- 博客(16)
- 收藏
- 关注
RSS订阅原创 苹果MAC-CMS漏洞复现(SQL注入+命令执行漏洞写shell)
前台修改密码处存在sql注入漏洞注册账户登录后发送POST查看数据库查看用户不过后续操作一直被拦截,暂未找到过滤方法命令执行漏洞直接获取php info信息写shell弱口令admin/admin/123456...
2021-05-19 09:49:59
3776
1
原创 WAF及WAF绕过
WAFweb应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。WAF绕过双写,大小写,替换关键字,编码绕过注入,十六进制编码,Unicode编码,使用注释,普通注释,内联注释,等价函数和命令,符号 and后or可用 &&和||生僻函数特殊符号双写绕过:less-25 (过滤了or和and)大小写绕过:less-27(过滤了union和select)替换关键字:编码绕过:(URL编码–十六进制编码—unicode编码等)
2021-05-01 22:04:52
148
原创 cookie注入 & Sqli-labs Less20
cookie注入cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数以cookie方式提交了,而一般的注入我们是使用get或者post方式提交,get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式,get和post的不同之处就在于一个我们可以通过地址栏处看到我们提交的参数,而另外一个却不能。♦相对post和get方式注入来说,cookie注入就要稍微繁琐一些了,要进行cookie注入,我们首先就要修改cookie,这里就需要使用到Javascript语言了。另外c
2021-05-01 21:50:47
254
1
原创 通达OA CMS后台任意用户登录漏洞复现
访问172.168.20.222/general/login_code.php拦截发送到重发器发送后获取CODEUID打开http://172.168.20.222/logincheck_code.php,抓包发送到重发器,变更post如果有cookie信息删除即可,然后将此前获取到的CODEUID信息按格式放至下方,发送获取PHPSESSID再访问172.168.80.125/general/index.php,抓包将PHPSESSID替换再释放即可绕过后台登录然后即可打开后台..
2021-05-01 15:35:41
1096
1
原创 宽字节注入& Sqli-labs Less 32
宽字节注入宽字节注入值得是当设置GBK编码后,遇到两个连续字节都符合GBK取值范围时会自动解析为一个汉字,从而达到将原来得过滤字符去掉的效果如图所示,id=1’单引号被自动过滤为\,导致参数始终被单引号包围无法逃逸。此时若编码为GBK可以使用宽字节注入,通过先增加GBK编码使得反斜杠失效如下图,反斜杠编码为%5c,GBK编码中%df%5c为某繁字体,此时单引号成功逃逸,从而能够进行后续注入。Sqli-labs Less 32测试发现单引号被转义为斜杠和单引号,因此只需要消除斜杠同理加上%
2021-05-01 11:27:04
200
原创 二次注入 & Sqli-labs Less 24
二次注入二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了sql二次注入。less-24先注册一个admin’#账户登录后修改密码最后发现实质修改了admin的账户原理注册用户时:仅对特殊字符进行了转义,判断输入两次密码是否一致,然后将用户
2021-05-01 09:30:24
211
1
原创 74CMS3.0 宽字节注入后台+任意文件写入获取shell复现
复现宽字节注入后台进入后台任意输入密码,填写正确验证码,开启burp抓包把拦截的包发送给重发器,修改admin_name如图所示,再点击发送成功进入后台复现任意文件写入如图所示构造post文件名和内容创建模板写入然后再访问写入路径即可原理分析admin_login.php<?php /* * 74cms 锟斤拷录页锟斤拷 * ======================================================================
2021-04-30 15:34:07
1076
2
原创 堆叠注入&Sqli-labs Less38\39
堆叠查询注入堆叠注入即在语句后加分号;结束一个sql语句后继续构造第二个语句从而达到一起执行的目的。和联合查询的区别联合查询的语句类型的有限的,只能执行查询语句,而堆叠注入可以执行任意的语句——union后只能跟select,而堆叠后面可以使用insert,update,create,delete等常规数据库语句。堆叠注入的使用条件比较有限,而且可能会受到API或者数据库引擎的限制,但一旦能够被使用危险很大。PDO通常可以执行多语句但无法直接得到注入结果,即只返回第一条语句的结果,所以在分号后往往
2021-04-29 21:17:56
181
原创 时间盲注及Sqli-labs Less9
