0xdawn的博客

0x00 前言对于传统的XXE来说，攻击者只有在服务器有回显或报错的情况下才能使用XXE漏洞来读取服务器端文件。 例如<!ENTITY file SYSTEM "file:///etc/passwd"><username>&file;</username>如果服务器没有回显，只能通过Blind XXE构造一条外带信道来提取数据，也就是数据外带。一个实例xml.php<?phplibxml_disable_entity_loader(fal

0x00 前言漏洞背景hw时期在电信三巨头之一旗下的子公司出差，做一下渗透测试。公网的业务主挖逻辑漏洞，但是每次挖着挖着就变成了CSRF攻击，出差半个月算是把这辈子的CSRF都给挖完了。testme师傅说的一句话：开发者修或不修，挖洞者觉得鸡肋不鸡肋，CSRF漏洞就躺着那里。这一次的体会很深，某云基本所有的业务逻辑都存在CSRF洞。CSRF原理还是来梳理一下大致的流程1.用户C浏览并登录信任网站A2.验证通过，Web A产生一个Cookie返回给用户C3.用户在没有等处的情况下访问Web

in_array() 函数函数介绍in_array() 函数搜索数组中是否存在指定的值。in_array(search,array,type)参数描述search必需。规定要在数组搜索的值。array必需。规定要搜索的数组。type可选。如果设置该参数为 true，则检查搜索的数据与数组的值的类型是否相同。如果search参数是字符串且type参数被设置为TRUE，则搜索区分大小写且检查数据类型。in_array绕过class Challenge{

[GKCTF2020]CheckIN<?php highlight_file(__FILE__);class ClassName{ public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&

0xdawn作为一名资深懒狗，距离上一次星盟四月AWD训练赛过去一个月，在五月训练前才开始整理AWD，请大佬轻锤。训练赛使用的是实验室自研的H1ve平台，强行安利一下H1ve顺便吹一波彭锅tql赛后总结我拿的是第一道题web_yunnan_simple来写的上线后上线一定要快，晚点上线人家马都给你安排上了修改ssh密码passwd username //回车输入新密码备份源码tar -zcvf /tmp/web.tar.gz /var/www/html/* //tar打包定期备份的话

[HarekazeCTF2019]encode_and_encode <?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob

[WesternCTF2018]shrineimport flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shr...

0x00 前言什么是XXE简单来说，XXE就是XML外部实体注入。当允许引用外部实体时，通过构造恶意内容，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如，如果你当前使用的程序为PHP，则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体，从而起到防御的目的。0x01 基础知识内部实体XML文档有自己的一个格式规范，...

0x00 前言php程序为了保存和转储对象，提供了序列化的方法，php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串，但仅保留对象里的成员变量，不保留函数方法。php序列化的函数为serialize。反序列化的函数为unserialize0x01 序列化与反序列化序列化利用serialize()函数将一个对象转换为字符串形式<?php c...

Easy MD5响应头里的hint告知了sql语句：select * from 'admin' where password=md5($pass,true)password=md5($pass,true)ffifdyop这个字符串被MD5哈希了之后会变成276f722736c95d99e921722cf9ed621c，而这个字符串开头刚好是' or '6，而Mysql会把hex转为asc...

0x00 前言SSRF，Server-Side Request Forgery，服务端请求伪造，是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。攻击思路攻击者可以利用SSRF实现的攻击主要有5种：可以对外网、服务器所在内网、本地...

[RoarCTF 2019]Easy JavaWEB-INF/web.xml泄露WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .j...

Ez_bypassI put something in F12 for youinclude 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; ...

1.DNS和IP挖掘目标信息1.1 whois域名注册信息查询root@kali:~# whois 0xdawn.cn1.2 nslookup与dig域名查询root@kali:~# nslookup> set type=A //对IP地址进行解析> www.0xdawn.cnroot@kali:~# dig @dns19.hichina.com 0xdawn.c...

fake google正好是前段时间学过的flask ssti，先给出payloadname={{"".__class__.__mro__[1].__subclasses__()[81].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("cd ../;cat flag").read()')}}老样子，...

0x00 SSTI原理​ 模板注入，与SQL注入、命令注入等原理相似，都是用户的输入数据没有被合理的处理控制时，就有可能数据插入了程序段中成为程序的一部分，从而改变了程序的执行逻辑。0x01 沙箱逃逸原理沙盒/沙箱​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行，即使病毒对其造成严重危害，也不会威胁到真实环境。类似于虚拟机的利用。内建函数​ 当启动python解释器...

服务器两层架构​ 服务器端有两个部分：第一部分为tomcat为引擎的jsp型服务器，第二部分为apache为引擎的php服务器，真正提供web服务器的是php服务器。工作流程为：client访问服务器能直接访问到tomcat服务器，然后tomcat服务器再向apache服务器请求数据。HTTP参数处理​ 在与服务器进行交互的过程中，客户端往往会在GET/POST请求中带上参数。通常在一个请...

0x00 前言此脚本基于sqli-labs/Less-5编写，采用ASCII码判断布尔类型，注入标志为"You are in…"。第一次独立编写完整脚本，感觉很多地方写的不好。条件分支，字典、列表的遍历都花了很长时间去弄无论是时间复杂度还是代码可读性，感觉都很拉跨。师傅们轻喷。。。以下是模块解析0x01 模块1.判断数据库库名长度def db_length(): db_l...

Web_php_include<?phpshow_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);}include($page);?>strstr(...