weixin_73760178的博客

通过提示>寻找LV6 >购买修改支付逻辑>绕过admin限制需修改wt值- >爆破jwt密匙> 重组jwt值成为admin->购买进入会员中心>源码找到文件压缩源码> Python代码审计反序列化>构造读取flag代码进行序列化打印->提交获取。环境介绍：利用python-flask搭建的web应用，获取当前用户的信息，进行展示，在获取用户的信息时，通过对用户数据进行反序列化获取导致的安全漏洞。Pickle.dumps是序列化操作，pickle.loads是反序列化操作。

操作成功，且得知了是admin操作的，这就说明在序列化下存在admin的权限，且只有此功能存在了对序列化的读取才会知道有admin用户，故存在反序列化操作。Person person = new Person("xiaodi", 28, "男", 101);System.out.println("person 对象反序列化成功！利用：当我们对序列化后的数据进行数据更改，构造出恶意代码，再放回去，便形成了反序列化攻击。发现，data里有反序列化数据，解密一下（base64解密java_bs.py+

此页面以GET方式select的变量接收，根据代码逻辑，得知__destruct方法在程序结束后被调用且password需等于100，__construct方法用new进行构造接收name和password 的值，__wakeup方法，在使用unserializ后自动调用，此时这里就出现了问题。方法，不知道它的具体是什么才可触发，所以先把它姑且为不可访问的类型，也就是可被__call()、__get()所触发，若不存在，则会调用__get函数与__call方法类似，只不过是其对象属性。

由于序列化的特性是可以更改变量的属性，那么核心点在backDoor那里的话，就要尝试去引用此对象，这里使用__construct的方法，去更改它的new的属性值改为new backDoor() 原因是：$class变量作为私有变量，必须要new的形式才可进行，而序列化的特性，只能修改属性，所以最佳的修改点就是__construct。——这里指用一次序列化后，会进行一次性的使用，使用完就自动销毁，则刚好可以触发魔术方法。在构造时，要对backDoor对象的$code变量，更改属性值，让eval函数进行执行。

AboutController文件: {pboot:if(eval($_ POST[1]))}!流程:搜索特定函数->parserltfLabel->parserCommom-> About&Content->构造。显出来了，说明此功能点为代码执行RCE，那我们进行调用系统命令去查看当前文件system(‘ls’);第二种：利用php的特性，反引号会让php以为此代码为系统命令，进行执行。由于它的c变量，进行了文件包含，那就直接以文件包含的形式进行注入即可。让RCE转到文件包含中，在文件包含中，进行绕过。

分析代码逻辑，img是一个可控变量$thumb_dir会被加入../data的前缀，act=del_img为if的判断语句。分析：比较鸡肋，因为正常来说，是要进入后台才能进行的功能，也就是说只有等管理员配置不当的情况，就可以尝试。函数关键字搜索unlink等，发现可控变量/upload/admin/admin_article.php。因此，访问其功能点http://127.0.0.1/xhcms/admin/?、文件下载 Ø 审计分析-文件下载-XHCMS-功能点。文件读取：基本和文件下载利用类似。

url编码2次: php//filter/write=convert.base64-decode/resource=123.php content=aaPD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg==因为考虑到urldecode，因此需要进行加密，从而去满足函数的要求，网页会第一次解密，函数会第二次解密，所以我们需要连续加密两次。url编码2次: php://filter/write=string.rot13/resource=2.php。

因此，可以从到无回显的网页中，排去无回显的其他原因（代码写错、网络问题、没有漏洞等情况），当工具网页中，出现了来自内部的iP，则说明XXE漏洞存在，只是不回显数据。将读取到的文件信息，保存到指定地址中，并让本地接收的文件写入get.php，对读取的文件信息进行收集保存到本地file.txt。输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。那就远程读取文件，将文件进行保存，再用get.php进行读取，存入file.txt文件，获取相关内容。

11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法（inurl:）加上这些关键字去寻找SSRF漏洞一些的url中的关键字: share. wap、 url、 link. src、 source. target. U、3g、 display、sourceURI、imageURL. domain..这些是都会向服务器去请求我们所发送的信息，若配置不当，我们输入了访问它自身的地址，则会回显出它自身的情况。号或其他的号就被盗了。网站采集，网站抓取的地方：一些网站会针对你输入的。

11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法（inurl:）加上这些关键字去寻找SSRF漏洞一些的url中的关键字: share. wap、 url、 link. src、 source. target. U、3g、 display、sourceURI、imageURL. domain..这些是都会向服务器去请求我们所发送的信息，若配置不当，我们输入了访问它自身的地址，则会回显出它自身的情况。举个生活中的例子：就是某个人点了个奇怪的链接，自己什么也没输，但。

