lonmar的博客

转载 srop attack（转载）

原创 Windows便签数据恢复

Ctrl+D把一个很重要的便签给删除了。。。也没提示=.=。我的Windows便签是在微软的商店里安装的，它的位置在：C:\Users\ThinkPad\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState这个文件夹下面有一些文件sqlite文件里面确实有数据。但是没有删除的那条。但是发现sqlite文件的修改日期为9:36，而我是下午删的。所以找别的文件：plum.sqlite-wa

原创 Exchange中的ACL利用分析

0x00安装Exchange服务器后会添加一个名为Microsoft Exchange Security Groups的OU，这个OU里面有一些权限很高的组。Exchange Trusted SubsystemExchange Windows PermissionOrganization Management下面仔细分析一下0x01 High Privilege Groups首先是Exchange Windows Permissions这个组，这个组的权限非常高，它对整个域对象拥有Write

原创 Microsoft Office全家桶激活踩坑

电脑自带的Windows激活踩坑记录。一般售后给的激活方法都是新建一个微软账号，但是我这里遇到了问题：注册了账户提示账户无Office订阅。排查：不能开代理，网络验证会无法通过。可以把代理关了再次尝试激活。代理关了之后登录账户显示服务或网络异常，依然无法激活，参考 https://zhuanlan.zhihu.com/p/108223406?utm_source=qq&utm_medium=social&utm_oi=1226652192176029696。下载一个补丁 http:

原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk题解

前言考察二次注入有关这方面总结: 网鼎杯2018-commit题解&二次注入&addslashes安全问题&insert注入 题解根据提示,读取代码然后把代码都读出来,进行审计.在change.php,发现了address仅用addslashes进行处理,而且插入数据库中的address会在下次查询中插入到新的dal语句中,存在二次注入然后尝试下MySQL insert语句特性所以可以尝试构造payload: address=’,`address`=(sql语句.

原创 HTTP request smuggling

浅谈Http请求走私

原创 [0CTF 2016] piapiapia 题解

反序列化字符逃逸

原创 CISCN2020_You_don‘t_know_PHP

前言2020华中赛区决赛的一道web题, 题目名字叫啥具体忘了,就先叫这个2333题目源码:链接：https://pan.baidu.com/s/11yuM9heXCwwGDLOjUP1Y-A提取码：lmar一些知识点php反序列化字符串逃逸

原创 浅谈PHP反序列化字符逃逸

本文目录前言0x01 序列化和反序列化serialize()unserialize()0x02 字符逃逸字符变多字符减少总结前言最近遇到了这个知识点,网上找了好几篇这方面的好像都不太仔细,自己来总结下0x01 序列化和反序列化serialize()所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量，但是不会保存对象的方法，只会保存类的名字如下面的:<?phpclass people{ public $nam

转载 mysql 5.7 全部函数汇总

名称 描述& 按位与> 大于运算符>> 右移>= 大于或等于运算符< 少于运算符<>， != 不等于运算符<< 左移<= 小于或等于运算符<=> NULL安全等于运算符%， MOD 模运算符* 乘法运算符+ 加法运算符- 减号- 更改参数的符号-> 评估路径后从JSON列返回值；等效于JSON_EXTRACT（）。->> （介绍5.7.13） 在评估路径并取消引用结果后，从JS

原创 SQLiLab刷题记录

sqli lab 通关手册

原创 CTFShow web入门123-150 (php特性(二))

CTFSHOW PHP特性篇 web123-150

原创 CTFShow-PHP特性篇(一) (web89-web115)

文章目录web89web90web91web92web93web94web95web96web97web98web99web100web 101web89数组绕过原理:且 preg_math()传入数组参数也会直接返回0web90?num=0x117c 0x117c会转为4476还是考察intval()函数intval( mixed $var[, int $base = 10] ) : intvar要转换成 integer 的数量值base转化所使用的进制 Note: 如果

