小迪安全课程笔记-2024-十七-
小迪安全课程笔记 2024(十七)
P48:第48天:PHP应用&文件上传&中间件CVE解析&第三方编辑器&已知CMS漏洞 - 逆风微笑的代码狗 - BV1Mx4y1q7Ny
今天呢讲这个上传啊,说实话今天这个科呢嗯比较有些鸡肋啊,但是还是要上,因为这个漏洞呢我们主要是了解它产生的层面,这个文件上传的,我们是预计说要上三次直播嘛,这个pp里面的话嗯,上次直播是讲这三块。
三节课是讲原生态的,然后这个今天讲这个拓展类啊,然后还有个这个安全架构类是吧,我们今天上的内容呢,它不是一个知识点,它更多的就是告诉你一个层面和思路点啊,这是啥意思哈,哎我们先把这个图呢给他搞清楚好。
我们在上啊,因为这个支点是不重要的知识点,它完全就是个漏洞复现。
没有啥啥玩意呃,前面讲的这些原生态的啊,原生态是个什么意思,我们先把解释清楚,原生态就是说你在未知对方的这个源码程序,你也未知对方的一些具体信息,只知道这里那有个商权,那么你在上面测。
那么就按照这些测法去测,这是我们说的那个原生态的是吧,你就通过你的测试方式啊,去判断去看哪些操作能够绕过它,这是我们三节课上的这个针对情况,那么今天讲的又是针对哪些情况呢,今天讲的就是有点不一样。
就是说这里的安全问题呢,他是有些小方法和小思路的,你比如说像这个中间间是吧,那就是说其实那并不是这个网站的安全啊,那个商传那个地方的有问问题,他呢是产生在这个程序搭建的,这个中间间服务器上面的安全问题。
就由他呢,然后联动这个文件上传呢产生的安全问题,就是文件上传那个代码块的编写,是没有安全问题的,它是能够正常的过滤和增长的这个防御的,但是由于你这个中介监呢,他报了漏洞,他有安全问题。
然后呢导致这个文件上传都被利用起来,来形成一个安全问题,所以这其实就是它的上传功能的代码逻辑,是没有问题的,只是说用来搭建的中间间有安全问题,那宣宣编的和这个稳定上全一配合,那就形成一个攻击。
是这么个情况,但是为什么说又说积累呢,因为啊这个中间呢他这个漏洞呢,它是有这个版本差异的,就说哪些版本有哪些版本没有,而且这个漏洞呢,目前就说现在截止目前的这个漏洞,那里也没有出现多少个。
就是是吧几最自从早多年多少年来到现在呢,也就是那么一两个漏洞,而这一个两路段还限制版本,也就是说你在实战中呢,你碰上首先是这个中间的就比较少,而且呢漏洞又符合啊,并且还要说你能找到上传。
再者呢又要看这个有没有打补丁,所以综合以上的这条件一看的话,就说这个漏洞能碰到的,这个可能性就是比较小了,这点就是刷说鸡肋的地方,就算你很难碰到,因为他这些条件全部联合在一起就很少了啊。
然后还有个就是这个编辑器哈,这个编辑器呢和这个中间的有点类似,就说网上虽然说有很多编辑,然后编辑呢它也有版本,再者呢这个编辑器呀,每个版本漏洞还不一样是吧,这个和文件上传相关的漏洞呢就那么一两个。
以前呢有三四个,但是有些变形呢,随着这个时间推移呢,渐渐的退出了历史舞台,所以很少再见到以前那些电器了,那么现在还在用的电器呢,漏洞呢就那么一两个,而且他有些版本的一些差异啊,也同样,那是碰运气碰到的。
对不对,好,这是说的他第二点这个CMS呢就稍微好一些,哎只知道它呢它现在还用得着,大部分人都是通过这个东西的一个测试啊,好然后这一可以讲,讲完之后,那下一个我们说的是把这个加狗把它搞清楚啊。
这节课下节课呢就不再是说哎呀,讲商船的那个攻防体系,不讲他的攻击点了,讲他的防御点,为什么要讲防御的呢,是因为现在这个文件上传的,统统和这下面这三种存储方案呢用的比较多了。
也就是说你可能在桌子文件上传的时候,你可能会碰到其中这三个的其中一种情况,那么碰到了,你就应该知道这种东西还能不能搞了,能理解吧,我讲的就是告诉你以后碰到这种情况,是选择放弃呢,还是选择积蓄。
并不是说他是个攻击点,不是说他是有安全的物种啊,只是说告诉你现在这个文件上传,那个存储方案所导致这个文件上传,在网上发现和利用的一个一个这个短板的啊。
好我们现在呢嗯就把这个知识点呢就给他讲啊,好先讲第一个啊,中间间上面的这个和安,和文件上传相关的几个漏洞,我们由于讲的是PPP啊,这个pp里面呢通常搭建的这个环境呢,中间呢就是这个阿帕奇和尼尼啊。
恩吉利斯这个居多,那么就讲这两个的一个相关的一些安全漏洞啊,然后呢和文件上传息息相关的这两个漏洞呢。
截止目前的一个漏洞情况呢就发现过几个啊。
我们复现环境呢使用的是这个VR hub啊,它上面呢有些漏洞,环境能便于我们对这个漏洞来进行复习,我们就不需要格子里搭建了,他这里呢有一个叫荒行解析漏洞,是一个2017年包的一个漏洞,就是个阿帕奇的呃。
也说这里呢在版本2。40到2。4。29,这个版本的存在,这个漏洞好,大家看到了啊,首先这个漏洞是17年的,然后呢是在2。4。0到2。4。29,所以说啊为什么说他这个有一些鸡肋的地方呢,就在这里啊。
并不是说这个漏洞很少,而是因为有版本限制和这个漏洞的一个时间呢,有点是吧,有点小长了,所以啊你即使说你碰到的是这个阿帕奇打钱,那也不见得就是这个版本对吧,有有诗这个版本的也不见得就有这个漏洞呵。
因为呢他也可以打补丁是吧,就很多一些意外情况,而且即使说都符合了,这里呢他还需要一个文件上传点才行,那假如说网站上面你没有上传点呢,哼那你说咋办呢,就说还是等同于没有的一个意思啊。
嘶好我们先把这个漏洞环境呢启动起来啊,这个漏洞环境呢是采用dr。的一个金向拉群,来启动的,关于这个dr。的一个操作呢,呃现在呢没有给他学,不过在我们后期再讲那个人安全的时候,像dr。这个东西呢。
是一个必备的一个基础技能了,我们那个时候呢就会想讲解一下,这个docker的一些具体操作和使用,包括刚才有人还在问。
说那个什么K8S那些东西啊,那也是属于那个章节的一些事情啊,好,我们这里呢就给大家去演示一下,这个多尔德的一个使用哈,这个使用呢非常简单呃。
然后这个搭建就说这个项目怎么搭建呢,我现在就是把它启动起来,你可能说怎么用啊,怎么用啊,那下去我怎么浮现呢,浮线呢我应该他录了视频。
大家下去呢直接看那个使用视频就可以啊,这个呢我就不给大家啰嗦了哈,好这里呢呃他这里呢有这个路径呐。
这里是在他的这个目录下面呢,有个这个叫AHBDCV1的,好们起导到这里目录来啊,HTD诶,然后CV1的这个2017年的table型服器,来到这里之后呢,直接都很把这个环境给它拉起下来,先是编译。
由于我这编译过呢,所以他就时间很快直接编译了,把直接编译好了,如果不是,如果没有编译,那就需要从网上下下好之后,那个编译当机启动,启动好之后啊,哎可以装一个抗Faker,那来看一下端口号。
其中的是8080端口,当然了你也可以看,这里呢就是IP地址呢加8080啊。
这里呢就是启动了这个漏洞环境,让我们来浮现,在浮现的同时呢,我们就来给大家演示一下啊。
这里呢我们就用这个物浏览器吧。
因为等下他还要抓包去搞的啊,我们开一下那个八普啊,哎八普呢抓个包啊,好80mi端口啊,就访问八零马力,大家看到的就是那个测试点啊,然后他是怎么有漏洞呢,就说这里呢有个商权啊,这里有个商权啊。
然后他这个漏洞点呢,你看他还是有条件的啊,就说你要利用的话,你先上传这点,那还要对这个名字呢进行一些修改,来进行一个修改,就比如说我上传个一点pp他被拦截,它不能上传,然后呢,我在E点PP后面呢。
加上一个这个0%a诶,他就不再拦截了,然后我就上传上去了,然后这个时候呢我再访问这个一点pp,0%a诶,他就能成功解析,就是这么一个情况,而它浮线非常简单,而我们怎么知道他有这个漏洞呢,其实很简单嘛。
因为你在访问这个网站的时候呢,这个中间件的版本呢,它其实在这个数据包的回血里面呢,已经给看到了是吧,你看我看一下他这个返回响应,当我想你们也看到了,是个阿帕奇的2。4010,这个版本呢。
刚好是在我们那个漏洞那个版本区间,哎,对不对,所以说啊这个就知道了啊,然后呃他一个漏洞利用呢也给他看了,我先把漏洞利用完之后呢,再给大家说一下这个漏洞的一些情况啊。
那我们先,这里呢就随便搞一个这个上传的这个文件吧,对对啊,就随便那搞个这个一点pp,在一点pp里面呢写上一下这个后面代码啊。
就搞个pp,你播吧,这个简单些。
好把它上传啊,那这里呢直接点上传啊。
那bad file不能上传,对不对好,那现在呢我就按照这个服务器的一个操作来啊。
哦把包抓到,那么这里呢就是这个名字,这里啊可以看一下啊,呃他这里呢就是说什么个情况呢,他说这个在后面加上个0A,就是在这个里面码了,改个0A就可以了啊,然后呢等下访问的时候,那就访问这个情况就可以,好。
我们来试一下啊,那现在这里呢加个空格,那么来到这个16进制这里,找到刚才那个空格那个地方来这里吧,在这里啊,好这里有个七零和RN,你看了七零后面呢改成0A20A,啊其实这里应该不用空格啊。
就直接在后面加就可以了行吧,直接在这后面加看行不行,不要加空格,0D这里啊改成0A还是要加一个妈,这什么鬼东西又,对加个吧,平A啊,加上去呢,我们把它勾一下啊,哎这加了之后呢,哎还是这个不行啊。
但我看是哪里写错了呀,哦他是在这里加我你妹的,我说怎么回事了,加错地方啊,不是在这里,在这个地方就这个名字,这里啊一飞这里,in a改好之后呢,给大家上传哦,这里呢就能上传成功了。
那这个就是他这个上传的地址啊,当时呢我们就访问一下啊,访问一下这个地址,我去把符写出来啊,那访问后面加百分之A,你看啊,大家看到没,是不是打印出来了,哦这个复原成功了,我们再来看一下啊,这个复原过程。
首先这里版本要符合,这是第一点,第二点呢要是有文件上传,第二点,第三点是什么,第三点是什么,是不是有有有一个什么东西啊,要有个重命名的东西出现了,就是这能改变你文件上传的名字的地方。
如果他没有这个FINAME,你不改变这个名字也不行,三个条件才能把这个漏洞浮现出来,就问你实战中你能遇到吗。
因为他改的是这个他上传保存的文件名,不是说改的你商传的名字。
你改上传名字,那还好一点是吧,那还能遇到这一点,第三个条件就有就很苛刻了,因为你有些上传呢,你哪还能自己改名字啊,你想保存什么文件名就改什么,那怎么可能呢,大部分都不行呀,那第三个条件已进。
就把这个东西就是有,就是有这个东西有什么样的呢,我不给你把这个东西搞出来也不行呀,因为你像这个版本的网商啊。
他还是很多的,就是就这个版本还是很多的,但是你要找到这个,你要找到这个什么鬼啊。
你要找到这个。
是吧,你要找到这种东西呢,那就不多了,就说这版本的这网上还是多着呢,这一大堆都是这个版本的,这个up不简单,你看都这版本,这版本都有这个问题是吧,那这这这一大堆啊,那这这版本都是符合的。
一版本都符合他,但不行呀,他也要有商权呐,而且这个商权呢还要有这个上传之后,把这个文件名字进行保存的机制,才能复现这个漏洞,所以说为什么说你在实战中你碰不到,就和我们前面说的伤了跟没伤一样。
我实战中好像忘记了,也没碰到这种情况是吧,原因不是因为这个漏洞少,而是因为他要浮现这个漏洞,和上传漏洞配合在一起来利用的话,他还要上传哪里呢,要满足,所以说啊有些尴尬啊,你不满足了这个漏洞有和没有。
等于没有,因为你利用不了啊,好这个是这个漏洞啊,然后呢我们再来看这个接下来的这个漏洞啊,他还有漏洞啊,那还有这个什么鬼,换行解析漏洞,那这个漏洞那就不是我们打开啊,先。
打都打不开。
啊这是那个换行解析漏洞啊,就刚才那个啊还有个这个未知后缀解析漏洞,没有CF1编号,这个什么情况呢,这个是在哎这个配置里面,就属于他配置这个阿帕奇的一些解析的时候,能导致一些安全问题。
就其实和我们那个什么点,ATRXSS的那些东西一样,这个没什么讲的,为什么这样说呢,因为它不是漏洞,他是要配置的才会有这个问题,而且即使对方配置你在黑河中,你怎么知道呢,你不知道啊。
所以说没有什么讲的意义啊,能理解吧,就是它要配置了这个温东西呢,才会造成一些安全问题,而且它配置呢你在黑河中,你也是不知道它怎么配置的,就像那种呢他说配置这个呢叫什么呢,给予这个执行权限是pp的点pp。
那就说点pp的后缀的时候呢,给他执行这个pp权限,那意思是说你只要上传一个名字带点pp的,那就会以pp执行,所以呢他在后面那就上传一个呢叉叉叉点pp,点JPEG哎,上传个图片啊。
图片的人执行这个pp脚本格式诶是漏图,但前提是你有这个配置啊,好你有这个配置,我黑了,中午我又怎么发现你有这个配置,我也不知道啊,所以说这东西呢根基类我们讲都没有必要浮现,它都没有必要,你知道就可以。
以前呢我老在讲这些事情,像上期啊,前面几期我都在讲,主打就是一个全面,后面呢我发现了讲权没有用啊,还有人不会听,还是要讲一些这个能用的一些东西好,再来看这个LINUX的啊,阿帕奇的就那么多了啊。
其他漏洞没有细讲,讲不讲都无所谓,碰不到了啊,这个呢LINUX呢上面呢有个漏洞,那这个CV12013年的这个,这个这个这个有漏洞啊,那这个漏洞呢其实还是有的,但是只说这个漏洞有点久了。
是个13年的一个龙,文件名用逻辑漏洞啊,这是他的影响版本啊,我们给大家演示一下啊,这个还有时候能能碰到好,他的这个漏洞环境,在利亚斯的CV1203这个目录,我们来到这个地方啊,以前呢我是说不讲啊。
有些人就说为什么不讲,后面呢我发现你误会了也好吧是吧,我们不要花太多麒麟呢在一些上面,现在用不着的一些地方去讲啊,然后这个目录再把启用下,都已经告别了很多知识点了对吧,现在讲P1P的很多人都不愿意听了。
因为好多的PP都很少了啊,SP那就不更不说了啊,打开啊啊这是那个地址啊,那我们首先呢判断一下那个版本,从这个响应这里呢我们看一下它这个消息图啊,它发回的是LINUXX1。4。2,这个版本好。
这个版本呢大家可以看一下啊,它是符合在这个压S的一个版本区间的,然后呢,伽马逊呢出现过一个CV,12013年的一个漏洞,这个漏洞是一个什么情况呢,就是有个上传点,上传点呢你在上传的时候啊。
这个呢还是有点利用价值,它比刚才那个要好一些,刚才那个条件有点苛刻,就是说必须要有重命名那个操作,而这个呢它不需要,就是说你只需要能上传就可以了,而且呢只需要上传个图片格式就行,其他的就不需要我管了。
他就只需要上传个一点GF,然后呢在E点GF后面呢啊,去加上这个东西去访问,就可以把它当做PPT解析啊,就是在上传的时候后面加个空格,然后呢在访问的时候呢,后面加上这个东西就可以呢触发。
所以他这个利用条件是很,就是说它的利用条件是不高的啊,基本上都能满足,主要就是说你是尼亚斯的一个ng list的这个,中间件,而写的存在,这个漏洞就看在不在这个版本区间啊。
所以他还有点加字,虽然说是13年的啊,你看啊,我们先上传个GF,好这里呢把包抓一下。
然后怎么浮现它啊,然然浮现一下啊,所以我们先发送一下,可以看到啊,他能够正常的去去存储和保存啊,版本呢也是这个liars的呃,ng list的1。4。2啊,符合,然后再上传这一点GF的时候呢,加个空格。
加个空格,加空格之后呢就可以了啊,就把它发送上去,你就不用管了啊,它漏洞成因我们不管它了,那就把它发送上去,放上去之后啊,访问的时候,那就这样去访问,就要在这里呢去改这微信去访问好,我们来加上去吧。
访问提交好,一直删,你看删完之后呢,他就保存了啊,然后呢我们现在去访问它加路径啊,访问呢也要抓包啊,不抓包的话,你搞不了的,那访问访问,把这个访问数据包给抓到,好再发送数据包啊。
发到这个请求模式上面来啊,在这里呢加上什么东西啊,看着啊,他就需要在后面呢加上这个点P1P,然后呢,把前面两个东西都改成20%和0%,空格空格点pp导,我来到这里,这个地方呢,那这里有个20%嘛。
这个20%呢,最后又后面百分之改为零,好好现在去操作啊,来看一下啊,那是不是触发出刚才那个GF里面的PP代码,对不对,这个就是那一个这个LINUX的一个那个漏洞啊,那么也就是说其实啊这个上传点。
