weixin_45253622的博客

任意文件下载漏洞描述一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。测试指南使用 BurpSuite、或者手工抓取所有的url，以及寻找相关敏感的功能点，比如文件查看处，文件下载处等功能点，手工发送一系列 “…/” “./” 等字符来遍历高层目录，并且尝试找到系统的配置文件（/etc/passwd，win.ini等）或者该web站点相关系统中存在的敏感文件（如：java应用中的…/…/…/WE

Windows 提权文章目录Windows 提权1.系统内核溢出漏洞提权2.系统配置错误提权2.1 错误权限配置2.2 计划任务提权：2.3 可信任服务路径漏洞2.4 不安全的注册表权限配置2.5 启用注册表键 AlwaysInstallElevated3.组策略首选项提权4.bypassUAC提权5.令牌窃取6.数据库提权MSSQL提权：MYSQL提权MOF提权UDF提权各种CVE7.其他手法1.系统内核溢出漏洞提权利用系统本身存在的一些系统内核溢出漏洞，未打相应的补丁，攻击者通过对比systemi

文章目录内核漏洞提权利用SUID提权SUDO提权计划任务提权NFS提权MySQL提权内核漏洞提权# 查看系统发行版本lsb_release -a# 查看内核版本uname -a下载，编译生成exp文件bypass@ubuntu:~$ make Linux提权辅助工具 github项目地址：https://github.com/mzet-/linux-exploit-suggester.git（1）根据操作系统版本号自动查找相应提权脚本wget https://raw.githubu

端口利用扫描主机端口，找其它开放web服务的端口；访问其端口。修改HOST把host值修改为子域名或者ip来绕过。覆盖请求 URL尝试使用 X-Original-URL 和 X-Rewrite-URL 标头绕过 Web 服务器的限制。Request GET /auth/login HTTP/1.1 Response HTTP/1.1 403 Forbidden Reqeust GET / HTTP/1.1 X-Original-URL: /auth/login Re

RedisRedis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。从2010年3月15日起，Redis的开发工作由VMware主持。从2013年5月开始，Redis的开发由Pivotal赞助。默认端口：6379安全问题Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据，可导致敏感信息泄露，也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行lua代码，或通过数据备份功能往磁盘写

FastjsonFastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。Fastjson 源码地址：https://github.com/alibaba/fastjsonFastjson中文 Wiki：https://github.com/alibaba/fastjson/wiki/Quick-Start-CNFastjson特性：

漏洞简介Apache Log4j2是一款Java日志框架，大量应用于业务系统开发。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞（CVE-2021-44228）。Apache Log4j2远程代码执行漏洞由Lookup功能引发。Log4j2在默认情况下会开启Lookup功能，用于将特殊值添加到日志中。此功能中也支持对JNDI的Lookup，但由于Lookup对于加载的JNDI内容未做任何限制，使得攻击者可以通过JNDI注入实现远程加载恶意类到应用

漏洞编号：CVE-2017-10271漏洞描述：WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞，可以构造请求对运行WebLogic中间件的主机进行攻击。漏洞原理：Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。影响版本：10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0漏洞复现打开环境：c

影响版本2.1.0 - 2.3.13漏洞原理如果在配置result在action时使用了重定向类型，并且$ {PARAM_NAME}也被用作重定向变量，例如：<package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.action.UserAction"> <result name="redirect" type="redirect"&g

Struts2Struts2是一个基于MVC设计模式(java)的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架，本质上相当于一个 servlet。Struts2 基于 MVC 架构，框架结构清晰。通常作为控制器（Controller）来建立模型与视图的数据交互，用于创建企业级 Java web 应用程序。漏洞复现

漏洞描述互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149)，远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开，近期被不法分子利用出现大规模攻击尝试的可能性较大。漏洞危害程度为高危(High)。影响范围漏洞影响 5.x 和 6.x 版本的 JBOSSAS；目前评估潜在受影响主机数量超过5000台。漏洞原理JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JB

漏洞简介Oracle 2018年4月补丁中，修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞（CVE-2018-2628），该漏洞通过t3协议触发，可导致未授权的用户在远程服务器执行任意命令。漏洞原理远程攻击者可利用该漏洞在未授权的情况下发送攻击数据，通过T3协议（EJB支持远程访问，且支持多种协议。这是Web Container和EJB Container的主要区别）在Weblogic Server中执行反序列化操作，利用RMI（远程方法调用） 机

WeblogicWebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是Oracle的主要产品之一，是并购BEA得来。是商业市场上主要的Java EE应用服务器软件之 一，也是世界上第一个成功商业化

漏洞简介：Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块，其维护者发布了这样一个升级公告，主要说明在用户使用Whitelabel views来处理错误时，攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。Spring Security OAuth 支持使用标准 Spring 和 Spring Security 编程模型和配置习惯用法与 OAuth (1a) 和 OAuth2 一起使用 Spring Security。在使用白标签视图进行错误处理时，

NginxNginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like 协议下发行。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好。漏洞描述：对于任意文件名，在后面添加/xxx.php（xxx为任意字符）后,即可将文件作为php解析。例：info.jpg后面加上/xxx.php，会将info.jpg 以php解析。漏洞原理：查看 nginx 配置文件：cd /home/ch1/Desktop

