0xdawn-CSDN博客

原创从几道CTF学习Blind XXE

0x00 前言对于传统的XXE来说，攻击者只有在服务器有回显或报错的情况下才能使用XXE漏洞来读取服务器端文件。例如<!ENTITY file SYSTEM "file:///etc/passwd"><username>&file;</username>如果服务器没有回显，只能通过Blind XXE构造一条外带信道来提取数据，也就是数据外带。一个实例xml.php<?phplibxml_disable_entity_loader(fal

2020-10-03 19:30:05 1102

原创一次渗透测试引发Json格式下的CSRF攻击

0x00 前言漏洞背景hw时期在电信三巨头之一旗下的子公司出差，做一下渗透测试。公网的业务主挖逻辑漏洞，但是每次挖着挖着就变成了CSRF攻击，出差半个月算是把这辈子的CSRF都给挖完了。testme师傅说的一句话：开发者修或不修，挖洞者觉得鸡肋不鸡肋，CSRF漏洞就躺着那里。这一次的体会很深，某云基本所有的业务逻辑都存在CSRF洞。CSRF原理还是来梳理一下大致的流程1.用户C浏览并登录信任网站A2.验证通过，Web A产生一个Cookie返回给用户C3.用户在没有等处的情况下访问Web

2020-06-24 15:24:27 1328

原创 PHP-Audit-Labs Day1：in_array函数缺陷

in_array() 函数函数介绍in_array() 函数搜索数组中是否存在指定的值。in_array(search,array,type)参数描述search必需。规定要在数组搜索的值。array必需。规定要搜索的数组。type可选。如果设置该参数为 true，则检查搜索的数据与数组的值的类型是否相同。如果search参数是字符串且type参数被设置为TRUE，则搜索区分大小写且检查数据类型。in_array绕过class Challenge{

2020-06-23 17:03:57 673

原创 GKCTF2020部分web

[GKCTF2020]CheckIN<?php highlight_file(__FILE__);class ClassName{ public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&

2020-05-28 09:30:15 921

原创 AWD之赛前赛后

0xdawn作为一名资深懒狗，距离上一次星盟四月AWD训练赛过去一个月，在五月训练前才开始整理AWD，请大佬轻锤。训练赛使用的是实验室自研的H1ve平台，强行安利一下H1ve顺便吹一波彭锅tql赛后总结我拿的是第一道题web_yunnan_simple来写的上线后上线一定要快，晚点上线人家马都给你安排上了修改ssh密码passwd username //回车输入新密码备份源码tar -zcvf /tmp/web.tar.gz /var/www/html/* //tar打包定期备份的话

2020-05-21 23:20:58 1738

原创 BUU CTF web(四)

[HarekazeCTF2019]encode_and_encode <?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob

2020-05-11 17:15:12 5017

原创 BUU CTF web(三)

[WesternCTF2018]shrineimport flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shr...

2020-04-30 18:58:58 7141

原创 XXE攻击面的一些总结

0x00 前言什么是XXE简单来说，XXE就是XML外部实体注入。当允许引用外部实体时，通过构造恶意内容，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如，如果你当前使用的程序为PHP，则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体，从而起到防御的目的。0x01 基础知识内部实体XML文档有自己的一个格式规范，...

2020-04-20 15:23:32 451

原创 PHP反序列化学习笔记

0x00 前言php程序为了保存和转储对象，提供了序列化的方法，php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串，但仅保留对象里的成员变量，不保留函数方法。php序列化的函数为serialize。反序列化的函数为unserialize0x01 序列化与反序列化序列化利用serialize()函数将一个对象转换为字符串形式<?php c...

2020-04-17 21:10:25 951

原创 BJD CTF web

Easy MD5响应头里的hint告知了sql语句：select * from 'admin' where password=md5($pass,true)password=md5($pass,true)ffifdyop这个字符串被MD5哈希了之后会变成276f722736c95d99e921722cf9ed621c，而这个字符串开头刚好是' or '6，而Mysql会把hex转为asc...

2020-04-10 00:44:36 1030

原创服务器端请求伪造笔记

0x00 前言SSRF，Server-Side Request Forgery，服务端请求伪造，是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。攻击思路攻击者可以利用SSRF实现的攻击主要有5种：可以对外网、服务器所在内网、本地...

2020-04-09 19:09:18 1790

原创 BUU CTF web(二)

[RoarCTF 2019]Easy JavaWEB-INF/web.xml泄露WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .j...

2020-04-08 11:08:50 2306

原创 Merak CTF2020 web

Ez_bypassI put something in F12 for youinclude 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; ...

