午夜安全

1.简介Fscan是一款内网综合扫描工具，它非常的方便，一键启动，之后完全自动化、并且全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。这款工具被红队广泛使用，它简直是内网横向移动的大杀器。2.主要功能（1）信息搜集: 存活探测(icmp) 端口扫描（2）爆破功能: 各类服务爆破(ssh、smb、rdp等)...

作者介绍：ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。ysoserial其实就是工具，集合了各种java反序列化的payload，利用它可以方便的测试反序列化漏洞。

点击劫持指的是，通过覆盖不可见的框架误导受害者点击，虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。Burp Clickbandit 是用于生成点击劫持攻击的工具，当发现可能容易受到点击劫持的网页时，可以使用 Burp Clickbandit 发起攻击，并确认可以成功利用此漏洞。Burp Clickbandit 使用 JavaScript 在你的浏览器中运行，它适用于除 Microsoft IE 和 Edge 之外的所有现代浏览器。

本次攻防演练不允许使用钓鱼、社工、无线等方式，要求从互联网侧发现安全隐患。

Content Security Policy，简称 CSP，即内容安全策略。它主要是用来定义哪些资源可以被当前页面加载，从而防御 XSS 和 CSRF 攻击。通过定义一套页面资源加载白名单规则，浏览器会使用csp规则去匹配所有资源，禁止加载不符合规则的资源，而且可以将非法资源请求进行上报。作为开发者只需要在服务端配置，明确告诉浏览器，哪些外部资源可以加载执行，其他工作浏览器自己完成。这样即使网站存在XSS漏洞，攻击者是无法注入脚本的，除非它可以控制可信的白名单主机，但这是不可能实现的。

hoaxshell 是一种非常规的 Windows 反向 shell，目前未被 Microsoft Defender 和可能的其他 AV 解决方案检测到，因为它完全基于 http(s) 流量。该工具易于使用，它生成自己的 PowerShell 有效负载并支持加密 (ssl)。

我们知道XSS漏洞分为存储型、反射型、DOM型，最常见的就是利用XSS漏洞弹窗，进一步获取用户Cookie信息。可是如今的WEB系统，有的已经设置HttpOnly属性，有的在请求头中使用Authorization字段提供token令牌，这导致了我们难以获取到用户的身份信息。在这个背景下，XSS漏洞好像越来越没用了。BeEF-XSS是一款非常强大的XSS平台，集成了许多payload，利用它可以极大的提高XSS漏洞的威力。

我们安全工程师最喜欢的漏洞是什么？非RCE漏洞莫属！那RCE漏洞挖掘是否有技巧可言？

Http请求头信息里面会带有一个Host字段，这个字段是做什么的？我们知道一个IP可以对应多个域名，而一般一个服务器上放多个网站也是很常见的，那么就会有一个问题，我们的多个域名都解析到了同一台服务器上，怎么每次根据域名显示不同的网站内容呢？Host头就出现了，我们通过它可以区分访问的是哪个网站，也就是说web服务器使用Host头的值来将请求分派到指定的网站或web应用程序之上。Win64;x64;q=0.01。

1）打开BurpSuite，第一步选择“Projectoptions”，第二步选择“Misc”，第三步选择“UsethedefaultCollaboratorserver”（使用默认配置的外带服务器，如果想使用自己的服务器，可以在下面自由配置），第四步点击“Runhealthcheck..”测试外带服务器是否可以正常工作。这两个平台，他们是免费的DNSlog平台，我们利用它们可以监控DNS解析记录和HTTP访问记录，这对我们验证一些漏洞非常有帮助。...

《WEB安全渗透测试》（27）Linux系统提权-SUID提权提权，网络术语，指的是提高自己在服务器中的权限，如从普通用户提高到root用户，当网站被入侵后，攻击者会千方百计的去提高自己的权限，毕竟普通用户能干的事情太有限了。linux中除了r w x 三个权限外(分别代表r 读，w写，x执行)，还有两个特殊的权限s 和t，当s权限在文件所有者x权限上时，例如：-rwsr-xr-x，此时称为Set UID，简称为SUID的特殊权限，即当执行该文件时将具有该文件所有者的权限。......