时间盲注对于布尔值都不返回的可以尝试采用时间盲注,即根据sleep函数与if语句组合再根据页面响应时间来判断条件是否正确。时间盲注常用函数:left(m,n) 从左向右截取字符串m返回前n位substr(m,1,1) 取字符串m的左边第一位器,1字长的字符串ascii(m) 返回字符串m的ASCII码if(str1,str2,str3) 如果str1正确就执行str2,否则执行str3sleep(m) 使程序暂停m秒length(m) 返回字符串m的长度count(column_name)
2021-04-29 17:06:30
140
原创 手工和burp两种方式的布尔盲注及Sqli-labs Less 8
布尔盲注开发人员屏蔽了报错信息,只返回真假的两种情况能够进行布尔盲注布尔盲注的关键点在于将表达式结果与已知值进行对比,根据对比结果判断正确与否布尔盲注的判断方式通过长度判断 length():length(database())>=x通过字符判断 substr():substr(database(),1,1) =‘s’通过 ascII 码判断:ascii():ascii(substr(database(),1,1)) =xSqli-labs Less 8实践判断数据库名长度此处采
2021-04-29 10:28:51
609
1
原创 文件上传漏洞及Upload-labs Pass 1~5
什么是webshell web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,WebShell是一种用来进行网站和服务器管理的脚本程序,webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己编写的webshell上传到web服务器的页面的目录下,攻击者通过上传WebShell获得W
2021-04-26 19:58:32
254
原创 报错注入及Sqli-labs Less 5 & Less6
报错注入原理在mysql中使用一些特定函数来制造报错,后台没有屏蔽数据库报错信息,从而从报错信息中获取设定的信息。• 常用的爆错函数 updatexml(),extractvalue(),floor() ,exp()• 基于函数报错的信息获取(select/insert/update/delete)• updatexml()函数是 MYSQL 对 XML 文档数据进行查询和修改的 XPATH 函数;• extractvalue()函数也是 MYSQL 对 XML 文档数据进行查询的 XPATH
2021-04-22 17:38:30
146
原创 联合查询注入3:sqli-labs less 1&less 2 基于错误的 GET 字符/整型注入
基本上与grade靶场操作一致:https://blog.csdn.net/weixin_44925883/article/details/116007030由于题目已经给出为字符型注入,便不再做判断。判断输出位置爆数据库名及用户爆表名http://127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,(select group_concat(table_name) from information_schema.tables where tab
2021-04-22 15:21:31
145
原创 联合查询注入2:grade靶场登录框
万能密码原理数据库没有对前端输入的参数的合法性做过滤,同时账号和密码 一起输入,可以通过编写恶意语句,将用户与密码的输入结果判断为真,就实现了万能密码的登录。万能密码登录获得正常idgrade靶场万能密码: ‘or’1’='1万能账号: ‘or’1’=‘1’#判断字段数order by 3正常,order by 4错误爆输出位置可以看出输出位置为2爆数据输入长度受限可以修改maxlength剩余与查询框同理:https://blog.csdn.net/weixin_44
2021-04-22 13:56:30
324
原创 联合查询注入1:grade靶场查询框
union 联合查询注入是指通过将多条查询语句的结果合并为一个结果[首先判断是否存在注入点](https://blog.csdn.net/weixin_44925883/article/details/116005768)整型注入id=1 正常 id =1’异常id=1 and 1=1 正常 id=1 and 1=2 异常字符型注入注入 id=1 正常 id=1’异常id=1’and 1=1 --+正常然后判断数据表字段数整型id=1 order by 7字符型id.
2021-04-22 13:05:15
366
转载 字符型注入和整型注入的判断
SQL字符型注入和整型注入的判断由于SQL数据库中常用的被查询数据类型为整型和字符型两种,相应的在进行SQL注入的过程中也需要对注入点进行判断。数字型判断当输入的参 x 为整型时,通常 abc.php 中 Sql 语句类型大致如下:select * from <表名> where id = x这种类型可以使用经典的 and 1=1 和 and 1=2 来判断:Url 地址中输入 www.xxx.com/abc.php?id= x and 1=1页面依旧运行正常,继续进行下一步
2021-04-22 11:23:04
705
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人