原创 CTFShow web151-170 (文件上传)

web151前端检测类型,burp抓包修改文件名称即可文件上传思路,先上传一张图片马,再慢慢测试过滤规则(文件名,之类的)web152思路和前面的一致web153上传.user.ini配置文件 原理:https://www.dazhuanlan.com/2020/03/08/5e641cbc397c2/防挂 https://www.cnblogs.com/l0nmar/p/14053889.html发现很容易上传如php5,phtml等类型文件,但是不解析.通过插件识别为ngin

原创 CTFShow文件包含(web78-88)

web78php://input + POSTdata命令执行?file=php://filter/convert.base64-encode/resource=flag.phpweb79大小写绕过str_replacestr_replace() 函数替换字符串中的一些字符（区分大小写）。2. data://?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=web80大小写

原创 CTFSHOW web76 数据库读文件RCE

利用glob://绕过open_basedir限制读取目录再利用MySQL函数读取文件利用条件是知道数据库名称,密码等等可能数据库信息泄露的时候可以用这个try { $dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root'); foreach($dbh->query('select load_file("/flag36d.txt")') as $row) { echo

转载 bypass disable_function

主要参考https://www.anquanke.com/post/id/2084510x01 LD_PRELOADLD_PRELOAD是什么 : 参考 警惕UNIX下的LD_PRELOAD环境变量 https://blog.csdn.net/haoel/article/details/1602108绕过原理: https://blog.csdn.net/weixin_33738982/article/details/87979967攻击思路:1. 有上传权限,上传特定的PHP脚本,hack..

转载 PHP绕过open_basedir限制操作文件的方法

文章目录0x00 预备知识0x01 命令执行函数0x02 symlink()函数0x03 glob伪协议作者：PureT 原文链接:https://www.jb51.net/article/141767.htm0x00 预备知识关于open_basediropen_basedir是php.ini中的一个配置选项它可将用户访问文件的活动范围限制在指定的区域，假设open_basedir=/home/wwwroot/home/web1/:/tmp/，那么通过web1访问服务器的用户就无法获取服务

原创 ctfshow web入门 web57

文章目录0x010x020x03看wp分析一波只要凑出36即可0x01shell中各种括号()、(())、[]、[[]]、{}的作用和区别 : https://blog.csdn.net/qq_46091464/article/details/108563368${_}:代表上一次命令执行的结果$(()): 做运算0x02之前没有命令返回或者执行,结果应该是空,与""等价又 $((""))值为0,$((~$((""))))值为-1,再做拼接:所以可以拼接得到-37 , -37

原创 第五届上海市大学生网络安全大赛

webweb刷的题目还是太少了,SQL注入和SSTI的一些常见姿势,利用链都不知道,Orz千毒网盘扫描目录可以发现网站备份,下载得源码,进行代码审计首先发现了SQL语句,肯定要想到注入发现有过滤,直接绕这个过滤语句肯定绕不过去(引号都过滤了orz),所以再看看别的点发现在过滤语句下面可以进行变量覆盖,后面参数为EXTR_SKIP,所以就不能覆盖已有的变量但是想要注入就必须在$_POST[‘code’]上下手,而$_POST变量在程序运行时会自动创建.这时候看到最上面有个unse

原创 php伪随机数安全

随机数真的随机吗?PHP中的随机函数在PHP中,常用的随机数生成算法有rand(),mt_rand().这两个函数各有最大范围不超过2147483647,rand()的范围是很小的,非常不安全的,所以一般用mt_rand().<?php//on windowsprint getrandmax();//2147483647print mt_getrandmax();//2147483647?>然鹅mt_rand()在实现上也有缺陷.伪随机数是由数学算法来实现的,真正随机的地方

原创 原型链污染漏洞(一)

文章目录0x01 深入了解JavaScript对象与类0x02 什么是原型链污染0x03 哪些情况下原型链会被污染1. 最显然的情况2.利用某些API来进行攻击3. 找出易受攻击的API0x04 Attacking1. 拒绝服务2. for循环污染3. 属性注入0x05 针对Prototype pollution的防御1. 原型冻结2. Schema validation of JSON input3. 使用MAP代替Object4.Object.create(null)0x01 深入了解JavaScri

