qq_45521281的博客

文章目录前言LOAD DATA INFILE漏洞原理漏洞演示抓包分析实战中的利用读取敏感信息制作MySQL蜜罐Ending......前言在昨天（2021年4月11号），云舒大佬发了一个微博，疑似有人在在Freebuf上发了一篇带有蜜罐的文章，代码里面有MySQL帐号和密码。经云舒大佬连接测试后，发现这个MySQL服务器会读取连接它的客户端上的文件。其实这个蜜罐利用的原理是一个很有趣的trick，原理在于MySQL服务端可以利用 LOAD DATA LOCAL 命令来读取MYSQL客户端的任意文件.

文章目录基本知识原理介绍：堆叠注入的局限性Mysql数据库实例介绍CTF 实战与各种姿势修改表名利用HANDLER语句利用MySql预处理正常利用MySql预处理配合十六进制绕过关键字MySql预处理配合字符串拼接绕过关键字Stacked injection 汉语翻译过来后，国内有的称为堆查询注入，也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段，通过添加一个新的查询或者终止查询( ; )，可以达到 修改数据 和 调用存储过程 的目的。这种技术在SQL注入中还是比较

The RSA encryption algorithm is an asymmetric encryption algorithm. RSA is widely used in public key cryptography and electronic commerce. RSA was proposed in 1977 by Ron Rivest, Adi Shamir, and Leonard Adleman. All three of them were working at the Massac

我的Freebuf：https://www.freebuf.com/author/MrAnonymous我的博客：https://whoamianony.top/文章目录前言/proc 目录cmdlinecwdexeenvironfdself[网鼎杯 2020 白虎组]PicDown[V&N2020 公开赛]CHECKIN[pasecactf_2019]flask_sstiEnding......前言在 CTF 中经常会用到 /proc 这个目录来进行绕过，利用它里面的一些子目录或文件读取.

我的Freebuf：https://www.freebuf.com/author/MrAnonymous我的博客：https://whoamianony.top/文章目录什么是隧道？先判断内网连通性网络层隧道技术IPv6 隧道ICMP 隧道icmpshPingtunnelicmptunnel传输层隧道技术lcx端口转发内网端口转发本地端口转发二者结合使用NetCat——瑞士军刀内网代理PowerCat应用层隧道技术SSH协议本地转发实验远程转发实验动态转发实验HTTP(S)协议reGeorgSOCKS.

我的Freebuf：https://www.freebuf.com/author/MrAnonymous我的博客：https://whoamianony.top/文章目录Windows 操作系统常见持久性后门Windows系统隐藏账户Shift 粘滞键后门（1）手动制作（2）Empire 下的利用注册表键后门（1）手动制作（2）Metasploit 下的利用（3）Empire 下的利用Windows 计划任务后门（1）利用 at 命令（2）利用 schtasks 命令（3）利用SharPersist工.

我的Freebuf：https://www.freebuf.com/author/MrAnonymous我的博客：https://whoamianony.top/文章目录基础知识NTLM认证过程NTLM中继攻击原理获得Net-NTLM Relay的思路利用LLMNR和NetBIOS欺骗获得Net-NTLMHash利用WPAD劫持获得Net-NTLMHashSMB Relay（SMB中继）攻击攻击演示Responder中的MultiRelay.pyImpacket中的smbrelayx.pyMetasp.

我的Freebuf：https://www.freebuf.com/author/MrAnonymous我的博客：https://whoamianony.top/文章目录Windows系统内核溢出漏洞提权1. 手动查找系统潜在漏洞2. 自动查找系统潜在漏洞3. 选择漏洞并利用Windows系统错误配置漏洞提权Trusted Service Paths漏洞（可信任服务路径漏洞）系统服务错误权限配置漏洞计划任务与AccessChk使用AccessChk使用自动安装配置文件AlwaysInstallElev.

SSI 服务器端包含SSI（server-side includes）能帮我们实现什么功能：SSI提供了一种对现有HTML文档增加动态内容的方法，即在html中加入动态内容。SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意命令。在测试任意文件上传漏洞的时候，目标

Smarty是一个PHP的模板引擎，提供让程序逻辑与页面显示（HTML/CSS）代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过，讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析。题目地址：https://buuoj.cn/challenges CISCN2019华东南赛区Web11基本信息题目模拟了一个获取IP的API，并且可以在最下方看到“Build With Smarty !”可以确定页面使用的是Smarty模板引擎。题

基础介绍随机数并不随机首先需要声明的是，计算机不会产生绝对随机的随机数，计算机只能产生“伪随机数”。其实绝对随机的随机数只是一种理想的随机数，即使计算机怎样发展，它也不会产生一串绝对随机的随机数。计算机只能生成相对的随机数，即伪随机数。伪随机数并不是假随机数，这里的“伪”是有规律的意思，就是计算机产生的伪随机数既是随机的又是有规律的。 怎样理解呢？产生的伪随机数有时遵守一定的规律，有时不遵守任何规律；伪随机数有一部分遵守一定的规律；另一部分不遵守任何规律。比如“世上没有两片形状完全相同的树叶”，这正是

F12没什么收获，不过看到url有个值很像base64的编码：拿去解码一下：MzUzNTM1MmU3MDZlNjc=还是像base64，在解一次：3535352e706e67看起来像是hex，拿去转字符串：555.png可见，文件名被hex->base64->base64三重编码了，那么我们尝试反加密回去读取index.phpindex.php—>hex：696e6465782e706870再转base64：Njk2ZTY0NjU3ODJlNzA2ODcw.