两个浮现的这个文件上传点呢好像都没问题啊,包括这里呢它还有一个漏洞,就是也是一个疑点最新版,然后呢这里有个这个漏洞,这个漏洞呢有点类似于我们那个i is的那个,起点零的那起点差的一个版本的漏洞。
就是什么东西啊,就是说,有些配置不当的会造成这个结论,给大家演示一下啊。
嗯这个环境一起已经演示了,我们就张角啊,当然来到这个环境里演示,这个是配置不当的啊。
配置不当的他不属于漏洞,是在这个LINUX的这个目录下面。
我们来到这个目录下面啊,启动一下这个环境,额说错了啊,你们老说不要说什么LINUX啊,我写错了啊,我N吉利斯恩吉利斯,不好意思啊,N吉利斯,不好意思,老说关了LINUX。
然后把这个恩吉尼斯和LINUX读成一样的,哎,真是尴尬。
啊这是那个点啊,大家可以看一下啊,他什么情况啊,就是我上传个GF,大家可以看到我上传个GF啊,嗯来看一下啊,来我上传个文件给大家看一下,我随便上传一个图片啊。
就上传个图片的,把图片上传上去,抓个包好。
然后大家看着啊,上上去,我在这个图片后面呢,我加上一个什么PPT代码,写个PB代码啊,写PB代码的后面把它放出去,好得到一个文件路径来访问这个图片路径,后面加上一个随便加什么名字,点pp随便加啊哈。
我把解析成PP,我们来关注一下是不是哎,三执行到最后的时候有个PB代码,哎但是PB代码并没有执行成功,那我就重新再上选课啊,来得到个这个,嗯我写多一点,我还不信邪了啊,P 1p p p for。
在达到国进行访问一下,那看到没,pp for就执行出来了,这个就是那个解析漏洞,这个不是说所有利亚斯都有啊,他其实呢就是说基本上所有LINUX都有啊,N几里斯都有,只是说他有一个问题。
就说他是他配置不当,就是你要知道他有这个漏洞以后呢,你碰上有这个恩吉利斯的时候呢,啊如果说你访问一张图片,后面再加上一个随便加上一个什么点叉叉MV,他能把这个图片呢乱码,那就说明它存在这个漏洞。
那么也就是说你只需要找个上传点,随便上传一张图片,图片里面带有后门,在后面加上这个东西啊,随便加上一个点pp,那么就能把这个图片呢当做pp执行,这是他的个点,这个漏洞呢它不是漏洞,它是它配置里面的问题。
其实呢就和那个阿帕奇里面解析配置一样,就是修改了一些解析配置不当啊,导致解析错误的问题啊,所以这三个呢就是演示的是我们那个中级件,商品安全问题是不是很少啊,而且这个少的方面呢漏洞都很少,对不对啊。
还比较鸡肋,就说有些利用条件呢比较难满足,但是也要商啊,对不对,因为他是和商权多同是关联的,这是中介上面和商传漏洞关联的,这几个漏洞就给他讲了啊,pp里面的,那如果说是其他的什么i is的呀那些东西。
那那就是ISP的了,那我们就更不加讲了啊,啊java的一些东西,那就没有解析漏洞,那就没中心线,那上面没有没有些解析度,那就没有必要说了啊,所以只有这个pp呢,还有零零内。
好这个呢是中间间上面的安全问题,也说他不是上传功能上面的缺陷,而是属于使用的这个中间间,那有安全问题呢,配合这个文件上传呢,实现了一种绕过和解析的一个错误啊。
还有一个呢,就是我们今天说的这个第二个编辑器,那边器是什么东西啊,它是属于一种第三方的一个操作,额上次这个web搭建在漏洞中间上面的,影响的就是这个东西,然后这个编器又啥呢。
编辑呢其实就是网站在使用开发的时候呢,会引用一些第三方编辑,而这个第三方编辑呢出现了安全问题。
他呢就是商品安全问题呃,编曲有哪一些啊。
我网上给给你搜一下,有些都已经过时了,都基本上很难碰到了。
而现在目前还在用。
网上一篇文章说什么常见面漆的一个漏洞总结,那有一些这个文章什么u e it呀。
UE啊,E w e b e it u it,it k等于e it f c k e it是吧,还有那现在这些什么seek editor,Quality editor,还是不。
那么现在呢基本上这个编辑呢庸的,现在还在用的呢,就有一两个了,大部分像什么UE里的这个SU呢,这是SP里面的,有是有用的,但是很老的一些程序了啊,新程序它没有这个实行了,U1点,那是百度那个那个公司啊。
就是百度它官方开发的那个东西,那就这个吧,呃是当时这个百度的一个那个开开发的,所以那还有点用户程度在用豪门,那就用的少了啊,对就是个百度那个他自己开发的这个unit,这个编辑器提供给开发用的。
然后像这里面还提到过的这一个什么FCK呢,在我那时候学的时候的比较多,现在也有,但是不是很多了,然后这个EWET呢我那时候学的也有,但现在这个SP都很少了,这个东西就跟上了啊,但网上呢还有。
但是都是些很老的网站,没什么加字,然后大家可以看一下这个下面一些东西啊,我就不给他说了,以前早几年上这种内容文件上传的。
都还是要给大家讲一下这个编辑的,这个上传的一些内容利用的,现在都没商了,就会讲一下这个概念,我正在给环境给它打印下来了啊,然后呢这个打印环境呢,我模拟了一个比较真实的一个环境。
就是告诉大家这种东西是怎么发现的,是怎么利用的,然后大家可以看一下啊,这个unit it呢你说有没有用处呢。
我就搜一下给大家看一下啊,你看啊,我在搜我这个unit的这个东西的时候,大家也看得懂啊,再到我本地的有些源码,你看啊,在我本地的这个z blog这个程序里面啊。
z blog的程序里面源码里面呢有个什么呢,U1it的目录啊,u it it的目录看到没啥情况,其实就是说呀这个z blog程序呢,他在调用这个re it能理解吧,好ZBLOG在用啊,然后你再看啊。
我这里还有呢这个OA系统他也在用。
对OA系统里面有个单独目录,是个unit pp的,对他也在用,这是一个那个通达OA的那个网站源码程序,其实就是说这个编辑呢,其实很多网站的源码也在用,或者说你自己开发的时候,那你也可以应用。
但是啊那什么情况呢,就是说不是说它用它就不安全,而是说这个漏洞呢它只会产生那部分,就是说你搜这个编辑器。
我们可以搜一下啊,假如说用it我们搜一下他的一些漏洞啊,包括哪些漏洞,而最明显的影响最大的就是这个,任意文件上传漏洞,这个漏洞呢它所影响的是这个unit的点net版,版本呢是在这个1。4。
33级之前的版,在之后版本的就可能就修复了,那么也就是说对方引用unit it,但是如果说他不是个点net版本,是个pp的或者其他版本的,哎,那不好意思没用,即使他是这个版也不行。
好我们先把这个环境给大家启动起来看一下啊,因为他是个点net版本,所以我这里要用点net搭线的,你可说我不是上P1P吗,咋个回事,搞到点net上面去了呀,pp的上面的U编器呢也有漏洞啊。
但是但是怎么说呢,他那个漏洞呢啊没有很多啊,就基本那几个,而且很难碰到这个的漏洞呢,还有一些我等下给他搜一下,大家知道了。
来我来给你演示一下啊,我要先看这个网上面的使用夹子。
就你可能呢以后还碰得到啊。
其他的呢没有讲的,那基本上就是很难碰到的。
那他说有个关键字啊,这是一个关键字,我搜一下啊。
爱看到的。
哎这是那个编辑那个界面,那个UT的,打开问号的UT看到没,这都是存在漏洞的啊,这都是这个版本的区间的啊,刚好呢就说你的测试站点,那就是他哎,那恭喜你。
看这有啊,我就不不用,我们肯定是不拿这个东西给他做实验的,对不对,这有的啊啊这不是说没有的,对不对。
这个版本不符合了1。5。0的,那前面两个还是1。4。3的,可以是吧啊。
我这个就不说了啊,呃现在呢我们就看一下,我们那个测试那个环境的啊。
我先把这个环境的启动起来。
其实就是说大家不用听这个漏洞复现,这个漏洞浮现的文章多的是,你主要就是搞清楚这个漏洞产生在哪个层面,我们讲就是讲思路,这便于你对其他漏洞的理解,126。1361万端口,这个答简呢我就没有给他打解了啊。
答剪我不给他演示,因为达姐那个视频呢我给他单独录了,我下午给他录的就是包括这两个环境,哪有那个view h b啊,和这个unit的那个搭建浮线啊,我怕有些人下去要浮,先是吧,他要这个搭建不会答啊。
这个呢就是说我模拟一个登录页面啊,就说这里呢有个登录页面,然后呢通过你的这个信息收集呀,哎你发现它下面有个unit的目录啊,你不要问哎呀,咋咋个收集到有UI的那目录,扫描一扫就扫出来了。
你就不要问这种事情了啊,那扫了个UE的,一打开诶,就发现这个东西,那看一下版本1。4。3哦,刚好这个漏洞版本存在,那就测试利用它就这么简单,其实说它就比较符合一个,这个我们在测试中的一种情况。
就是通过你的信息收集呢啊,你要么就是登录一个它的会员中心呢,发现有这个编辑,要么呢就是你通过一些扫描呢,发现有这个u it的目录是吧,在这是黑盒的一个测试,而白盒那就不说了,直接看源码吧。
那这个呢就是说比较符合,然后那里发现有个unit是吧,这里呢就是有这个,那他这里有文件上传的是吧,而这个unit呢它包括漏洞,我们就利用这个漏洞就这么个思路啊,这个利用漏洞呢,这没什么说的啊。
就是对着网上那个浮现的东西对着搞就完了,没啥,就是呢,就是跟QC把这幅字呢放到本地用就完了。
那就打开这个对号,把这个目标地址改啊。
就这个提交地址改改成这个这个触发地址,那这三个路径地址改成它之后呢。
然后怎么操作啊,大家看着啊。
打开它输入一个web地址,这web地址写什么呢,就写个远程里的这个图片地址啊,然后呢带有后门的,我们就拿我自己的这个小于八这个logo呢。
来做演示啊,这个就是我那个logo地址。
就远程地址啊,然后去远程请求这个图片,这个图片就是我那个logo,然后呢我自己呢就在网上那随便搞个图片。
图片里面带有这个后门啊,然后去远程请求这个地址,后面再加上一个参数,加个什么参数呢,就请求地址后面写了个问号点SBX。
那么呢我直接点提交啊,它就会自动的去请求刚才那个目标地址上面,把这个文件的改成SP格式。
SBX格式,然后呢后面就写进去了,那么SBX格式那就不说了嘛。
大家都知道的就是个home格式,它就会写到这个目录里面啊,大家可以关注一下,现在的目录呢,只这几个文件,我先把它删掉,是吧,你看啊,我让他去,它其实就是个远程的一个那个图片加载功能。
的一些安全问题所导致的,我直接在这里呢点击提交。
啥情况,那个第一子跑哪去了,好在这里那点提交go。
那返回一个地址呢,存在个路径来,我再访问他,那就是那个图片嘛,然后这个图片里面有SP后门不就执行了吗。
那格式都出现了,那你看网站文件上传上去了吗,这就是那个漏洞的一个测试哈,这漏洞一个测试能理解吧,我这里再搞个登录页面。
那其实就是就是做假设它是一个网站,你通过信息收集的,扫到有这个优异的这个编辑器,或者你像网站前台,那你登录会员啊,或者说是登录后台的时候,能发现有这个编辑加载到页面中。
就像我们看到这个这个地方一样的是吧,你看到这种界面了,看到编辑的打开一看呢,它是个绿的版本的,也符合,我们就利用这个上传多功能来实现,八这个后门文件都给他植入进去,就这么简单的事情。
这哪又说不清楚呢,是不是包括这里呢,我们用做收引擎的,那都是在是吧,只要你测试这个网站诶,一打开,或者说你通过信息收集呢一打开啊,这是这么一个unit的,这个地方是版本一看哎呦1014哦。
唉要是他是一个这个点net的,那恭喜你可以撤了,可以直接get sh了,就这么简单的事情啊啊就说这个漏洞呢。
它其实和网站的那个文件上传有什么关系呢,没有任何关系,但是你可以说这这这不是编辑漏洞吗,怎么和文件上线挂钩了呀。
他怎么和文件文上线挂钩了,为什么呀,编辑是干嘛的呀。
啊这个编辑它是干嘛的呀,编辑器就是搞文件上传文字,处理一些相关的事情的,你写个文件上传,你要写功能,还要写界面,他呢,嗯他要写什么,他啥都不用写,啊其实就是很多人呢去为了对这个文字啊,音频啊,视频啊。
图片啊各种东西呢进行批量处理,他要写代码去处理,很麻烦,他就在网上呢找一个这种编辑器呀,把这个编器的代码呢copy到源码中,然后引用这个编辑呢来实现这些功能,而这个编辑呢自身呢在这种文件上传。
这种操作的时候呢,出现过一些代码上面逻辑的因子差误,导致这边器呢有漏洞,那么凡是引用这个编辑的网站都岌岌可危,就这么个道理能理解吗,所以说我们讲的更多的是思想和思路啊,这个漏洞浮现呢不是我们所担心的。
因为它有漏洞,我们才浮现,它没有漏洞呢,我们就寻走,就更多的就是说我把这个一讲,你在代码审计中的话,诶你去升级代码,你就可以把它分为几个部分,一个呢是它承托着自己原生开发的,还有一个呢它是外面引用的。
就和我们自己写程序一样,你写一个程序写出来了,对不对,有些是你自己写的,而且有些呢是你在网上copy的代码,那如果说你copy的代码里面写法有安全问题,你说你的程序有没有安全问题呢,就这么简单的事情。
那这个编辑呢就相当于你在网上copy的一个东西,出来了,出来放到你网站上面去,你偷懒,你用别人的东西,那不好意思,那他出安全问题,你也受影响,所以这就是我们说的那个概念啊,而刚才那个中间件呢。
就是相当于说运行的服务器是吧,你要把网站运行起来,就有那个中间支持,而你刚好你搞了个有漏洞的那个中介,那不好意思,那恭喜你是吧,你也漏洞了,你代码写的再安全也也和他没关系,他出漏洞也同样遭殃。
好了说了这两个,那接下来另外一个这个cm s的又是一个思路点,有些人呢又不懂了,那为什么要讲它,其实我看了啊,我教这个课呢,很多情况下面都是告诉大家要学会分类,学会把不同的方式针对不同的应用。
这个知识点呢要不同的应用,网上我看了很多人讲的一些课啊,他都是刻意的去强调漏洞的理解,但是不重要,你只要把这个点搞清楚,你要活活灵活现的去对应的话,它其实很简单啊,你看这个SAM源码,这又是什么概念啊。
首先我这里呢在讲课之前,我前面把它分类了,我讲第一次文件上学的时候,我把它分类是叫原生态,什么叫原生态,这是个什么理解,其实就是说你在未知对目标测试站点呢,不知道它是什么程序的情况下面。
我们通通把它归类成原生态,意思就是说你不知道对方什么程序,你对对方一无所知,你面对的只有一个文件上传的点,所以就没办法去知道他更多的事情,你就老老实实撤车,这个文件上传有哪些安全问题是吧。
是对你内容检测呢,还是对你后缀检测呢,还是什么问题,测出来之后呢,再用这些方法来去找,绕不过去就绕的过去,绕不过去就绕不过去,对不对,这是我们这个讲的内容,那么今天讲这个拓展的cs又是什么概念呢。
就是说你找到一个网站是吧,你刚好的知道这个网站呢,它是什么程序,而这个程序呢它也包括文件上传,那你这种情况下面的话,你还用得着去在这个网站上面去啊,就这个网站上面去找他原生来找他商权吗,能不能找到。
是另外一句话,那不能找到怎么办呢,对不对,好这里呢我们就给大家看一下啊,用的是这个通道位A的。
就是接近于这个通道问漏洞,那是在前面19年。
还是什么时候发行的一个云商城,当时在打护网的时候,那爆出来的啊,这是别人挖好了,然后当时打护网时候把爆出来,那这个通道OA的这个系统啊,那打开这个网站一看呢,就知道是个通道OA是吧,通道OA的。
但这个通道OA呢,这网上这个漏洞呢就是一大堆了,网上还有这种利用工具,直接有手就行的事情是吧,啊漏洞呢我给他看一下呢,你搜啊,我先给他搜一下具体知识点,这太多了,来这什么这个文件上传漏洞呢。
CVNVD2022年还包了一个是吧,那个还有各种各样的一些漏洞啊,我们就不看了啊,那这个什么前台愿意登录啊,后台文件上传呐,SQL注入啊,什么这个未授权啊等等啊,这东西我们就不看了。
因为我们讲的是文件上传了,就是他其实这里有文件上传,那有文件上传就行了呗,我们就不管它了啊,那这个目标呢我们看到这里之后呢,它给我们一个什么提示呢,啊你叫做里面这个站点是吧。
你去测,假设你我要告诉你,我要告诉你它上面存在文件上传好,你怎么测呢,你肯定就说哎我找文件上传点,我就扫扫他有没有这个文件上传的这种地址,比如说扫什么upload点pp啊,或者说我有没有中号登录进去啊。
在用户登录的个人中心里面去找他,这个这个有没有什么鬼子,文件上传那些东西是吧,这是你的的常见事物,对不对,然后找到这种点之后呢,就慢慢在测那个文件上传了啊,是这么个情况。