原创 php Session反序列化漏洞

PHP Session 序列化及反序列化处理器PHP 内置了多种处理器用于存取 $_SESSION 数据时会对数据进行序列化和反序列化，常用的有以下三种，对应三种不同的处理格式：有关session的配置session.save_path="" --设置session的存储路径session.save_handler=""--设定用户自定义存储函数，如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)session.auto_start boolen--指定会话模块是否在请求开始时

原创 php代码审计-file_get_contents()&file_put_contents()

file_get_contents()https://www.php.net/function.file-get-contents只需要了解filename即可filename可以是简单的一个文件path,相对路径或者绝对路径<?php// <= PHP 5$file = file_get_contents('./people.txt', true);// > PHP 5$file = file_get_contents('./people.txt', FILE_US

原创 md5(“ffifdyop“,true)

题目链接 http://web.jarvisoj.com:32772/抓包可以发现Hintselect * from 'admin' where password=md5($pass,true)md5()加入参数为true则会以字符串形式显示比较特殊的字符串–ffifdyop所以 select * from ‘admin’ where password=md5(‘ffifdyop’,true)所以直接输入 ffifdyop 就可以通过,万能密码...

原创 php弱类型相关

php的弱类型php是个弱类型的语言.= 赋值== 只比较值(比较的时候会发生类型转换)=== 全等于,值和类型!== 比较值和类型!= 只比较值数值和字符串比较,那么字符串会转换为数值常见的 =='' == 0 0 == falseNULL == 0 intval('')->int(0) intval('false')->int(0)123 == '123'0 == 'aa'1 == '1aaa' intval('1aaa')->

原创 BurpWeb安全学院之XXE

文章目录XXE漏洞如何产生利用XXE读取文件利用XXE执行SSRF攻击XXE盲注检测Burp Collaborator测试XXE盲注外部实体参数被过滤XXE盲注利用XXE报错注入利用本地DTD的XXE盲注实验室链接https://portswigger.net/web-securityXXE漏洞如何产生一些应用程序使用XML格式在浏览器和服务器之间传输数据.而服务器端又没有对XML数据进行很好的检查,就可能产生XXE漏洞.如: 某个网页可能传输如下的数据如果稍加修改:利用XXE读取文件要执

原创 ICMP隐藏通信隧道技术

文章目录简介icmpshPingTunnel实验一实验二Icmptunnel简介ICMP隧道简单实用,是一个比较特殊的协议.在一般的通信里,两台主机要进行通信必须开放端口.而ICMP协议就不需要.最常见的ICMP协议就是ping命令的回复常见的ICMP隧道工具有icmpsh,PingTunnel,icmptunnel,powershell icmp等ICMP隧道搭建条件: 目标主机必须支持ICMP协议的进出探测ICMP协议是否支持: 目标主机与攻击主机能够相互PING通即可icmpshi

原创 XML 相关漏洞

文章目录XML基础基础一个XML示例：XML的格式XML的属性DTD实体(1) 内部实体声明(2) 外部实体声明(3) 参数实体XML注入原理防御XXE注入漏洞介绍XXE类型有回显的本地文件读取读取文件CDATA无回显本地文件读取XXE的其他攻击方式通过XXE漏洞进行内网探测内网主机端口探测：通过XXE漏洞进行命令执行通过XXE漏洞进行DOS攻击XXE的防御：其他资源XML基础基础https://www.cnblogs.com/l0nmar/p/13337996.html一个XML示例：<?

原创 BurpWeb安全学院之敏感信息泄露

简单介绍信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容:有关其他用户私密数据的,财务信息,个人身份信息等敏感的商业数据有关网站技术细节,架构,如源代码等这种泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻击者通过恶意的交互从网站获得数据.一些敏感信息泄露的示例:通过robots.txt泄露网站隐藏目录,文件.或者站点结构网站站点的备份文件未删除导致的泄露,可能会泄露网站源代码没有正确处理网站的一些错误消息,在错误消息中泄露数据库表,字段等一些高度敏感的用户信息,银行账

原创 Git学习(基础)