Jboss常见弱口令：admin/adminjboss/adminadmin/jbossadmin/123456admin/passwordjboss 4.x 及其之前的版本 console 管理路径为 /jmx-console 和 /web-console；打开漏洞环境：进入漏洞命令行界面：docker exec -it [镜像id] /bin/bash登陆信息存放位置：cat /opt/jboss/jboss4/server/default/conf/props/jmx-co

JBoss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504）vulhub官方复现：https://vulhub.org/#/environments/jboss/CVE-2017-7504/漏洞描述：Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中，JbossMQ 实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java

在枚举用户名和密码的时候，往往会遇到很多防御措施。比如校验token,每次都需要更新token。这里记录一下绕过token限制的方法。首先使用BurpSuite抓包，发送到intruter模块，并对需要爆破的目标位置进行设置。（这里主要是为了演示绕过token限制，所以假设已知用户名为admin）给password设置字典user_token需要从页面中获取步骤：options->add->选中user_token的值。设置跟随重定向，方法如下：options->r

漏洞简介PHPMailer是一个非常强大的 php发送邮件类，可以设定发送邮件地址、回复地址、邮件主题、html网页，上传附件，并且使用起来非常方便。PHPMailer由于钓鱼系统sendmail命令，并且没有对输入做限制，攻击者可以通过利用 –X 参数把恶意代码写入 PHP 文件，达到执行命令的效果。PHPMailer百度百科利用条件：PHP没有开启safe_mode(默认)影响版本：<5.2.18版本漏洞复现1.启动docker服务service docker start2

目录漏洞描述影响版本漏洞复现使用MSF进行检测：使用Linux执行命令进行爆破复现：​使用python脚本进行复现：漏洞修复漏洞描述当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名，不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。影响版本MariaDB versions from 5.1...

Heartbleed心脏出血（英语：Heartbleed），也简称为心血漏洞，是一个出现在加密程序库OpenSSL的安全漏洞，该程序库广泛用于实现互联网的传输层安全（TLS）协议。它于2012年被引入了软件中，2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例，无论是服务器还是客户端，都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证（缺少边界检查），因此漏洞的名称来源于“心跳”（heartbeat）。该程序错误属于缓冲区过滤，即可以读取的数据比应该允

漏洞原理php-cgi是一个类似于消息的“传递者”，它接收web容器收到的http数据包，并把里面的数据交给PHP解释器执行。 php-cgi有两个功能，一是提供cgi方式的交互，二是提供fastcgi方式的交互。 cgi方式：web容器接收到http数据包后，拿到用户请求的文件（cgi脚本），并fork除一个子进程（解释器）去执行这个文件，然后拿到执行结果，直接返回给用户，然后子进程结束，但是这个cgi模式不能接收同时接收大量的请求，因为创建进程的时候会消耗服务器资源，资源也不是无限的，所以有了

XXE(XML外部实体注入)漏洞介绍漏洞复现漏洞防御漏洞介绍XXE(XMLExternal Entity Injection)也就是XML外部实体注入，XXE漏洞发生在应用程序解析XML输入时，XML文件的解析依赖libxml库，而libxml2.9以前的版本默认支持并开启了对外部实体的引用，服务端解析用户提交的XML文件时，未对XML文件引用的外部实体(含外部一般实体和外部参数实体）做合适的处理，并且实体的URL支持file://和ftp://等协议，导致可加载恶意外部文件和代码，造成

目录Pass-01（JS检测文件后缀名）禁用JS或抓包修改后缀名绕过Pass-02（文件类型限制）抓包修改文件类型绕过Pass-03（黑名单过滤）php3绕过Pass-04（黑名单过滤）.htaccess绕过Pass-05（黑名单过滤）大小写绕过Pass-06（黑名单过滤）空格绕过Pass-07（黑名单过滤）点绕过Pass-08（黑名单过滤）::$DATA绕过Pass-09（黑名单过滤）点+空格+点绕过Pass-10（黑名单过滤）双写绕过Pass-01（JS检测文

一、多后缀文件解析漏洞Apache的多后缀名特性：如果一个文件有多个后缀名，那么Apache会从后（右）往前（左）辨别后缀。所以攻击者在可以上传文件的地方上传hack.php.xxx的文件，假设网站有对php的后缀进行过滤，但判断是xxx文件，不在黑名单里，安全检查就会放行，然而Apache的多后缀名特性会以倒数第二个后缀".php"为准，把该文件当做是php文件，解析执行。但是需要把 php5.conf文件中的正则表达式的“$”换成"."，然后重启。总结：Apache文件解析漏洞就是由于用户在

一、SQL注入假设关键词被过滤掉，我们尝试以下绕过方法。1、大小写绕过注入id=1 AND 1=1 、id=1 anD 1=2 #查看是否存在注入id=1 And 1=1 、id=1 aNd 1=2 id=1 Order by 3....2、双写绕过注入id=1 anandd 1=1 、 id=1 anandd 1=2 #过滤andid=1 ororderby 3 #若过滤掉or则双写or即可3、编码绕过注入服务器会自动对URL进行一次URL解码，所以需要把关键词编码两次。注意，UR

