- 博客(112)
- 收藏
- 关注
RSS订阅
原创 [漏洞挖掘]SRC-狮子鱼CMS-SQL注入
狮子鱼cms-SQL注入狮子鱼CMS ApiController.class.php 参数过滤存在不严谨,导致SQL注入漏洞FOFA语法:“/seller.php?s=/Public/login”后台登录界面漏洞点:ApiController.class.phppublic function goods_detail() { $goods_id = I('get.goods_id'); //gallery =>img_url /
2021-05-20 12:12:32
7339
5
原创 [漏洞挖掘]SRC-泛微OA文件上传
SRC–泛微OA任意文件上传泛微OA weaver.common.Ctrl 任意文件上传漏洞存在漏洞的路径为:/weaver/weaver.common.Ctrl/.css?arg0=com.cloudstore.api.service.Service_CheckApp&arg1=validateApp首页:请求包:FOFA: app=“泛微-协同办公OA” && is_domain=true普通注册会员只能获取5页信息。有FOFA会员可以直接通过API请求拿到I
2021-05-19 16:24:36
3954
2
原创 [漏洞复现]Struts2-057远程命令执行
Struts2-057远程代码执行漏洞复现影响版本:<= Struts 2.3.34Struts 2.5.16简述:定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。a1waysSelectFul1Namespace为true—action元素没有设置namesp
2021-05-22 15:55:00
552
原创 [漏洞复现]Struts2-016命令执行漏洞复现
Struts2-016命令执行漏洞Struts2有很多漏洞,但是很多老系统都漏补了这个洞,成功率较高。影响版本:2.0.0 - 2.3.15简述Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。redirect:和redirectAction:此两项前缀为Struts默认开启功能。在s
2021-05-20 18:17:37
3087
5
原创 [漏洞复现]ThinkPHP 5.0.x 未开启强制路由导致的RCE
ThinkPHP 5.0.x 未开启强制路由导致的RCE影响版本:ThinkPHP 5.0.5-5.0.22ThinkPHP 5.1.0-5.1.30环境:vulhub-master/thinkphp/5-rce启动docker环境之后访问:这个的版本是ThinkPHP 5.0.20版本:http://ip:8080/POC:http://192.168.17.134:8080/index.php?s=/Index/\think\app/invokefunction&func
2021-05-20 16:10:51
659
3
原创 [漏洞复现]Weblogic SSRF漏洞复现
Weblogic SSRF漏洞复现环境:vulhub/weblogic/ssrf漏洞点http://192.168.17.134:7001/uddiexplorer/SearchPublicRegistries.jsp通过抓包发现:将此处替换为其他的地址可以有不同的回显。例如:http://127.0.0.1:7001回显:weblogic.uddi.client.structures.exception.XML_SoapException: The server at http://1
2021-05-20 14:26:18
569
原创 [漏洞复现]ThinkPHP5 核心类 Request 远程代码执行
ThinkPHP 5.x 核心类 Request 远程代码执行漏洞复现影响版本:ThinkPHP 5.0.x ~ 5.0.23ThinkPHP 5.1.x ~ 5.1.31ThinkPHP 5.2.0beta1环境:vulhub-master/thinkphp/5.0.23-rce启动docker环境之后,访问:http://ip:8080/POC:POST /index.php?s=captcha HTTP/1.1Host: 192.168.17.134:8080User-Age
2021-05-20 14:22:48
464
原创 WAF绕过--小马绕过
WAF绕过之小马免杀WAF:安全狗-Apache版 v4正常的PHP一句话木马:<?php eval($_REQUEST[6]);?>对于这个正常的一句话木马,安全狗会拦截。关于拦截其实最主要的还是测试,看看Waf究竟怎么拦截。[最直接的检测应该是正则匹配]我们尝试只写<?php eval();?> 发现没有拦截,但是加了REQUEST[6]就拦截了那么我们是不是可以尝试测试看看究竟拦截_REQUEST[6]就拦截了 那么我们是不是可以尝试测试看看究竟拦截REQUES
2021-05-17 22:01:22
823
9
