- 博客(319)
- 收藏
- 关注
RSS订阅原创 Redis未授权访问
但是通过phpinfo得知的信息是当前目录为/var/www/html。所以应该是无权限写入,那么就需要爆破子目录,看看子目录有没有写入权限。尝试传入生成的值或者二次编码后在传入,结果:网页瞬间刷新,无反应。造成的原因可能有两种:一种是无权限写入,另一种是写入的路径错误。,使用http协议去探测这台主机上面的存活端口以及C段存活主机。使用BP爆破端口,可以看到目前服务器好像只有一个80端口有用。BP爆破一下内网的存活主机,可以发现。可以得到当前主机的IP地址信息为。由PHP代码可知,传入的参数为。
2024-08-25 00:02:17
373
原创 DOM Clobbring个人理解
就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改⻚⾯上 JavaScript ⾏为的技术DOM Clobbering中的操作也是根据JavaScript行为的层级来分为一层、两层、三层和更多。
2024-08-17 23:17:13
1565
原创 Ok, Boomer
DOMPurity的绕过,关键点在于它返回的序列化HTML不符合HTML规范,包含了嵌套FORM元素,所以导致浏览器解析出的DOM树是错误的,img标签直接创建在HTML空间中DOM Clobbering的重点,在于对“ok”的覆盖,a标签的toString方法是不继承于父类的,它返回的值是href属性。所以直接href属性中编写执行函数即可,但是由于没有绕过DOMPruity,因此使用的协议需要是在它的白名单内。
2024-08-17 22:37:48
171
原创 Mafia
正则对于函数名进行过滤,绕过该WAF一共使用了三种方法,分别为正则表达式的source属性与toLowerCase搭配绕过parseInt与toString转进制绕过location.hash绕过使用source与toLowerCase来进行绕过,只能针对过滤函数名为全小写的情况,当函数名中即拥有小写字母也拥有大写字母时,作用不会太大。因此相比较之下方法二与方法三的使用范围会大些。
2024-08-17 22:36:43
439
原创 Ligma
当遇到数字字母过滤时,基本都是依靠一些符号进行异或等等运算构成字母数字来进行绕过,所以直接用符号进行传入参数即可。但是实际场景中,一般都会搭配长度限制,由于符号运算去构成字母的字符串长度都比较长,所以很少能直接绕过。
2024-08-17 22:35:39
251
原创 Ah That‘s Hawt
为什么使用两次编码来绕过?因为浏览器将变量值传给语言后端的时候会进行一次编码,语言后端又将变量值返回给浏览器时又会进行一次编码,所以需要两次编码来进行绕过如果只使用一次编码,那么在浏览器传给后端的时候,就会把编码还原成原符号被正则过滤。两次URL编码进行绕过的时候为什么要使用location?location的作用是将等号"="右边的值转换为字符串,因为在JS中对于符号的解码,是只能作为字符常量或者是作为标识符的一部分,不能作为特殊字符解码。
2024-08-17 22:34:24
304
原创 Ricardo Milos
form表单的action属性位置也是大有可为,该属性可以定义提交事件,即可以在action属性中可以编写执行函数。一般情况下,该属性填写的是表单的提交路径。
2024-08-17 22:33:02
282
原创 Ugandan Knuckles
用onfocus属性来定义聚焦事件,搭配autofocus属性自动聚焦,即可完成无用户交互也可执行input中还有个有趣的属性为onclick点击事件条件允许时,可以使用闭合双引号,逃逸尖括号来逃逸出标签。
2024-08-17 22:32:03
378
原创 Jefff
不要使用eval(),因为从字符串执行JavaScript是一个很大的安全风险。使用eval(),恶意代码可以在未经许可的情况下在应用程序中运行。使用eval(),第三方代码可以看到应用程序的范围,这可能会导致可能的攻击。灵活性:eval() 允许在运行时动态执行代码,这在某些情况下可能非常有用。简单性:对于一些简单的操作,使用 eval() 可能会比其他方法更直观。安全风险:如果 eval() 执行的字符串包含来自不可信来源的数据,可能会导致注入攻击。
2024-08-17 22:30:37
536
原创 Ma Spaghet!