《WEB安全渗透测试》（26）记一次php代码审计在对目标进行渗透测试时，突然发现一个地址，这一看就知道是一个测试系统，还是开源的，那就先去下载源码。上大型交友网站，下载源码后，进行代码审计。对源码进行审计，发现在hit.php文件中，$id和$g都是用户可控的，只要使参数g=arthit，参数id不为空，这里使用get方法接受id的值并带入sql执行语句，没有任何安全措施，更糟糕的是这里存在回显。使用sql注入漏洞攻击，发现存在安全措施。...

《WEB安全渗透测试》（25）Redis漏洞利用方式大全Redis被公司大量应用，成为了攻击者最喜欢的猎物之一，大量的木马病毒也广泛利用redis漏洞在内网疯狂传播，对内网扫描、控制、感染、挖矿、勒索等行为和事件层出不穷。然而Redis的利用方式你真的全部了解吗？你的redis安全吗？设置密码了吗？密码是否太弱？当redis口令过弱，或者使用了一些频率过高的密码（被密码字典收录），甚至没有设置密码，这个时候你的redis很可能已经被非法用户恶意访问。...

《WEB安全渗透测试》（24）jQuery中的XSS漏洞jQuery在Web中广泛应用，当jQuery的版本大于或等于1.2且小于3.5.0的时候，即使执行了消毒（sanitize）处理，也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法（即html()、.append()等），从而导致xss漏洞。利用原作者搭建的环境：这个环境内置了三个xss poc，点击Append via .html()按钮即可触发XSS漏洞。......

《WEB安全渗透测试》（23）：记一次利用SSRF漏洞到提权1.信息收集对授权目标进行扫描，发现开启了22和80端口，访问web服务。发现是开源项目，于是下载源码，希望找到有用的信息。皇天不负有心人，发现疑似用户登录密码的信息，如下所示：尝试使用admin/1234登录，发现成功登录，登陆后发现有一个Edit profie和Export profile，Edit profie用于编辑信息，Export profile用于导出数据的pdf格式............

《WEB安全渗透测试》（22）利用pdf文件弹XSS众所周知，我们可以通过上传html文件来执行xss，但是如果禁止了html等恶意文件，只允许上传png、jpg、gif、pdf等文件，很多人可能直接忽略了，以为它是安全的，那就大错特错了。首先我们需要制作一个恶意的pdf文件，随便使用一个pdf编辑器，新建空白页面。然后选中缩略图，点击属性，此时在右侧可以看到属性栏，点击动作打开页面，之后再新建运行JavaScript。在弹出的“JavaScript 编辑器”对话框中输入以下代码，然后保存文件：.....

《WEB安全渗透测试》（21）kali安装w3af指南（1）查看版本信息，编辑源文件（2）在sources.list中添加如下：#浙大deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-freedeb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free...

《WEB安全渗透测试》（20）payload攻击载荷payload称为攻击载荷，主要用于建立目标机与攻击机之间的稳定连接，并返回一个shell，也可以进行程序注入等。（1）singles（独立载荷）独立载荷，可直接植入目标系统并执行相应的程序，如：shell_bind_tcp。（2）stagers（传输器载荷）传输器载荷，用于目标机与攻击机之间建立稳定的网络连接，与stages（传输体载荷）配合攻击。通常该种载荷体积都非常小，可以在漏洞利用后，方便进行注入，这类载荷功能都非常相似...

《WEB安全渗透测试》（19）Vue.js中的XSS攻击1.前言Vue是一套用于构建用户界面的渐进式JavaScript框架，与其它大型框架不同的是，Vue 被设计为可以自底向上逐层应用。它的核心库只关注视图层，不仅易于上手，还便于与第三方库或既有项目整合；另一方面，当与现代化的工具链以及各种支持类库结合使用时，Vue 也完全能够为复杂的单页应用（SPA）提供驱动。Vue当下很火，但是鲜有人知Vue写法不当，很容易出现XSS漏洞。2.Vue漏洞复现...

《WEB安全渗透测试》（18）DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现（2）接着上一篇，我们已经获取到一个webshell，这篇文章是后续提权及漏洞利用。（1）systeminfo生成文件systeminfo >dedecms.txt（2）更新windows-exploit-suggester下载windows-exploit-suggester.py后，先安装xlrd，之后才可以更新。...

