随笔分类 - web安全与渗透测试
摘要:1. 来源 https://twitter.com/ptswarm/status/1338477426276511749 https://mp.weixin.qq.com/s/4ayfBOYJZSoafBPuEQtUBg 2. 复现 2.1 fofa port=2375 && protocol=="
阅读全文
摘要:1 条件 网站的绝对路径 mysql进程有网站绝对路径的写权限 mysql用户为root mysql允许写[secure_file_priv] GPC关闭 2 过程 dvwa-low-sqli为例 sqlmap -u "http://ip/vulnerabilities/sqli/?id=111&S
阅读全文
摘要:1. 命令执行 1.1 程序执行函数 程序执行函数 这些函数和 执行运算符 是紧密关联的。 因此,当运行在 安全模式 时,你必须考虑 safe_mode_exec_dir指示 exec PHP 457 exec — 执行一个外部程序 exec ( string $command ) : string
阅读全文
摘要:#代码执行 eval() PHP 457 eval — 把字符串作为PHP代码执行,字符串要符合语法规则 eval ( string $code ) : mixed 命令执行利用: <?php @eval($_GET['cmd']); ?> test.php?cmd=system(whoami);
阅读全文
摘要:#1. 简介 F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 漏洞编号:CVE-2020-5902 未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP
阅读全文
摘要:#1 导出函数写shell 利用Mysql的导出函数直接写一个可访问的webshell ##1.1 条件 网站可访问路径的绝对路径 报错 输入异常值让脚本主动报错,或googlehacking目标的脚本报错信息 phpinfo 扫目录找phpinfo 推测 目标可能使用集成安装包,如phpstudy
阅读全文
摘要:#1 原理 Mysql服务端反向读取客户端的任意文件 利用LOAD DATA INFILE这个语法,这个语法主要用于读取一个文件的内容并且放到一个表中。 load data infile "/data/data.csv" into table TestTable; load data local i
阅读全文
摘要:#使用场景/条件 没有显位/回显,无法使用联合/报错,无法直接看到SQL语句执行的结果 无法根据前端页面判断后端SQL语句执行的真假,无法使用布尔盲注 能通过页面响应时间判断后端SQL语句执行的真假 #时间盲注用到的函数 条件函数: if(a,b,c) 条件a为真则执行b,否则执行c 时间函数: s
阅读全文
摘要:#使用场景/条件 没有显位/回显,无法使用联合/报错 能根据页面的不同判断语句执行的真假 #布尔盲注用到的函数 字符串函数: length(str) 返回字符串的长度。 substr(a,b,c) 从b位置开始,截取字符串a的c长度 ascii(substr((select user()),1,1)
阅读全文
摘要:#报错注入是什么 利用将错误信息显示的函数(语句),把注入的结果通过错误信息回显回来 构造payload让信息通过错误提示回显出来 #适用场景及条件 查询信息不回显;盲注太慢 服务端开启错误提示且能回显错误信息。比如PHP的display_errors为1,未用@抑制报错信息 #报错函数及其原理 f
阅读全文
摘要:#mysql中的union 语法: SELECT ... UNION [ALL | DISTINCT] SELECT ... [UNION [ALL | DISTINCT] SELECT ...] UNION用于把来自许多SELECT语句的结果组合到一个结果集合中。 列于每个SELECT语句的对应位
阅读全文
摘要:[TOC] 常见上传点 1. 头像,logo 2. 文章图片 3. 资料验证[xls可测xxe] 4. 编辑器 尝试上传脚本文件 黑名单 黑名单= 不允许上传xx类型文件 绕过思路:上传不在黑名单最后又能被解析的后缀名 简单混淆 1. 大小写混合 2. 双写 找未过滤的后缀 `.asp .aspx
阅读全文
摘要:[TOC] 一码多用 后端未对单次验证码的有效时间和有效次数限制 或者 验证码仅在前端校验,后端不校验 导致 单次验证码可多次使用 造成 账号密码可被枚举 图片验证码ddos 影响验证码图片大小的参数前端可控,如参数在url中 导致 可修改参数并利用burp批量发包 造成 ddos消耗服务器资源 存
阅读全文
摘要:[TOC] csrf 跨站请求伪造 攻击者挟持你的身份凭证,以你的名义发起恶意的请求 简单来说,CSRF必须经过两个步骤: 1. 用户访问可信任站点A,并产生了相关的cookie; 2. A站点的cookie仍有效,用户在访问危险站点B时,发起了对A站点的伪造请求; 大家同时访问多个网站是很正常的事
阅读全文
摘要:[TOC] 登录口枚举的防与攻 验证码防御 验证码不刷新 1. 无条件 只要不刷新页面/不请求验证码接口,之前的验证码一直有效 2. 有条件 登录失败之后,系统会打开一个新页面或者弹出一个新的警告窗口,提示用户登录失败,点击确定后返回登录界面且验证码刷新。这种情况下,只要不关闭新窗口或弹窗,验证码不
阅读全文
摘要:[TOC] SQL注入中的信息收集 注入点数据库用户是否dba sqlmap: ` current user` 注入点数据库用户具体拥有的权限及相关信息如密码hash sqlmap: secure_file_pri是否为null或包含可访问路径 secure file priv参数是用来限制LOAD
阅读全文
摘要:0x1 文件上传 利用burp抓包的上传文件请求 文件上传多使用POST方法+MultiPart/form-data的Content-Type形式进行上传,通过文件参数以二进制形式上传文件。 文件上传的前后端实现例子 0x2文件上传漏洞 0x3文件上传的检测 以下既是防御措施也是我们在实现文件上传漏
阅读全文
摘要:0x0环境 主机A win10:10.51.20.60(wifi) 主机A中的虚拟机kali(攻击者):192.168.110.129(NAT) 主机A中的虚拟机win2003(受害者):192.168.110.132(NAT) 0x1 配置 0x11 beef配置 Beef的配置文件在 /usr/
阅读全文
摘要:0x0 定义 总结: (1) 在页面显示 (2) 用户可控 满足以上两点就有可能存在xss 0x1反射型 0x2存储型 0x3 DOM型 与反射型相似 也是从get等参数传参 但 反射型传参,接受者是后端,输出到前端 DOM型是,前端js直接拿到参数输出到前端,未经过后端 0x4 修复 0x5 额外
阅读全文
摘要:0x1 命令 以此类推,可以具体自己研究有哪些参数,放在哪,有什么用,怎么用 参考:https://blog.csdn.net/bo_mask/article/details/76130848 0x2 配置 傻瓜式注入的配置文件在 打开后可以看到,比如tor选项都是关着的 以此类推,我们可以自己设定
阅读全文
浙公网安备 33010602011771号