原创 [zkaq靶场]变量覆盖--duomi cms通杀漏洞
变量覆盖变量覆盖:值我们可以用我们的传参值去替换程序原有的变量值。经常导致变量覆盖漏洞场景有:$$使用不当;extract()函数使用不当;parse_str()函数使用不当;import_request_variables()使用不当,开启了全局变量注册等。$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值。因此就产生了变量覆盖漏洞。例如:<?php
2021-05-12 15:44:22
951
6
原创 [zkaq靶场]命令执行--IBOS协同办公系统通杀漏洞
命令执行命令执行相关函数system()能够将字符串作为OS命令执行,自带输出功能。exec()将字符串作为OS命令执行,需要输出shell_exec()将字符串作为OS命令执行,需要输出passthru()能够将字符串作为OS命令执行,自带输出popen()将字符串作为OS命令执行,但是该函数返回一个文件指针。反引号``反引号内的字符串也会被解析成OS命令。靶场本地测试本期主角:ibos(一款协同办公系统)版本:4.5.5安装:安装完成之后
2021-05-11 18:54:58
1768
2
原创 [zkaq靶场]代码执行--DouPHP-v1.5漏洞
代码执行相关函数与语句eval():会将字符串当作代码来执行。<?php @eval($_REQUEST["code"])?>单双引号输出问题:assert():如果传入字符串会被当做PHP代码来执行<?php @assert($_REQUEST["code"])?>与eval的区别:eval可以执行多行,而assert只能执行一行。当assert想要执行多行时,可以利用写文件的方式:file_put_contents("123.php","<?php
2021-05-10 18:56:29
968
5
原创 [zkaq靶场]文件包含--(phpMyAdmin-4.8.1 )
文件包含本地文件包含:LFI远程文件包含:RFI(需要开启配置选项:allow_url_include=On)靶场(phpMyAdmin-4.8.1 )本地测试审计全局搜索include,发现一些可疑之处:具体代码是这一块:需要执行到include需要满足这个if条件。我们可以来分析一下这个条件:(! empty($_REQUEST['target'])//条件1 is_string($_REQUEST['target'])//条件2 ! preg_match('/^index/
2021-05-10 18:54:37
302
2
原创 [zkaq靶场]XXE(XML外部实体注入)
XXE(XML外部实体注入)XML描述XML 被设计用来传输和存储数据,其焦点是数据的内容。XML标签没有被预定义,XML具有自我描述性。示例:<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE note [<!ELEMENT note (to,from,heading,body)><!ELEMENT to (#PCDATA)><!ELEMENT from (#PCDATA)><!E
2021-05-10 18:51:55
647
3
原创 [zkaq靶场]逻辑漏洞--支付漏洞
逻辑漏洞–支付漏洞案例:修改支付价格:https://www.uedbox.com/post/22477/修改支付状态:https://www.uedbox.com/post/24090/修改优惠券积分:http://woo.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0156253修改订单数量:https://www.uedbox.com/post/23143/越权支付:买自己的东西,扣别人的钱防御方法:后端检查每一项值,包括支付状态。
2021-05-10 13:49:36
1395
3
原创 [zkaq靶场]逻辑漏洞--越权
逻辑漏洞–越权参考案例:通过修改GET传参来越权:(https://www.uedbox.com/post/9900/)通过修改POST传参来越权:(https://www.uedbox.com/post/9549/)通过修改cookie传参进行越权(https://www.uedbox.com/post/12566/)未授权访问:https://www.uedbox.com/post/12151/靶场首页:点击注册之后我们随便注册一个用户:当前是普通用户,并且报修内容
2021-05-09 17:59:10
894
原创 [zkaq靶场]逻辑漏洞--验证码绕过(UsualToolCMS)
逻辑漏洞–验证码绕过、密码找回漏洞验证码绕过的常用姿势:一、前端验证验证码,并没有后端验证。直接抓包然后进行跑数据包,反正有没有验证码的阻碍二、验证码设置了但是并没有效验,乱输验证码也能够成功的登录三、验证码可以重复使用,比如现在的验证码1111,然后虽然你登录失败后验证码会变,但是你输入1111他却判定你验证码正确(常见)https://www.uedbox.com/post/14207/四、.验证码空值绕过,比如,我们现在抓一个包,发现登录参数是user=admin&password=