TMD这道题目就是脑洞真的大！！！进入题目，一个登录框，随便输入后点击登录就跳转到了search.php页面，查看源码可以发现一长传编码，base32再base64解密之后是 select * from user where username = '$name'。常规sql注入手段猜测后台代码中的字段数：1' union select 1,2#1' union select 1,2,3#可以测出user这个表一共有三列，猜测分别为id，username，password（经验）。在这里，

文章目录第一种情况：替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php此类题目的本质就是改变序列化字符串的长度，导致反序列化漏洞这种题目有个共同点：php序列化后的字符串经过了替换或者修改，导致字符串长度发生变化。总是先进行序列化，再进行替换修改操作。第一种情况：替换修改后导致序列化字符串变长示例代码：<?phpfunction filter($st

“竞争条件”是什么？竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行，但他们忽视了并行服务器会并发执行多个线程，这就会导致意想不到的结果。线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段，也被称之为临界区（critical section），如果没有应用好同步技术则会发生“竞争条件”问题。条件竞争漏洞其实也就是当同时并发多个线程去做同一件事，导致处理逻辑的代码出错，出现意想不到

文章目录前言用户会话会话存储会话处理LFI SessionSession Base64EncodeBypass serialize_handler=phpBypass serialize_handler=php_serializeNo session_start()表单利用攻击Conclusionsession文件包含漏洞就是在用户可以控制session文件中的一部分信息，然后将这部分信息变成我们的精心构造的恶意代码，之后去包含含有我们传入恶意代码的这个session文件就可以达到攻击效果。前言之

文章目录Bypass information_schema前言前置任务MySQL5.7的新特性sys.schema_auto_increment_columnsschema_table_statistics_with_buffer、x$schema_table_statistics_with_buffer无列名注入利用joinjoin … using(xx)利用普通子查询[SWPU2019]Web1——无列名注入Bypass information_schema前言聊一聊mysql在被waf禁掉了in

进入题目：是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面，思路应该是在加密页面输入payload进行加密，加密结果在解密页面进行解密，输出解密后的payload被渲染到页面输出后执行了payload。官方write up说看到根据hint1，失败乃成功之母，应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式，这就是没有进行足够积累的后果。base64decode在不会解析的时候就会报错，然后习惯性对base64解密页面进行报错实验，ba

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！文章目录基本用法后门生成连接后门weevely模块几个模块的使用：:shell_su模块:system_info模块:audit_disablefunctionbypass模块:audit_etcpasswd模块:backdoor_reversetcp模块:audit.phpconf使用技巧获取其他用户的凭据绕过策略读取/etc/passwd猜解SQL用户凭据日志清理绕过系统禁用函

查看源码发现提示：在url里访问一下：得到一串ifconfig的结果，整理一下的：eth0 Link encap:Ethernet HWaddr 02:42:ad:62:04:0a inet addr:173.96.119.10 Bcast:173.98.4.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 RX pac.

文章目录SSRF介绍RESP协议Redis配合gopher协议进行SSRF概述利用条件利用绝对路径写webshell构造payload写ssh公钥构造payload利用contrab计划任务反弹shell构造payloadSSRF介绍SSRF，服务器端请求伪造，服务器请求伪造，是由攻击者构造的漏洞，用于形成服务器发起的请求。通常，SSRF攻击的目标是外部网络无法访问的内部系统。这里我们要介绍的是关于redis中SSRF的利用，如果有什么错误的地方还请师傅们不吝赐教/握拳。文章中的数据包构造会涉及到re

文章目录前言PHP LFI临时文件全局变量存储目录命名规则Windows Temporary FilePHPINFO特性测试代码漏洞分析漏洞利用php7 Segment Fault利用条件漏洞分析代码环境漏洞利用前言最近整理PHP文件包含漏洞姿势的时候，发现一些比较好用的姿势关于本地文件包含漏洞可以利用临时文件包含恶意代码拿到Webshell的一些奇技淫巧，于是打算详细整理一下。PHP LFIPHP LFI本地文件包含漏洞主要是包含本地服务器上存储的一些文件，例如session文件、日志文件、临时文

前言在渗透测试或漏洞挖掘的过程中，我们经常会遇到php://filter结合其它漏洞比如文件包含、文件读取、反序列化、XXE等进行组合利用，以达到一定的攻击效果，拿到相应的服务器权限。最近看到php://filter在ThinkPHP反序列化中频繁出现利用其相应构造可以RCE，那么下面就来探索一下关于php://filter在漏洞挖掘中的一些奇技淫巧。php://filter在探索php://filter在实战当中的奇技淫巧时，一定要先了解关于php://filter的原理和利用。php://fi

