Web安全攻防
文章平均质量分 51
想冲大厂的癞蛤蟆
非知功,焉知防
展开
-
Apache Solr文件读取漏洞复现与POC脚本编写
0x00 漏洞概述Apache Solr 全版本存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标系统的敏感文件。0x01 影响版本全版本(ALL)0x02 漏洞复现这里使用docker进行安装docker pull solrdocker run --name solr2 -d -p 8081:8983 solr进入容器cd /opt/solr-8.8.1/server/solr/config/configsets/_defaultcp -r conf /var/solr/da原创 2021-04-15 14:06:55 · 1421 阅读 · 0 评论 -
实战复现Aapache Tomcat AJP(CVE-2020-1938)
漏洞简介Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器。由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。影响范围Apache Tomcat 6Apache Tomcat 7 < 7.0.100Apache Tomcat 8 < 8.5.51Apache Tomcat 9 < 9.0.31实战复现先通过扫描端口看到目标原创 2020-12-07 10:22:19 · 343 阅读 · 0 评论 -
Apache文件解析漏洞(\x0A,.htaccess,多后缀)
一、HTTPD 换行解析(CVE-2017-15715)Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。利用上传一个名为1.php的文件,被拦截:在1.php后面插入一个\x0A(也可在php后面写入%0A,对%0A做一个URL编码,也就是URL-decode)不再拦截:访问刚才上传的/1.php%0a,发现能够原创 2020-07-31 15:11:01 · 1468 阅读 · 0 评论 -
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)
在做web安全测试时,常常接手到啥功能都没有的页面。然而大多数站点都用到nginx服务器,不妨可以从这个角度去测试利用。 一、CRLF注入漏洞漏洞描述CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a(URL编码则是%0d,%0a)在HTTP协议中,HTTP header是用一个CRLF分隔的,HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样原创 2020-07-30 16:13:18 · 1208 阅读 · 0 评论 -
Tomcat任意写文件漏洞docker复现(CVE-2017-12615)
漏洞介绍当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件: 漏洞复现Tomcat version: 8.5.19使原创 2020-07-30 09:46:47 · 451 阅读 · 0 评论 -
sql注入绕waf小Tips
因为对上次比赛sql的题挺不甘心 所以又着重复习了一遍sql,并记录了平常绕waf的点手工bypass要点 先通过破坏关键字测试出拦截规则 之后进行针对性绕过Mysql前期详解:传送门1.1、联合注入0x01 and绕过直接 and 1=1 直接就会被拦截在数值的前面加特殊符号干扰匹配规则进行绕过在这里使用取反符号’-‘或者取逻辑位非运算符号’~'进行绕过and = &&or = ||%26 == &0x02 对order by ——> 判断表的字段原创 2020-07-04 11:06:23 · 684 阅读 · 0 评论 -
Redis未授权访问之ssh免密登录(踩坑)
关于Redis漏洞的详解及写shell、getshell的利用请出示门票:传送门利用原理利用 Redis 自身的提供的 config 命令,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接使用对应的私钥登录目标服务器。利用实验场景Redis服务器(靶机):Ubuntu 16.4 ----- 192.168.101.46Redis客户机(攻击机):Ubuntu 16.4 ----- 192.168.原创 2020-06-29 16:13:08 · 4442 阅读 · 0 评论 -
PhpMyAdmin4.8.1文件包含漏洞分析及复现利用(CVE-2018-12613)
漏洞原理攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。攻击者必须经过身份验证,但在这些情况下除外:$ cfg [‘AllowArbitraryServer’] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码;$ cfg [‘ServerDefault’] = 0:这会绕过登录并在没有任何身份验证的情况下运行易受攻击的代码。影响版本php原创 2020-06-28 16:03:28 · 1047 阅读 · 0 评论 -
EmpireCMS文件写入getshell
漏洞描述Empirecms V6.5后台自定义页面处通过任意文件写入可getshell①任意文件写入漏洞的原理通过提交数据,可以将任意的文件写入到网站中。②攻击者在获取到后台权限后,进行添加页面,添加成php页面,并且内容为一个PHP一句话木马,即可获得shell权限,威胁网站安全。 漏洞分析//后台自定义斜页面写入文件的方法WriteFiletext($path,$pagetext);...function WriteFiletext($filepath,$string){原创 2020-06-27 11:16:12 · 941 阅读 · 0 评论 -
Drupal远程代码执行(CVE-2018-7602)与其Poc分析
漏洞概述这个漏洞是CVE-2018-7600的绕过利用,两个漏洞原理是一样的。攻击者可以通过不同方式利用该漏洞远程执行代码。CVE-2018-7602这个漏洞是CVE-2018-7600的另一个利用点,只是入口方式不一样。所以,一旦参数可控并且没有经过正确的过滤,就很有可能出问题。 漏洞影响①对URL中的#进行编码两次,绕过sanitize()函数过滤②任意命令执行③…影响版本Drupal 7.x,8.x修复版本Drupal 7.59,Drupal 8.5.3,Drupal 8原创 2020-06-24 11:08:33 · 1841 阅读 · 0 评论 -
