2019年11月_baynk

原创搭建学习环境(十)——Webug3.0安装及初级通关记录

0x00 前言安装可以直接下整个虚拟机来完成，也可以自己把虚拟机里面的文件拷到自己的环境的中进行漏洞，不过要修改的地方的比较多，不熟悉的话还是下整机吧。整机云盘地址：https://pan.baidu.com/s/1MiFYrOGLD3XLBQWsVoSfmwwww文件云盘地址：https://pan.baidu.com/s/1pMFlpMMUYmUkELMeTkO-ew整机是基于wind...

2019-11-30 23:32:44 1389

原创中间件(apache,iis,nginx)解析漏洞总结

0x00 前言早就想总结一下了，虽然网上也有很多，但是自己复现过效果还是会不一样的。分别三个部分，分别是apache，iis，nginx，说实在话，都是些老掉牙的东西，又不能不学，头疼。0x01 apacheapache一般在linux中和apache+php+mysql一起用的比较多，目前我碰到的解析漏洞有两个，一个就是熟知的未知后缀名解析，另一个是apache CVE-2017-15...

2019-11-30 02:39:01 1478

原创 Webug4.0-webshell爆破 ssrf

0x00 前言Webug最后一篇了，虽然都在练习这些入门靶场，但是通过各种坑，在回顾一些老知识的同时，通过查找资料还是能学到一些新的东西的，刚刚开始学习安全不久，感觉还是挺麻烦的，大佬说我还没入门，不过昨天看人家挖SRC好像还挺有意思，让我有点小兴奋。。。。下一个阶段可能会去体验一下吧，还是有点不太想把兴趣当作饭碗，希望可以保持初心。。。0x01 webshell爆破其实就是暴力破解，这...

2019-11-28 15:22:01 702

原创 Webug4.0-文件包含 URL跳转命令执行(ThinkPHP V5.0)

0x01 文件包含漏洞是说怎么这么熟悉。。。原来通过相对路径去包含的dom_xss。。那么直接通过这个去包含/etc/passwd吧可以了，试过了直接用/etc/passwd绝对路径也可以，用php伪协议也可以远程包含也行0x02 URL跳转这关一点都不明显，，审查前端找了半天，才找到了url参数，当然凭经验用url可能一下就试出来了在url_redirect.php后面加...

2019-11-28 14:54:48 635

原创 Webug4.0-逻辑漏洞

0x01 越权修改密码啥意思这，，没看懂，输入admin。。。好吧，我这没有pt_env。。。改下源码去，好了。修改密码，用burpsuite拦截下，发现存在id字段。。。试了下，上当了，这个id是固定的，要看这个url。。。将这个地方就可以改变其它用户的密码，于是我发动了上帝之眼，知道了id=2的用户名是aaaaa，密码是asdfsadf，现在试着登陆一下，确实可以登陆成功。...

2019-11-28 01:27:15 359

原创 Webug4.0-文件上传任意文件下载

0x01 文件上传(前端拦截)还没点上传，刚刚选择php文件就直接警告，前端无疑，改前端就行。 function type_filter(files) { if (files[0].type.split("/")[0] == "image") { return true; } else { documen...

2019-11-27 21:16:02 396

原创 Webug4.0-XSS

0x01 反射型xss和链接注入一样的，不多说了0x02 储存型xss留言了以后，就写到文件下面了，直接输入xss代码就就可以了。0x03 dom型xss搜索框这里，不管输入什么，都会显示出来，这里去看前端。直接采取闭合的方式来进行构造'"><script>alert(1)</script>0x04 过滤型xss又是这个网页，这次是...

2019-11-27 16:17:10 386

原创 Webug4.0-链接注入 CSV注入

0x00 前言这两个东西，原来都没怎么注意过名称，又扩展了一些新的知识，不过两篇都没有特别好的去研究，仅当作一次学习记录，以后肯定还会再碰到的。0x01 链接注入先看靶场，这么一个链接这妹纸笑的不错，就是。。。然后换了些参数都没什么变化，但是有一个细节要注意。不管输入什么这里都会显示出来，于是构造了xss，果然弹框了。感觉和csrf一起使用还是可以的，或者当攻击的跳板平台也是可以的...

2019-11-27 15:22:33 843

原创 Webug4.0-XXE/Blind XXE注入

0x01 XXE注入似乎这种基础靶场里面都没有blind xxe，看来得赶紧进入一步学习了。贴一个基础链接XXE漏洞学习随便输入啥都行，会出现一段代码。直接在登陆的地方输入下列xml代码 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///...