（CVE-2017-12615）Tomcat任意文件上传漏洞漏洞介绍在一定条件下，攻击者可以利用漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。漏洞条件：存在漏洞的Tomcat运行在Windows主机上，并且启用了HTTP PUT请求方法（例如：将readonly初始化参数由默认值设置为false）影响版本Apache Tomca

（CVE-2018-2894）Weblogic任意文件上传漏洞漏洞成因Weblogic管理端未授权的两个页面存在任意上传getshell漏洞（jsp文件），可直接获取权限。两个页面分别为/ws_utc/begin.do，/ws_utc/config.do。Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在 ‘生产模式’ 下默认不开启，所以该漏洞有一定限制。影响版本weblogic 10

命令执行简介命令执行通常因为指web应用在服务器上拼接系统命令而造成的漏洞。命令执行直接调用操作系统命令。在操作系统中，“&、|、I"都可以作为命令连接符使用，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，将用户的输入作为系统命令的参数拼接到命令行中，在没有过滤用户输入的情况下，造成命令执行漏洞。场景该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能，或者一些站点提供如ping、nslo

XXE：“xml external entity injection”漏洞原理XXE(XMLExternal Entity Injection)也就是XML外部实体注入，XXE漏洞发生在应用程序解析XML输入时，XML文件的解析依赖libxml库，而libxml2.9以前的版本默认支持并开启了对外部实体的引用，服务端解析用户提交的XML文件时，未对XML文件引用的外部实体(含外部一般实体和外部参数实体）做合适的处理，并且实体的URL支持file://和ftp://等协议，导致可加载恶意外部文件和代码，造

SSRF定义：SSRF (Server-Side Request Forgery，服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞，本质是信息泄露漏洞。数据流:攻击者----->服务器---->目标地址漏洞原理SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如，黑客操作服务端从指定URL地址获取网页文本内容，加载指定地址的图片等，利用的是服务端的请求伪造。SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器

获取网站绝对路径，

报错注入报错注入是SQL注入的一种。利用前提：页面上没有显示位，但是需要输出SQL语句执行错误信息。比如mysql_error()优点：不需要显示位缺点：需要输出mysql_error()的报错信息报错函数1、floor报错注入floor()报错注入是利用count()、rand()、floor()、group by 这几个特定的函数结合在一起产生的注入漏洞，准确的说是floor,count,group by冲突报错。报错原理：利用数据库表主键不能重复的原理，使用GROUP BY分组，产生主

宽字节注入漏洞原理宽字节注入是由于不同编码中中英文所占字符的不同所导致的。通常来说，在GBK编码当中，一个汉字占用2个字节。而UTF-8编码中，一个汉字占用3个字节。在一般的sql注入时，参数id=1在数据库查询时是被单引号包围的。当传入id=1’时，传入的单引号又被转义符（反斜线）转义，导致参数ID无法逃逸单引号的包围，所以在一般情况下，此处是不存在sql注入漏洞的。不过有个特例，就是当数据库的编码是GBK时，可以使用宽字节注入，宽字节的格式是在地址后先加一个%df ，再加单引号，因为反斜杠的编

文件包含漏洞成因文件包含是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码，并让服务器端执行，代码注入的典型代表就是文件包含 File inclusion。文件包含可能会出现在jsp、php、asp等语言中。但是asp、jsp文件只能本地包含，而php既可以本地包含也可以远程包含。常见的文件包含函数：include 包含并运行指定文件，当包含外部文件发生错误时，系统给出警告，但整个php文件继续执行include_oncerequire 产生错误时，停止运行require_once更

文件上传过滤和绕过1、前端JS检查发现http请求没通过burp就弹出了不允许上传的提示框，说明验证点在前端，而不在服务端。网页源码function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; }

常见中间件漏洞小结Apache漏洞名称：1文件解析漏洞2畸形Range选项处理远程拒绝服务漏洞 1.3 2.XApache的安全加固：一是检查Apache Web Server本身是否安全，比如是否存在安全漏洞；二是Apache Web Server是否提供了可使用的安全功能，这部分主要是检查Apache的配置是否得当，在安全性、可用性、稳定性之间取得平衡。Tomcat漏洞名称：Tomcat管理页面弱口令(后台弱口令上传war包)Tomcat 样例目录session操控漏洞CNNV

常见Web漏洞小结1越权漏洞不同权限账户之间的存在越权访问检测抓去a用户功能链接，然后登录b用户对此链接进行访问抓去a用户功能链接，修改id为b的id，查看是否能看b的相关数据替换不同的cookie进行测试查看防范1服务器端必须对每个页面链接进行权限判断。2用户登陆后，服务器端不应再以客户端提交的用户身份信息为依据，而应以会话中服务端保存的已登陆的用户身份信息为准。3页面提交的资源标志与已登陆的用户身份进行匹配比对，然后判断其对当前链接是否有权限。4必须在服务器端对每个请求URL进行鉴