weixin_45534587的博客

Microsoft SQL server也叫SQL server / MSSQL，由微软推出的关系型数据库，默认端口1433常见搭配C# / .net + IIS+mssql。

高权限注入指的是攻击者通过SQL注入漏洞，利用具有高级权限的数据库账户（如MYSQL的root用户、MSSQL的sa用户、PostgreSQL的dba用户）执行恶意SQL语句。这些高级权限账户能够访问和修改数据库中的所有数据，甚至执行操作系统级别的命令。

id=-1' union select 1, 2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'#id=1' and 1=1%23，（%23代表#），其中and 1=1为真，所以返回结果相同。id=1' and 1=2%23，由于and 1=2为假，根据条件判断sql执行后是null的，所以返回未查到数据。

同样的使用union select来做，不同的是不需要知道列名，而是通过偏移爆出数据，但前提是查询的表必须比当前查询到的列数小，如该案例在上文中查询到22列，则如果要查询admin表的列数必须比当前查询的22列的列数少，因为要把查询到表塞进当前查询到列中，不理解往下看例子。union select 1,2,3,4,5,6,7,8,9,10,11,admin.* from admin --回显错误。在偏移6位之后回显正常，则知道admin有6列 ，而3和15是回显位，这里选择使用15回显。

SSTI，即服务器端模板注入（Server-Side Template Injection），是一种注入攻击，漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，没有严格控制对用户的输入，使用了危险的模板，导致执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。

1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现，第一个重点理解URL与javaweb代码框架的对应方式，java在没有代码的情况下是很难渗透的，下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。

从代码中可以看出 ，上传图片功能是通过js验证的，限制了大小和格式，我们可以通过浏览器禁用js代码来绕过，需要注意如果网站是纯js开发，直接禁用可能会导致网站打不开等问题。这时候可以用网站下载器可以去下载到源码，然后在进行禁用来绕过验证，但这个案例没能下载到源码，也不能直接禁用js，但是上传视频没有验证。Node.js CVE-2017-14849 漏洞产生的原因主要涉及Node.js 8.5.0版本中的一个特定逻辑错误，特别是在处理目录路径的normalize操作时。源代码简短，引入多个js文件。

注意在rate_picture方法中对rate的值使用了in_array方法来判断传进来的值是否在$conf['rate_items']中，并且没有加上第三个参数true，也就是说传进来的值不做类型判断，并且会强转来完成in_array的判断。找到$conf['rate_items']在config_default.inc.php定义，根据in_array可以知道rate只要前面数字在$conf['rate_items']，后面可以写任何字符，如1，select，都是可以满足条件的。上传一张图片测试一下。

可以看到会返回一个默认路径。可以看到代码中 if(substr(str_replace($_M['url']['site'], '', $dir),0,4) == 'http' && strpos($dir, './') === false)这个条件用于检测一个路径。源码中， $dir = str_replace(array('../','./'), '', $_GET['dir']);下面又if($_M['form']['pageset'])，这里又直接执行else赋值给$img。

这通常用于处理以特定前缀开头的数字字符串，如十六进制（以 "0x" 或 "0X" 开头）或八进制（以 "0" 开头），如果字符串不符合这些模式，它会被尝试解析为十进制数。注意：如果字符串不是一个有效的八进制或十六进制数（即，如果它包含除了 0-7 之外的字符对于八进制，或者除了 0-9 和 a-f（不区分大小写）之外的字符对于十六进制），那么。运算符比较两个字符串时，如果字符串以“0e”开头，后面跟着一系列数字，PHP 会将这些字符串解释为科学记数法表示的浮点数，并进行数值比较而不是字符串比较。

C#编译成DLL或EXE文件：C#编写的代码在编译时会生成DLL或EXE文件，这些文件包含MSIL代码。.NET提供运行时环境：.NET框架的CLR提供运行时环境，负责将MSIL代码编译成机器码并执行。DLL文件是.NET程序集：在.NET中，DLL文件是程序集的一种形式，它包含可由多个应用程序共享的代码。因此，C#、.NET和DLL文件之间的关系是：C#编写的代码编译成包含MSIL代码的DLL或EXE文件，这些文件在.NET框架的CLR运行时环境中执行。

它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，如PUT，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。可以像在操作本地文件夹一样操作服务器上的文件夹，该扩展也存在缺陷，利用PUT方法可直接向服务器上传恶意文件，控制服务器。如果移动成功，源资源通常会被删除，而内容则出现在新的 URI 下。使用桂林老兵工具上传一句话木马 ，直接上传asp会根据特性被解析，无法上传。

通过抓包给文件加上1.asp;.的前缀，使他保存的时候可以被执行。当加上前缀上传成功后，这时候就触发了IIS6.0默认不解析。号后面的内容，可以看到文件被当作asp解析了。IIS6.0默认不解析。如果不修改前缀上传就是正常访问图片。写一个木马文件，并改为jpg后缀。文件夹下的文件当成asp解析。我们用菜刀就可以链接成功了。解析，相当于分号截断。

IIS短文件名探针安全漏洞是一个与IIS（Internet Information Services）服务相关的安全问题。该漏洞主要是由于HTTP请求中使用了旧DOS 8.3名称约定（SFN）的代字符（〜）波浪号，这使得远程攻击者有可能在Web根目录下得到文件和文件夹名称，即使这些名称本不应该被访问。Windows 支持以 8.3 格式生成与 MS-DOS 兼容的（短）文件名，以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。利用工具：iis_shortname_Scan.py。

创建一个文本文件，输入一句话木马b，然后另存为ANSI编码。使用winhex打开刚创建的文本文件，将光标定位到首位，选择编辑-->粘贴0字节，添加2个字节。提交后文本被过滤了，所以菜刀无法连接，需要使用其他方法绕过过滤。将添加的两个字节改为FFFE， 保存再打开该文件，就完成了转码。会被执行解析，所以当进行访问时，会直接以asp的形式进行执行。根据asp被执行的特性，就可以使用菜刀执行连接了。┼攠數畣整爠煥敵瑳∨慡≡┩戾。配置启用父路径和主页指向。

当Web站点提供文件下载功能时，如果没有对下载请求进行充分的验证和过滤，或者服务器配置不当，就可能产生文件下载漏洞。攻击者可以利用这个漏洞，通过修改请求参数或尝试猜测或遍历服务器上的文件路径，从而绕过正常的访问控制，下载到不应该被访问到的文件，包括数据库文件（如MDB文件）。打开后台目录192.168.10.133/Admin/Admin_Index.asp报错问题是常规配置错误，需要在属性-->主目录-->配置-->选项下勾选启动父路径。选择网站-->默认网站-->右键-->打开。