2020-04-03 20:46:32 630

原创渗透测试之信息搜集

1.DNS和IP挖掘目标信息1.1 whois域名注册信息查询root@kali:~# whois 0xdawn.cn1.2 nslookup与dig域名查询root@kali:~# nslookup> set type=A //对IP地址进行解析> www.0xdawn.cnroot@kali:~# dig @dns19.hichina.com 0xdawn.c...

2020-03-26 21:08:53 820

原创 BJD CTF 2nd web wp

fake google正好是前段时间学过的flask ssti，先给出payloadname={{"".__class__.__mro__[1].__subclasses__()[81].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("cd ../;cat flag").read()')}}老样子，...

2020-03-25 03:48:26 937

原创 Flask SSTI/沙箱逃逸的一些总结

0x00 SSTI原理模板注入，与SQL注入、命令注入等原理相似，都是用户的输入数据没有被合理的处理控制时，就有可能数据插入了程序段中成为程序的一部分，从而改变了程序的执行逻辑。0x01 沙箱逃逸原理沙盒/沙箱沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行，即使病毒对其造成严重危害，也不会威胁到真实环境。类似于虚拟机的利用。内建函数当启动python解释器...

2020-03-18 15:26:19 1076

原创 HTTP参数污染攻击

服务器两层架构服务器端有两个部分：第一部分为tomcat为引擎的jsp型服务器，第二部分为apache为引擎的php服务器，真正提供web服务器的是php服务器。工作流程为：client访问服务器能直接访问到tomcat服务器，然后tomcat服务器再向apache服务器请求数据。HTTP参数处理在与服务器进行交互的过程中，客户端往往会在GET/POST请求中带上参数。通常在一个请...

2020-03-17 17:16:43 3583

原创 sqli-labs布尔盲注脚本的编写

0x00 前言此脚本基于sqli-labs/Less-5编写，采用ASCII码判断布尔类型，注入标志为"You are in…"。第一次独立编写完整脚本，感觉很多地方写的不好。条件分支，字典、列表的遍历都花了很长时间去弄无论是时间复杂度还是代码可读性，感觉都很拉跨。师傅们轻喷。。。以下是模块解析0x01 模块1.判断数据库库名长度def db_length(): db_l...

2020-03-12 22:46:23 1337

原创 XCTF web进阶区wp（二）

Web_php_include<?phpshow_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);}include($page);?>strstr(...

2020-03-04 10:32:46 472

原创 XCTF web进阶区wp（一）

001 Training-WWW-Robots查看robots.txt，发现Disallow: /fl0g.php，打开后得到flag。002 baby_web初始页面为index.php，bp抓包查看响应就行003 warmupF12拿到源码链接source.phphint.php：flag not here, and flag in ffffllllaaaagggg &l...

2020-02-28 15:51:04 933

原创 XCTF web新手区wp

001 view_source右键点击不了，F12查看源码拿到flag002 robots网络爬虫排除协议，在/robots.txt里可以看到flag所在的页面003 backup备份文件index.php.bak，下载下来打开就能拿到flag004 cookiebp抓一下cookie.php的请求，flag在响应里005 disabled_button前端将d...

2020-02-28 13:08:08 259

原创网络爬虫与信息提取

0x00 Requests库Requests库的主要方法方法说明requests.request()构造一个请求(主方法)requests.get()获取HTML网页requests.head()获取网页头信息requests.post()向网页提交POST请求requests.put()向网页提交PUT请求requests.pat...

2020-02-19 23:23:16 651

原创 Python十个实例（六）

0x00 二分查找# 返回 x 在 arr 中的索引，如果不存在返回 -1def binarySearch (arr, l, r, x): # 基本判断 if r >= l: mid = int(l + (r - l)/2) # 元素整好的中间位置 if arr[mid] == x: ...

2020-02-18 12:52:20 238

原创 Python十个实例（五）

0x00 移除字符串中字符str = input("请输入一个字符串：")n = int(input("请输入要移除的字符位置："))print("原始字符串为：" + str)new_str = ""for i in range(0,len(str)): if i != n: new_str = new_str + str[i]print("字符串移除...

2020-02-18 12:51:36 297

原创 Python十个实例（四）

0x00 约瑟夫环def josephus(n,k): #n代表总人数，k代表报数的数字 List = list(range(1,n+1)) index = 0 while List: temp = List.pop(0) index += 1 if index == k: index = ...

2020-02-14 21:22:51 1008

原创 Python十个实例（三）

0x00 ASCII转换def asc(): temp = int(input("ASCII转字符请按1，字符转ASCII请按2：")) if temp == 1: a = int(input("请输入一个ASCII码：")) print(a,"对应的字符为",chr(a)) elif temp ==2: c = inp...