2021-05-09 17:58:06
2556
3
原创 [zkaq靶场]文件上传
文件上传靶场准备工作一个php一句话木马:oneword.php<?php @eval($_REQUEST[6]);?>一个图片马copy cat.jpg/b + oneword.php new_cat.jpg正常图片:cat.jpg图片马:new_cat.jpg第一关前端验证绕过,形同虚设,通过抓包修改即可。上传oneword.jpg,通过bp抓包修改为oneword.php将filename修改为oneword.php,即可成功上传。复制图片地址,打开菜刀。
2021-05-09 17:55:19
275
3
原创 [zkaq靶场]CSRF--dedecms跨站请求伪造
CSRF靶场环境首页:本地测试dedecms。在本地搭建dedecms测试环境。后台提供的新建文件功能。第一步、测试新建文件功能:点击新建文件:在此处新建一个一句话木马。可以新建php文件。第二步、生成CSRF Poc这次我们新建一个2.php文件,文件内容依然是与上面一样的一句话木马。然后抓包该请求。将该请求生成CSRF Poc。保存成2.html。然后在同一个浏览器的新标签页下打开2.html点击submit。2.php文件新建成功。这时,我们就可以认
2021-05-09 17:50:44
667
1
原创 [zkaq靶场]FineCMS的存储型XSS
Fine CMS 存储型xss漏洞本地测试安装(版本v5.3.0)tip:这个cms需要安装在网站根目录,不能安装在子目录然后访问install.php开始安装。完成安装,访问后台。默认账户密码:admin/admin。网站后台:提供错误日志查看功能。在错误日志页面,我们可以看到错误日志的存放位置:WWW/cache/errorlog/log-2021-03-26.php我们可以查看一下这个文件,然后输入一些内容测试一下。在该文件的最后一行加入了测试内容可以发现,后台的错误日志
2021-05-09 17:45:28
1247
原创 [zkaq靶场]XSS--DOM型XSS
DOM型xss知识点DOM(document object model)文档对象模型一个网页是由dom树构建而成,而js可以修改页面元素,也就是可以修改dom树中的节点。客户端可以通过js动态修改页面内容从而进行xss攻击。dom型xss常见函数:document.write():写入网页内容(可以接受native编码)innerHTML:修改节点内容eval:将字符串当作代码执行靶场首页:是一个聊天室查看页面代码发现此处使用了document.write()。而页面的url跟文本
2021-05-09 17:44:08
459
原创 [zkaq靶场]XSS--存储型XSS
存储型XSS靶场靶场cms是Fine CMS,其版本为v5.3.0。搜索该cms的漏洞。参考:https://www.jianshu.com/p/200ea62486d9简单来说就是,该cms会将错误日志写入文件,但是写入过程中没有对错误信息过滤,直接写入了文件。然后该cms后台提供错误日志查看功能,错误日志信息直接读取上述文件,当管理员在后台查看错误日志时,程序从文件中读取日志信息。所以攻击点在于控制错误日志的信息。当错误日志写入文件的信息可控时,管理员在后台查看错误日志,就可以触发xs
2021-05-09 17:42:00
360
1
原创 [zkaq靶场]XSS--反射型XSS
XSS-反射型XSSXSS(Cross-Site Scripting)。是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会收到影响分类反射型非持久型的,参数型跨站脚本。用户访问恶意链接,客户端浏览器执行恶意代码。一般容易出现在搜索框,输入框,url参数中存储型持久性的,恶意代码被写进数据库或文件永久保存。DOM型基于DOM文档对象的攻击。修改受害者浏览器页面的DOM树。DOM树一旦被修改,整个页面的DOM树都会重新
2021-05-09 17:40:36
394
原创 [zkaq靶场]SQL注入--access数据库-偏移注入
Access注入–偏移注入适用场景:当使用select * from admin与select admin.* from admin等价时,就可以在不知道字段名的情况下获取数据。union select 1,2,3,admin.* ,4,5,6 from admin通过偏移admin.*的位置来获得不同字段的数据,这时就不需要知道字段名了。靶场该处的sql注入为access数据库-cookie注入的漏洞点。偏移注入的漏洞点在:由于admin表里新增了一个字段,无法通过爆破得出,所以在此处
2021-05-09 17:34:25
372
原创 [zkaq靶场]SQL注入--Oracle报错注入