前言首先我们要了解什么是waf：Web应用防火墙，Web Application Firewall的简称。我们口头相谈的waf有什么功能呢？WAF可以发现和拦截各类Web层面的攻击，记录攻击日志，实时预警提醒，在Web应用本身存在缺陷的情况下保障其安全。但是，WAF不是万能的、完美的、无懈可击的，在种种原因下，它们也会有 各自的缺陷，作为用户不可以盲目相信WAF而不注重自身的安全。我们来看一下目前主流的WAF绕过技术作为攻击者，我们要清楚我们利用哪方面来进行绕过：Web容器的特性Web应

shopxo是一款开源的企业级商城系统，基于thinkphp5框架开发。这几天做了“[GKCTF2020]老八小超市儿”这道题，学到了后台获取shell的一个技巧，所以在这里复现一下。提供一个搜索语法：title=“ShopXO企业级B2C电商系统提供商”（不要干坏事哦）渗透测试复现页面来自buuctf——[GKCTF2020]老八小超市儿。ShopXO全版本getshell流程走起：进入题目（网上随便可以通过搜索找到一个使用shopxo搭建的演示站）别的漏洞没找到，尝试访问默认登陆后台，后台页

PHP中get_headers函数在PHP开发中，我们经常需要获取HTTP请求中发送的服务器信息，本文通过一个简单的PHP示例介绍了通过get_headers函数获取服务器的相关信息。**get_headers() 是PHP系统级函数，他返回一个包含有服务器响应一个 HTTP 请求所发送的标头的数组。**如果失败则返回 FALSE 并发出一条 E_WARNING 级别的错误信息(可用来判断远程文件是否存在)。array get_headers ( string $url [, int $format

GBK 占用两字节ASCII占用一字节PHP中编码为GBK，函数执行添加的是ASCII编码（添加的符号为“\”），MYSQL默认字符集是GBK等宽字节字符集。大家都知道%df’ 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\，变成了 %df\’，其中\的十六进制是 %5C ，那么现在 %df\’ =%df%5c%27，如果程序的默认字符集是GBK等宽字节字符集，则MySQL用GBK的编码时，会认为 %df%5c 是一个宽字符，也就是縗，也就是说：%df\.

在工具化日益成熟的今天，手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时，应更深入的去了解工具帮你做了什么，把工具所产生的影响控制在自己可控的范围内。比如：当面对一个MySQL注入点，通过使用SQLmap的--os-shell命令选项，便可轻松一键获取Webshell，但是非正常退出时，便会在网站目录中存留SQLmap临时上传的Webshell文件。接下来，本文将通过构造一个注入点，分享几种Webshell写入的技巧。0x01 构造一个注入点1、在默认数据库test中创建测试表admin和测

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！文章目录跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户 的浏览器 去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。..

CSRF 漏洞CSRF全称为Cross-site request forgery， 跨站请求伪造。说白一点就是可以劫持其他用户去进行一些请求，而这个CSRF的危害性就看当前这个请求是进行什么操作了。跨站请求攻击，简单地说，是攻击者通过一些技术手段，指利用受害者 “尚未失效的身份认证信息”（cookie、会话等）欺骗用户 的浏览器 去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。这

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！文章目录内核漏洞提权enum_patches模块Windows-Exploit-suggesterWindows ClientCopyImage Win32k Exploit（MS15-051）Windows TrackPopupMenu Win32k NULL指针解引用（ms14_058）通过 KiTrap0D 提升 Windows 权限（ms10_015）Task Sched.

简介信息收集是渗透测试中首先要做的重要事项之一，目的是尽可能多的查找关于目标的信息，我们掌握的信息越多，渗透成功的机会越大。在信息收集阶段，我们主要任务是收集关于目标机器的一切信息，比如IP地址，开放的服务，开放的端口，存在的漏洞等。 这些信息在渗透测试过程中启到了至关重要的作用。当我们通过代理可以进入某内网，需要对内网主机的服务进行探测。我们就可以使用MSF里面的内网主机探测模块了。在这之前，先修改 /etc/proxychains.conf ，加入我们的代理。然后 proxychains ms.

flask基础Flask是一个使用 Python 编写的轻量级 Web 应用框架。在学习SSTI之前，先把flask的运作流程搞明白。这样有利用更快速的理解原理。路由先看一段代码from flask import flask @app.route('/index/')def hello_word(): return 'hello word'route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问http://127.0.0.1：5000/index的时候，fla

什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection)，也给出了一个注入的概念，通过与服务端模板的 输入输出 交互，在过滤不严格的情况下，构造恶意输入数据，从而达到读取文件或者getshell的目的，目前CTF常见的SSTI题中，大部分是考python的。常见的注入有：SQL 注入，XSS 注入，XPATH 注入，XML 注入，代码注入，命令注入等等。sql注入已经出世很多年了，对于sql注入的概念和原理很多人应该是相当清楚了，SSTI也是注入类的漏洞