但是呢如果说你已知这个程序的名字的话啊,很多漏洞都是通用的,不管输入文件上传啊,其他的一些漏洞都这么个意思,就是你已知这个程序了,那就直接可以把这个程序呢,放到一些漏洞的专检工具里面去设。
而刚好这个工具箱里面呢有存在这种专检工具,像这种立群的是吧,1。5。1的这个版本呢,现在网上都有一点溜了,好只不过还有下得到啊,这个离群的啊,那把地址写进去呢,这与这个通道V的是吧,那检测一下。
哦他说呢POC应用成功,已经自行填充任意用户漏洞存在,那这里呢又有这个任意后台文件上传的,点击一下啊,我看能不能上传呢,然后这个通道OA的安装呢也比较简单,安装好之后呢,它不需要下任何环境。
它会有个目录,这个目录里面的自带这个环境就直接的启动它,就这你能看到的这通道微微的了啊,启动它就可以把环境运行来,然后他网站源码那是在这个下面,还是他的网站安装目录,然后里面自带有这个pp啊。
这些环境啊就不需要你管了,好的目录呢是在这个下面,我可以关注一下这个目录的这个根根路径啊,然后点一下上传,他要上传成功,你看啊只是被杀了啊,后面被杀了,我们把它恢复一下,看是不是就出来了,看到没了。
只要写到后面的进去了,看到没,完了呀,就这么简单了,这需要你说你懂什么文件上传,不需要啊,你懂文件上传是基于这个基于什么,基于这个文件上传是你未知的情况,就是你没办法的,你没有任何信息,你知道吧。
就说你如果说知道是什么cm s了,你就直接去网上抑制漏洞,去利用它,不管说是文件上传漏洞好,或者我以后讲其他漏洞都是这么个思路,都这么个思路,所以说为什么前期我要说把这网站收集信息,要收集好。
就是希望你能对这个网站有更多的理解,一般像我们常见性漏洞,就像我们前面讲的啊,你再思考一下,我讲SQL注入啊,讲什么,或是只讲SQL注入,先是只讲SQL注入,包括现在讲文件上讲。
包括后面要讲什么啊,C1啊,一些各种,还有乱七八糟的那种,那些漏洞都是你不知道对方的这个程序,不知道对方的这个情况的时候,你去测的这种情况,如果说你已经知道他是什么程序了,利用两种方式。
第一种方式呢就是找网上已知的漏洞。
去利用这个漏洞,就是利用工具也好,利用这个EXP也好去利用,还有一种那就是网上没有漏洞的话,你就自己去挖,这是他的思路,能理解吧,如果说不是的话,你不知道这个程序你也没见过,什么都不清楚。
那你就老老实实是吧,你就说文件上传就测试文件上传漏洞是吧,其他地方就测了不同的漏洞,是这么一个流程,他这个测试那就是这么一个流程在测,而不是说你啊是吧,有个文件上传。
你有什么一个也点上传的一个测就很简单,你看这网站是样,他有文件上传,你看到这个文件上传吗,你看不到啊,这文件上传在哪。
你都没看到功能在哪里啊,他在后台里面,那后台里没有账号密码,怎么登录进去呢,但是这就是文件上传了,这是文件上,那是代码中,是网上挖出来弄,你就直接用了,那有什么理可讲的,没理由可讲啊。
所以说这节课呢就是告诉大家一个点,大家明白啊,这个搞安全测试呢就是这么个流程啊,但信息收集那么多,不是说吃干饭的,是因为你前期的信息收集呢,给你后面的做这个安全测试呢。
在梳理你自己的思想和自己的这个方法,而不是说做了之后呢就就没了,它有哪些架构,它是什么程序,然后你会选择性的放弃哪些攻击思路,和选择性的用哪些攻击思路,都是根据这个星系来决定的。
这才是信息收集的核心所在,如果说你信息收集之后呢,你对自己接下来要干什么东西是吧,既然干什么事情,做什么事情,你没有什么这个想法的话,那只能说你NO总压根就没有学过,或者说你对NO总一无所知。
就像我们说的,像你这种的直截了当,就告诉你是这个cm s的,那首要要想到的就是直接在网上查找,这个程序的漏洞去利用,这才是你正确的一个直接关系,而不是说哎呀我在海里面的,先扫一下它下面有没有什么东西啊。
啊看一下这个有没有local,你来搞这种事情啊,那是你没办法的时候,你再重复再这种搞这种常规的这种事情,知道吧,但是没办法的时候再选择这种事情啊,所以说我们今天讲的这三个案例呢,你看似啊讲了半天。
好像和我们讲任何知识点都没有任何东西,但这三个知识点都告诉你一个事情,不管是在你代码审计中,还是在你这个测试的方法中,还是在这个安全测试中都有影响,就拿我们这个中介性来讲是吧,你去代码审计好。
你去代码审计一个源码漏洞,这个源码没有漏洞,哎,你把源码呢放在这个有中间件漏洞的,上面去搭建了,那出现了安全问题,你说是谁的问题呢,是你没审计出来呢,还是说什么情况呢,和你没关系啊。
这他妈的是中间件导致的呀,是不是这编辑也是一个道理是吧,你本身的圆桌子开发程序,本身自己写的代码里面的,他不知道有这个,他就是偷个懒,或者说他自己呢学聪明一点,用别人的这种东西在掏,往上面掏。
他自己写代码的很安全,而用到别人写的这种copy代码呢,唉这别人东西呢被爆出漏洞诶,他是照样,那么也是告诉你代码审计,那不仅是要看自己写的代码,还要分析这种网上这种加载的,就像java里面是吧。
本身程序没有安全问题,引用的J包了,出于安全问题,那也也也遭殃,这sim源码的就是思路问题啊,知识点没有多少啊,我们就说到这里啊,然后像后面呢我们要讲的这个安全架构呢,我刚才也说了。
这个就是给大家泼一盆冷水的一个一个知识,上期呢我是没有讲这个东西的,是因为现在呢这个行情安全行情呢逼不得已啊,有些东西呢你必须要讲,你不讲,那有些人会有这种疑问,而且你把它讲了之后呢。
他就知道怎么去该取舍了,懂得怎么取舍之后呢,他做起这个安全措施的效率会高,也不会说老碰到一些东西呢,他觉得有可能其实压根就没可能,今天没有什么知点讲啊,就这么个事情,因为他没有知识。
就是一个思路啊和一些理解上面的东西啊,啊大家看有没有什么问题啊,有问题就问啊,其实我今天呢人是讲两个小时的,我不想耽搁大家时间,这两个搭建和部署,我都统统自己单独录了个视频给大家。
如果说我要凑齐这两个小时的话,我完全可以把这个什么答简呢,给大家从这个课上去演示,就是演示一个半个小时啊是吧,那不就时间够了吗,没必要啊。
好我们今天就讲这么多啊,大家看一下有没有什么问题啊,好有人问问题了是吧,我看一下啊,阿帕奇换环节那种好奇虫那才行,本来上传可以吗,要上传个剪辑,比让看起来真实一点,哎呀能不能上传这个。
能不能上传这个PPP都不重要咯,那个重命名那个东西就很很很少见的啊,什么实战啊,不要搞这种事情,嗯不搞这个事情啊,我点都不应该点这个东西的,这个实战你能说把它实战结果,搞成功和搞不成功没有任何意义。
因为你搞成功就是某种存在,搞不成功就是那种不存在,很多车是总归有那个成功的呀,那成功就是牛逼,不成功就是废物吗,不是你说的这个事情啊,有些人老喜欢这样怼着,说什么实战实战好,我这样说好吧,我实战成功了。
你怎么办,我实战失败了怎么办好吧,你这就和我打个赌,我今天我实战了,你给我拉十个九菜,我马上13行不行,唉搞些吊毛事情啊。
P49:第49天:文件上传&存储安全&OSS对象&分站&解析安全&解码还原&目录执行 - 逆风微笑的代码狗 - BV1Mx4y1q7Ny
今天呢是讲这个商船这一课的最后讲啊,嗯讲的是一些这个安全体系,这个为什么要讲安全体系,就是为了告诉大家碰上这种情况啊,有人就会问我就是简答,你碰到这种情况,哪些是能够继续。
哪些是不能继续的一个情况给他介绍到大家呢,如果在实战中碰到了啊,你应该知道啊,这个东西能不能搞和,或者说搞的话是怎么搞,就明白这个事情,否则的话你就不然的话,你自己在上面乱车,那是没有任何意义的。
有两个方案,第一个方案呢是我们说的这个叫存储方案,就是存储,还有一种方案,那是解析方案,啥意思啊,就是一个那是控制解析的,还有一个呢是控制这个存储的,两个都会对这个文件上传漏洞的利用呢。
有一些直观的影响,而且这个影响呢就是说有没有安全问题,就是有安全问题和没安全问题,碰上这两种东西之后呢,也会造成失败,我们先说第一个啊,这个解析的方案问题,什么叫解析呢,就是一种实施的就是目录权限。
这个控制导致文件上传呢无效的一种操作方式,好我们先讲他的这个这个安全的一个架构体系,到后来我们再说从工具面上面去分析这种东西,有没有说能够绕过,或者说实现这个突破的一种方式啊,先讲这个安全方面的。
再来说这个突破方式的目录权限,这个很好理解啊,来我给大家演示一下啊。
这那我特地呢就在网上了是吧,搞了这个这个网站域名啊,然后呢给大家去讲的啊,这里呢有一个叫upload点小黎八点com的一个网站。
然后呢给大家先演示第一个哈对看一下啊。
好这里呢有一个目录啊,一目录就是一个上传的啊,一个文件上传的呃。
这里呢就是它的代码,大家看一下,啊这个代码,然后这里呢有一个文件啊,这个文件是个upload啊,然后这里呢是我们上传的这个地方码,death在那个上传页面,然后upload是这个结束商传。
然后这边upload目录呢是他这个存放的一个地方,我们试一下啊。
就比如说我现在在去尝试商传啊,我这里呢尝试上传一个这个二点pp是吧。
好他这里都是算成功,我们可以看一下这面啊,这个二点PP呢就上成功了是吧,就刚才上传的哎,大家可以看到啊,就说其实这个上传这个点呢,他是没有任何过滤,你想上传什么就上传什么,没有任何的过滤。
就说这里是已知有这个文件上传漏洞的,因为我们正常来讲的话都会有过滤对吧,然后呢你看他没有过滤。
唉你们老要这样搞,不要这样搞啊。
赶紧把它停它。
我把那个限制下,这样不要这样搞。
我怕停止掉的原因,不是说这个怕大家搞啊,我怕有些别有用心的,他把突然把东西一删,把那个什么一些源码全部删掉,那我就是尴尬了啊,所以说我还是先把这个停止掉,我把那个安全组开了,开了再来个,嗯好了。
好啊,我来再来再来啊。
嗯刚跑哪去了个笛子呢。
看这里啊,好他已经上传成功了哈。
大家可以看到啊,这个已经上传成功了嗯,什么鬼东西啊,你们不要再说了啊,来你看这个上成功了啊,嗯大家可以看到啊,这个文件的上成功了,那不就说我访问upload,二点PB呢就能触发他了啊。
好现在大家看一下啊,我在这边的,他不管说这是用了pp的演示啊,B在这个其他演示呢,它也是完全OK的。
那我们来看一下啊,来访问upload,然后呢R点BB刚才上传的文件嘛是吧,去访问它啊,大家看到啊,这边呢就能执行出这个什么,pp的代码效果对不对,好现在呢我们在做这个事情啊。
就在这里呢可以进行一个配置,这个配置呢就其实就是目录权限了,禁止目录执行,我把这个显示过,然后目录呢就指向这个一目录下面的upload目录,然后点确定啊,那么当这里一直修改之后呢。
我们再次刷新这个上传后的这个后门的地址,这个地方刷新,哎你看就经执行了,这个就是一个目录权限的控制。
他的一个实现原理呢是个什么情况呢,实现原理也非常简单啊,就类似于在这个目录上面呢,安全这个地方啊,给予啊,给予某个用户,这里不是有个叫读取和执行吗,他就把这个执行呢给他拒绝掉,就是说这个里面的文件呢。
它是能够它是能够这个什么啊能够访问的。
但是它不能执行,因为这个脚本它是执行的。
因为你可以看到啊,我们上传图片的话,他是没没问题的啊。
你比如说我上传个图片,对不对,我上传个图片啊,来223点pp是吧,我们来访问,啊PNG。
你看他是能够访问到的,对不对,图片是没有任何影响的,但是你这个以前这个pp文件呢就被禁执行了。
禁止执行的话,也就是说这个文件它就不能执行,不能执行,就说你上传的没有任何用处,因为正常来讲我们肯定就上传home门,这个文件极有可能就是个后门,我们用后门的去连接它,但现在可想而知。
它这个连接不上了啊,你不伤啊,这里呢如果说大家有内力的话,自己可以做啊,这个就不说了,因为这个pp就是最好效果啊,这样来讲他会执行这个批评for的结果,所以这是第一种啊,就是把这个目录的给他操作了。
把它限制了,也其实就是说对方呢真正的去操作的时候呢,他可以把这个专门来存储文件的目录了,给他不给予执行权限。
那么也就是说这是一种很常见的一种方式,这种方式呢,就基本上把这个上传文件的目录给他锁死了,你即使你把这个后门的上传上去了,也是不能够被执行的,也说是等同于上不上都无所谓,反正就执行不了,就这么个情况好。
这是第一种情况,还有一种情况就是我们经常也可能会碰到的,我们等一下呢都有这个案例呢去给大家看到啊,这个案例呢啊在网上找不到,因为这个案例呢都真实的啊,我们来看那个还有一种第二种方案。
就是我们说的第二种方案,什么方案就是解码还原,什么叫解码还原啊,我先给大家普及一下这个呢是个什么意思啊,肩膀还原是什么意思,大家思考一下啊,很多网站都会把图片去用字节流,数据接收过来之后呢。
进行一个编码编码之后,再把这个数据的资金流量把它保存,最后要取出图片的时候呢,就把这个图片呢给它还原出来,那么这个编码解码常见使用的就是base64,这是啥概念啊。
我给大家看一下,一个简单在网上随便找一个这个例子,你看啊,我搜这个关键词,这个叫data image base jb1啊,我随便在网上啊。
就你这里呢可以随便找一个网站,都是这么一个情况,你看啊,这里这是另一个网站啊,然后这里呢是有很多图片的,大家可以看到啊,正常来讲,我们看一下我们之前这种正常网站,就是这种模式的啊。
你看我小礼八点com的,看下小礼吧,哎,唉,这尼玛真是,算了算了啊,不是换其他的吧,你看啊就拿这个百度这边来看一下啊,那个啊我访问它,但看到啊它有一些这个图标,你看到没,这个图标来大家看到啊。
他是有个DZ呢,是是这个白度呢LICO,然后呢还有一些图片,你看这个图片呢都是呢,就是这个页面上面的一些图片啊。
你可以看到啊,这是我加载这个页面上面那些图片,那就这里呢也新闻的是吧,这种图片啊,对不对对啊,他也会加载这些,你看啊有很多这种图片,对不对,你看他有这种图片啊,其实就是他这个网站呢加载出来一些这种资源。
对不对,就会这么情况啊,这个好理解啊,对不对,那这种啊就是完整地址,那么还有一种情况你看就会出这种的,看到没呐,这种东西出来这啥东西啊,你看来那就啥东西,这个那有些就是图片地址啊,图片地址。
还有些呢就是我们说的这个这个什么这种东西。
那这东西呢它其实你看这个啦,他也是张图片,他也是张图片,但图片呢是这种东西,看这种东西又叫什么data image png,Base64,它其实就是说把它渲染成一个image png的图片啊。
后面的是base64的编码值,这个Y进行这个解码之后呢,其实就是那张图片,那还原成就是个图片,那其实就是说他把这个图片等于就什么意思呢。
啊就我们简单的例子,就说这里不是有图片吗,准备之后呢,你用这个工具去把它打开的时候啊,你把工具打开的时候,就是用这种记事本工具啊,或者一些这个呃16进制查看器,去把它进行打开的时候呢。
它的这个核心的这个图片的代码呢,他应该是这么一个情况,他就把这里面东西呢把它进行背身就编码,编码之后呢,把把它发送成为一个一传数据,成为一个贝斯六四的一串数据,最后呢再把这个进行解码还原出来。
再还原成这个,那么打开就是一张图片,是这么一个概念啊,那这个又对我们有什么意义啊。
对我们有什么影响,我给大家先看一下个例子啊,大家看着啊,代码是这样写的。
可以给大家看一下这个代码,好把代码呢拿到这个本地来给大家看一下。
好这是代码啊。
代码给大家看一下,代码非常简单啊,这个是那个上传,然后,哎不是不是这个不是啊。
第四个第四个这个这个目录里面的这个啊。
这个。
好我看这个的啊,看这个的嗯,它的代码是什么,你看啊,处理这个文件上传它怎么办,它把这个文件呢把它用这个函数打开,就是取它里面的所有数据,然后用base60把它进行什么样EO的,把怎么样编码编码之后。
他再用这个什么data image jpg,base64这个语法呢对这个编码的值呢该进行解。
然后显示图片好,这有什么意义,大家看一下啊。
我们打开它,我们先从这个文件上传的概念去给他解释啊,等等下呢我们再回顾。
先打开这个路径啊,看着啊。
这个时候首先的啊,你看啊,我上传一张图片,大家看着啊,我上传一张图片好吧。