2020-02-14 15:04:42 201

原创 Python十个实例（二）

0x00 判断奇偶while True: try: num = int(input("请输入一个整数：")) except ValueError: print("输入的不是整数！") continue if num%2 == 0: print("这是一个偶数!") else: pr...

2020-02-13 19:35:16 309

原创 Python十个实例（一）

0x00 Hello Worldprint("Hello World!")0x01 数字求和num1 = float(input("请输入第一个数："))num2 = float(input("请输入第二个数："))num3 = num1 + num2print("数字%.2f和%.2f相加的结果为：%.2f" % (num1, num2, num3))0x02 平方根...

2020-02-13 15:00:13 426

原创 ARP欺骗攻击学习笔记

0x00 前言 ARP欺骗是针对以太网地址解析协议的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可以篡改数据包，且可让网上特定计算机或所有计算机无法正常连线。0x01 ARP协议地址解析协议是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将...

2020-02-06 19:42:03 796

原创漏洞总结及修复

0x00 暴力破解暴力破解，是指黑客利用密码字典，使用穷举法猜解出用户口令，是现在最为广泛使用的攻击手法之一。如2014年轰动全国的12306撞库事件，实质就是暴力破解攻击。C/S架构Hydra破解MySQLhydra -L user.txt -P pass.txt 192.168.0.1 mysql破解FTPhydra -l admin -P pass.txt -t 5 ...

2020-02-05 19:25:11 3086

原创 CVE-2018-12613复现

0x00 漏洞描述攻击者利用发现在服务器上包含（查看和潜在执行）文件的漏洞。该漏洞来自一部分代码，其中页面在phpMyAdmin中被重定向和加载，以及对白名单页面进行不正确的测试。攻击者必须经过身份验证，但在这些情况下除外：$ cfg [‘AllowArbitraryServer’] = true：攻击者可以指定他/她已经控制的任何主机，并在phpMyAdmin上执行任意代码；$ ...

2020-01-31 21:48:33 4575

原创 DVWA实战测试之SQL Injection(含Blind)

SQL Injection0x01 Low级别源码分析<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM us...

2020-01-31 20:57:37 404

原创 DVWA实战测试之Brute Force

0x01 Low级别源码分析<?phpif( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); /...

2020-01-31 01:33:29 422

原创 DVWA实战测试之CSRF

0x01 Low级别源码分析<?phpif( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? ...

2020-01-30 02:18:41 420

原创跨站请求伪造学习笔记

0x00 前言跨站请求伪造（英语：Cross-site request forgery），也被称为one-click attack或者session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。0x0...

2020-01-30 02:17:36 384

原创 DVWA实战测试之File Inclusion

0x01 Low源码分析<?php// The page we wish to display$file = $_GET[ 'page' ];?>服务器端对page参数没有做任何的过滤跟检查。预期操作是点击下面的三个链接，服务器会包含相应的文件，并将结果返回。本地包含（LFI）报出绝对路径包含根目录下的phpinfo.php绝对路径：http:...

2020-01-08 16:18:14 250

原创 typecho反序列化漏洞复现

漏洞成因install.php中229-235行存在如下代码<?php$config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));Typecho_Cookie::delete('__typecho_config');$db = new Typecho_Db($config['adapte...

2019-12-13 22:38:26 286

原创 BUU CTF web题write up

0x01 WarmUp进来就是一个大大的滑稽，F12拿到源码链接source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["sour...

2019-12-10 18:41:08 5031

原创熊海cms代码审计

0x00 前言做这次代码审计的时候，距离看《代码审计：企业级web代码安全架构》一书已经过去了差不多一个月的时间了。借着这次机会，开启自己的代码审计之旅吧！0x01 seay自动审计环境搭建本地留了一份进行源码审计，虚拟机win7下搭建作为攻击利用本地审计把cms丢进seay源代码审计系统里，先自动审计一番发现34个可疑漏洞，接下来要做的就是逐一排查，以防误报0x02 ...

2019-11-10 20:28:04 2544 1

原创文件包含漏洞学习笔记

0x00 前言程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件而无需再次编写，这种调用文件的过程被称为包含。被包含的文件设置为变量，用来动态调用时，导致客户端可以调用一个恶意文件，造成文件包含漏洞。0x01 文件包含函数require:找不到被包含文件时会产生错误(E_COMPILE_ERROR)，并停止脚本include:找不到被包含文件时只...

2019-11-04 22:47:39 238

web漏洞挖掘快速入门.pdf

御剑后台扫描珍藏版.rar

空空如也