2019-11-27 02:25:50 1201

原创 Webug4.0-SQL注入

0x00 SQL注入熟悉的感觉，熟悉的配方，还是原来的味道0x01 显错注入打的时候吓一跳。。原来就是个本地的，给自己打广告不好吗。。。输入'以后就直接报错了，然后就一翻操作。库1' and updatexml(1,concat(0x7e,database(),0x7e),1) %23表1' and updatexml(1,concat(0x7e,(select group_...

2019-11-26 20:04:04 472

原创搭建学习环境(七)——Webug4.0

0x01 前言哎，不想学习。。。好像从3.0升级到了4.0，好像就开始4.1收费了。。算了玩下4.0就行了，安装起来感觉挺费劲的，做的感觉没有其它的靶场好，有不少问题，看起来挺高大上的，有时候为了出效果还得自己去改源码，这是我花时间装得最久的一个靶场了。。。。官网有提供下好的环境，不太喜欢用，就自己装的源码，改了一大堆东西。官方的github：下载地址我的云盘：只有源码，这包还挺大，40...

2019-11-26 18:55:25 1899

原创 BWVS-源码泄漏 Session劫持漏洞逻辑错误漏洞 SSRF

0x00 总结这是BWVS中最后一篇了，内容比较多，有很多和DoraBox很相似，比较推荐刚刚入门的看看关于SQL那几篇- BWVS-SQL注入类型判断- BWVS-SQL联合查询注入- BWVS-SQL报错型注入- BWVS-SQL盲注类型判断最后的一些小项都放在这一篇博客里面了。0x01 源码泄漏 /bug/Source_code/code1这个其实比较简单，就是做一些信息...

2019-11-26 15:13:11 461

原创 BWVS-PHP strcmp 弱类型

0x00 PHPPHP是世界上最好的语言这两个题都是CTF里面经常出现的题目。0x01 strcmp /bug/php/md5.php<?php include_once('../../bwvs_config/sys_config.php'); require_once('../../header.php'); $password...

2019-11-26 13:13:43 269

原创 BWVS-命令执行漏洞

0x00 RCE漏洞有种回到了低配版dvwa的感觉。。。但是和DoraBox真的太像了，有一腿。。。0x01 任意代码执行 /bug/code_exec/code.php直接输入phpinfo()就出结果了，我猜是assert()看源码去<!DOCTYPE html><html><head> <meta charset="...

2019-11-26 11:03:46 766

原创 BWVS-暴力破解

0x00 暴力破解入门的时候学的第一个模块。。。0x01 无验证码爆破 /bug/others/baopo.php应该是单纯的密码的爆破了，直接burpsuite走起，抓包，送到到Intruder。单元素的爆破，这种最简单，密码是直接看了源码的。。。。0x02 暴力破解 /user/login.php用户名和密码一起跑，换成cluser bomb模式。分别给两个payl...

2019-11-26 10:11:02 670

原创 BWVS-PHP伪协议

0x00 前言这个也算文件包含漏洞的一部分吧，刚刚好整理了下，就当漏洞复现了。//php支持的伪协议file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — ...

2019-11-26 02:06:30 895

首先归纳下常见的文件包含函数：include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file，计划对文件包含漏洞与php封装协议的利用方法进行总结，本篇先总结下一些封装协议，涉及的相关协议：file://、php://filter、ph...

2019-11-26 00:14:33 302

原创 BWVS-文件包含漏洞

0x00 前言这次的文件包含内容有点多，一点点来，哪个简单先来哪个。0x01 任意文件包含漏洞 /bug/file_include/any_include.php输入/etc/passwd直接来了0x02 目录限制文件包含 /bug/file_include/include_1.php怎么越做越像DoraBox。。。。直接输入/etc/passwd没有回显，从名字来看大概率是加了...

2019-11-25 23:15:25 495

原创 BWVS-上传漏洞

0x00 前言这个不用多说了，搞起来，推荐看看这个Upload-labs0x01 Apache文件解析漏洞 /user/updateAvatar.php太不走心了。。。其实就是在修改用户头像的地方。先传一个php上去。速度太慢了，明显前端限制。那就改改呗，改完了以后。。。这里就不试了，直接看源码<?phpinclude_once('../bwvs_confi...

2019-11-25 22:14:37 590

原创 BWVS-XSS漏洞

0x01 反射型 XSS /bug/xss/reflect_xss.php输入<script>alert(1)</script>就直接弹框了。0x02 反射型 XSS 2 /search.php输入<script>alert(1)</script>好像是把/过滤了，换个没有闭合标签的试试<input type=text onclic...