我上传张图片,你看哎这是我的图片,对不对,好他上传了并且显示了好,你再看看啊,我随便再上传另外的东西,他都一样上传了啊,这也是那个图片,对不对,图片能正常显示好,你看着啊。
当我取这个,这是能够任意上传啊,并且把图片显示的功能,你看上传的时候,这个数据包是怎么样的啊,上传那他变成这种了呐,你看这个图片呢,它变成这种模式,你看他变成这模式啥意思啊。
其实就是说你上传的就是这串数据,你上传的就是ZA数据啊。
就是这个数据,就是说他把图片呢里面的这个数据啊,进base64了啊,这个就是他上传的base64数据,我可以呢给大家演示一下,你比如说我在这个代码中啊,我加一个函数,这不是他接收到的文件那个数据吗。
我把它输出一下,我输出这个数据给大家看一下啊,结束之后啊,后面是显示嘛。
把数据输出一下,好刷新一下啊,你看当他这个执行之后上传数据的时候,那这是他数据呢,这是那个文件数据就这么长传,下面是显示图片,这个是上面数据,他其实就是说把文件呢当做直接流数据。
把他怎么样解释过来之后再编码,然后后面呢再去解码还原,也就是说他其实呢就和我们传统的不一样了,传统的是把那个文件呢解释过来之后呢,叫保存,而现在呢就是把文件转换成一种数据形式,再从数据再把它还原。
可能你会问,那这有什么用意。
这有什么庸医啊,这有什么意思呢,来其实他的意思呢就可以方便于存储数据库。
它可能把这个数据都存到数据库里面,然后呢再把它取出来,用相应的这个函数把解码出来,就是一张图片,就其实你正常来讲,图片应该是存储到这个什么,存储到这个文件目录中,但现在呢他把转换成数据。
然后呢再把它还原这个流程,大家能不能理解啊。
简单来说呢,这个流程就是个什么逻辑啊,就是你上传这个文件啊,不管说是图片好怎么样啊,然后呢他把它转换成一个预算,预算什么一串这个贝斯牛斯的一个什么车啊,后面呢在要进行这个显示文件的时候啊。
就是我是显示图片啊,对吧,他就把它再怎么办呢,他就把他怎么样进这个解解码这个数据再还原,你可能说为什么多此一举,而不直接把他数据接收过来,是这样的啊,因为这个数据你如果不说仅仅base60编码的话。
那么那个数据呢,可能中间有一些这种特殊符号啊,或者说换行啊,导致你发送的时候呢,他那个显示的问题啊,会造成一些意外,所以呢它把它单独的封装到一个整体里面去,再把它单独的再把它解出来。
这样子呢就保住数据呢不会出现问题啊,是这么一个原因,那么这个过程是这么个情况,那么大家思考一下,如果说这个文件他要去显示图片的时候,它在显示图片的时候呢,他做了一个什么固定协议,什么固定协议。
就是我们这里看到的就这个东西。
那这个前面的前缀叫data image png base64。
这个就是它的固定的写法,因为他要显示图片,它就固定的告诉他是什么类型,然后面贝斯60就是后面的什么,这个数据的这个指法,就是我说的basic是那个一串数据,这么一个流程啊,他也会这样去去解析它。
那么这个东西固定了,那就表示说你即使这里有上传漏洞,都没有任何作用。
来我给他撕一下啊,来试一下,你看现在啊我尝试着去上传一个home文件,他没有,就说我这几个上传这个点里面呢,他是没有做任何文件上传的过滤的,他只是做了这个什么一些不同,和我们常规来讲一些不同的这种方案。
你看啊我们现在上传一个这个带后门的啊,就说我们找个这个呃带后门的这么一个文件,那这一二点pd是吧,看着R我上传上去,那他是能够上传上去啊,但是你看啊这个图片呢当我们去打开它的时候,那显示不了。
我们打开它的时候呢。
他图片地址变成这个东西,大家看一下来变成了这个东西,因为他接受是数据嘛,也其实就是说他把里面的数据都接收到了。
你这个格式呢,你不管怎么变,它都这个pp文件都展示不出来,这是为什么原因呢,固定的协议,这和你上传什么文件没有任何关系了,因为他已经固定好了,这是一张什么图片解析的。
所以说你上传任何东西对于他没有任何意义,它永远把它当作图片去解析,所以说你即使说能够上传pp,能上传后门脚本格式没有任何意义,他已经固定死了,我会观察这几个网站都是这么一个情况,大家可以看一下啊。
啊你看这几个网站上面的图片,我看下他是怎么存储这个图片的,这是一种存储方案啊,也是一种解析方案,就是这是不是张图片吗,你看啊,这个图片正常来讲,我们正常的图片地址应该说什么点PNG啊。
点GF的那种形式是吧,我刚才也给他看到了,在百度点com的时候,你看他也有图片,就是这种情况,然后你一访问这个地址。
它就是一张图片啊,你看这张图片对不对啊,他是这个地址是这样的。
对不对啊,这是格式嘛,PNG啊都好理解,是不是,但是你看啊,他这种呢这也是图片,那这里呢也有这图片是吧,但是你看啊它的图片是怎么流行,你看它的图片是什么,除了这个logo是一个什么地址,是这个地址。
那么你看其他的呢,这个呢打开呐,这是一张图片来,这是张图片,那这是张图片。
这是不是就是下面这几个图片,你看诶。
他的图片呢以这种形式去存储,以这种形式去操作,那么你想象下你上传的图片,他也有可能是这么个形式是吧,也有可能是这么个形式去这样把图片存储了,然后前面固定了这个解析协议,那么你上传任何文件有意义吗。
没有任何意义,因为你上传文件,它把里面的数据呢把它解析成这个东西了,然后用固定的这个协议去解析它哦,不不管你是pp还是其他任何脚本都没有任意义,它只认前面这个东西的解析。
那么这个前面一固定这个图片就怎么去解析哈,你是什么格式,他不关心,只关心里面的数据数据能把它解码是什么样,就什么样,如果是图片的数据,那就显示图片,如果不是图片数据,那就和我这里看到的是一样是吧。
我上传的是一个什么,不是一个后门的代码,哎他把后门代码那给他base64了,但是在你再去解析它的时候,由于这里不是图片的数据,打开呢就是这么一个错误图片地址。
那就这么东西吗,就这么一个错误的,不是图片那个图标,这个能不能理解啊,这有点有些人那可能做不知道什么情况,其实就是说传统的就是把文件呢换了个地方,保存格式呢没有任何改变,对不对,这是传统的一种情况。
那么现在呢就是有这个东西之后呢,它其实就是把这个文件呐,以这种字符的形式去保存呐,而支付形式呢又以它设置好的这个解析的,这个协议的去解析了,所以它就像是文件。
那它就没有格式了,知道吧,就是说啊这个东西呢就相当于说文件,这就上传这个图片呢,它是没有格式的,把它转换成什么,把它转换成数据了,那没有格式的话,那有什么去解析它呢是吧,因为它没有格式了吧。
它没有格式了,没有格式后缀了,又不知道是什么东西了,那么它由什么去解析呢,就是由这前面写的东西去解析,那么你觉得别人会不会傻傻的把它写成一个,PPP的解析啊,那肯定不会啊,那如果写个图片解析。
那管你是什么格式啊,装都让你上传,上传没有任何意义,解析的时候他还是按照图片解析,所以说你上传任何东西,对于他来讲都是一串数据,他只按照它固定的格式去解析,这个数据能解析出来是图片,就是图片解析不出来。
那就显示不出来,就这么个情况,所以说碰到这种情况,那你说咋办呢,对不对,我们先不说咋搬啊,这个东西能不能理解,其实就是说啊他换了一种模式去存储这个文件,就是换这个数据去存储文件了。
然后要用的时候就把数据取出来,然后用固定的协议去解析它,就这么个情况,就是他这就是这个基数的一个架构的原理,但是由于这个基数架构的原理呢,对于我们来讲,对这个文件上传呢是有很大的影响的,为什么。
因为我文件上传我一直在强调的就是那个后缀,因为我们绕去绕来,就是要把那个PPP啊,或者说脚本格式文件都给他上传上去,这是我们一直以来文件上传漏洞呢,做了这么一个尝试,都是为了这个做,但是这个概念一出来。
好像和格式没有任何意义了,因为你上传任何格式都没有任何意义,因为它只认数据,不能格式,你格式商圈商圈没有任意义,那会到他那里就是一串数据,而这个数据怎么操作,都是由他前面固定好的这个东西来去解析。
所以说你那个格式呢在他那里那就什么都不算,因为他压根就不输出格式,数据已经变成了一串数据,而那个文件已经变成了一串数据,我这样说能不能理解啊,能不能理解啊,我还给大家看到了啊。
那这几个网站都这么个情况啊,你可以看一下啊,我还有这这这这么多都是可以理解的。
你看这个也是单的,你看这个啊,这个图标这都是图片。
对不对,你看啊他的图片是什么情况呢啊,我们看一下刷新,你看你看这里大,这是正常的,那这是正常图片,你看是正常图片,你看还有些图片就是还修就不一样了啊,我们猜一下在这有没有,他这里没有啊,搞半天。
这里没有好。
这里有个啊,这个不是这个也是张图片,这个还是搞错了,看前面的啊,嗯好看这个吧。
哦这里呢有一张那个啊,你看啊这里也有一张图片啊,你看他图片那个存储方案是怎么选的,你看除了这个本身这里几个小东西呀,是这个颜色,然后你看下面的这个人物的这个图片呢,山迪呢都是这个什么对,分析这个东西呢。
其实就是那个图片的那个信息,就是这个图片信息,这是图片信息,搜一下图片信息,那就是他图片数就是我刚才说的啊,就打开那个图片,他的这个值的一个那个数据的所有编码,把它形成一个整体,对不对。
就说对方呢去存储这个图片,那就是存储这个数据。
把数据存储之后呢,用解析呢去解析它就完了,那么不管说你这个这个东西是不是遗传,是一个什么格式呢,都不是他关心的,因为任何格式他就把里面的数据把它转换,转换之后,用固定的协议去解析它,上传图片啊。
把这个图片的数据呢,把图片的数据呢把它转换成一团base64,后面呢再把这个贝斯六四怎么取,那个呢,就是把这个base64的数据呢给它进行解码,然后呢再进行还原啊,这个还原呢就是我们说的阿数据解析。
把它解析出来,是这么一个情况啊,是这么一个流程,所以说呢哎这个文件上传上去,不管说你是什么格式,它只认数据啊,只是说这个方案呢它是只认,只能数据把这个文件的数据呢做这个什么,就这个处理,你是什么格式。
它是没有任何关系的啊,不会有人关心他没有格式,全部是数据啊,数据该怎么解析,就是他自己呢配置好的这个前缀来去解析它,所以核心道理就是这个地方改变才能攻击,这个地方,改变不了,那么没有任何用处。
我们前面的上传漏洞呢,都是围绕这个文件的后缀呢来去操作,就怎么样呢,去上传PPP啊,怎么让它解析PPP,这是前面那个文件上传,但现在呢这个技术,他这个后缀呢没有任何意义了,你能上墙和不能上墙关系都不大。
因为它只于数据,数据怎么解析,由它决定,所以你要知道啊,这个文件方便的,这种存储方案的解析方案有很多种,我们这只讲两种。
还有啊接下来讲第三种就是存储方案。
刚才那两个呢是一个是目录权限,就是控制解析的不给予执行权限,还有个就是我们说的这个建模还原是吧,解码还原,那这个解码还原呢就是两个都做了,就是首先数据呢它是什么存储的啊,这数据呢做这个存储。
然后啊然后解析呢孤立对吧,他这么一个情况,这个后缀无关,好我们接下来再看这个存储啊,存组呢在以前没有人安全,比这个啊人安全还没有这个比较普及的时候,用的最多的就是这个分站分站的这个存储,什么叫分站存储。
什么叫分占存储,好,我先给大家看一下我这个本地案例。
看完之后呢,大家来看这个真实的一些常见情况啊,我们先看我本地案例啊。
来看啥啊,有啊这个上传之后啊,我这里呢创建两个域名啊,我这里呢是为了方便,所以我把这两个域名的解析目录都放在一起了,一个是image小于八点com还是upload这个小巴点com。
然后呢这个image share巴点com呢,这是我们上传的这个地方,好,UPLOADER就是我们说保存地方啊。
分站存储啥意思呢,你看啊,Uploading shabin com,这里有个上传点。
我们去上传一个文件,叫我上传个文件啊,比如说我随便上传个图片。
上传个图片啊,上上去好。
你看他上传成功,上传成功之后呢,它保存到哪里啊,保存到这来,保存到image下载80com上去,这是我说的分站存储,啥意思呢,就是说他是有个专门的这个网站域名,去存储上传的资源的,是这么一个逻辑。
就说它不再是我们以前就是我网站域名,那我是upload。
小二哥,你看,那么也就是说你上传的网站呢,是这个什么upload的下八点com。
那么现在文件呢它跑到哪里,他跑的这个什么点什么com,来不来,image小Y点com,然后这个什么哦,三点点击他跑到这个地方来了啊,他跑到这个地方来了,刚才上传的地址文件,它跑到这地方来。
我上传的域名是upload,跑到image上面去了,两个域名不一样。
你可能说这都在一个网站目录啊,那试想下,如果我把这个upload放到这个服务器上面去,把那个1BEI放到另外一台服务器上面去,那么大家试想一下,你测试的目标是upload的。
但是最终文件上传了image,那你告诉我我究竟是如果说这个文件啊,就说这个这个这个后门呢能够上传,那我拿的是image呢还是upload呢,大可想而知,那我连上去的话,要连是不是就是imagine连了。
那不可能你upload用upload上面没用啊,他不放到image,但是通常这种方案都会做一件事情,就是做目录的权限控制,啥意思呢,就是说啊一般用这种方案的,基本上都会做一件事情。
就是把目录直接给他锁死,就是这个目录只能用来存储,不能用来解析,那么就等同于目录所示之后你上传上去,我不管说你连不连得成功,至少一点网站的目标就已经错了,还有一种呢就是说你访问他没有任何意义。
因为这个呢就是做存储文件用的,他啥事都不干,就是做存储文件用的,他就相当于说把文件的放到另外一个地方去了,就不再是和我们那个目标网站的关系一词了。
那么你看啊网站有没有网站,有没有这种使用这种方式的呢,我跟你说啊。
基本上稍微大一点的网站都这样用,来,你看啊,大家看一下啊。
我都在看,你看你就拿哔哩哔哩来说,你看啊,哔哩哔哩这里不是有文件的,这个个人的这个地方吗,你看啊,你看这是我的图片是吧。
对不对,这我的图标啊,你看一下啊,我把这个图标打开,你看我这个图片在哪里,我点一下这个的图片地址啊,我看图片第一次跑哪去了,那这我图片地址看到没,是一个JPG图片,来这我图片地址。
假设我图片地址嗯,这图片地址图片图片是一个什么,IOHDLSLB点com。
我在哔哩哔哩上面去上传图片是吧。
把哔哩哔哩这上面去。
上这个图片,那你看大火现在呢八一更新是吧,对不对啊,这个我是懒得更新了啊。
你看我在更新的时候,刚把上上去之后,你看他是怎么存储这个他怎么做这个事情的,大家看啊,来这这是那个地址呢,你看发生更改,你看那我再换一个那个,那看到没,这个地方改了啥情况,是不是这个地方改了。
你看改的是什么被普mage png啊,啥情况,他是不是就是几种方案联动在一起在用啊,又搞了这个说的,把文件转为这个资金流呢,你看这是他自己的数据,就是我的图片资金有,就是我要变身60的数据。
而且当你去保存提交之后。
好他没成功啊,当你保存成功之后呢,这个地址就变成这个地址,就是放到了这个网上,另外一个地方存储了,所以说为什么说他们安全,就是因为他们都使用了这个,所以先进是吧,最最最安全的一种架构呢。
去对这个文件上传的做着做这个事情,所以说即使他说能够上传这个脚本格式文件,但是依旧不会影响他人身安全问题,因为第一个他把文件呢放到另外一个域名,那假如这个网站的这个域名上面呢能够连接。
但是和你这个目标网站呢不是一个地方啊,是另外一个呀,里面上去的只有文件,没有任何源码呀,网站信息这就不说了,那大部分都这个不能做解析,还有情况就是说在做文件上传的时候,他接收到的这个数据呢。
刚才大家也看到了,他接收到的都是这个什么这种数据,他把这个只接收数据,他压根就没有看,你说哎呀,你是一个什么这个格式啊,是什么鬼东西,压根就没有看,你只只接收数据。
把数据都固定成这个解析协议去尝试解析它,所以你上传任何东西呢,在这里呢都是把它当图片处理的,你这里有没有HOON,或者说是什么后门都不重要,他只是把它当做图片处理,所以碱性型固定时,那就不说了呗是吧。
