?id=1' order by 3 #( # 起到注释的作用)但我们发现还是报错了这里是初学者第一个难点,因为#注释符被过滤了,我们可以把他换成url转码格式%23,发现成功没有报错,发现字段也正好是3 (这里注意字段数错了也会报错:如
2020-05-31 22:35:29
789
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人