参考：谈谈escapeshellarg参数绕过和注入的问题PHP escapeshellarg()和escapeshellcmd()并用之殇谈escapeshellarg绕过与参数注入漏洞https://blog.csdn.net/qq_26406447/article/details/100711933进入题目显示php源码：这里用到escapeshellarg()、escapeshellcmd()两个函数：escapeshellarg：escapeshellarg() 将给字符串增加一

XSS 漏洞XSS学名为跨站脚本攻击( Cross Site Scriptings)，在Web漏洞中XSS是出现最多的漏洞，没有之一。这种漏洞有两种情况，一种是通过外部输入然后直接在浏览器端触发，即反射型XSS；还有一种则是先把利用代码保存在数据库或文件中，当Web程序读取利用代码并输出在页面上时触发漏洞，也就是存储型XSS。XSS攻击在浏览器端触发，大家对其危害认识往往停留在可以窃取cookie、修改页面钓鱼，等等。用一句话来说明该漏洞的危害就是：前端页面能做的事它都能做。挖掘经验挖掘XSS漏洞的关

文章目录SQL 注入漏洞挖掘经验普通注入编码注入1. 宽字节注入2. 二次urldecode注入espcms 搜索注入分析漏洞防范1. gpc/rutime 魔术引号2. 过滤函数和类3. PDO prepare预编译每类漏洞都有针对性的审计技巧，在我们掌握了这些技巧之后，就可以有针对性地挖掘我们想要的漏洞。漏洞大致分为SQL注人、XSS、文件操作、代码/命令执行、变量覆盖以及逻辑处理，等等，这些都是常见的Web漏洞。本章作为基础篇，只介绍最常见的SQL注入、XSS、CSRF 漏洞，分析其原理、利用方式

骑士 cms 通读审计案例我们已经介绍了代码审计中通读全文代码审计方式的思路，下面我们用案例来说明这种通读方式。为了方便大家理解，笔者找了一款相对简单容易看懂的应用骑士cms来介绍，版本是3.5.1，具体的审计思路我们在上文中已经有过介绍。1. 查看应用文件结构先看一下骑士 cms 的大致文件目录结构，如下图：首先需要看看有哪些文件和文件夹，寻找名称里有没有带有api、admin、manage、include 一类关键字的文件和文件夹，通常这些文件比较重要，在这个程序里，可以看到并没有什么PHP

总线（Bus）是供多个部件分时共享的公共信息传输线路，一个系统的总线结构决定了该计算机的数据通路及系统结构。在微型计算机中，总线以及所连接的部件都安放在主板上。计算机在运行中对于系统的部件和外部设备的控制都通过主板实现，主板的组成与布局也影响着系统的运行速度、稳定性和可扩展性。采用总线结构的优点：各部件可通过总线交换信息，相互间不必单独连线，减少了传输线的数量，提高了系统的可靠性。在计算机系统需要扩展时，只要把要扩展的部件接在总线上，提高了微机的可扩展性。（声卡，网卡等）总线总线及其规范总

多级存储体系的建立多级存储体系的建立多级存储体系的建立是成本、容量和速度折中的结果理想的存储体系应当具有充足的容量和与CPU相匹配的速度。但是实际的存储器都是非理想化的，其制约因素是价格（每位成本）、容量和速度。这三个基本指标是矛盾的。由图2.53(a)可以看出，存储速度越高，每位成本就越高；由图2.53（b）可以看出，随着所使用存储容量的增大，就得使用速度较低的器件。合理的分配容量、速度和价格的有效措施是实现分级存储。下图是典型的分级存储系统层次结构示意图。整个层次结构有如下规律：（1）价格依

PHP代码审计阶段，基本要理解常见Web漏洞，如Sql注入、XSS、CSRF、文件上传等，近十种安全漏洞的产生原因和初步的防御方法。文章目录代码执行漏洞漏洞简介代码执行漏洞相关函数：eval()函数assert() 函数CTF实例preg_replace() 函数call_user_func() 函数动态函数进入正题之前先扫一下盲区，可能有朋友已经会了，可以跳过webshellWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。一

验证Token在找回密码的时候生成一个token，然后存储到数据库中，然后把找回密码的地址发送到邮箱中，这个url中就含有token，由用户点开后就可以修改密码。延伸一些CMS的密码加密方式很难被破掉，有时候拿到了管理的密码破不掉利用方法：一般找回密码是用的邮箱，首先把管理的邮箱注入出来，然后再去找回密码，再把数据库的token注入出来，构造一下地址就可以重置密码了。rand函数生成Token$resetpwd=md5(rand());对 rand() 函数生成出来的数字进行md5，某些平台下

文章目录登录认证功能用户认证审计函数或文件的未认证调用密码问题身份认证漏洞cookie身份认证漏洞seesionid 固定漏洞漏洞防范cookie身份认证漏洞防范session固定漏洞防御登录认证功能登录认证功能不是指一个简单的登录过程，而是整个操作过程中的认证，目前的认证方式大多是基于Cookie和Session，不少程序会把当前登录的用户账号等认证信息放到Cookie中，或许是加密方式，是为了保持用户可以长时间登录，不会因为一退出浏览器或者Session超时就退出账户，进行操作的时候直接从Cooki