这很好放啊啊,你看百度的也是一样啊,啊比如说我们找个百度这个图。
你看这个百度图片是他这里不是有上传吗对吧。
你看他是image biding home,我们选择一个文件呢都要进行上传。
好这是他图片是吧,你看我们图片地址,打开这图片地址。
你看你看是个什么情况。
你看这个域名是个什么域啊,BGBCEBOS点com,你的图片放到另外一个地方去了,你上传的是image百零com,放到另外一个地方去了,是不是类似的分站存储啊,你可能说为什么要这样做,其实就是很简单。
就是和我们做事一样,专业的事给专业人做,就说那个域名呀,他就是专门来存储的,他啥都不干,就是来存储的这个数据的存储,这个上传的东西的啥都不干,就搞这个事情,所以你只需要你你需要控制这个文件上传安全。
你就只需要控制这个域名,它的解析就完了,你不给他解析机会,你上传任何东西上传到后面上去有啥用呢,上传解析不了啊,解决不了代码无法执行成功啊,那个后面无法连接啊,你就失效了呗。
所以他需要考虑你上传什么格式吗,不需要你都给我上传上去都行,就是不能连接,就是不能执行,咋办呢,所以聪明的人就玩这种模式是吧,那种传统的呢就还在那个代码上面做控制,因为你压根就不需要控制。
利用这种专业的事情呢,就控制一个地方就可以了,其他的就不用你考虑了,代码都不用控制是吧啊,这是以前的一种方案,那随着这个人人产品的一个流行之后呢,又出现一种另外方案,就是利用这个对象存储来实施的。
什么叫对应存储呢,就是在我们这个2。0上面。
大家都知道啊,它是有一个这个OSS存储服务的,那这个是干嘛的呢,大家也应该知道,从它的官方理解呢,他说是这个干嘛的呢,其实它就是一个对象存储,OSS就是一个保存数据的地方,那很多数据都可以放上去。
类似的,不可以把你就生成一个网盘,就是个单独存放文件的地方啊,他给开,然后你开了之后呢,他就会按照这个大小和流量呢进行收费,其实就是说其类似,就把他肯定解为一个人网盘,就这个东西就专门存储数据的。
什么数据都可以往上面拖,然后呢,他会给你一个这个这个网盘的一个什么地址啊,你上次说他会给一个地址,那么大家试想一下啊,有啊这里有个这个地方啊,你比如说这里啊,这里有很多文件是吧,你看这个文件呢。
你只是上传上去之后呢,详情里面就会有个地址,那这个地址呢就是那个文件地址,是不是啊。
好那这个是存储方案啊,你看啊,我现在在写了个这个代码,就是能截上去的啊。
我们来看一下啊。
这是一个上传是吧,也是个上传啊,我上传任何东西他都能让我上传啊,就是说他没有控制我上传的格式,按照正常来讲,它是存在文件上传当中的,因为他没有控制这个home门格式上传嘛。
我上传任何东西它都可以,是不是啊,对不对,那就是说他没有控制板这个2。0B啊,这一打开勾哎,上网成功,你看这是他地址啊。
当你去访问这个地址的时候呢,你访问变成下载啊。
他把下载了,然后这里可以看一下啊,在我们这个存储方案这边啊,刷新一下。
先把这些标签关闭太多了。
刷新一下啊,那你看刚才上传的文件在哪里,你看好就这个嘛,69号呃,刚上传的就在这里是吧,你看在这里嗯,地址呢刚才打开看了。
打开之后呢变成下载,那么这个文件的加载下来之后,你再打开看,这是用到pp代码啊,这有啥用的,啥用都没有啊,他只做存储存储,要么就是访问之后呢,你上下图片啊,你看我上完这个图片试一下。
看图片是什么情况呢,对不对,我上传个图片试一下。
好我试试3000个图片试一下,啊啊我上个图片好吧,一点偏激算啥好,我们看一下啊,那他也是下载它也是下载哈,但是下载那你看他也是下载,对不对,都是下载,啥情况呢,他其实就是把它存储到里面去了,啥都没有。
你访问呢要么就是直接打开,要么就是下载了没有其他的东西了,没有其他东西了,那个是根据你的设置,因为你在创建这个这个这个地方的死活啊,啊哎这个地方的一个使用的时候呢,你看啊他是怎么创建的,我给看一下啊。
他会先点这个地方,然后点创建,创建时候呢先取个名字,比如说我叫这个效率ACC诶是吧,然后这里呢选择你的地区,就说你存储到哪个地方的地方,标准存储和什么这个归档存储等等啊,然后这里有个叫独有权限。
私有公有读,如果学生私有的话,就需要你用那个access k呢才能访问它,如果公共读,那就说任何人都可以访问这个地址呢,去读取你的数据好,然后后面就不说了是吧,他这么个配置是这么个情况啊。
其实那就是在哪里帮你开个网盘啊,在哪个地区帮你开个网盘,开了之后呢,你就在上面都可以咔咔的去上传文件了,去把文件都放到这里来了,然后由现在就设置有密码的访问,有这个K的访问。
邮箱呢就直接可以公共的去读写,对不对,但是他们都做了一件事情,都只有一个问题,就是这个文件它只是存储,你只能去拉这个图,拿这个文件资源并不会说有任何问题,所以他这个文件上传上去之后呢,打开无非就是下载。
再有是显示,就不会说把这个文件呢给他执行,你不管是什么格式放到上面去,都只是一个文件,它就能提供下载,其他的他都没有了公认的,那么你想想这种图片呢,这种文件上传到这个OSS里面去之后呢。
你后面上上去之后有没有用呢,那不用说了吗,那肯定就没有任何用了呀是吧,那你可能问那问他这样做。
那他要正常使用这个图片怎么办呢,正常使用就正常使用呗,他直接把那个地址把他图片给他。
怎么样进行这个资源拉取过来,再把显示不就行了吗。
而且你可以看到啊,我给大家看一下,这个还不在少数。
你看一下啊,我随便搜这个搜这个域名,你看网上很多这种网站都是用的这种方式啊。
你比如我就搜个阿里云cs,就是阿里云用用阿里云的这个东西啊。
我就搜个关键词JPG。
应该有很多这种已经使用过了,你看呢这是他的图片地址,那他把上传再来。
你看啊,那地址呢image dmo os,这个杭州阿里面cm s examo jb,你看他就把这张图片呢上传到这种地方啊。
那这有很多呢是吧,就是把这些文件不管是图片好,或者说一些这种各种各类的一些其他的东西,你看这都有的是吧,东东西嗯,那阿里人的图片加水印啊,什么,就是把各式各样的文件呢放到我们这个什么唉。
放到这个这个图标要删了啊,然后放到这个OS资源上面去,然后呢自己呢再选择新的是吧,去从这里面取出这个文件呢,再来去显示啊,和那个分支存储呢是差不多的,你看这里呢是不是也是一样的,就是这样。
这都是一些网站的图片,然后呢他把单独放到这个这个OS在资源里面,然后要取出来的时候呢,他就把它取出来,哎你看这个就是呢发放到上面去了,你看它自动下载的,这是一个网站的是吧,那非流等于什么一个地址。
然后这个地方在这里mp4是吧,这就是应该是那个网站上面的资源啊,对他放了,放到这个OS里面去了,然后呢,他要播放这个图片和这个这个网站的时候呢。
对不对,他就把取出来呢。
在固定地方显示,你看这里有很多图片啊,你都可以观察一下,是不是就是来自于这个地址上面的一些图片,他这里不是的啊,但有些视频可能就是的,好把拉下来之后呢,就放到这个上面去,啊这个上面报错呢是有的啊。
你看这个地方呢有那个快照的信息啊,啊在就这地址上面的啊,哎啊这个大家应该好理解啊,其实就是说哎把一些资源呢放到这个阿里云的,这个这个不管是阿里云还是其他的,就说我们说的对象存储这个概念就是阿里云啊。
这个啊腾讯上面都有啊,云产品上面都有发到这些平台上面去,文件呢就是做个这个存储没有任何作用,然后要用的时候,那就把它取出来就完了,也就是说图片放到那个地方,放那个地方之后呢。
你的后面呢你如果说要上传也是放到那个地方,那放那个地方,你这个后面还有用吗,就没有用了呗,因为你访问它就是下载有啥意义呢,没有任何意义,你能上去这个后面也没关系啊,让你上去上不上去也是个没有用的东西。
因为他就不解析嘛,它只提供下载,永远都是用下载去搞你,你到后门代码写上去也没有任何用处啊。
所以说呀这个文件上传呢要控制安全的。
是非常简单的,要非常简单的啊,随时随地都可以捉他啊。
然后大家如果要测试这个OSS的话,注意一下啊。
它需要改几个地方,就我这个等下会给大家打包吗,打包这个代码,如果说大家要测试这个OSS的话,就自己呢登录一下阿里云,登录下阿里云之后呢。
在这个对象存储呢开通一下这个boot啊,就配置这个几个信息。
一个配置这个input,这input那就是在这里啊,大家说一下。
那创建的时候,这里不是有个这个地方吗,把它开起来,那就选这个地方,还有呢就是个name。
就是你创建的名字啊,就是创建名字就是这里写的名字啊,名字就叫这个bot名字。
还有两个就是这个access k,这个K呢是在另外一个地方。
就是访问你这个账号的资源的啊,是在这个,哎叫什么安全设置啊,嗯这在哪里去了,妈的,哦在用户信息管理这里,安全信息管理,妈的什么鬼啊,好来到这里了啊,我大家还在拥,我,赶紧一个金庸这里面的被你截到了。
你赶紧把我资源都访问了,我谁顶得住啊,这是吧,赶紧先把它禁用掉,因为实验已经做完,不然的话,你知道那个K不就给你咔咔的搞了嘛是吧。
这个就是那个配置那个K和那个密码的啊。
因为他就是在这个地方啊,啊有你配置好这个东西之后呢,他就用这个K呢,能够访问你这个人账号的一些资源,就包括这里的人服务器啊,这个人存储啊,它它就能访问它里面字段的啊,就我刚才说不是配置这个呃。
配置这个什么配置这个地方的时候呢,啊配置那个对象存储的时候,不是有个那个叫什么东西啊,公有啊,私有是吧。
一个那就需要登录嘛,对不对啊,就这个意思啊。
大家注意一下就可以了啊,赶紧把这个勒个了啊。
不然的话我这个东西你知道之后呢,你可以直接用这个东西呢啊去勒个啊,这个东西呢我们后面会讲呃,为什么说后面会讲呢,因为这个就是人安全啊,这个是人安全,到时候呢我们会说从这个上面再去操作它啊。
好这个就不说了啊,这个是那个呃讲到的这个什么OSS存储好呃,这个呢安妮我基本上都给大家看的啊,分展的呀这个东西的,然后大家这肯定就有问题呃,第一个问题呢就是说如何判断是这种方式。
第二个呢就是说呃这种方式呢,有没有绕过的可能性啊,那我就给他说啊,首先人说是个判断,就是你怎么知道的,其实啊我把这个质点讲完之后呢,通过这个案例学的演示啊,大家应该就知道怎么判断这个判断呢,很简单。
这个第一种判断如何知道是不是这个固定权限,那就是看那个上船之后的那个表现就可以了呀,对不对,你上传之后,那解析不了,那就是那个情况或者说403的那个错误,那就是典型的那个什么没有解析权限。
那就是就没有执行权限。
是吧,就说你明明一上传好了这个pp文件。
但是访问呢他就不给你访问是吧,明明这里下面呢有这个upload AD,来点RTV1访问,它就是呢提示这个事例三错误啊,或者说在个状态码中呢提示这个访问他呢是吧,403错误,明明这是个文件,放我403。
就是因为你这个文件呢他不给执行这个文件,没有的话,那就是四例四嘛是吧,这个文件没有的话,那就是私你私错误啊是吧,他直接包的有13,你看都到10米三,他不给你访问,就有没有都是都都是一样。
那只要说你知道这个上传的这个文件路径,你去访问它,如果提示这种信息啊,那你就知道了啊,他设置这个权限,导致这个文件呢无法被正确执行。
不让你执行,就是你没有权限执行,没有权限执行的话,那这个后门代码就是无法正常解析,就是不能正常运行,那么后门那就是相当于是个死的,没有任何用好,这是第一种那个啊判断方式就直接自己访问的,看这个状态码。
还有这个解码换源呢,这个也简单啊,我刚才用这个哔哩哔哩呢去给他测试过,就是你在上传的时候,那你关注一下这个上传的数据包啊,关注一下这个网站的数据包,那我们在这里呢,我关注的数据包,你看图像改了是吧对啊。
你看图像都改了,你这里呢可以通过抓包分析。
你看一下啊,我上传张图片的时候啊。
选中你看书包变成这种模式,那就恭喜你找到了一个贝斯,是64的一个上传的车子啊,如果这种东西啊,那啊第一次上传的他直接提交数据,那就恭喜你了啊,你看到这种东西了,那恭喜你找到了这个贝斯就撕了。
那就说明一点,说明什么呢,基本上可以跑路了啊。
所以这个是判断模式啊,还有这个分段存储,那你说这个咋判断,那直接看那个图片,第一次不就得了吗,那图片地址和你上传那个域名不是一样的,那就是的嘞,你肯定又问那图片地址没有,怎么办呢,一般都会有啊。
如果没有,那你那就听天由命了,那不好看了哈,那就不好看了,一般都有。
就是一般上线完之后,他会给一个地址或者商量完之后,他会给个那个图片显示吗。
你这个右键那可以看一下这个地址的嘛,这不是地址嘛,对不对是吧,这是地址呀,对不对。
这个意思哈,嘶呃这是那个情况啊,然后还有一个就是OS这样子怎么判断的是吧。
OS要这样呢,其实也是看那个地址啊,或者说你自己呢上传之后呢,你去访问一下那个文件,如果那个文件呢就像刚才一样啊,一打开就下载,那恭喜你,那就基本上是OSS了啊,因为OS1打开就是下载。
这个是它的一个固定的一个逻辑,一打开就下载啊,OS那个东西啊,所以说他的判断呢就很简单,如果说正常模式的话,就按我们正常模式,如果是在我今天讲的啊,什么分站存储啊,OSS存储啊,还有这个贝斯牛斯啊。
还有那个目录控制权限解析啊,这四个啊有基于解析上面那做限制的,有基于这个存储上面呢,导致的就是说他们这个方案的一个实施呢,本身不是说为了解决安全问题,但实际上呢,他这样一使用这种模式去存储文件的话。
就刚好呢把安全问题呢给他修复了,因为他这个东西这样一搞的话,大部分的都是那个文件,那就是只能做存储,不能做执行了,好,那么大家比较关心的问题就说绕过问题,那这里呢就给大家说一下啊。
除了第一种方案的能够有办法绕过之外,其他的物件啊,其他就是无解,第一种呢为什么说能绕过呢。
我们来思考一下啊,第一种是什么什么情况呢,就第一种啊,它是控制的是什么呀,他控制的是这个目录,那么也就是说你这个上传漏洞,如果说能把这个文件呢啊,你比如说upload2点pp是吧,他刚才访问不了。
如果说你能把这个R点pp,这个文件能够上传到这个地方的话,诶那么就恭喜你了。
是吧。
你就能执行它了,这个好理解吧,那这是刚才那个二点pp不能访问是吧,如果说你把二点pp呢,上传到他的这个这个目录了,哎就打开是能够执行的呀,所以说他能绕过,但是绕过有个前提前提是什么。
你能控制这个上传文件写入的目录,但这一想好像也很鸡肋,所以说今天讲的基本上碰到了啊,除了第一个能碰下运气,看能不能换个目录去上传,其他的全部无解,所以说为什么说我讲这个文件上传的时候呢,是吧。
都不是说很刻意的去讲很多很多,因为随着这个架构和方案的一些实施啊,这种东西呢就越来越少了啊,因为你会考虑到很多点,即使说这个文件呢你绕过去了,你能上传后面文件的,但是你还要考虑这个文件是怎么一个方法。
存储的,是怎么一个方案来解析的,经常呢大家有实战中的碰到过,把这个后门的上传上去呢,发现打开了变成下载是吧,这里呢我还没有说其他的,比如说上面装了什么啥的软件,还要考虑个免杀问题是吧。
一上去上去就自动被啥软件隔离了,哎你访问的说没有这个文件,那可能就是被隔离了,直接上传上去就没了,那个面啥的都还好,说对吧,这种呢就是东西就在那里,你就是不能这个尝试执行它。
因为那个代码要执行之后才有结,才有那个结果,你不能执行,就等同于这个这个后门呢就是个死的,那么刚好像什么分站存储啊,这个OSOS对象呢,还有这个解码还原这种方案呢,就把这个解析呢拿捏的死死的。
无法正常解析,那么这个文件上不上传上去都没有任何意义啊,所以说我们前面呢考虑的都是说,怎么样的把这个后面文件上传上去,就是尝试着去更管了什么后缀名呐是吧,什么零零结转,那就是总的来说前面的字眼。
那全部就是围绕怎么把这个后面上上去,并且能够以pp啊,以这种脚本格式保存啊,即使说不能以pp保存,换一个其他格式,也能执行出pp的这个代码也行是吧,都是围绕这个东西呢来做文章。
但是那种东西呢都是我们传统的那种文件上传,就是传统的设计网站啊,你搞个网站呢,你就是那么思考的设计这个文件,上传那个功能逻辑,但是随着这个应用的不断升级呀,很多一些体系内的一些这种文件上传呢。
