kit_1-CSDN博客

原创一次博客系统的代码审计

文章目录halo项目博客备份功能(任意文件删除)获得主题内容(任意文件读取)写入主题(任意文件写入)下载主题（SSRF）SMTP发送邮件(SSRF)保存主题(Freemaker SSTI)下载主题(zip文件遍历)halo项目博客备份功能(任意文件删除)删除操作请求内容DELETE /api/admin/backups/halo?filename=../../../../../../tmp/halotest HTTP/1.1Host: 172.23.31.34:8090Admin-Authori

2021-09-01 11:48:12 658

原创 SSRF总结

文章目录SSRF概述SSRF危害SSRF利用方式SSRF相关协议利用file(读取内网文件)http/https(扫描内网存活主机)dict(扫描内网端口)gopherSSRF中各类编程语言的限制phppythonjavaSSRF修复方案SSRF绕过技巧SSRF概述SSRF是Server-side Request Forge的缩写，即服务端请求伪造。这个漏洞最大的特点是改变了大多数漏洞恶意请求从客户端发出的情况。通过利用具有SSRF漏洞的服务端向其他服务器获取数据这一功能，将恶意数据以SSRF服务器作为

2021-06-30 23:06:33 753

原创 weblogic ssrf漏洞[CVE-2014-4210]

文章目录vulhub复现环境搭建vulhub复现# 启动cd vulhub/weblogic/ssrf/docker-compose up -d# 开启了一个weblogic和redis环境 kit@VM-0-12-ubuntu:~/vulhub/weblogic/ssrf$ docker psCONTAINER ID IMAGE COMMAND CREATED STATUS P

2021-06-18 22:11:21 1116

原创 CTFHub Web真题(7星)

文章目录七星难度SQL注入-2(字符布尔盲注)namp(nmap命令注入)shrine(Jinja SSTI)Web1(sql注入过滤)easy_login(nodejs JWT攻击)七星难度SQL注入-2(字符布尔盲注)fuzz admin字段发现会有两种结果账号不存在，和账号和密码错误测试payload分别为admin' and 1=1 and 'tt'='tt和admin' and 1=2 and 'tt'='tt猜测为'字符截断的字符型布尔盲注。sqlmap语句python sqlma

2021-05-20 12:44:11 733 1

原创 CTFHub Web真题(3星-6星)

三星难度Web题afr-2afr-1提示文件包含输入hello 回显hello world!输入flag 回显no no no又试了几个输入无回显可以猜测输入的内容添加了后缀后显示出了文件内容采用php://filter/read=convert.base64-encode/resource=flag成功读取flag.php内容解码后得到flagn1book{afr_1_solved}checkin扫目录只扫出了index.php一个页面，抓取响应包发现有flag字段

2021-05-20 12:23:59 1780 3

原创 just_escape解题记录

完全没有写过Nodejs，这题也算是Nodejs的第一次入门，首先安装环境。安装环境Node.js安装及环境配置之Windows篇然后看下大佬们所说的考点vm.js 沙箱逃逸与过滤绕过JavaScript 模板字符串什么是vm通过这篇文章简单理解下nodejs中的虚拟机概念。nodejs虚拟机虚拟机可以看做一个上下文环境，而所有的函数执行都围绕着虚拟机中的变量来进行，不会影响到虚拟机外部的内容。runInContextconst vm = require('vm')const sa

2021-05-19 17:04:19 409

原创 cookie安全性

文章目录cookie概述cookie的储存cookie的属性cookie的安全问题httponly无session验证cookie覆盖攻击cookie概述由于HTTP协议是无状态的，而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息，以方便服务器端使用。比如判断用户是否是第一次访问网站。cookie的流程如下图所示。第一次访问后服务端铜鼓set-cookie报文头在客户端设置一个cookie字段。之后客户端每次访问cookie指定域名的地址都会在请求中加上cook

2021-05-16 22:26:54 575

原创 JWT安全问题

文章目录JWT概述JWT组成header(头部)payload(负载)signature(签名)JWT的安全问题敏感信息泄露None算法弱密钥JWT概述Json Web Token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。客户端与服务器通信时，身份验证通过后服务端