总结一下在PHP代码审计中常用到的代码审计思路文章目录敏感函数回溯参数过程通读全文代码方法：根据功能点定向审计敏感函数回溯参数过程根据敏感函数来逆向追踪参数的传递过程，是目前使用的最多的一种方式，因为大多数漏洞是由于函数的使用不当造成的。 另外非函数使用不当的漏洞，如sql注入，也有一些特征，比如select、insert等，再结合from和where等关键字，我们就可以判读是否是一条SQL语句，通过对字符串的识别分析，就能判读这个sql语句里面的参数有没有使用单引号过滤，或者根据我们的经验来判断。就

前言代码在不同环境下执行的结果也会大有不同，可能就是因为一个简简单单的配置问题，导致一个非常高危的漏洞能够利用；也可能你已经找到一个漏洞就因为你的配置问题，导致你弄了好久都无法构造成功的漏洞利用代码。然而，在不同的PHP版本中配置指令也会有不一样的地方，新的版本可能会增加或者删除部分指令，改变指令默认设置或者固定设置命令，因此，我们在代码审计之前需要非常熟悉PHP各个版本中配置文件的核心指令，才可以高效的挖掘到高质量的漏洞。PHP常见的基本设置（1）open_basedir设置open_based

题目链接： 地址随便输入用户名和密码后登录，跳到check.php页面下面是题目源码<?php include "config.php";error_reporting(0);highlight_file(__FILE__); $check_list = "/into|load_file|0x|outfile|by|substr|base|echo|hex|mid|like|or|char|union|or|select|greatest|%00|_|\'|admin|limit|

通过这个靶场再练习一下文件上传漏洞。文章目录Pass-01(js前端验证)Pass-02(Content-Type头检测文件类型绕过)Pass-03(文件后缀的判断（黑名单绕过）)Pass-04(重写解析规则—绕过)这里简单的讲一下move_uploaded_file()这个函数Pass—05(大小写绕过)Pass—06(后缀名后面加空格来绕过)Pass—07(后缀名加点绕过)Pass—08(后...

文章目录Fake XML CookbookTrue XML Cookbook（XXE+ssrf）ISCC 未知的风险-1Fake XML Cookbooksql注入不行，F12 查看源码：function doLogin(){ var username = $("#username").val(); // val() 方法返回或设置被选元素的值 var password = $("#password").val(); // $() 相当于 document.getElementById(

文章目录JWT简介传统的Session认证基于token的鉴权机制JWT的构成头部（header)载荷（payload）签证（signature）通过JWT 进行认证JWT token破解绕过JWT伪造Bukgu jwt——JWT伪造JWT简介Json web token (JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519)。该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被

文章目录XML介绍定义文档结构DTD文档类型定义实体类别介绍DTD 实体声明XML外部实体攻击怎么甄别一个XML实体攻击漏洞?xxe漏洞检测思路从PHP代码层面上xxe漏洞的危害危害1：读取任意文件有回显的情况无回显的情况危害2：命令执行（装有expect扩展）危害3：内网探测/SSRF危害4：拒绝服务攻击XXE漏洞修复与防御一道CTF题目案例分析XML介绍定义XML是用于 标记电子文件 使其具有 结构性 的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XM

文章目录令牌(Token)AccessToken的窃取与利用1：程序 incognito.exe2：MSF下的incognito模块3：Invoke-TokenManipulation.ps1脚本MSF实战假冒令牌提权令牌(Token)令牌(token)是系统的临时秘钥，相当于账号和密码，用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下，访问网络...

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！基础介绍事件背景 北京时间9月20日，杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文，文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发，近百万PHP用户中超过67万用户已被黑客控...

[BJDCTF 2nd]old-hack（5.0.23）进入之后：打开页面，页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此，这里用到了thinkphp5的远程命令执行漏洞。Thinkphp5远程命令执行漏洞漏洞描述：由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造，该功能利用 $_POST['_meth...

遇到了这样一个题，这题是一个特别的命令执行题， 首先进去首页之后发现以下源码：<?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) &...

文章目录序列化和反序列化的概念与基础知识PHP的序列化访问控制修饰符PHP的反序列化PHP反序列化漏洞（常规）__wakeup()__destruct()示例一：示例二（连菜刀、反序列化免杀后门）：__toString()Error类ExceptionPHP中Session反序列化（重点）简介与基础知识Session序列化漏洞利用PHP Session中的序列化危害实际利用CTF例题序列化和反...

首先打开题目页面直接获得源码:<?php//A webshell is wait for youini_set('session.serialize_handler', 'php');#ini_set设置指定配置选项的值。这个选项会在脚本运行时保持新的值，并在脚本结束时恢复。 设置选择session序列化选择器session_start();class OowoO{ p...

The RSA encryption algorithm is an asymmetric encryption algorithm. RSA is widely used in public key cryptography and electronic commerce. RSA was proposed in 1977 by Ron Rivest, Adi Shamir, and Leon...