《WEB安全渗透测试》（17）Dedecms越权漏洞+前台重置管理员密码漏洞复现（1）在Windows server2008服务器上安装phpstudy，将dedecms的网站源码复制到C:\phpStudy\PHPTutorial\WWW\下，启动phpstudy，运行模式选择系统服务，安装成功后，可以在浏览器访问服务器ip地址，如下所示：访问如下安装地址，提示删除install/install_lock.txt。删除后，可以正常访问，之后按照提示安装完成即可。安装完成后，访问首页。...

《WEB安全渗透测试》（16）利用Python编写漏洞批量检测POCECShop的user.php文件中的display函数的模板变量可控，导致注入，配合注入可达到远程代码执行。攻击者无需登录等操作，可直接远程把webshell写入服务器。$back_act变量来源于HTTP_REFERER，我们可以控制它。Ecshop使用了 php 模版引擎 smarty ，该引擎有两个基本的函数assign()、display()。...

《WEB安全渗透测试》（15）验证码暴破or账号密码暴破这道题目名称叫验证码爆破，是对验证码爆破吗？不对，这种说法是不准确的，这里其实是由于验证码机制存在缺陷，无法起到相应的安全作用（防止账号密码暴力破解），从而恶意用户可以利用工具对用户密码进行暴力破解。所以名称叫账号密码暴力破解更加合适。在真实的渗透测试工作中，图片验证码的问题广泛存在，主要集中在图片验证码绕过、暴力破解、回显、无效、机器识别等方面。使用Burp抓包，可以发现，提交之后一共2次请求......

《WEB安全渗透测试》（14）一个文件包含漏洞（需要利用菜刀原理）这个题目让利用你所学到的知识，测试该网站可能存在的文件包含漏洞，并且尝试获取webshell。直接访问它包含的文件http://192.168.223.134/test/md3oa/vulnerabilities/view.html，查看页面源码。在view.html可以看到这里有一段PHP代码，取出来如下：上面代码明显使用了BASE64编码，解码后如下所示：这是一个非常经典的一句话木马，假设它已经上传：现在使用菜刀去连接，在菜刀配置好代理

《WEB安全渗透测试》（13）一个文件上传漏洞的绕过这个题目是让利用你所学到的知识，测试其过WAF，突破上传获取webshell。经过测试发现，这里有后缀名检测、文件类型检测、文件头检测、文件内容危险函数检测。（1）针对后缀名检测，系统不允许上传.php文件，那么我们使用.Php这种大写的方式上传文件。一般情况下，后缀名绕过包括空格、00截断、大小写、使用其他后缀名（如系统不允许jsp文件，那么我们可以上传jspx文件，类似php、php2、php3等）等方式。...

《WEB安全渗透测试》（12）DVWA之CSRF实战CSRF(Cross-site request forgery)，跨站请求伪造，简写 CSRF/XSRF。指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。1）分析使用Burp抓包，看正常用户修改密码发送的请求。服务器端代码如下：...

《WEB安全渗透测试》（11）SQL注入的绕过当我们访问如下URL的时候，提示“存在非法字符”：http://www.tianchi.com/web/rg/1.php?id=1 order by 3可以尝试Order，同理如果其他字符必拦截，也可以大小写混合。当我们遇到关键字必过滤的时候，如我们访问如下URL：http://www.tianchi.com/web/rg/1.php?id=1 order by 3...

《WEB安全渗透测试》（10）SQL注入实战：XFF注入X-Forwarded-For简称XFF头，它代表了客户端的真实IP，通过修改他的值就可以伪造客户端IP。1）判断是否存在注入使用Burp的Repeater模块对请求进行修改，分别修改X-Forwarded-For的值如下所示：X-Forwarded-for: 127.0.0.1X-Forwarded-for: 127.0.0.1’X-Forwarded-for: 127.0.0.1' and 1=1#......