2021-05-16 11:00:25 1783

原创从Flask入门SSTI

flask基本知识SSTI靶场通关记录绕过方式总结

2021-05-14 21:16:08 1111 5

原创 SQL注入中无法利用information_schema的情况

文章目录获得表名sys.schema_auto_increment_columns统计信息相关视图mysql库join报错得到列名sqlmap的处理从之前的sqlmap盲注溯源的payload中可以看出，在通过database()获得数据库名后，进一步爆出数据基本都利用了information_schema这个系统库来获得，所以自然就想到假如Waf禁止了这个系统库的使用，该怎么爆出数据呢。查阅资料后发现有其他的几个系统自带的表中也可以获得想要的信息。获得表名sys.schema_auto_incre

2021-05-14 17:51:22 2603

原创 php反序列化字符逃逸

文章目录非常规序列化字符串处理反序列化字符逃逸CTF中的字符逃逸字符增加溢出字符减少溢出最近遇到了几题反序列化字符串逃逸的题目，所以总结一下此类题目的特点以及构造的逻辑。非常规序列化字符串处理首先看一个正常的反序列化例子<?php $human["name"] = "kit"; $human["sex"] = "male"; $seri_str = serialize($human); echo $seri_str."<br>"; // a:

2021-05-10 17:07:35 329

原创 java反序列化基础知识笔记

文章目录parse(),parseObject()的区别parse(),parseObject()的区别

2021-05-08 10:59:30 633

原创简单的JDBC反序列化复现

文章目录漏洞环境复现代码客户端脚本启动服务器MySQL_Fake_Server服务器漏洞环境jdk 1.8.152需要的依赖库commons-collections 3.1作为本地GadgetJDBC利用采用8.0的版本 <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java&l

2021-05-07 22:31:20 4510

原创七种跨域方式总结

location.hash跨域<script> switch (location.hash){ case "#data": console.log("当前页面的hash为#data 进入callback") callback() break } function callback(){ let data

2021-05-02 15:54:13 306

原创 CTFHub 信息泄露技能树

文章目录备份文件下载网站源码bak文件vim缓存.DS_Storegit泄露logslashIndexSVN泄露HG泄露备份文件下载网站源码泄露文件夹为www.zip，解压后得到三个文件访问Web目录下flag_256061047.txt路径得到flagbak文件dirsearch扫描结果vim缓存当开发人员在线上环境中使用 vim 编辑器，在使用过程中会留下 vim 编辑器缓存，当vim异常退出时，缓存会一直留在服务器上，引起网站源码泄露。第一次意外退出产生的交换文件名为 .i

2021-04-20 23:30:50 272

原创 SQL注入文件操作

文章目录函数写文件前提条件写入函数日志写文件前提条件日志种类慢查询日志读文件前提条件读取函数参考文章函数写文件前提条件1.有网站的绝对路径2.数据库secure_file_priv包含了写入的路径secure_file_privsecure_file_priv 为 NULL 时，表示限制mysqld不允许导入或导出。secure_file_priv 为 /tmp 时，表示限制mysqld只能在/tmp目录中执行导入导出，其他目录不能执行。secure_file_priv 没有值时，表示不限

2021-04-15 22:59:51 575

原创 Apache commons-collections反序列化漏洞(TransformedMap利用链)

文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8)Commons-collections概述官网对Commons-collections的说明Java commons-collections是JDK 1.

2021-04-10 10:59:19 495 1

原创 Spring RMI反序列化漏洞分析

文章目录概况ReadObject流程Jndi注入POC分析server部分client部分恶意类部分整体的攻击流程概况漏洞的入口在于Spring-tx-xxx.jar中的JtaTransactionManager重写了ReadObject方法，该方法中的UserTransactionName可控，且初始化UserTransactionName的时候调用了Jndi的lookup方法，导致 Jndi注入的问题。ReadObject流程首先是重写的ReadObject函数private void rea

2021-04-08 11:29:11 860 3

原创 Redis安装配置与未授权访问

文章目录漏洞概述环境配置利用方式利用redis写shell写入SSH密钥修复方式漏洞概述Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如绑定本地回环，设置密码或者密钥进行身份认证，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。环境配置通过以下指令在Ubuntu系统安装配置Redis#下载并解压 rediswget ht