例题1.——bugku日志审计本题要点：sql盲注、python脚本编写、python正则表达式先下载压缩包，解压发现里面是一个 access.log 日志文件。全选后在网上URL解码：复制回notepad++中这样看起来就方便多了。（或者全选，插件—>MIME Tools—>URL Decode）接下来开始分析。1.测试有没有注入漏洞这理就是开始测试有没有sq...

PHP的字符串解析特性我们知道PHP将查询字符串（在URL或正文中）转换为内部关联数组$_GET或关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WA...

GET命令执行漏洞思路来自于HITCON2017中的ssrfme，考点是GET的任意命令执行。代码很简单，调用命令GET来执行从url获取的参数， 然后按照filename新建文件，写入GET的结果。我不知道关于这个问题最早是什么时候爆出的了，但确实已经很多年了。root@iZ285ei82c1Z:~/test# cat a.pl open(FD, "|id");print <FD...

什么是变量覆盖漏洞自定义的参数值替换原有变量值的情况称为变量覆盖漏洞经常导致变量覆盖漏洞场景有：**$$**使用不当，**extract()**函数使用不当，**parse_str()**函数使用不当，**import_request_variables()**使用不当，开启了全局变量注册等。几种变量覆盖漏洞全局变量覆盖register_globals的意思就是注册为全局变量，所以当为O...

Login–password=’".md5($pass,true)."’进入题目，有一个输入框，让你输入密码，发现输入啥都没变化：源码中一点线索也没有。我们随便输入并抓个包看看又什么秘密：发现提示hint：select * from 'admin' where password=md5($pass,true)，或者在开发这里面：看到响应头有提示：现在就可以确定是个sql注入了...

Stacked injection 汉语翻译过来后，国内有的称为堆查询注入，也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段，通过添加一个新的查询或者终止查询( ; )，可以达到 修改数据 和 调用存储过程 的目的。这种技术在SQL注入中还是比较频繁的。基本知识原理介绍：**在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下，我们在结束一...

进入题目，一脸淫笑查看源码，发现source.php：访问source.php，出现php代码<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["...

文章目录基本简介功能其他空会话建立应用关于操作所用端口复制文件命令限制共享完成命令附录命名管道默认共享使用命令 net use url=file://\\IP\ipc$\\IP\ipc$ "" /user:"" 就可以简单地和目标建立一个空连接（需要目标开放ipc$）。功 能：共享 “命名管道” 的资源要 求：需要目标开放ipc$应 用：查看远程主机的共享资源基本简...

文章目录基础知识__toString文章围绕着一个问题，如果在代码审计中有反序列化点，但是在原本的代码中找不到pop链该如何？N1CTF有一个无pop链的反序列化的题目，其中就是找到php内置类来进行反序列化。基础知识首先还是来回顾一下序列化中的魔术方法，下面也将以此进行研究。当对象被创建的时候调用：__construct当对象被销毁的时候调用：__destruct当对象被当作一个字符...

进入后页面：看看后台用什么闭合的，测试单引号：发现直接就给你过滤了。试试还过滤了什么，发现过滤了以下指令：（这个方法挺巧的）union , select , = , ' , & , && , - , " , and 连引号都过滤了，这可怎么做啊。看看又什么提示，源码里面啥也没有，扫描一下发现robots.txt：发现了hint.txt提示，访问看看：...

phpmyadmin 4.8.1 远程文件包含漏洞（CVE-2018-12613）phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑，通过二次编码即可绕过检查，造成远程文件包含漏洞。受影响版本:phpMyAdmin 4.8.0和4.8.1受到影响。登陆phpmyadmin后台：访问 http://192.168.0.13...

这篇文章将分享一个phpMyAdmin 4.8.1版本的文件包含漏洞，从配置到原理，再到漏洞复现进行讲解，更重要的是让大家了解这些真实漏洞背后的知识。文章目录一.phpMyAdmin二.phpMyAdmin基础用法三.漏洞原理四.phpMyAdmin漏洞复现一.phpMyAdminphpMyAdmin是一种MySQL数据库的管理工具，安装该工具后，即可通过Web形式直接管理MySQL数据，而...

基本套路此类题型就是套路：burpsuite抓包，重放，并根据题目要求多次重放，最终满足全部要求后获得flag。Header请求头参数详解Header解释示例Accept指定客户端能够接收的内容类型Accept: text/plain, text/html,application/jsonAccept-Charset浏览器可以接受的字符编码集。Accep...

什么DS_Store.DS_Store是Mac OS保存文件夹的自定义属性的隐藏文件，如文件的图标位置或背景色，相当于Windows的desktop.ini。 其删除以后的副作用就是这些信息的失去。和别人交换文件（或你做的网页需要上传的时候）应该把 .DS_Store 文件删除比较妥当，因为里面包含了一些你不一定希望别人看见的信息。尤其是网站，通过 .DS_Store 可以知道这个目录里面所...