2019-11-25 20:00:10 465

原创 DoraBox-代码/命令其他

0x00 前言DoraBox最后一篇了，把其余的都写进来。感觉这个靶场弄的好快。。。0x01 任意代码执行输入test得到如下报错，原来用的是assert函数那这里直接就可以使用phpinfo()了。0x02 任意命令执行运行cat /etc/passwd出来的结果。。只有一行输出，其实这个时候干啥都可以，比如echo xxx > /var/www/html/xxxx...

2019-11-25 17:45:47 991

原创 DoraBox-文件包含文件上传

0x00 前言文件包含这个就不用多说了，玩了很多了，各个靶场都会有的东西。文件上传是getshell的最常用手法之一，有时也会配合文件包含一起getshell，看这个吧，很全，Upload-labs。0x01 任意文件包含用的include()函数，比如我这里可以读/etc/passwd没有什么很特别的限制0x02 目录限制文件包含发现多了一个./，应该只能用相对路径来完成...

2019-11-25 14:49:16 1222

转载报错注入：extractvalue、updatexml报错原理

MySQL 5.1.5版本中添加了对XML文档进行查询和修改的两个函数：extractvalue、updatexml名称描述ExtractValue()使用XPath表示法从XML字符串中提取值UpdateXML()返回替换的XML片段通过这两个函数可以完成报错注入一、extractvalue函数ExtractValue(xml_frag, xpath_ex...

2019-11-25 13:33:20 795

原创 BWVS-SQL盲注类型判断

0x00 什么是盲注刚刚有个接触这个的时候，有个cisp-pte讲师，具体哪家就不说了，讲了一句特经典的解释，jb注就行了，真是牛逼这种人，连几个扫描软件都不会装的人怎么当pte讲师的，坑爹玩意。。。盲注，在刚刚开始学习的时候一直在纠结，什么是盲注，刚刚开始的时候一直理解为没有报错的注入，后来了解更多的注入后才发现，并不是。盲注以个人理解的来说，指的应该是传参后没有回显点的注入，有不同的方式...

2019-11-25 13:21:21 1275

原创 BWVS-SQL注入类型判断

0x00 SQL注入类型感觉好像都很简单，看来需要合并来写了，之前不知道有没有写过数字型和字符型的区别，趁这个机会来写下吧。首先说下什么是数字型，想弄清楚到底是什么型的，那么就得通过select语句来进行判断，比如下面这条语句select username from user where id=xxx对于网站来讲，我们能够控制的参数就是xxx了，如果xxx传入去能够成功执行的语句那就是好...

2019-11-25 11:14:21 1262

原创 DoraBox-CSRF SSRF

0x00 基础知识之前做DVWA时用的都是写入型的CSRF，这次又学习到了新的东西，可以的，开心。先了解什么是JSONP，看了几篇文章，看完了才动手做的。说说JSON和JSONP，也许你会豁然开朗，含jQuery用例详解JSON和JSONP劫持以及解决方法JSONP 安全攻防技术（JSON劫持、 XSS漏洞）浏览器的同源策略及跨域解决方案0x01 CSRF JSONP劫持现在...

2019-11-25 01:56:41 959

原创 DoraBox-SQL注入 XSS跨站

0x01 SQLi 数字型还是很方便学习的，连语句都有了，基础的就不写了，直接写payload吧，不懂的可以先看前面DVWA，要是DVWA哪还有不详细的可以留言我，我再去改。由于是数字型，并且没有过滤，所以直接and 1=2就可以看到页面发生变化，拿database就停手，哈哈。1 and 1=2 union select 1,database(),30x02 SQLi 字形型...

2019-11-24 19:27:40 436

原创 JS match()的学习

0x00 match()没有时间系统学习JS，就只能在练靶场的时候针对性的慢慢积累了，年龄大了。。。JS中的match()有两种用法stringObject.match(searchvalue)stringObject.match(regexp)如果是第一种，就直接在里面接字符串，如果是第二种，就必须接正则。返回值存放匹配结果的数组。该数组的内容依赖于 regexp 是否具有全局标...

2019-11-24 19:21:27 3752 1

原创搭建学习环境(六)——DoraBox

0x01 前言BWVS实在玩的不过瘾，每天就搞一关熟悉代码审计吧。DoraBox似乎在github上的链接已经打不开了，是一个朋友发给我的，反正不想学习就来搞下靶场，准备把常见的靶场都玩一遍。下载地址：百度云盘0x02 安装使用之前已经搭过很多环境了，所以一些底层的东西我这就不写了。直接将包放到网站根目录。看这情况有个pentest.sql，应该是要导入数据库文件信息了，首先进入...

2019-11-24 15:30:15 2134

原创 BWVS-SQL报错型注入

0x01 漏洞位置：/messageSub.php其实就是这里的留言板，先看源码<?phpheader("Content-type: text/html; charset=utf-8");include_once('./bwvs_config/sys_config.php');if(isset($_POST['submit']) && isset($_SESSIO...