都被上升到什么对象存储啊,分站存储啊,然后文件上传的时候呢,都用到了这个什么解码还原这种这种技术呢,实现在里面,那把这东西实现了呢,那基本上啊那个文件上传就宣告结束嗯,所以说啊这个文件上传呢应该是在。
除非说在后面呢有新的玩法,否则的话没有这个文件上传,一些这个新的玩法出现的话,那么基本上估计再过个几年之后呢,就你在实战中呢基本就碰不到了啊,因为随着这个时间推移的话,这个基数呢它是越来越成熟。
用的人越来越多,传统的那种使用方案,那就越来越少于用了之后呢,那就没什么攻击了啊,好这个就是我们今天讲的知识点啊,不多科呢就讲完了,没有什么的啊,从下节课开始呢,我们就来进入到全新的新的漏洞啊。
就来讲文件,其他的一些漏洞,像什么文件包含哪,这个文件的一些其他漏洞文件删除啊,等等一些啊,因为那些漏洞呢没有文件上传复杂,这文件包含的文件删除啊,什么人文件下载任意读取啊,那都比较简单啊。
到时候呢就上那个内容啊,把文件操作类的安全呢给他上完啊,好今天就说差不多了啊,这个文件文件夸张呢,这个是可以删一下的,但是这个伤呢我们是在XSS那个章节给他商,就是利用文件上传的来实现跨站攻击啊。
这个是讲夸张的时候再上,因为现在没有上夸赞,所以这个文件夸张呢只涉及到文件上传,这夸张没有删过那个东西不好结合,我们常常夸张的时候呢,再结合一下这个文件上传啊,结合那个应用文件上传的实现XSS。
这也是在什么SRC啊,在那种呃里面的,有些人喜欢这样玩,就是一些不一样的玩法,但这个漏洞说实话都是一些比较低微的漏洞,是没办法找了一些这种人门漏洞,学完这个章节能不能找工作啊。
这个找个很基础类的工作可能能找到,但是还是建议多学点啊,因为现在这个工作需求也大了,它不仅是web方面的很多,像现在一些字典,上期讲的有些东西都又开始过时了,上期讲的秒杀很多人呢都是表面面纱。
实战中呢做不了任何事情,碰到什么动态啊,那些又搞不了,所以七七个子呢都要加那些动态的呀,还有一些各种各样的是吧,这技能有点加,现在又搞什么家安全的,搞那些事情,唉,太卷了啊太卷了。
现在真的是一年一个需求,一年一定这个基数啊,啧哎,嘶今年我因为我时常在关注,虽然说我现在没有去在公司上班,但是时常是呢有学生跟我反映,包括他遇到一些这种面试题,他不知道的,他也会问我。
然后呢我也经常在关注这个一些面试的题目,我经常在看,而且通过他们这个打呼网的一些反馈,所以我大概的都是很清楚,现在这个技术的一个需求和技术的一个发展,每年的这个课程在变动,都是在为莱格勒做做改变啊。
你看今年呢我看的最多的,就是问这个免杀的一些问题,再就是这个java的一些问题,然后呢,再就是这个一些那种漏洞,利用的一些那种复杂的一些程度,不过大部分都是一些这个漏洞利用。
都是一些这个java上面的一些漏洞利用,这是问的比较多的几个,这个临时的一些这个趋趋向啊,然后再就是问些这种挖B类的一些这种是吧,对漏洞的理解呀,包括对漏洞的一些这种是吧,安全方面的,这是红队的啊。
蓝队的那就不说了,蓝队就是老温线那种流量的分析提取啊,还有思防范的思路和检测的迎击的思路啊,这些东西都比较简单一些哈哈,主要是红队的变化不大,嗯好,今天我们就上这么多了啊,看看大家有没有问题啊。
有问题就问,没有问题,我就随便聊一下了啊,看一下大家有没有问题啊,网站都要流行勾了,是的啊,这个现在真是太卷了啊,你看就拿我们这个阿里云这个那个开发,就在这个有个STISTK的开发。
就是我做那个文件上传的时候,我用了一下这个SDK,就使用那个PPP的写个这个文件上传嘛,截截到这个对象存储里面嘶,他因为他那个对象存储呢要用那个他的SDK,那我这里有SDK啊。
他那个SDK呢我给他砍一下啊,你看啊,搜一下这个对象存储这里啊,存储服务,你看啊用到这个,A跑哪去了,那就到这里了,那这个地方呢他不是有个SDK吗,就是开发的,你看哈这个有java的是吧。
利用java呢和调用这个存储对象存储的开发,还有个呢就是这个TP swift,就是我们说的那个那go Python seup,然后你看pp这个pp的pp呢,他这个项目在2020年就停止维护了。
因为他也可能知道啊,这个pp语言开始摸摸,然后这个啊TK的都不怎么更新了,反观这个其他语言呢是吧,他还在一直在更新,所以这个java也没更新,可能他稳定了啊,这也不好说是稳定的没有。
那这个呢用的是node js的,你看一下那个上面那个更新版本,那些勾勾位出来,所以说你可以看一下啊,他这个API版本呢,他对各种语言的知识知识的一些程度,你就应该能知道啊,哪个语言呢他比较重视。
大部分都是这几个是吧,在外主要是外国的一些开发版的java呀,js NO js啊,go啊pp啊,Python的this up c加加,好这个又不说了啊。
现在这个情况太卷了啊,没办法。
所以我我都说我都有压力,你也不说你很讲道理,我要是说我不学习啊,我这个不去更新课程。
今年上完之后呢,下期就没人报名了,现在这么努力是吧。
都还是被冠以基础number one,哎你说咋办呢。
嘶因为我记得那时候我搞安全的时候呢,刚开始搞搞个web快的时候啊,那技术的几年都没什么变动,哼哼那租入了玩了一年了,第2年还玩,第3年了还在玩,到现在都还有在玩,那先在这里面的一年一个变化呀。
一年一天需求经,经常有人为什么说老有群人进群呢,经常就说哎呀,我20年跟你学的是吧,现在我又来学了,为什么呀,他不学不行啊,不学就师爷了呀,你又跑来学了,然后就他又回归了,他就是想学好之后呢,直接躺平。
发现他躺平不了,还要学。
说实话啊真心建议啊,大家以后呢不要搞这个B行业了啊。
这行业真的是啊,我不知道其他行业啊,但是目前我了解这个安全行业的,说实话已经不好了,他妈的太卷了啊,真的是你搞那个开发都还好一点,搞开发呢是不是还可以吃下老本,这个安全行业太快了,这更新的哎呀。
实在是顶不住,因为随着这个现在经济社会的发展。
P5:第5天.反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载 - 逆风微笑的代码狗 - BV1Mx4y1q7Ny
今天呢我们讲第五天啊,原本是讲人产品的一个打点架构的,但是人产品那个东西呢,我下面呢搞了两三个,那个课程内容的不足一次直播,所以我等我把它搞完了之后呢,足够能讲意识直播的时间的时候呢。
我们再把那可乐带来下去啊,就准备时间的准备,那个只能讲班课,所以我们就提前先讲了这个呃,另外的字典今天讲的主要是三个支点啊,这前面讲过的,今天讲的就是这个关于这个神头命令的,一些这个知识点啊。
这个命令就分常规命令和这个文件上传下载,包括反弹需要的一些命令,主要的在这个操作里面呢,我们会有案例演示,案例演示就是演示这个防火墙的一些策略,包括这个正反向连接,还有这个带外查询这三个支点。
这三个支点呢就是我们的终点啊,基于那些命令呢,大家学会怎么查,怎么用就可以了,不用去刻意去记住怎么写,因为这技术怎么写呢,没必要啊,用的多就灰了,主要就是了解三个概念啊,正反向的,包括防火墙的策略。
另外就是我们说的DIY查询,同时能理解这三个概念里面的它的应用场景,这就是我们今天重点啊,好我们来先来说低一点啊,关于这个文件上传下载的第一个案例,文件上传下载,这个呢是解决什么事情呢。
先给大家简单解释一下啊,他这个是解决无图形化,和解决数据传输的一个问题,啥意思呢,就是我们利用命令来尝试去下载文件,这个为什么要去学习这个知识点呢,其实很简单,就像我们这个自己去下载一个文件。
哈哈文件都会有个下载地址,有的呢直接访问就可以下载是吧,有的那就啊可能就点击下载等等等啊,那么你比如说我下这个文件的话,在网上随便下载个文件都是呢啊用鼠标的是吧。
点上去下,或者说直接访问一个网址啊,在这里浏览器访问网址啊,去下,像我给大家的,我给一个百度网盘里啊,你就放我这个网址呢,打开百度网盘的进行下载是吧,是这么一个操作,但是在我们这个安全测试的过程中呢。
有很多情况下面呢都是不允许图形化操作的,就说你获得的权限,他可能是一个执行命令的地方,但是呢他并没有这个界面给了你,所以你就需要用命令来完成这样的操作,比如说你需要在对方的服务器上面。
去上传一个文件对吧,这个时候你就要让对方服务器呢,去尝试性的去下载一个文件,下载他的服务器,你就不能说啊,这个打开对方服务器,在浏览器里面输入什么东西去下载,这不现实,因为你没有这个东西。
你只能通过黑窗窗呢用命令尝试,所以这就是说我们为什么要学习它的反应,其实呢就是解决无图形化的,用命令的尝试下载反应,这也是在后面这个我们这个环境里面,这肯定是要有个这个必备的一个技能啊。
因为你这个东西的话,你不可能在这个实战环境下面是吧,用图形化去下载,这不现实,那么这个狭窄呢它是个非常简单的热点啊,我们简单过一下就可以了,给他演示一下,我们可以利用这个一些这个菱角设计。
上面这个文件下载这个地方的啊,然后这里呢你可以构造一下你的文件下载地址,和他的一个保存的文件命名,比如说我们现在呢就给大家演示一下。
给大家演示一下啊,首先呢我把这个,把这个文件呢放到我这个博客上面。
我把我这个文件放到,我就是我假设我一个渗透工具,或者说我一个这个安全工具怎么这么卡呀,就是你先打几个网站啊。
我就在这里吧,所以在这里给他演示吧。
这个博客服务器有点卡哈。
打开都没反应,是什么情况,这,国服务器太慢了太垃圾了啊,一盒一集的,好这个搭建网站,由于前期已经给大家介绍过了啊,我就不该演示了啊,比如说这里呢有我们给大家开一个文件吗,我随便上传个文件上去啊。
就搞这个ES1的文件给他给他刷上去啊。
我传到我那网站目录,好那么现在呢就是我自己呢,假如说我在IP上面搭建一个web,然后呢我在web目录下面放了一个我的工具。
那么它的下载地址,那就是访问这个IP地址。
就是那个文件名是吧,那这里呢大家就可以看到它自动就会下载。
对不对,那么如何用命令来尝试呢,就很简单,首先我们构造好我们下载地址,这是我们的下载地址,然后我们的端口是八零,对不对,然后我的文件名叫WC,然后呢再就是保存文件名,就是保存到对方的那个电脑的。
我们也把它叫NCNCS,然后点击改变,那么下面就会有很多命令,我们来看一下啊,下载文件的命令,用pom show命令来尝试下载,这是第一种,还有后面用SAMD的命令去查一下载。
那么这里呢就区分于windows和LINUX的一个操作系统,啥意思呢,我们要熟悉,简单了解一下这个命令是来源于哪里,这里呢有常规的一些简单命令,我们可以看一下这个网址,可以简单学习一下其他的一些命令。
那么在windows上面呢就是命令,这是windows cmd命令,分学名呢也是windows一个内值啊,我们等下会锁,那么这里呢就是说我们就够了这个命令,然后这个是windows的CMD。
然后如果是LINUX呢,那是windows的,那么除了这个之外,你还LINUX的一些下载命令,这个上面也有,所以我们就可以尝试给他演示一下,那么具体windows里面的命令有哪些呢,这是LINUX命令。
LINUX命令可以用reg c u r h r,用Python下载,利用ruby下载,用pr下载应用java下载,windows呢肯定用pom show下载,你用这个命令下载,你用这个命令下来。
你用这个这个这个等等在上面的基本都有啊,基本都有什么东西,发了什么啊,等一下啊,不看这个了啊,我等下再看,所以私聊我发的一些图片,我等下把它保存,等下上网看课程再看啊,嗯先上网课啊,好我们来看一下啊。
这就是这几个命令啊,我给他演示一下啊。
尝试一下,比如说像现在啊,我用过电脑给他下载一下,看一下啊,我这里呢就在我的本地的C盘吧。
该演示在C盘里面挑个3D好。
然后呢我用上这几个命令来尝试下载,首先呢用这条命令可以看一下,复制一下。
他说命令成功,我们看C盘是不是就多了一个文件出来了,是不是刚才下载的保存文明,是不是叫SAMNCS啊,你看看是自动下载下来的,你看这个文件来使用这条命令,去下载了一个远程的NCC保存我电脑的NCS是吧。
下载下来了对吧。
所以呢就这个是命令下载,然后呢还有来用pop show。
我们可以试一下。
这里报错了啊,这个报错不管它有些是不支持,你可以往上面翻一下上面这几个啊。
还有些啥都能接拦截好,这里呢我们再看看是不是也来了。
对不对,那么这两个就能下载,那除了这个之外还没有呢,还有你看在这LINUX的,这是LINUX的LINUX,我们先打印一下,是我们在windows上,还有这个还有这个命令,刚才用pal的。
这个是用这个的是吧,再换一个再换一个这个支持的。
再看这里,打开没,什么情况卡了,这个下载半天还没有出来,啥都软件的问题吧,零出来了,看到没出来了啊,它慢了啊,这个慢下的慢一点嗯。
然后呢你看啊,还有下面的呢,还有这个呢也是一样的道理,重开一下啊。
啊这个它不支持啊,有些操作系统它支持,有些不支持,然后呢,这就是我们说的这个windows的一些常规命令下载啊,这里还有这个呢,你可以用这个对吧,也可以用这个啊进行下载。
然后呢LINUX的我们来连上LINUX的,你看我们LINUX上面去演示一下,我首先来到这个盘。
这是我当前镊子下面的目录结构是吧,还有S命令,然后呢我用list的下载命令来测试一下。
比如说呢CTRL下载这个文件,好我们再LS一下,你看是不是多了一个,对不对,同样we get也是可以下载的,应该是操作系统下载也是下载了,对不对,S嗯。
所以说呢再就是关于这个文件下载的操作,这个命令呢非常简单,你就自己去尝试使用就可以了啊,我就不需要再去给到大家说的,一个个去演示了啊,也可以利用这个什么脚本是吧,什么Python的或者那个都可以啊。
根据自己需要,你要根据情况决定啊,就是他是什么操作系统,你看他用ruby也可以下载,用Python也可以进行下载,对不对,但是呢你要知道啊,你用各种东西要看它支不支持,就像我们说的windows。
就用windows上面这些命令,LINUX就是LINUX的,有些不支持。
你比如说像这个刚才这个LINUX的什么REGT啊,你放到windows上面呢,它就不支持,对不对,他也不支持,不知道这window没有这个we get命令。
对不对,好这个就是我们说的文件上下载的一个问题啊,就是那解决我们在这个渗透环境中啊,没有图形化,然后呢你又要去上传这个文件,就让你把你的文件放到你的这个服务器上面,放在你自己的服务器上面是吧。
然后呢构造一个地址,然后能让对方呢去远程用命令,去把你的文件下载到对方的服务器上面去,就这么个操作啊,他就这样抗住,他就支持出他有REGT也支持,嗯好这个就是说文件的一个啊下载啊,那今天呢不是主要学它。
主要是了解这个东西之后呢,我们再给大家看一下它的实战实际的应用啊,那接下来讲实际应用之前呢,我们现在再来学习另外一个知识点,就是关于这个反弹的一个支点,那反弹字典呢,也可以在它上面找到这个对应关系。
刚才是文件下载吧,我们点击反弹效这里啊,反正现在这里呢比如说我们这边尝试去反弹。
反弹什么地方呢,比如说我反弹这个IP某个端口就在这里面一写。
写之后呢,它会上面有很多反弹的模式,有兵器模式就是我们LINUX,并且模式还有呢,你看啊NC NC n cut的,还有呢TELETE的命令来实现反弹,so cut的什么pl的一个表呃。
编啊这个脚本里面如何反弹,用Python如何反弹,用ruby如何反弹,open s s e如反弹,pop show如何反弹,a w k TCL s h java如何反弹。
什么这个ww a r lua low js,还有各种各样的语言是吧,还有这个MSF等等啊,就是他这里呢会写出很多有编程语言,进行反弹的,有自带的命令进行反弹的,还有一些安全工具类的反弹的都有。
那我们这里就不一个个演示,我就给他演示一下,这个反弹里面比较关心的几个事情,我们演示的工具呢是NC,这个NC工具呢是在LINUX的操作系统自带的,然后在windows上面那是不自在的。