SQL注入–Oracle报错注入Oracle中用户的概念相当于库的概念。select * from all_tables:查询所有的表select * from user_tables:查询当前用户的所有表select * from all_tab_columns查询所有的字段select * from user_tab_columns:查询当前用户的所有表select * from v$version:查询版本意外插入:SQL语句的执行顺序: 5.SELECT [DISTINCT] 分
2021-05-08 21:55:20
443
原创 [zkaq靶场]SQL注入--MSSQL反弹注入
MSSQL反弹注入使用场景明明是SQL注入点,但是使用工具注入缓慢,或者错误提示信息关闭,无法返回注入结果等。较好的解决办法就是使用反弹注入。核心反弹注入的核心就是opendatasouce()函数。将查询的数据结果插入到我们自己的数据库中。opendatasource 为了方便理解,可以看理解为 ‘使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。语法:OPENDATASOURCE(provider_name,init_string)provider_n
2021-05-08 21:51:10
416
1
原创 [zkaq靶场]SQL注入--DNS-LOG注入
DNS注入介绍在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起请求,这个时候就可以通过DNS请求把想获得的数据外带出来。对于sql盲注,常见的方法就是二分法去一个个猜,但是这样的方法麻烦不说,还很容易因为数据请求频繁导致被ban。所以可以将select到的数据发送给一个url,利用dns解析产生的记录日志来查看数据。原理通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接
2021-05-08 21:48:54
233
2
原创 [zkaq靶场]SQL注入--access数据库-cookie注入
Access注入–Cookie注入知识点Cookie注入常见吗?老一点的ASP网站常见,PHP看版本,因为高于5.2以上的php版本他的$_REQUEST将不再接受cookie传参COOKIE注入时为什么要删除URL内的id传参因为它传参进去会有一个输出,cookie里我们也传参了一个id数值,他会优先接受GET的传参,具体也是要看语言的,我测试过,PHP会优先接受Cookie传参.为什么可以cookie注入因为在这里接受参数的时候使用了REQUEST,他可以接受get 和POST 和 CO
2021-05-08 21:46:58
194
原创 [zkaq靶场]SQL注入--布尔盲注
布尔盲注常用函数length()返回字符串长度substring() substr() mid()截取字符串: 参数1:字符串 参数2:起始位置,索引从1开始 参数3:截取长度concat()不带分隔符链接字符串concat_ws()带分隔符链接字符串: concat_ws(’-’,‘a’,‘b’,‘c’)group_concat()链接一组查询结果字符串ord() ascii()返回字符串的ASCII值left()从左边开始截取字符串: 参数1:字符串 参数2:截取的长度l
2021-05-08 21:44:06
181
原创 [zkaq靶场]SQL注入--时间盲注
时间盲注使用if函数,和sleep函数进行判断延时注入一判断数据库长度查看可知延时五秒作用,说明语句执行成功。然后再判断数据库名称,方法类似。结果使用SQLMAP测试出来,获得flag。Database: kanwolongxiaTable: loflag[5 entries]±-----±---------------+| Id | flaglo |±-----±---------------+| 1 | zKaQ-QQQ ||
2021-05-08 21:41:41
176
原创 [zkaq靶场]SQL注入--Header注入
SQL注入–Header注入Header注入一登录成功后,浏览器会存储一些信息.此处经过判断为User-Agent字段.抓包如下:使用报错注入:由于updatexml的第二个参数需要xpath 格式的字符串,concat函数用~符号开头不是xml的语法,所以就会将括号内的执行结果以错误的形式报出,这样就实现了报错注入。对User-Agent字段进行注入.User-Agent: 1' or updatexml(1,(concat(0x7e,(select database()))),1) a
2021-05-08 21:39:28
236
原创 [zkaq靶场]SQL注入--POST注入
SQL注入–POST注入POST注入POST型注入与GET型注入没有本质区别POST注入一输入账号密码,然后抓包检测出单引号闭合的方式,接下来就可以进行注入.检测出字段数username=admin’ order by 3–+&password=1&submit=%E7%99%BB%E5%BD%95检测回显点![]爆库username=admin1’ union select 1,2,database()–+&password=1&su