文章目录Git简介git安装与配置Centos下安装配置Git工作流程Git 工作区、暂存区和版本库Git 创建仓库创建一个仓库克隆一个仓库基本操作获取与创建项目命令基本快照分支管理查看提交历史参考 https://www.runoob.com/git/git-tutorial.html建议到菜鸟教程学习Git简介Git 是一个开源的分布式版本控制系统，用于敏捷高效地处理任何或小或大的项目。git安装与配置Centos下安装yum install curl-devel expat-devel

原创 BurpWeb安全学院之不安全的反序列化

文章目录介绍1. 如何识别不安全的反序列化1.1. PHP序列化格式1.2 Java序列化格式2. 操作序列化对象2.1. 修改对象属性介绍实验2.2. 修改数据类型介绍实验3. 利用网站程序功能4. 魔术方法5. 注入任意对象介绍实验6. Gadget chains7. ysoserial8. PHPGGC9. Ruby 2.x Universal RCE Gadget Chain10. 构造PHP gadget chain11. 构造JAVA gadget chain12. PHAR反序列化介绍b

原创 python黑客编程(1)

文章目录socket网络编程uploadbytes与 str之间的转换sys库getopt主要代码端口扫描反弹shell基础知识subprocess主要代码ARP欺骗scapy主要代码Cookie嗅探目录爆破socket网络编程客户端, 发送数据到127.0.0.1:4444# Socket网络编程# 编写TCP客户端 ,服务端import socketdef main(target, port): # 1. 创建socket套接字 client = socket.socket(socke

原创 Redis数据库学习(基础)

文章目录Redis介绍Redis安装redis配置Redis数据类型Redis命令客户端基本语法: redis-cli在远程服务上执行命令Redis 键命令Redis 字符串(String)Redis HashRedis 数据备份与恢复redis安全性给redis加锁AUTHRedis介绍REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis 是完全开源免费的，遵守BSD协议，是一个高性能的key-va

原创 Mysql 身份认证绕过漏洞（CVE-2012-2122）

参考连接:https://www.freebuf.com/vuls/3815.html当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名，不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。而且漏洞利用工具已经出现受影响版本：MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 ar

原创 phpMyAdmin历史漏洞复现

简介phpMyAdmin是一个非常受欢迎的基于web的MySQL数据库管理工具。它能够创建和删除数据库，创建/删除/修改表格,删除/编辑/新增字段，执行SQL脚本等复现三个古老漏洞phpMyAdmin 4.0.x—4.6.2 远程代码执行漏洞（CVE-2016-5734）phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中，将用户输入的信息拼接进preg_replace函数第一个参数中。以下版本受到影响：4.0.10.16之前4.0.x版本4.4

原创 Ethical Hacking Course For Beginners -- session1

介绍YouTube 上初级课程地址 https://www.youtube.com/watch?v=U_EhnbpWhUQ本文为session1 笔记主要为工具:指纹识别工具 whatweb ,wordpress渗透工具 : wpscan生成密码的工具 : cewl ,混淆脚本 transmute等内网区域DMZ : demilitarized zone(隔离区,缓冲区等) 它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲

原创 Springboot未授权访问

Actuator简介Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息。如上所言，actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类：原生端点和用户自定义扩展端点，原生端点主

原创 字典攻击ssh弱口令

介绍SSH，Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题.SSH若有弱口令,则容易被挖矿程序等远程登录等等下面模拟 msf对ssh弱口令的攻击目标主机IP : 10.1.1.2使用metasploit对目标主机进行字典攻击使用的模块为 auxiliar

原创 内网信息收集(Windows)--本机信息收集

手动查询命令本机网络配置信息ipconfig /all查询网络配置信息可查询代理信息,否处于域中查询操作系统信息和软件信息systeminfo通过systeminfo可以查询OS名称,版本,系统安装时间,启动时间,补丁,域信息等查看系统体系结构 echo %PROCESSOR_ARCHITECTURE%查看安装软件的版本,路径等利用PowerShell命令，收集软件的版本信息： powershell “Get-WmiObject -class Win32_Product