所以windows需要下载这个NC来实现反弹,就利用这个工具来实现反弹,然后呢,LINUX就可以直接用它自带的NC或者n cut,来进行这个反弹,一个是NC啊。
我windows liner上面呢也叫N卡特,然后呢这个反弹是干嘛用的,为什么要进行反弹,这个呢给给大家简单解释一下。
比如说我们在这里啊,在LINUX命令上面,或者说在很多命令上面,有些情况都会有这种情况,不知道大家有没有实现过,比如说我用一个UZADD加上一个用户,加一个小迪SEC,这个用户我在加的时候加了是吧。
然后我pass wd,他是WD,然后小DCC的时候呢,这个时候呢在这一边他就会询问我,输入这个密码,就是我添加用户,然后呢,我再用这个paw d呢去填设置这个用户的密码,它就需要我输入这个密码,对不对。
然后如果说我这里不动它是吧,不动它它就会一直卡在这里,好大家想象一下,你获得一个假如说你在网上呢有个漏洞,这个漏洞呢需要去执行命令,而这个命令呢就像我说的这种,你质疑完之后呢对吧。
他需要等待你的输入就会往下进行,那这个时候你那个页面能这样操作吗,就很简单,一个网在上面也能执行命令,命令是你跳过去就执行了,他会不会把对方的一个这个界面给到你啊,不会吧。
所以相当于就是说你那个命令会一直卡在那里,你动不了,这个时候呢就是反弹命令的优势之处,就是说他可以把这个界面呢反弹回来之后,反弹到你的你的这边之后呢,你再用这个命令就可以了,这是他能解决的第一件事情。
还能解决的一个事情。
那就是我们说的解决数据通讯问题,啥意思呢,啥意思呢,就是说把权限都反弹回来,就是你执行命令嘛,就是你执行一次呢,他就一次执行一次呢,显示你能不能就说直接控制它,就是相当于是那比如一个漏洞是吧。
你执行一条命令,他给你回血一条命令,结果出来好没了,你能不能就说一直控制他的权限,权限呢,一直给到你就是维持权限,保持这个权限一直正常在你的控制之内,你不用一直敲,你想敲它就来,想敲就来,立马会写。
对不对,而且反弹命令还有一个好处就是什么呢,就是能直接把对方的权限直接移交过来,如果说你在网页上面一直提交提交提交,那么就像你一直有流量流量流量过去,但是你如果说已经把它引进,反弹回来之后。
就相当于你在本地执行一样,知道吧,就这个意思啊,这是它的应用场景,那么在反弹的时候,其中有两个知识点非常重要,有两个支点非常重要,就是我们说的这个连接的正向和反向问题,这个呢是个难懂的点。
需要我们来给大家简单理解一下啊,首先呢我们先说第一种真相连接的,然后呢我就给大家演示一下,这是一张图片啊,现在呢有这个LINUX服务器和一个windows服务器,好,我给大家写一下啊。
如果说现在呢就是这两个都是在外网,他都能进行连接是吧,好多能进行连接,我们现在要做个什么事情呢,就是让他去连接windows,对不对,这是一种啊,那么可以怎么操作呢。
就说要我这个呃呃这个问LINUX呢去控制这个windows,这是我们第一种情况,就是LINUX去控制这个windows,再来服务器对吧,这是第一种情况啊,那么这种情况呢就有两种方法实现。
一种是正向实现还是反向实现,何为真相,何为返乡呢,这个要看什么为参照物,什么意思呢,真相的意思是主动连接主动啊,就说我主动找你,这叫真相,如果让对方主动回来找你,就叫反向,那么现在呢我就给大家演示一下。
这个砧板在什么情况下会使用刀,这个就是它的核心电脑正向反向都好理解,就是一个是你找他,但是他找你的事情,但是这个东西呢无法判定哪个就是真,哪个就是反,主要是看参照物。
就如果说我以WINNUX为参照物的话,那么它发出的主动发出来的就叫真相,就相当于它叫真相,但是如果真的windows为参照物的话,那么LINUX过来的话,那就属于反向,能不能理解。
所以这个正反呢你不用刻意去纠结,你只要知道它是什么概念就可以了,因为这个针法呢是相对于参照物来决定的,就是说如果你以这个这个什么,以这个LINUX为参照物的话,那么他如果主动出去,那就叫真相。
他如果被别人连进来,就叫反向,知道吧,但是很简单,这是LINUX的这个这个这个参照物,如果说以windows的话,你主动去取的就叫真相,那么这边就变成真了,如果你以为参照物的话。
让别人主动找进来的就叫什么反向,谁说要看什么是参照物,来确定哪个是正,哪个是反,这个没有什么概念啊,就看参照物啊,但是你要了解出去的,主动出去的叫真,然后呢别人找过来的叫反啊,这个也无所谓。
你理解就行了,好那么现在呢我们来给大家做个实验,就说刚才呢我们要做个实验,来给大家做个什么实验呢,首先增强实验,让LINUX去主动连接windows来实现控制,看着啊,这个就是做了一个第一个实验。
就是首先windows上面绑定自己的CMD到566,然后呢LINUX主机呢就是连接目标地址的566,所以这个就相当于说是windows linux空是什么,我有些控制啊,这样好理解点。
控制windows的一个什么连接,然后这个是windows的控制ex连接好,大家看一下啊,LINUX控制这个windows如何实现的呢,在windows上面,windows上执行一个绑定3D的窗口,好。
这里呢需要提前借助一个工具,就是我说的NC工具,这NC工具呢是丽娜是自带的,但是在windows上面需要下载第三方的NC,我下载下来了,给大家演示一下,首先NC执行杠13MB杠LCCP杠566。
这个意思是什么意思呢,这个意思是什么意思呢,给大家解释一下啊,把那个窗口搞大一点吧,那这个意思就是绑定SAMD。
就是我们这个我们在电脑上面执行SEMD。
大家都知道啊,就是一个黑框框的这个东西,就是我们说的命令提示符,就这个东西啊,那么当一就是绑定CMD,给到本地端口的566好,我来把它进行一个什么绑定好,他就说监听任意来自566的端口的。
对不对好,然后这是他IP地址是471222。2,3。131好,正面LINUX服务器,这是我们的LINUX服务器,LINUX服务器是这个IP啊,是我们这个上面IP,然后呢我们做个什么事情呢。
n cut他是n cut啊,他命令叫n cut,然后呢也叫NC,然后呢怎么加上对方的IP,17。122。2,3。131,然后加上5566,看着啊,回车,嗯什么情况,好出来了啊,你看我这边呢。
就来到了这个什么一个叫C盘的地方,我们来看一下当前这台电脑,就是那个就是这个windows,就相当于说我这边就能控制windows,这是windows,你看在windows上面的电脑盘符嘛,对不对啊。
电脑上的盘符是不是就过来了呀,对不对,那他就收到了一个远程IP地址,连接过来的数据是吧,我就可以在这里进行这个命令敲入了,对不对是吧。
我就可以尝试命令的销路了啊,这个就大家都知道。
比如说我让他去下载个文件是吧,我就可以直接写上一个下载命令加热敲,那么这边呢就相当于执行一样,虽说我现在就已经控制这个windows的命令窗口了,你反弹回来了,大家看到了吧,这能理解吧。
这个啊能不能理解。
能理解吧,好我把它推出来啊,退出就回来了,这边就断了是吧,自动断了,这个呢,就相当于说我实现了一个让这个windows被空啊,LINUX控制windows好。
接下来如果说windows呢要控制LINUX的话,该怎么办呢,是不是也是一个道理啊,在LINUX上面执行这条命令,把LINUX的这个命令执行的地方就是这个SH,就是说命令windows是CMD。
然后LINUX是SH这个终端就是这个什么,就是我们这里看到的冰,然后SH就我们现在看到这个东西呢,这是命令的东西嘛是吧,来自东西嘛,就是呢把这个东西呢给他绑定到本地的566,还有非P或非P都行啊。
还有飞飞P飞P都行啊,这个我刚才写的非pp,这里写下非P也可以啊,来就LINUX呢在这边的绑定就绑定自己的566,把绑定这个SH呢给它绑定到这个物流端口。
然后windows这边要控制这个LINUX该怎么办呢,是不是他去连接连接谁呀,连接这个目标地址的566好,连接上去之后,我们在这里执行命令,你看IDIS这是来到la上面去了呀,嗯是不是来到命令上面去了。
像是现在呢就是windows在控制这台服务器,对不对,看到了吧,这个那下次是windows这台窗口,windows这台主机就控制这个LINUX服务器。
对不对,好,我把它推出来啊,推出来好,那这个呢就是我们说的最常见的真相连接,啥意思呢,来我们来举个例子,把图片拿出来,刚才那个原理是什么个情况呢。
就给大家简单解释一下,首先在这个服务器上面去,那么他是做什么事情呢,啊他做过什么事情呢,比如说LINUX服务器去控制windows的时候啊,那么windows上面就什么BD,就是在这里。
那本地什么在这边啊,本地开个物流端口,然后将他绑定一个3D1好,然后这个时候呢这个服务器呢就怎么样呢,他就主动连接这个566对吧,然后呢绑定CMD,就相当于控制还是什么windows服务器是吧。
这是我们说的LINUX呢去控制windows的一个过程,就是他主动去连接这个远程IP地址的566,然后控制不好,还有一种情况就是说windows主动控制LINUX,那么就是这个LINUX服务器呢啊。
LINUX服务器做了个什么事情呢,嗯这个肢体怎么,字体在哪里,什么情况,好那么现在呢我们再来看这个啊,就是你在这边之后呢,你这边啊,就相当于说我们这里的主动去联系他了,然后他的绑定个566。
他就是连接到566,就像是他自己他绑定的SH文件,那个是CMD,你连他看看他这个是566,也是566,这个端口呢可以随机的啊,可以随机的,就是1~65535所有端口号里面啊。
656535在这区间任何一个端口就可以啊,只要这个端口呢没有被占用,不占用就行,不占用就行啊,就任何一个端口都行啊,就这么个概念,刚才做这个实验是吧,就是呢在本地监听等待对方的连接。
所以这个操作呢我们给它简单写一下,就是啊等待监听,然后呢他就是等的监听,然后等待连接,这个操作属于这种情况好,那么现在呢就换一种叫反向连接的,一种情况是什么呢,主动给出去,主动给出去,啥叫主动给出去呢。
刚才那是本地自己监听,等着对方来连是吧,等着对方来连,现在他是主动给出去,对方的监听啥意思啊,看一下啊,我在这个地方,我刚才在这里执行的是什么,刚才这里执行的是这个嘛,本地566。
现在的我把这个本地都改成什么一个IP地址,然后呢在对方的地址上的监听啥意思呢,看着啊,刚才是谁监听就是控制谁,现在是谁监听就控制对方,啥意思呢,你看啊,566,我在我本地监听566,刚才那就是怎么样。
是这样,你去连接对方的物流了,是刚才是这种情况,对不对,就是用这个LINUX去组连接的windows566是吧,现在不一样了啊,现在你看啊,现在就是这边的监听,然后呢他权限的主动给出去啊。
绑定自己的这个SH给到对方的566,然后这边呢就是什么监听566,我们来看一下直接性,你看现在来了还停止,对不对,命令就能执行了,好什么情况,就是主动把你的权限给到远程上面的566。
然后这边呢就是监听566,等待东西过来,是不是就说一个是那本地等着别人来连,还有一个就是别人主动给你,你就等待东西到,能理解吗,哎你们不用刻意去理解,就是一个你来我往的事情是吧,你可以选择性的等待别人。
就是你自己准备好了好,你来找我,这是一种情况,还有一种情况是什么呢,我真的好了,你过来吧,就这个意思,对不对,你看这个辣椒能控制,那么反过来也是一个道理,他可以怎么做啊,你看他啊,绑定。
这是之前他绑定自己的,然后呢我主动把CMD的权限交给这个地方,那我主动交给他,然后这边呢是不是监听了呢,来减轻自己的566,那我我这里等待上钩的,然后这个呢就主动把钩呢给过去执行,你看没有,过来了。
就来到windows这边了,控制windows就是windows这边了是吧,对不对,好理解吗。
能理解吗,这其实就是一个正反向的问题,正反向的问题啥意思呢,还是我说的那个图像的那脏东西的这个事情啊。
有什么好难理解的呢,这有什么好难理解,那这对不对,我去这两个很简单,现在再来看一下这张图片是吧,我控制水,我们先来说第一个概念啊,做一个啊,比如说现在我要问LINUX去控制这个windows。
我怎么去控制它,我有两个选择,一种是我主动找到你,然后呢你本地进行监听是吧,本地监听,然后让我连接的这个本地端口来控制你,这是第一种方式,还有一种方式是什么,由他自己把权限主动给到你。
然后你这边属于什么本地监听,能理解了吗,能不能理解这个,无非就是说啊一个是对方主动找你,这个是你找对方两种情况,这有啥难理解的呢,就一个等待连接,一个呢是让别人主动连接你。
好那么为什么要去学习这两种知识点呢,为什么要学习这两个知识点呢,现在呢就来给大家演示一下简单的一个实验啊,这个实验呢不仅是说啊这个绕防火墙的,在很多情况下解决网络的通讯问题都是一样的,好我们先来看一下。
首先跟内网环境,就是正反相连接的一种最常用的环境,这和内网的一些知识点是挂钩的,你如果说这个网络听不懂的话,在内网里面很多东西都听不懂了,来看一下内网环境,那我给他看了个内网环境啊。
就看这个还要看这种图片,那内网环境是什么呢,什么叫内网环境呢,就好比你自己在你的公司,在你的学校,在网吧里面都属于内网环境,就是说他们这个触网的,都是通过一个公网IP来上网的。
比如说我们电脑的自己在电信是吧,或者移动的办理了一个宽带业务,他就会给你这个网线,网线呢会迁到一个路由器上面,路由器上面,那你就都在这个路由器下面去上网,然后你录一下面的所有设备都属于一个内网。
就是除网的,只有路由器那个独立IP,它是一个外网IP,它能解决是吧,下面所有机器都能上网,就是公用一个厨网网卡,所以我们这种人就称之为叫内网,那么像学校啊,网吧啊,或者是一些公司啊。
企业里面都是这种内部环境是吧,那么内部环境呢,如果说你要控制内部环境的某一台机器,我们来思考一下有什么问题呢,这就是提及到这个外网IP单个唯一性,就说他只有一个除网IP,这个IP地址的是全球唯一的好。
我们先来看一下,如果说我要解决这个网络通讯问题,我们来试想一下,这是个网络啊,我们来思考一下啊,现在呢我要解决个什么问题呢,我先把这个简单的给大家说一下啊,解决了什么问题呢,就是说啊要控制内网的某一台。
极其的权限好好,我们现在想一想啊,现在我们要解决这个问题,那我们想一下啊,现在我们要解决这个问题好,你该怎么解决啊,我们现在想象一下啊,按照我刚才那个思路来,我这台就说我以这两台主机。
随便哪台主机要控制它,我就有这台主机啊,我尝试控制啊,假如说是这台主机,我去控制它,我主动连接你,这是我们说的,刚才不是说了次数吗,我主动连接和你主动出来好,我连接你,还有一种情况就是你出来对吧。
两种情况我们看一下啊,这条路行不行得通行不通,这个是对的,这个是差的,为什么,因为你要和他建立联络,你们是通过互联网的,互联网一个IP的唯一性,外网IP它有个单独的IP地址,而你这个IP是内网IP。
你出去是通过你的外网出去的,他找你能找到,只能通过YMIP找到,所以这个vim p就在这个网卡这里,他只能找到这个路由器这里来了,但路由下面有多少个机器,他哪知道哪台机器是他要的呢。
因为他们都是通过这个网络这里出去的,对不对,但是你说给内网IP它吧6IP呢到处都可以用,就像你网吧的IP,内网IP和我们电脑的这个机房IP都一样,你给内容IP他他找不到,他会找到他自己的内容P。
但他自己内容IP就不属于你这个网络内容IP,所以他只能给一个YYP,但VIP的找到这里就断了,因为他不知道是哪台主机,下面哪台主机,能理解吧,所以这种情况下的话,只能通过什么反宰相,什么意思啊。
让他出来找你,因为你是唯一的IP,他能找到你,你的IP是全球唯一的,他如果找你,你给个全球IP传奇的VIP,它这个是你除了IP他找到这个路易斯里来了,找不到辖区了,因为他不知道下面是哪台。