2021-05-08 21:36:12
439
原创 [zkaq靶场]SQL注入--显错注入
SQL注入—显错注入显错注入一注入点测试通过id =1 and 1=1 正常显示,id=1 and 1=2 不正常显示,判断此处存在数字型注入。判断回显点http://inject2.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 3–+判断出3列。http://inject2.lab.aqlab.cn:81/Pass-01/index.php?id=1 union select 1,2,3–+判断出回显点查询库名查询表名http:
2021-05-08 21:33:47
207
原创 [zkaq靶场]PHP简易论坛开发
PHP–简易论坛功能开发1.论坛首页:index.php提供注册和登录功能。<!DOCTYPE html><html><head> <title>cat forum</title></head><body><h1>welcome to cat forum</h1>welcome, please sign in.<br><a href="./register
2021-05-08 21:30:34
312
3
原创 DVWA--XSS(Stored)(存储型XSS)(全难度)
DVWA–XSS(Stored)(存储型XSS)原理参考:网络安全笔记-99-渗透-XSS逻辑输入姓名与留言,可以在下方显示。难度分级Low核心代码<?phpif( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize m
2021-03-03 15:01:40
342
2
原创 DVWA--XSS(Reflected)(全难度)
DVWA–XSS(Reflected)(反射型XSS)原理参考:网络安全笔记-99-渗透-XSS逻辑输入name,回显name难度分级Low核心代码<?phpheader ("X-XSS-Protection: 0");// Is there any input?if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user
2021-03-03 14:59:01
322
1
原创 DVWA--SQL Injection(Blind)(SQL盲注)(全难度)
DVWA–SQL Injection (Blind)(SQL盲注)原理参考:网络安全笔记-99-渗透-SQL注入逻辑输入框输入ID,然后判断该ID是否存在难度分级Low核心代码<?phpif( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $getid = "SELECT first_name, last_name FROM u
2021-03-03 14:54:51
243
1
原创 DVWA--SQL Injection(SQL注入-非盲注)(全难度)
DVWA–SQL Injection(SQL 注入)非盲注原理参考:网络安全笔记-99-渗透-SQL注入逻辑输入id查询用户名。难度分级Low单引号闭合,且有报错提示。核心代码<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_n
2021-03-03 14:52:25
346
1
原创 DVWA--Insecure CAPTCHA(不安全的验证码)(全难度)
DVWA–Insecure CAPTCHA(不安全的验证码)Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。逻辑这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
2021-02-20 19:05:32
588
1
原创 DVWA--File Upload(文件上传)(全难度)
DVWA–FIle Upload(文件上传)逻辑选择文件上传:难度分级Low核心代码<?phpif( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][
2021-02-20 19:02:49
2215
原创 DVWA--File Inclusion(文件包含)(全难度)
DVWA–File Inclusion(文件包含)原理参考:网络安全笔记-99-渗透-文件包含逻辑page参数的值不同,包含的文件不同。难度分级Low核心代码分析:该级别没有对参数进行任何过滤。利用包含本地文件:http://192.168.17.141/DVWA/vulnerabilities/fi/?page=C:\Windows\System32\drivers\etc\hosts本地文件包含目录穿越:http://192.168.17.141/DVWA/vulnera
2021-02-20 18:19:35
254
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人