2021-03-28 14:18:36 111

原创使用Crontab创建定时事件

ubuntu中查看cron日志的命令grep cron /var/log/syslog将默认日志改为/var/log/cron的方法vi /etc/rsyslog.d/50-default.conf 重启rsyslog,重启cronservice rsyslog restartservice cron restart设置定时事件流程1.crontab 命令参数crontab -u 用户 -e 执行文字编辑器来设定时程表 -r 删除时刻表2.定时事件格式* *

2021-03-28 14:17:41 133

原创 dirsearch用法大全

文章目录dirsearch扫描的目标扫描的字典类型字典格式设置响应结果的过滤请求相关设置连接相关设置通用设置输出模式常见的用法TIPSdirsearch扫描的目标-u,--url 目标url-l,--url-list=FILE 目标url文件路径 --stdin 从标准输入中指定url--cidr 目标网段--raw=File 从文件

2021-03-27 22:52:21 44823 3

原创 SQL注入关于预编译的理解

文章目录预编译为什么能防注入预编译的局限性like语句动态传入的表名列名等预编译的深入理解预编译的起源预编译作用预编译开启mybatis是如何实现预编译的预编译为什么能防注入以java为例，其中预编译使用preparestatement，对其进行语法分析，编译和优化，其中用户传入的参数用占位符?代替。当语句真正运行时，传过来的参数只会被看成纯文本，不会重新编译，不会被当做sql指令。例如当攻击者使用payload:user;select 1--真正执行的语句为select * from mysq

2021-03-23 00:08:36 4718

原创 XSS扫描器编写思路

文章目录潜在注入点检测目的注入字符实现代码：潜在注入点检测目的潜在注入点检测是判断输入的字符能否回显在页面，如果输入的字符不输出在页面就没有必要进行Fuzzing测试。注入字符检测潜在注入点通常使用一个随机字符串，不直接用payload判断回显的原因是大多数应用都有防火墙和过滤机制，payload会被检测出恶意行为的特征从而被拦截，因此payload不回显不代表此次输入点不存在XSS漏洞，可能仅仅是payload被拦截过滤。所以采用无害的随机数字字符就可以避免这种情况产生，先验证可注入，再调整P

2021-03-17 17:18:16 1279

原创 Dom XSS详解与DomGoat靶场writeup

文章目录Dom XSS概括DomGoat通关记录Exercise - 1(location.hash)Exercise - 2(document.referrer)Exercise - 3(Ajax)Exercise - 4(WebSocket)Exercise - 5(postMessage)Exercise - 6(localStorage)Exercise - 7(黑名单<>)Exercise - 8(黑名单<>)Exercise - 9(window.name)Exercis

2021-03-16 14:57:43 1041

原创文件上传漏洞靶场upload-labs安装教程与通关记录

文章目录靶场安装Pass-01靶场安装启动upload-labs镜像后创建upload文件夹用来存放上传的webshell，不手动创建进行上传操作时会报错。Pass-01防御类型：前端js对上传文件进行检查方法一:修改界面运行时js的变量以绕过前端对文件格式的限制。在92行进行判断前打断点后进行上传操作，运行到断点处时修改allow_ext为".jpg|.png|.gif|.php"...

2021-03-15 23:55:21 1447 1

原创 Dom Xss挖掘思路

文章目录常见场景url带入页面跳转类缓存类postMessagewindow.name优势防御手段Dom xss靶场常见场景url带入页面// url获得用户输入var r = window.location.search.substr(1).match(reg);// 将输入写入界面document.getElementById('foo').innerHTML = getUrlParam('foo')跳转类location.href = urlparams.redirecturl;

2021-03-15 21:56:26 824

原创 SQL注入时间盲注

文章目录sqlmap日记溯源实例发现时间盲注构造时间盲注payload编写脚本成功跑出数据库名sqlmap日记溯源实例发现时间盲注一个实用的时间盲注fuzz payload在一次测试中，发现一个参数存在时间盲注，fuzz的payload为desc,(select*from(select+sleep(2)union/**/select+1)a)，其中(select*from(select+sleep(2)union/**/select+1)a))是检测时间盲注时一个很好用的fuzz payload。