《WEB安全渗透测试》（9）SQL注入实战：base64注入base64注入是针对传递的参数被base64加密后的注入点进行注入。这种方式常用来绕过一些WAF的检测。1）判断是否存在注入使用Burp的Decoder模块对参数进行base64编码，如下所示：id=1，id=1’，id=1 and 1=1，id=1 and 1=2编码后：id=MQ==，id=MSc=，id=MSBhbmQgMT0x，id=MSBhbmQgMT0y访问的结果如下，说明存在SQL注入漏洞。2）查询字段数量判断出字段数量是：...

《WEB安全渗透测试》（8）SQL注入实战：cookie注入在这个URL里没有发现参数，使用Burp抓取数据后，发现cookie里存在数据。1）判断是否存在注入在cookie里依次做如下修改：id=1’，id=1 and 1=1，id=1 and 1=2结果如下，说明存在SQL注入漏洞。2）查询字段数量判断出字段数量是：3。查询SQL语句插入位置。3）查询数据库库名（1）查询当前数据库库名（2）查询所有数据库库名像这样，构造不同的union注入语句......

《WEB安全渗透测试》（7）SQL注入实战：宽字节注入1）宽字节注入原理如下所示，访问id=1’时并没有报错，但多了一个转义符，反斜杠。这就导致了参数id是无法逃逸单引号的包围的，所以一般情况下这里是没有SQL注入漏洞的。但是如果数据库的编码是GBK的时候，这里就可以使用宽字节注入，宽字节注入的原理是：在地址后先加%df，再加单引号，因为反斜杠的编码是%5c，而GBK编码中，%df%5c是繁体字的“連”，单引号成功逃逸。使用注释符来注释后面多余的单引号。......

《WEB安全渗透测试》（6）SQL注入实战：二次注入二次注入：攻击者构造的恶意数据存储到数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。1.php的功能是注册用户，也是插入SQL恶意数据的地方。2.php的功能是通过参数ID读取用户名和用户信息。在这里恶意数据被读取并进入SQL查询语句。1）判断数据库表有几个字段（1）访问URL:http://www.tianchi.com/web/erci/1.php?username=test'得到id=4...

《WEB安全渗透测试》（5）SQL注入实战：堆叠查询注入堆叠查询注入：堆叠查询可以执行多条SQL语句，语句之间以分号(;)隔开。而堆叠查询注入攻击就是利用此特点，在第二条语句中构造自己要执行的语句。1）考虑使用堆叠注入访问URL:http://www.tianchi.com/web/duidie.php?id=1返回正常信息;访问URL:http://www.tianchi.com/web/duidie.php?id=1'返回错误信息......

《WEB安全渗透测试》（4）SQL注入实战：时间盲注时间盲注：利用sleep()或benchmark()等函数让mysql执行时间变长经常与if(expr1,expr2,expr3)语句结合使用，通过页面的响应时间来判断条件是否正确。if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。1）考虑使用时间盲注访问URL:http://www.tianchi.com/web/time.php?id=1返回yes......

《WEB安全渗透测试》（3）SQL注入实战：报错注入1）考虑使用报错注入URL:http://www.tianchi.com/web/error.php?username=1URL:http://www.tianchi.com/web/error.php?username=1'由于多了一个'，SQL语句执行时会报错。而这里程序直接将错误信息输出到了页面上，所以可以利用报错注入来获取数据。2）获取user()的值报错注入有多种格式，这里使用updatexml()函数，......

《WEB安全渗透测试》（2）SQL注入实战：boolean注入Boolean注入：构造SQL判断语句，通过查看页面的返回结果来推测哪些SQL判断条件是成立的，以此来获取数据库中的数据。1）考虑使用boolean注入URL:http://www.tianchi.com/web/boolean.php?id=1URL:http://www.tianchi.com/web/boolean.php?id=1'发现页面只返回yes或者no,因此可以尝试使用boolean注入。......

《WEB安全渗透测试》（1）SQL注入实战：union注入1）判断是否存在注入URL:http://www.tianchi.com/web/union.php?id=1URL:http://www.tianchi.com/web/union.php?id=1'URL:http://www.tianchi.com/web/union.php?id=1 and 1=1URL:http://www.tianchi.com/web/union.php?id=1 and 1=2发现可能存在SQL注入漏洞。.....