innerHTML表示元素所有的后代html,该范围包括文本节点,注释节点,元素节点等内容。在读写该属性时,我们可以获取一个字符串,这个字符串包括元素内部的内容,包含空格,换行,注释。innerText表示元素所有的文本内容,包括文本节点,子元素和后代元素的文本节点,只包括内容,不包括注释空格等所以,当需要插入纯文本时,建议不使用innerHTML或outerHTML,而是使用innerText或它不会把给定的内容解析为 HTML,它仅仅是将原始文本插入给定的位置。
2024-08-17 22:28:13
207
原创 无字母数字命令执行
处理跨平台的文本文件时遇到了换行符不一致的问题,你可以使用各种工具来转换文件的换行符格式,比如`dos2unix`(将Windows风格的换行符转换为Unix/Linux风格的换行符)和`unix2dos`(将Unix/Linux风格的换行符转换为Windows风格的换行符)等。如果文件是二进制文件,并且包含`0D`作为数据的一部分(而不是作为行的结束符),那么这些`0D`字符将按原样保留,并在执行文件时作为数据的一部分进行处理。可以发现自己编写的文件中只有0a,而临时文件中是0d0a。
2024-08-12 23:29:41
867
原创 eval和长度限制
传入usort函数。usort函数的第二个参数是一个回调函数。新建文件使用usort也没有进行echo aa。最后说一下,这个方法基本无视任何WAF。理论过程:GET变量被展开成两个参数。使用反引号包裹定义的新传参,如。,其调用了第一个参数中的。为webshell即可。
2024-08-12 00:23:31
482
原创 无参数函数读取
1)使用dirname获取' . ',是因为当dirname的path参数中没有'/'时,它会认为没有父目录,所以返回的当前目录' . '2)绕过WAF的方法是使用无参数函数的返回值来代表该code变量,然后控制返回的值为我们能够修改的变量,因此WAF检查的全是无参数函数,但是代码执行函数后,其值就变成了我们所能够控制的变量值。
2024-08-11 22:51:27
772
原创 SQL注入实例(sqli-labs/less-16)
使用python脚本,查询后续的内容修改concat的范围就行。python脚本爆库名。使用python脚本。使用python脚本。
2024-08-08 14:51:00
405
原创 SQL注入实例(sqli-labs/less-5)
在进行前两句传参时,页面没有发生任何变化,但是当使用单引号闭合时,报错了。通过报错可以确定闭合符号为单引号。
2024-08-05 01:57:53
886
原创 MSF回弹木马windows测试
使用python3 -m http.server 9999来传递文件到windows主机中。管理员账号需在“此电脑”的“管理”的“当地用户和用户组”中打开登录选项,并设置好密码。kali系统中使用msfvenom命令生成windows系统的回弹木马。可以使用管理员账号登录或新建一个用户用于登录,但是新建的用户权限较低。可以查看到自己的权限还是很高的,属于Administrators组。因为打开了3389,所以可以使用本机的远程桌面来连接。查看端口,发现远程登录端口3389并没有打开。
2024-08-02 22:09:44
299
原创 MSF回弹木马ubuntu测试
网站地址为192.168.104.128linux版本信息:20.04.1-Ubuntunginx信息:nginx-1.21.6php信息:PHP 7.3.33-19php-fpm信息:/etc/php/7.3/fpm/php-fpm.conf。
2024-08-02 20:11:24
514
原创 边界网关IPSEC VPN实验
IPSEC配置在FW1和FW2上,在FW1与FW2之间建立隧道,能够传递IKE(UDP500)和ENP数据包,然后在FW1与PC2之间能够流通数据包并抓取PC2-PC3的流量,FW2与PC3之间能够流通数据包并抓取PC2-PC3的流量。实验要求:通过IPSEC VPN能够使PC2通过网络访问PC3。
2024-07-25 20:08:04
259
原创 SSL/TLS和SSL VPN
在TCP三次握手建立网络连接后,客户端向服务器发送Client Hello与服务器协商参数,服务端回复Server Hello确认参数并发送证书。客户端验证服务器证书,生成并使用服务器公钥加密发送预主密钥。服务器解密预主密钥并生成会话密钥,使用会话密钥进行数据传输。
2024-07-24 22:56:39
1001
C语言万年历系统(控制台版本)
2024-03-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人