在一道CTF文章目录什么是Git集中式vs分布式工作区和暂存区学习.git 文件导致源码泄露原理简要介绍git的目录结构如何去利用 ?如何修复.git泄露利用工具GitHack使用方法工作流程CTF中的几种git泄露攻防世界-lottery什么是GitGit是目前世界上最先进的分布式版本控制系统（没有之一）。Git有什么特点？简单来说就是：高端大气上档次！那什么是版本控制系统？如果你用...

1. [bx]和内存单元的描述[bx]是什么呢？和[0]有些类似，[0]表示内存单元，它的偏移地址是0。比如在下面的指令中：mov ax, [0]将一个内存单元的内容送入ax， 这个内存单元的长度为2字节(字单元)，存放一个字，偏移地址为0，段地址在ds中。mov al, [0]将一个内存单元的内容送入al，这个内存单元的长度为1字节(字节单元)，存放一个字节，偏移地址为0，段地址在ds...

Metasploit中的Meterpreter模块在后渗透阶段具有强大的攻击力，本文主要整理了meterpreter的常用命令、脚本及使用方式。包含信息收集、提权、注册表操作、令牌操纵、哈希利用、后门植入等。文章目录0x01.系统命令0x02.文件系统命令0x03.网络命令0x04.敏感信息收集0x05.@提权@小插曲值UAC绕过0x06.mimikatz抓取密码0x07.远程桌面&截...

千辛万苦拿到的 webshell 居然无法执行系统命令：

题目进去后，很简单的代码，显然命令执行：但是得要先绕过preg_match()中正则表达式的限制，一开始傻乎乎的直接传了个数组，妄图绕过preg_match()，这很显然是不行的。附上大佬的文章：关于PHP正则的一些绕过方法...

最近做了buuctf上的[极客大挑战 2019]RCE ME，PHP正则的一些绕过方法也终于要用上了，原文地址：https://blog.csdn.net/mochu7777777/article/details/104631142参考：https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.htmlhttps://w...

还是同一个页面。先看看后台用什么闭合的：用户名：1密码：1'可知后台为单引号闭合。试试万能密码登录：用户名：1' or 1=1#密码：123常规sql注入发现成这样了。然后发现order by 和 union 都不行，后台有过滤。经在登录框中尝试，发现过滤了and、= 空格 union等多个sql关键字我们尝试报错注入，先尝试group by配合floor()的报错...

Less-8（基于布尔的单引号GET盲注，有Python脚本）同样为盲注，输入id=1，显示You are in…输入id=1’，显示不正常：输入id=1’–+，页面有显示正常了。没有任何提示，因为它把错误信息隐藏了，所以并不能用显错式注入，只能用盲注。且说明后台用单引号闭合，那么，报数据库长度：1' and length(database())=8--+ 或1' and leng...

实例来自sql-libsLess-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)输入：?id=1输入?id=1’发现可以显示报错，可知后台代码用单引号闭合。之后只要查询正确就显示You are in…，否则啥也不显示，可是即使正常闭合也不会显示数据。这么一个双查询注入硬是被生生的做成了盲注,，其实这里...

在此之前，我们理解一下子查询，查询的关键字是select，这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select。里面的这个select语句就是子查询。看一个简单的例子：select concat((select database()));CONCAT函数用于连接两个字符串，形成一个字符串。CONCAT(字串1, 字串2, 字串3, …): 将字串1、字串2、字...

文章目录介绍PHP命令执行函数代码执行函数命令拼接符命令执行的一些绕过技巧绕过str_replace()函数空格被过滤的绕过用编码来绕过URL编码绕过Base64编码绕过Hex编码绕过Oct编码绕过：偶读拼接绕过（黑名单绕过）花括号{command,}的别样用法无回显的命令执行方法一：反弹shell方法二：msf反向回连利用RCE反弹Shellnetcat 一句话反弹Shellbash反弹shel...

php中的strcmp漏洞说明：int strcmp ( string $str1 , string $str2 )参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0； 如果 str1 大于 str2 返回 > 0；如果两者相等，返回 0。可知，传入的期望类型是字符串类型的数据，但是如果我们传入非字符串类型的数据的时候，这个函数将会有...

1.内存中字的存储CPU中，用16位寄存器来存储一个字。高8位存放高位字节，低8位存放低位字节。在内存中存储时，由于内存单元是字节单元(一个单元存放一个字节)，则一个字要用两个地址连续的内存单元来存放，这个字的低位字节存放在低地址单元中，高位字节存放在高地址单元中。比如我们从0地址开始存放20000，这种情况如图3.1所示。在图3.1中，我们用0、1两个内存单元存放数据20000(4E20H...

又是这个页面，一样的网站，就是加了过滤，试一下万能密码登陆：用户名：1' or 1=1#密码：123具体报错如下：只保留了 1=1# ，这就说明被检测到了or，并把or给过滤了看一看还过滤了什么玩意：随便输入：用户名：1' union select 1,2,3#报错显示只保留了 1,2,3# ，这就说明被检测到了union 和 select，并把他们给过滤了我们猜测后台的...

首先查看源代码，找到Secret.php我们访问这个页面，显示上说这个页面必须来自"https://www.Sycsecret.com"那就简单了，我们抓包，又说必须使用Syclover浏览器，我们这里直接修改User-Agent头即可又说No!!! you can only read this locally!!!，让我们伪造IP，在headers里面添加X-Forwarded-F...