简单看懂Php伪协议
https://www.php.net/manual/zh/wrappers.file.phpfile:// 协议条件:allow_url_fopen:off/onallow_url_include :off/on作用:用于访问本地文件系统,用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。include()/require()/include_once()/require_once()参数可控的情况下,如导入为非.php文件,则仍按照php语法原创 2020-06-21 13:55:05 · 1241 阅读 · 0 评论 -
Drupal远程代码执行(CVE-2019-6339)——Dcoker复现
该漏洞概述漏洞简介Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。影响版本Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本危害远程攻击者可利用该漏洞执行任意的php代码。 漏洞复现原创 2020-06-20 13:59:27 · 524 阅读 · 0 评论 -
Redis未授权访问之反弹shell
Redis简介Redis 是一个高性能的key-value数据库。为了保证效率,数据都是缓存在内存中。redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步 漏洞简介1、什么是redis未授权访问漏洞Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证,会导致任意原创 2020-06-17 12:17:11 · 2042 阅读 · 0 评论 -
如何获取网站绝对路径(一)
一、通过页面报错找路径1、存在注入时单引号爆路径就像测试SQL注入一样在参数后面加上单引号,若页面返回内容可能爆出网站路径http://www.test.com/xxx.php?id=100'2、错误参数值爆路径若第一种方式触发waf,可通过错误参数值爆网站路径http://www.test.com/xxx.php?id=-100'http://www.test.com/xxx.php?id=AbCdE'3、通过搜索引擎获取通过搜索引擎语法搜索页面报错内容可能获取到网站路径Site:te原创 2020-06-16 21:34:02 · 3874 阅读 · 0 评论 -
phpmyadmin+日志getshell
通过phpmyadmin管理后台getshell思路有很多种,比如直接写入一句话、创建表再导出、慢查询日志等…这里较详细介绍一下普通日志getshell思路 phpMyAdminphpMyAdmin 是众多MySQL图形化管理工具中使用最为广泛的一种,是一款使用PHP 开发的基于B/S模式的MySQL客户端软件,该工具是基于 Web 跨平台的管理程序,并且支持简体中文,用户可以在官网上下载最新版本的。 GetSHELL前提phpMyAdmin利用日志文件GetSHELL前原创 2020-06-16 11:35:32 · 1705 阅读 · 0 评论 -
文件上传——常规bypass绕waf
文件上传是常用getshell的路径之一,因为可以通过上传一句话木马实现控制主机这里从uploads-lab靶场的实验下,用文字总结并讲述一些常用的上传及bypass。顺便拓展一丢丢东西这里借用uploads-lab的图片一用首先针对前端 (也就是客户端) 的绕过js绕过在F12下,在js添加文件后缀或删除方法抓包修改文件后缀绕过可以将要上传的php文件改后缀名为jpg|png|gif上传,绕过js验证后,再用burp抓包修改文件后缀 首先针对后端 (也就是服务端) 的绕过原创 2020-06-13 17:09:32 · 1105 阅读 · 0 评论 -
BeEF结合存储型XSS的利用
XSS就不过多介绍或阐述了实验原理BeEF是一种专注于Web浏览器的渗透测试工具。BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。BeEF超越了强化的网络边界和客户端系统,并在一个敞开的大门环境中检查可利用性:Web浏览器。 BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击。 实验场景这里的攻击网络一般是指攻击内网。想象一下这样的场景:当一个公司内部网络的浏览器被BeEF勾住了,那么可不可以使用它来攻击这原创 2020-06-02 21:20:14 · 863 阅读 · 0 评论 -
Sqlmap简单使用详解
Sqlmap概述Sqlap是一个开源的、自动化的SQL注入工具,其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过tamper脚本,功能非常强大(当然在检测漏洞的时候最好就是手工配合工具)工作原理它的工作原理和手工注入的原理是一样的:检测动态页面中get/post参数、cookie、 http头,并爆出数据。不需要我们再手动写payload,因为它有非常强大的引擎,各种各样的参数、各种各样的位置,它都可以去完成SQL注入漏洞的检测、利用、以及数据的提取。Win安装这个sq原创 2020-05-29 10:59:57 · 997 阅读 · 0 评论 -
SSRF小结
概述SSRF(服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)原因由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。漏洞出现点分享(通过URL地址分享网页内容)转码服务在线翻译网络抓取邮件系统图片加载与下载(通过URL地址加载或下载原创 2020-05-25 10:31:11 · 481 阅读 · 0 评论 -
Pikachu系列——XXE
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验九 —— XXEXXE概述xml外部实体注入攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。XML概念XML是可扩展的标记语言,设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下:XML ----原创 2020-05-22 10:58:31 · 1402 阅读 · 0 评论 -
Pikachu系列——php反序列化
