渗透攻击
文章平均质量分 79
生活的高手☆
这个作者很懒,什么都没留下…
展开
-
phpwind GET型CSRF任意代码执行
回调函数 call_user_func_array()spl_autoload 、 spl_autoload_register 、 __autoload 三个函数利用数组+命名空间加载相同名字的类利用StdClass代替对象数组将CSRF和反序列化结合,从而使只能在后台触发的序列化漏洞,变为前台getshell。降低漏洞利用条件。CSRF利用技巧。原创 2024-08-27 17:47:46 · 624 阅读 · 0 评论 -
ssrf+redis未授权访问写入任务计划
为什么这里是root用户:因为在redis低版本中它没有降权,所以执行的时候使用是root。这个工具可以写任务计划,ssh,和反序列化。这个根目录下面有个利用工具。发现6379端口打开了的。这里也可以用bp探测端口。原创 2024-08-27 12:38:33 · 268 阅读 · 0 评论 -
Web-ssrfme--redis 未授权访问攻击
但是我们尝试发现不能直接在/var/www/html目录下写文件,我们使用burp扫一下都有哪些目录,发现有个upload目录。明显这里是可以访问到其他的,这里代码禁用了file协议、dict协议、127.0.0.1和localhost,但没有过滤http协议和gopher协议我们使用http协议进行内网主机存活探测。但是当前还不能找到攻下这台内网主机的突破口,我们可以使用ssrf扫描一下这个内网主机的端口,这里使用burpsuite。此时我们查看info。发现6379是打开的。原创 2024-08-25 23:32:50 · 461 阅读 · 0 评论 -
XSS DOM破坏实战案例
他这里会写进一个img后面是如果我们有头像就用我们的如果没有他就用默认的然后会走进defaultAvatar.avatar,如果我们能够走到window.defaultAvatar,就可能闭合我们的src,那么我们就得想如何创造它。用我们之前的payload会被编码导致失败,我们需要将1:"换成一个不存再的协议,否侧会被当作url地址栏会将它进行编码成%22导致我们无法进入到后面的语句,这里我换成的是cid。这种黑名单里面的函数和嵌套都会被过滤掉,如果是白名单里面的但属性不是里面的也会被过滤掉。原创 2024-08-17 18:30:14 · 840 阅读 · 0 评论 -
XSS反射型和DOM型+DOM破坏
用wey传参,它过滤了尖括号,但是它没有过滤双引号,input里面的value值是我们用户进行上传的所以我们还是可以尝试用闭合的方式逃逸出来,这里我们可以利用onclick标签,但是这里是不允许用户交互的,所以我们可以利用onfocus焦点,但这个标签也是需要用户自己去对焦的,不过input还有一个标签叫autofocus自动对焦。他会将这个a标签的值给拿出来,所以我们用a标签里面的href他会自动调用tostring方法把他的字符串输出,而如果我们用object的继承方法它会输出的是对象。原创 2024-08-17 13:32:59 · 880 阅读 · 0 评论 -
RCE绕过方式
phpif(';R)??原创 2024-08-11 22:25:34 · 641 阅读 · 0 评论 -
http参数污染利用php小特性绕过贷齐乐waf
GET/POST/REQUEST三个变量,都会经过这个正则:select\|insert\|update\|delete\|'\|/\*\|\*\|\.\./\|\./\|union\|into\|load\_file\|outfile。i_d=11111&i_d=22222 ,再获取到的$\_REQUEST i_d就是22222。可在$\_SERVER\['REQUEST\_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$\_REQUEST\['i_d\]却是11111。原创 2024-08-09 22:26:11 · 595 阅读 · 0 评论 -
sql注入
跟之前的语句都是差不多的,这里时两行的回显,所以我们select用到的是两个参数,之前是url传参需要url编码,这里我们可以直接使用#号。参数的原因通常是为了确保前面的查询部分没有返回任何有效的记录,也可用一个不存在的id都可以。函数的第一个参数,它通常应该是一个 XML 类型的表达式,但在这里它被用作引发错误的方式。这里面有两张一个表名,一个是列名,于是我么可以尝试注入。查出他的回显,现在我们就可以来爆破它的数据库名。函数的第三个参数,也是用来引发错误的方式。floor() 向下取整。原创 2024-08-05 19:36:24 · 747 阅读 · 0 评论 -
sql实战cmseasy
这里有act=login和我们的remotelogin的而我们用的是remotelogin这个方法,而后面我们需要加上args因为这个函数里面需要这个值然后加上之前页面的那一串注意将里面的/换成%2f,+换成%2b。他就不会检查后面是不是admin,而他这个IP是从X_FORWARDED_FOR获取,这个是可以伪造的'所以我们就可以以一个未授权的方式登录进来主要是拿到我们的安全码 ,因为后面度注入需要这个安全码。我们的key就是那个安全码,id就是后面,这里需要用数组。但是这里面有/和+我们需要编码。原创 2024-08-08 22:59:32 · 337 阅读 · 0 评论 -
二次注入CTF实战
addslanshes这个会过滤掉会进行一个转译,但是进入mysql库里的时候转义字符会移除,所以出库的时候就没有了转义字符,所以我们这里可以进行二次注入在comment里。进入靶机有一个发帖的功能,我们点击提交发现需要我们登录。可以拿到数据了,后面就是修改payload。他会从数据库里把category拿出来。他首先需要一个登录这里我们已经登录了。发完贴他会直接跳回index.php。这里可以用bp抓包进行暴力破解。进来发现我们干不了什么。点击详情会看到这个文件。用dirmap扫一下。原创 2024-08-05 19:37:30 · 382 阅读 · 0 评论 -
vulnhub——Ai-Web1靶机渗透
sqlmap -u "http://192.168.0.104/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 -T user --columns #列出字段。sqlmap -u "http://192.168.201.141/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 --tables #列出表。我们再去扫一下另一个路径,我们看到了一个php文件。原创 2024-07-20 18:10:56 · 887 阅读 · 0 评论 -
DC-1靶机搭建与渗透过程
我们可以利用python实现互交shell,这样就好看一点,使用的前提是攻击主机上必须装有python。所以我们的靶机DC-1的ip为192.168.201.140。这里我们看到它的80端口是打开的,于是我们去访问这个服务器。我们用123456的hash将admin的给覆盖掉。我们看到了flag2的文件以及数据库的相关信息。我们随便看一看发现里面有一个flag3的文件。发现没有于是我们去找Drupal的配置文件。我们利用hash将admin的密码给修改掉。我们看到一个flag的文件我们打开看一看。原创 2024-07-16 13:09:38 · 476 阅读 · 0 评论