2021-03-13 17:51:11 6081 1

原创彻底理解json和jsonp

文章目录json基本概念格式和规则实例jsonpjsonp的起源jsonp的过程jsonp代码实例远端js可以执行回调函数执行服务端动态调用回调函数客户端动态生成js标签json基本概念JSON 是轻量级的文本数据交换格式Javascript原生支持，后台语言几乎全部支持容易编写和解析格式和规则JSON只有两种数据类型描述符，大括号{}和方括号[]，其余英文冒号:是映射符，英文逗号,是分隔符，英文双引号""是定义符大括号{}用来描述一组“不同类型的无序键值对集合”（每个键值对可以理解为

2021-02-26 22:24:39 357

原创逻辑漏洞之任意密码重置漏洞

看了大佬的七篇文章总结一下密码重置的种类和挖掘思路。任意密码重置漏洞重要凭证泄露重要凭证客户端可篡改用户混淆重要凭证未校验重要凭证可爆破应答中存在影响后续逻辑的状态参数Token可预测...

2021-02-20 10:29:10 1871

原创浏览器编码解码与XSS详解

文章目录浏览器的工作流程浏览器的主要构成浏览器的渲染引擎和解释器浏览器中的编码类型url编码html实体编码unicode编码浏览器的解析流浏览器的工作流程浏览器的主要构成用户界面－包括地址栏、后退/前进按钮、书签目录等，也就是你所看到的除了用来显示你所请求页面的主窗口之外的其他部分浏览器引擎－用来查询及操作渲染引擎的接口渲染引擎－用来显示请求的内容，例如，如果请求内容为html，它负责解析html及css，并将解析后的结果显示出来网络－用来完成网络调用，例如http请求，它具有平台无

2021-02-17 16:49:57 1805

原创搭建Vulhub漏洞靶场

文章目录环境安装安装Docker安装Docker-Compose安装VulhubDocker加速Vulhub使用环境安装安装Dockersudo apt install docker.io或者curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun(比较快)输入docker显示下面的页面则安装完成:安装Docker-Compose在Docker-Compose下载最新版本的docker-compose-Linux

2021-02-16 19:43:50 1107

原创 dedecms 5.7sp1 URL重定向漏洞

xray扫描的过程中发现某站点存在任意url调整漏洞，此漏洞为dedecms的任意url调整漏洞。影响范围:dedecms 5.71sp1及以下的版本漏洞形成的原因是跳转语句没有对参数link判断link参数的构造:$link = base64_decode(urldecode($link)); 跳转语句:(dedecms 5.7sp1的/plus/download.php中67行)测试流程:http://www.baidu.com经过base64编码后为aHR0cDovL

2021-02-16 18:08:33 3174 1

原创 SQL注入布尔盲注

记录一下日常发现的SQL注入漏洞，方便以后拓宽思路。漏洞发现漏洞的位置在某公司的解决方案模块页面，注入的参数为type，请求方式为get经过测试发现当type的值为1或者有效数值时页面会正常显示，当数值为type=1 and 1=9时页面出现错误可推断出and 1 = 9被执行，此次存在SQL布尔盲注漏洞打开sqlmap选择注入方式为布尔盲注，跑出当前的数据库名python sqlmap.py -u https://xxx/xx.php?type=1 -v 3 --technique=B --

2021-02-16 17:20:36 772 2

原创 2021Hackbar免费安装使用方法

文件地址:链接：https://pan.baidu.com/s/1tGJxLndjrO6HaePgjkdfTw提取码：7ffn下载压缩包后解压文件,进入chrome://extensions/，选择开发者模式拖入解压后的文件。开启hackbar后进入网页，F12即可看到hackbar选项...

2021-02-16 11:16:14 1833 4

原创 Druid配置错误导致未授权访问漏洞

在使用xray扫描时发现了下图所示漏洞，经过查阅资料发现为druid的未授权访问漏洞。Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。检测和利用方法:在网站后加上/druid/index.html，如果可以看到如下界面则说明漏洞存在此页面可得到大量敏感信息，其中url监控可得到网站的结构目录，session监控可得

2021-02-15 23:50:12 14569 5

空空如也

空空如也