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验八 —— php反序列化php反序列化概述php允许保存一个对象方便以后使用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。如果另一个脚本想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容已经释放掉了,我们要如何操作呢?难道要一个脚本不断地循环,等待后面脚本调用?这肯定是不现实的serialize和unserialize就是原创 2020-05-21 12:21:29 · 1073 阅读 · 0 评论 -
Pikachu系列——文件下载与上传
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验七 —— 文件下载与上传文件下载概述文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。此时如果攻击者提交的不是一个程原创 2020-05-20 11:42:03 · 1225 阅读 · 0 评论 -
Pikachu系列——文件包含
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验六 —— 文件包含文件包含概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:include( )当使用该函数包含文件时,只有代码执行到 include()函数时才将文件包含进来,发生错误时之给出一个警告,继续向下执行。include_once( )功能与 Include()相同,区别在于当重原创 2020-05-18 12:03:13 · 802 阅读 · 0 评论 -
Pikachu系列——RCE
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验三 —— CSRFRCE概述RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为两种远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测原创 2020-05-17 13:39:16 · 611 阅读 · 0 评论 -
Pikachu系列——SQL
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验四 —— SQLSQL概述主要原因网站程序存在可控传递参数,参数未进行过滤直接带入数据库查询,导致攻击者可通过传递恶意sql语句代码进行执行攻击更多细节及包括以下实验的详情请移步至此!SQL注入总结小笔记 ! 实验环境我用的是phpstudy集成环境,一键搭环境 (如果端口没被占用还是比较顺利的)靶场:Pikachu靶场下载工具:burpsuite接下来:–>把下载下来的pik原创 2020-05-16 14:30:38 · 1456 阅读 · 0 评论 -
Pikachu系列——CSRF
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验三 —— CSRFCSRF概述跨站请求伪造简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。CSRF类型判断GET:先去掉参数尝试能否正常请求。如果可以,即存在CSRF漏洞。POST:如果有token等验证参数,先去掉参数尝试能否正常请求。如果可以,再去掉referer参数的内容,如果仍然可以,说原创 2020-05-15 11:26:57 · 1222 阅读 · 0 评论 -
Pikachu系列——XSS
Pikachu靶场系列持续更新~ 要像追剧追番一样追下去哦 实验二 —— XSSXSS概述Cross-Site Scripting 简称为“CSS”(跨站脚本攻击),为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;DOMXSS、存储XSS与反射XSS有啥不同?反射型:会经服务器处理,可在当前返回的数据包中发现XSS代码并显示在页面中;存储型:经服务器处理,存储在页原创 2020-05-13 13:51:39 · 611 阅读 · 0 评论 -
Pikachu系列——暴力破解
Pikachu靶场系列开篇!持续更新~ 虽然是不新不旧的靶场,但是Web漏洞类型较多还算不错的实验一 —— 暴力破解实验环境我用的是phpstudy集成环境,一键搭环境 (如果端口没被占用还是比较顺利的)靶场:Pikachu靶场下载工具:burpsuite接下来:–>把下载下来的pikachu文件夹放到web服务器根目录下–>根据实际情况修改inc/config.inc.php里面的数据库连接配置(登录名和密码要与数据库相同)–>访问http://x.x原创 2020-05-12 14:24:02 · 711 阅读 · 0 评论 -
SQL注入(mysql)总结小笔记
**关于sql的个人总结笔记(有时间会扩展补充)**字符:1‘ 1‘ or '1'=’1 1' and '1'='2` 数字:1 and 1=1 ;1 and 1=2;1 or 1=1 ;1 or 1=2 (如果前后两个语句都是正确的,反而为假)1 xor 1=1 ;1 xor 1=2 (xor后面的语句如果是正确的,则返回错误页面积)-1 ;-0 (加上 -0,返回...原创 2020-05-06 10:27:29 · 487 阅读 · 0 评论 -
web安全攻防(二)——信息收集之扫描
web安全攻防系列(二)多方面且强大的扫描,可以帮助你进一步收集目标信息,获取目标脆弱点,扩大你的攻击面… X00网络扫描类型及目的:①主机扫描:找出网段内活跃主机②端口扫描:找出主机所开放的网络服务③操作系统探测:识别主机安装的操作系统类型与开放网络服务类型,以选择不同渗透攻击代码及配置④漏洞扫描:找出主机/网络服务上所存在的安全漏洞,作为破解通道 X01主...原创 2020-04-28 13:45:17 · 636 阅读 · 0 评论 -
web安全攻防(一)——信息收集之踩点
web安全攻防系列(一) 开篇:这是web安全攻防系列的开篇文章,将一步步讲述如何从 “信息收集” 到 “拿下主机” 再到 “掩踪灭迹” 1.系统安全攻防-----软件安全漏洞2.网络协议安全攻防-----网络协议安全缺陷3.物理攻击与社会工程学-----人的心里弱点物理设计缺陷 X00网络攻击路线图:窥探设施 ...原创 2020-04-26 14:00:12 · 1284 阅读 · 0 评论