进去之后：发现登录框，可能是万能密码登录，我们试一下：在登录框中输入：用户名：1' or 1=1#密码：123（随便输）点击登录跳转到了check.php页面。并得到了用户名和密码：尝试密码md5解密失败，还是回到注入的思路上，查询字段数：在url中输入：/check.php?username=admin' order by 3%23&password=1 ...

文章目录less-1（GET-Error based-String）less-2（GET-Error based-Intiger based）Less-3（闭合括号，单引号报错）Less-4（闭合括号，双引号报错）Less-5（string 盲注）**利用left(a,b)进行测试：**Less-6（string 盲注）@Less-7（Dump into outfile-用file权限向服务器写...

SQL Injection (Blind)SQL Injection（Blind），即SQL盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。基于页面响应方式的盲注分类基于布尔的盲注： 即可以根据...

寄存器文章目录寄存器1.通用寄存器2.字在寄存器中的存储3.几条汇编指令4.物理地址5.16位结构的CPU6.8086CPU给出物理地址的方法7.“段地址x16+偏移地址=物理地址” 的本质含义8.段的概念9.段寄存器10.CS和IP11.修改CS、IP的指令12.代码段一个典型的CPU(此处讨论的不是某一具体的CPU)由运算器、控制器、寄存器(CPU工作原理)等器件构成，这些器件靠内部总线相...

进入题目是这样的要发帖还必须登录在这里已经给了你用户名并提示了密码；密码隐藏了后三位，我们可以用爆破爆破后面三位的方法：由爆破状态码的密码后三位为666，登录进去就可以发帖了。接下来用dirsearch扫描，发现存在.git文件那应该存在.git文件泄露，用GitHack下载发现有一个write_do.php，但是代码有缺失查一下之前提交的版本，单独用git log不能全部显示，直...

漏洞解释SSRF(Server-Side Request Forgery，服务器请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况下，SSRF攻击的目标是外网无法访问的内网系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔绝的内部系统)SSRF漏洞形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。 例如，黑客操作服...

a

刚进去让你注册一个账号注册后点进去，注意url很可能是sql注入除此之外再无信息。使用dirsearch扫描到robots.txt，不过wp说还能扫到flag.php，反正我是没扫出来，然后访问robots.txt，发现存在/user.php.bak。下载下来打开：<?phpclass UserInfo{ public $name = ""; public $...

简介nc是netcat的简写，有着网络界的瑞士军刀美誉。因为它短小精悍、功能实用，被设计为一个简单、可靠的网络工具nc的功能（1）实现任意TCP/UDP端口的侦听，nc可以作为server以TCP或UDP方式侦听指定端口（2）端口的扫描，nc可以作为client发起TCP或UDP连接（3）机器之间传输文件（4）机器之间网络测速参数说明：-c shell commands ...

文章目录目标说明给定一个ip直接扫描**`-iL `** (从列表中输入)**`-iR `** (随机选择目标)主机发现**-sL (列表扫描)****-sP (Ping扫描)@**-P0 (无ping)****-PS [portlist] (TCP SYN Ping)****-PA [portlist] (TCP ACK Ping)****-PU [portlist] (UDP Ping)**...

栈帧不再赘述。1.局部变量分布编译器的第一个任务是，计算出函数的局部变量所需的空间。编译器的第二个任务，则是确定这些变量是否可在CPU寄存器中分配，或者它们是否必须在程序栈上分配。 至于具体的分配方式，既与函数的调用方无关，也与被调用的函数无关。值得注意的是,通过检查函数的源代码，通常无法确定函数的局部变量布局。使用栈指针引用栈帧变量的函数计算得出，局部变量最少需要76字节的栈空间( ...

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！Metasploit实验：制作免杀payload+对任意“外网”主机的远控这个试验的实现需要拆分成下面三个模块：内网穿透到外网制作免杀木马后门Metasploit控制客户机环境准备操作系统用途IP地址需要软件Kali制作payl...

从汇编的角度理解程序 —— 函数调用我们已经知道，程序是按顺序执行的指令流水线 (PipeLine)。分支和循环逻辑，可以通过在流水线中往后跳或往前跳实现。其实，函数调用也不过是在跳转。调用某个函数，就跳转到那个函数的指令流的开始位置，函数执行完成后，再跳转回来。函数能获取外部写入的数据(输入)，能持有自己独特的数据(本地状态)，还能向外部写数据(输出)。而理论上程序所拥有的函数数量是无限的...

从汇编的角度理解程序 —— 通过寄存器进行数据操作的指令流程序其实就是对数据进行操作的有序指令流有序的指令流能通过跳转实现程序分支和循环还能通过跳转和 stack 内存模式实现函数调用通过规范的内存布局和读写操作实现复杂的数据结构一、程序其实就是对数据进行操作的有序指令流直接从 CS:APP 里面的一个实例程序开始吧：// mstore.c, from CS:APPlong m...