2019-11-24 14:34:56 604

原创 Flash XSS 学习整理

0x00 Flash XSS本来想放弃的，问了大佬，还是说可以研究下。。。所以硬着头皮来弄了。什么是flash xss？xss一是指执行恶意js，那flash xss呢？是因为flash有可以调用js的函数，也就是可以和js通信，因此这些函数如果使用不当就会造成flash xss。常见的可触发xss的危险函数有：getURL，navigateToURL，ExternalInterface....

2019-11-24 03:30:30 1077

原创 DVWA XSS #06-Flash02

0x01 WooYun-2012-16598这里我们要弹两次框才算成功，直接看flash的源码。{var func:String=root.loaderInfo.parameters.func; //接受FLASH所带的func参数 ExternalInterface.call("alert",func); }和一把很像，但是这里是第二个参数可以传，由于函数名已经是alert，所以...

2019-11-24 03:17:45 338

原创 DVWA XSS #05-Flash01

0X01 WooYun-2012-16532这题就是考flash的，直接看源码吧。<?php /*I know you are lazy.So I decompiled the swf file for u.我知道你很懒所以我帮你把swf反编译好了*//*var func:String=root.loaderInfo.parameters.func;...

2019-11-24 01:33:18 263

原创 XSS-labs Level 20 Flash XSS

level 20 Flash XSS一片空白的flash，上一关的思路的没有了，只有来审计代码了。。。package{ import flash.display.LoaderInfo; import flash.display.Sprite; import flash.display.StageScaleMode; import flash.events.Event;...

2019-11-24 00:28:47 2574 2

原创 XSS-labs Level 19 Flash XSS

level 19 flash xss查看前端代码，发现访问swf的时候在传参接下来直接访问这个链接。这里可以看到flash里面提示sifr.js是没有定义的，这不仅仅是个图片。。。需要对flash进行反编译查看源码，使用的是jpexs，没想到有一天我也会干这样的事了，羞耻啊。。。通过sifr找到了对应的脚本位置，比较长，就一点点说明过程了。在此脚本中找到了flash显示的信息，...

2019-11-23 16:49:15 3775 6

原创 BWVS-SQL搜索型注入

0x01 漏洞位置 /search.php这次是真的是搜索型注入了。对了，这是我提前去留言了的，很神奇不显示留言信息，源码里面都有输出的。。源码里面发现，居然打错了大小写，算了，BWVS也被打成了DWVS，不影响还是能做的。看下面一段waf代码。。。if (!empty($_GET['search'])) { $content = $_GET['search']; ...

2019-11-23 14:00:08 830

原创 BWVS-SQL联合查询注入

0x00 漏洞位置：/user/logCheck.php一开始就坑爹，写的这两个位置，然后不能直接访问，先说logCheck.php吧，这个页面其实是在登陆页面login.php的，当提交到用户名和密码的时候就会把信息提交到logCheck.php。还是POST方式的，burpsuite弄起来，搞了半天，我擦，还有WAFfunction login_waf($log_name){ ...

2019-11-23 00:36:35 994

原创搭建学习环境(五)——BWVS

0x00 前言每次要考试的时候就不想学习，还是来快乐吧。。。BWVS（Bugku Web Vulnerability System）是一款使用PHP/MySQL编写的开源Web靶场，为网络安全爱好者和网络安全工作者提供一个练习环境。靶场都做了不少了，现在装这个也是小意思了。可以从github下载，也可以去云盘f0w7 里面下载，我从github上下载的丢失文件，用云盘的吧，我服了。。。...

2019-11-22 22:27:52 1276

转载 XSS编码问题以及绕过

常用的编码URL编码：一个百分号和该字符的ASCII编码所对应的2位十六进制数字。例如“/”的URL编码为%2F#：%23;. ：%2e;+ ：%2b;< ：%3c;>： %3e;!：%21;空格：%20;&： %26;(：%28;)： %29;”：%22;’ ：%27;HTML实体编码：以&开头，分号结尾的。例如“<”的编码...

2019-11-22 15:45:03 1569

原创 DVWA XSS #04-Encoding

0X01 WooYun-2012-16041GOGOGO，走起来。有做实体转义，用上关的payload来试。换行无效，还是被"闭合着，上一关可以换行的原因大概是因为最前面有个//。而且用的是innerHTML，所以就不能用<script>这种有闭合标签的了，用svg或者img之类的都可以。那另外一个关键的地方在于，<>都被实体转义了，所以这里使用\u003c和...

2019-11-22 15:34:20 230

空空如也

空空如也