直接写入js弹窗，发现直接爆了，一般的是需要通过获取Cookie等信息，构造链接让管理员点的，但属于这种刷题的，网站会自动配个机器人辅助点击，同时将此服务器作为本地，无需考虑跨站。如果我们将注册的账号密码改成JS代码，在管理员查看账号密码的时候会触发JS，从而发送到我们的本地文件，拿到cookie信息——实现跨站攻击。分析：此修改密码的功能并没有对账号进行验证，即只要是个用户，则访问该网址都会进行修改密码，那么当管理员访问了该网站，也会对密码进行修改。——即获得当前的页面源代码（一些靶场会屏蔽xss平台）

（打包好木马，第一次解压时，设置为解压前的木马还没解压出来，无法执行，第二次执行时，前一次解压的木马已经出来了，所以解压前运行木马文件可以上线。本身对Cookie进行过滤，而xss平台只能解析一部分，Cookie用不了/解密不了。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行。劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等；代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵。资料，从而获取用户隐私信息，或利用用户身份对网站执行操作；

浏览器自身的漏洞缺陷，即当浏览器进行翻译的时候，会将里面的 代码进行执行，即使已经过滤了，当翻译的时候就会将此代码执行。mXSS中文是突变型XSS，指的是原先的Payload提交是无害不会产生XSS，而由于一些特殊原因，如反编码等，导致Payload发生变异，导致的XSS。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行。劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等；网络钓鱼，包括获取各类用户账号；

比如我们在这里注入出来的仅仅是服务器的数据，而XSS大多数的数据都是针对于人，并且此漏洞也不能对其他人造成危害，因为我们给他们的是一个地址，无法进行UA头的修改。就是在输入输入的地方，倘若输入一个js\html等代码，使这个网页可以对此代码进行执行的话，这就是xss攻击。条件过于苛刻：但是对于将地址放到邮件中点开，就会自动接收文件，机主看不到，从而从后台默默安装，然后控制。接收和输出数据的过程都是由js来进行的，故将输入和输出的结果显示在前端上。资料，从而获取用户隐私信息，或利用用户身份对网站执行操作；

重命名页面是在html上执行的，之所以绕过是因为，页面上的xxxx.png的限制只是存在于前端，只是一个显示结果，以js的形式，并不是执行在php上。从上传文件分析，它将上传的信息放在了文件头部的位置；发现有个重命名的功能：进行抓包，猜测是以to为标准，所以进行参数修改，去掉.png改为php文件。从.htacess文件中发现，在此目录中对以上的文件，都会给于允许拒绝的权限，从而导致访问失败。当修改type后的，php是成功上传的，就是文件的路径更改了，那对于黑盒基本就寄了。

那么当我们写入1.php.jpg时，表面上的图片，但由于管理员的配置，所以会将此文件解析为php。上传带有后门的图片，再后面输入/*.php(*指任意)，即可被执行。此时发现，原本的图片被解析为.asp格式，因此也可以从此进行利用。因此我们可以利用文件上传，上传此文件类型，访问图片，生成后门。、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等。1.上传文件能不能修改上传目录或上传的文件名能增加命名。上传文件，在后面Hex里修改相关参数，进行绕过过滤。此时的图片是可以正常运行的，是一个正常的图片形式。

原理：首先是因为网站中对关键字符的过滤，使我们不能以正常的payload填入进去(也就是eval等)，为此我们利用include函数，去包含一个地址，此地址中的文件里是包含着payload的，由于地址的表达被过滤，所以需要IP地址转换进行绕过。分析：查看路径得知是.php的文件中执行的，这样就解释通之前的“前置”问题，如果路径是/upload/等这样的，就触发不了，需用.user.ini等文件进行触发，这里就包含了一个php文件——文件包含漏洞。、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等。

是指定一个文件可以在index.php里执行，所以它不是像前置中所提到的一样，况且它也是解析代码，它是在index.php中调用了.user.ini从而触发后门；日志文件：记录访问的地址和访问的信息和访问的UA头，我们将UA头改为payload，UA头流入日志文件中，再利用/user.ini去包含日志文件，去触发UA头中的payload。做了.user.ini文件配置之后，访问upload的情况——包含了日志文件，故显示出日志文件的内容。、绕过技巧：多后缀解析（PHP5），截断，中间件特性，条件竞争等。

一般的，代码上和数据库上的堆叠操作权限是不一样的，如果代码上允许堆叠，那数据库上一定可以，如果代码上不行，数据库也可以进行堆叠。那么此时我往username这个地方开始注册时就注入了SQL注入，那么此时显示出来的就是我SQL注入来的地方。通过注册完账号后，进行账号登录，此时发现我们的用户名被调用了，这时就可以估计此注入点是二次注入。过滤规则，select是被过滤的，还有一些注入常用语句也被过滤了，此时可考虑堆叠注入。解决不回显，反向连接，SQL 注入，命令执行，SSRF 等。