如果你要主动让他找到的话,需要在路由上面设置个端口转发,就是说谁找过来的,那个找哪个端口就转发给那个IP,拿个雷P,他就知道是他,但是你要在路易上面做一个端口转发,端口映射,也称之为就能找到目标主机。
所以如果说内网环境的话,你要控制这台主机的话,需要怎么办呢,这要怎么办呢,是不是让他反向过来找啊,那么现在呢我们就做这个实验,通过实验呢加深你的印象。
如果不加实验的话,我光讲理论的,你是听懂了,但是你不知道什么情况。
其实这个实验呢我是不想讲的,因为这个说完原理之后呢。
也没必要讲实验,就好比我给大家举个例子,你在你学校宿舍对不对,血压树呢住了很多人,然后呢我自己呢单独又有自己的房子,我房子有个门牌编号,所以别人呢可以通过这个这个这个这个,什么这个门牌编号了。
找到我是吧,但是呢你给他一个学校的宿舍地址,他找到熟悉的地址了,但是不知道哪个是他要找的人,就和这个意识有点差差不多,所以你就让大哥学校里面的人主动找我,我直接给你个门票,你就精确找到我。
但是你给对方熟悉地址呢,哎他找到属地址里面住很多人,他不知道是谁,但是你可能说我直接给个名字不就找到了吗。
给个名字,全国各地有那么多名字,他哪知道是哪个,对不对。
就和这个概念有点像死啊,接下来呢我就给大家做个实验,通过这个实验呢给大家看一下,现在呢我开了个虚拟机,虚拟机呢就是个内网,因为这个虚拟是怎么上网的,都是通过我这台电脑上网的,所以它是属于我下面的网络。
所以它是可以网,所以这个虚拟机呢他虽然能上网,但是呢服务器值都直接控制这台虚拟机,它是控制不了的,因为他只有两种选择。
一个就是给内网IP,他内外IP全国各地都有,他不知道是哪个给YYIP,他他就找到我那个除网,但是呢他不知道是这台机器的,好我们现在来看是不是这个情况啊,我两个IP都给你撕,免得你说这个搞不清楚。
这个呢有点和这个网络相关的基本概念要懂啊,那个是我没办法给大家讲的,网络最基本技术,就像什么什么是叫外网,什么叫内网,这个是没办法给你讲的啊,好我们看一下啊,那我先确定一下,我能上网。
我在这里打开一个浏览器,这是我信息啊,那我能上网啊,这都看到了啊,然后我抢IP,这是我的厨网IP,这是我的YYIP地址,看这是我的I我的我的Y网IP地址是吧,还有个IP地址是内网IP。
也在这里输入IPCONFIG,1920168。1。107,大家可以看到啊,好现在呢就是刚才刚才那个事情。
就我这个LINUX服务器呢,我想控制你这台这台虚拟机,我该怎么控制啊,首先我按照我正常式来,我主动连接你,我看能不能连接啊,来我就主动连接了n cut是吧,n cut主动连接连接的IP啊。
好我先来说连接这个内网IP好吧,都试验一下啊,你这个内容IP,566对吧,然后你这边呢,我就把NC上升到这个盘子下面去啊。
这里还有个杀猪,先把杀毒关一下啊,因为这个工具默认是不免杀的,好看啊,我NCA监听杠一是吧,绑定CMD,然后呢杠LCCP绑定自己的566,等待对方连接,这是我刚才操作嘛。
然后这边是不是就经常去连接这个IP地址,566以前,我用那个linux windows服务器和这个LINA服务器通讯,是正常的,就是我这个服务器是正常的,但这里能不能正常呢,不能正常。
为什么你要执行之后,正面没反应,拉面没反应,连都连不上,然后呢一段时间之后它就会提示你超时,也不是的问题,为什么,因为你这个IP是内网IP,全国各地都有,他不知道是谁呢,连接超时没有了。
然后这边还有没有更新,啥情况都没有,为什么,因为你主动找IP地址,他找不到好,那么接下来大家说了,我要让他找到全球唯一的IP地址,就是我们说的这个自己的外网IP地址,然后我怎么办呢。
我是把这个IP输进去是吧,我就让他主动连接这个P的566看,对不对呢,在这里再,连这个IP地址的5001个连接网页,连连不连上呢,一样的道理也会连不上,因为他去连接这个IP地址呢。
这个IP地址呢是我的那个路由器的出口,路由器出口并没有执行监听这个操作,执行的是这个内网也失败,所以他连不上,所以你要控制这台windows只能怎么办呢,反向怎么反向啊,主动给出去,把权限主动给出去。
因为你能找到这个LINUX,但是LINUX找不到你,所以你就主动给到他,对不对,怎么给呢,是把自己生命给了他566啊,然后这边干个什么事,监听自己的566,对不对,给到这里监听566,你主动给出去回车。
那你看是不是来了呀,来了来了呀,是不是这个意思啊,这就是我们说的这个正反相,它的应用价值就是什么情况下用真相,什么情况下用反向,你要根据这个网络决定,他找不到你,你就找他,他对不对,就很简单。
你去追女孩子,对不对,他喜欢你,你就等着他追你就得了,对不对,他不喜欢你,那你只你去追了呀,那你妹的你还等着他。
是不是这个就好理解了呗,就是因为他的网络决定了这个情况是吧,好我让我代问,反过来问一下他,我刚才是说用这个LINUX服务器去控制这个内网,这台机器好,那么现在我在想问一下大家。
如果现在我要让这个内网控制在LINUX,大家觉得该怎么办呢,啊我反过来问一个,我要装这台这台内网控制在windows linux该怎么操作啊。
是不是要这样操作了呀,该怎么操作啊,是不是就这样操作啊,正面处于一个监听,然后他主动去连接,是不是这样操作啊,那就正面呢把权限给出去,杠1BSH,就把他的这个全新的给到他本地的566。
然后这边呢就主动什么连接它的566,是这样操作的,对不对,就是控制这个力量是嘛,那我们看一下啊,他主动把他的权限给到本地566,然后呢这边呢就主动连接566,对不对,然后你id执行一下,那没问题是吧。
正常出来了,为什么呢,因为这个内网机器他只能去主动连别人,别人找他找不到,因为他在内网找不到,所以只能让他主动发起进攻,所以你要控制LINUX的话,该怎么办呢,LINUX就属于被动,等着他去找他。
因为你主动不行,你主动你找不到他,所以你只能处于被动,两边是内网,两边是内网,咋办好办呐,内网课程接吗,现在讲不了,再讲讲,糊涂了啊,两边内外环境也简单,搞一个中间的一个人就可以了,就很简单。
我搞个中间人,这边把权限给到我中间人,中间人呢再把这个权限的沙发,就相当于说两边呢就是都给了中间人,中间人做一个中专,就中间的假设一个外网服务器,就让两边把请求都发上去,然后呢他他做我想法。
好这个是我们内网课程啊,你在说哪个是内网课程,那不是我操心的事情啊,我们现在只要反向的概念啊。
好这个就是我们说的第一种啊,好那么刚才演示的就是说这种应用场景,那么还有一种应用场景呢,就是防火墙的一个产品,防火墙呢一般都会有入站和出站规则,我们来给大家演示一下,一般就会有这个入站和出站规则。
那么这个呢我们就给大家来进行演示了啊,所以在演示之前呢,我们就配合这个真实的网站应用的漏洞的去讲,这样子呢可以把上面学到的文件下载,包括我们今天这个真相连接,反向连接上线的这个问题呢,刚好把它弄出来好。
我们这里呢随便搭建了一个,这个这个漏洞的一个场景啊,然后呢在讲之前呢,我们先来说一下数据回显的问题啊,来这里的搭建一下这个漏洞场景,然后这里有个执行命令的地方,它可以执行一个拼命令。
就是说你在这里输入一下7。001之后呢,拼一下啊,它就会执行一个偏移下线仪的一个命令,他就会拼,对不对,然后呢,我们就利用这个接口来实现漏洞的一个利用,怎么利用呢。
我们利用这个windows的一个管道符,和丽娜是一个管道服务,什么管道服务的管道符,就是可以执行多条命令的一种叫管道符,那么啥意思呢,windows呢有四个这个管道服务,然后LINUX有六种管道服务。
我给他演示一下分别啊,啥意思啊。
老演员是老演员,但是在老演员基础上又加了一个支点,就是回血问题,来我们看一下好了,我拼一个IP地址,1270001,我们不是讲皮卡丘,你要明白,我们讲的是这个论文件的一个活学活用啊,哪是讲皮卡丘呢。
那我拼12701,我在这里加上一个管道符,我拼了之后他能拼,对不对,然后呢,我加起来一个管道符,五迷啊,打错了,你看我加这个管道符之后,他是执行的换的命令,这地图管道符还有一种管道服呢。
两行相同的两个小号,就是前面一条命令也执行,后面一条命令,他也执行,他后面也执行也执行,就后面的命令执行,刚才你可能说我为什么没有看到自信呢,是因为这个命令会一直执行,你把它只执行三次就可以了啊。
还有一种叫呢这种呢是吧,还有呢那它会执行,还有一种就是哎这个后台执行呢,他在后台里面的一致行,对不对,他后来里面的一致性它会一致性,还有就是加两个斜杠,还有一种情况就是这种号呢拼一下拼命令,对不对。
然后加上一个什么,你只要再拼户外面,他是说不知道户外面是什么呀,但是你把户外命令加上这个东西呢,这种东西加上去变成了root,啥意思啊,他把这个昏迷执行了,执行的命令,结果是root嘛。
所以他就提示不知道root能理解吗,或者理解很简单,把这个改成改成什么PW,那是不是变成斜杠,LUTPW是看当前目录在哪里,是在路T目录下面,对不对,所以这个就是执行这个PW。
还有没有呢,还有啊来还封号,这里有例子呢,你看啊大家演示一下,平分号外面看到没,root被执行了吧,平台报错了,但是RT被执行了,你看,关闭被执行了,对不对,同样道理啊。
换一个mini iOS是不是IOS被执行。
嗯对不对,然后windows里面就没有这两个啊,没有这两个windows,没有这两个啊,没有这个封号,也没有这个这个分析windows就没有了,你看windows我给演示一下这个windows的啊。
你看一下windows的,我拼一个IP地址对吧,然后呢我得加上这个符号关闭啊,他执行执行前面拼命令,然后呢后面是后面的,没有执行这个户外命令,然后我加一个啊,来看是不是执行的,同样道理,加上这个符号。
那下面下面是有了也执行了吧,上面也执行了,然后这里呢就这几个条件啊,那逻辑或逻辑与和后台任务符号等等,就是它有些呢是只执行后面的,有些执行前面的,因为我们主要是执行后面的,只要后面执行就行了。
他要看前面条件是不是不正确的选择执行,这个不需要大家可以去理解啊,我们没必要把它讲的很详细,你只要知道用这个管的符呢,可以执行多条命令就行了啊,其他的你不用管这个什么活条件,那为什么会执行一条啊。
执行两条,那就是我们说的逻辑运算,真真假假条件相关的啊,这个不用可以去读啊,好这个就是管道符,那么现在呢我们就来看啊,这里有个漏洞,这个漏洞,那就是说可以直接写一个IP地址执行命令。
但是我肯定不是说我拼一个命令就完了,我需要把漏洞利用起来,我怎么办呢,是利用管道符吧来写个关闭,对不对,就我写管的符呢,还执行一下户外命令,你看一下这个能不能执行户外命令,你看是不是能执行的。
能执行或命令,对不对,好,那么大家试想一下,那么现在我如何让他把船先主动给到我的,因为我执行命令,我我要把它反弹回来,我便于控制他的权限了,该怎么办呢,大家首先要思考一下。
首先从这里看到的他是个windows服务器,为什么是windows服务器呢,因为执行命令他返回的是TPC,是windows的,第二是root啊,好这里是个windows服务器。
windows服务器的WC呢它不自带,所以我需要怎么办,商传NC,那么刚才讲的商船命令四就有用武之地了,你要上传一个工具到这个网站目录下面,该怎么办,他能执行命令,但是你不能让他在同一个下载。
所以我就要命令去下载一个,是不是让mini下载到之后呢,再怎么办呢,去执行这个NC来进行反弹,所以思路是怎么样的。
给他理一下,不理呢,有些人就不懂,没办法,基础太差啊,这里呢就是首先啊先是什么样,首先这里判断出是windows,如何判断呢,就刚才说的昏迷,你看到的是MC不输出的,那么这里呢就是判断NX接下来怎么办。
windows没有自带是吧,没有没有这个什么自带的这个root,所以我需要怎么办呢,是不是想办法上传这个NC啊,借助NC来进行反弹权限。
是不是,然后如何下载呢,是我提前准备好一个NC的地址啊,由于我前期已经准备好了,放到我自己的服务器上面去了,所以呢我就把服务地址一一构造是吧。
因为我放到这个服务器上面去了啊,然后去从这里去下载这服务器的八零端口是吧。
发了个NCESE,这个是先自己搭建好了,服务器,搭建好了一个下载地址,然后保存到对方的名字,也叫NC改变,然后找一个命令,由于这是windows,所以我下载命令也要选取windows的命令。
所以我选择哪个呢,就选这个吧,对不对。
选这个,选这个之后呢,这是保存路径,我让路径直接保存他的C盘,不保存到对方的C盘上面去,要保存C盘,把它保存到C盘里面,等下我就直接调用C盘吧。
免得说不知道把这个东西下载哪去了,所以我可以来到我服务器那边。
我先把这个C盘的这个NC给他删掉,现在呢我就执行命令,怎么执行啊,先让他假装拼一下一个E70,再加上管道符是吧,先让这个漏洞呢先拼拼了之后呢,怎么办,指引这个下载命令来,我们试一下,看能不能行。
把这个东西呢就让它下载。
他在哪看着啊,然后去下载到C盘的C,点击下载执行,我们这边看服务器在变啊,那它提示这个东西之后。
我们再看这边看到没,是不是有了,二月28号20。07分。
就是刚才下载好之后,服务器上面下载好了,是不是要执行它呀,下一步就是什么下面执行啊,好下一步该怎么办呢。
我们来到这个思路上来想好,下载好了,第四步就是反弹的一个操作了,反弹操作,反弹操作的话,我可以选择两种方式,一种是他去监听我连接他,还有一种是他把权限主动交出来,然后我连上随便选择哪种方案。
就正向连接反应连接都可以啊,因为现在我没有做任何限制,它都是可以的,因为他是个YYP嘛,所以我就怎么办呢,我选择一种真相连接的方案,这样连接方法是怎么操作,NC就C盘的这个文件怎么操作。
C盘这个文件刚一把自己的SAMD是吧,绑定到自己的物理端口上面去对,然后呢前面加上这个PID这个东西,管它不加上去真相,然后我们这个LINUX服务器做什么事情呢,n cut连接这个服务器IP地址,是吧。
让他去连接它的566,对不对,好,还有一种情况还有我怎么操作,还有一种情况是怎么操作啊,我还有这个操作怎么操作。
把他主动给到远程的这个id在上面去。
然后这边做个什么事情啊,本地监听就完了呀,两种方案都行,我们来试第一种方案一个个试。
大家看一下啊,前面是先把它拼的意思。
后面那就是将它绑定本地566,然后我这边呢分别连接这个目标地址的5V6。
看着啊,9D20呢这台控制主机连接它,因为它是个外网,所以我尝试连接它。
连接失败,因为我没有执行好,我们现在呢把这边呢执行一下啊,看着来用NC将3D绑定到本地的566好。
我们现在在哪,主动区连接它,566。
哎哎发现了。
我观察一下这边啊,看一下他这个网络是不是有连接,是不是建立连接,我先看一下啊,这里他5年都没开。
说明没有执行成功啊,刚刚是什么情况,先把它关掉,老是。
哎一个包出啊,他这里报了个粗啊。
网站崩了吗,这有些尴尬,连上去了,看到没,连上去了啊,翻鸡毛车啊,怎么可能翻车啊,你看连上去了。
你再看这边呢是不是进程里面就执行了NC,我们看看有没有NC进程,你自己看端口呢是不是开了五六,开门呐,是不是开了五流了,那你看这是由温水精神啊。
那温水看到没执行了,看到没,怎么可能翻车,老是想翻车,里面的数据慢了而已,翻车翻,你们个鬼翻,天天想我翻车。
好了是不是就行了呀,你看现在的五零应该关了啊,因为我已经推出来,他那个会现在还是正常运行啊,这还物流还是开的啊,这还有个水连接了内鬼真是多呀,内鬼在脸上来了,我赶紧把这个进程结束掉,好进程结了啊。
怎么还在连接。
这是谁呀,他妈的音效连接上那个干小娃。
好这是我们说的这个第一种方案是吧,呃说的这个第一种方案,就是说呢他主动的监听个566,等待这个这个这个谁的连接是吧,那么现在呢还有一种方式呢,就是我们说的,换另外一种方式就是什么情况呢。
我先把这台服务器重启一下啊。
我怕等下内鬼,我搞着搞着,他把我把环境删了。
赶紧重启一下,我这个已经搞怕了哈。
但是重启好多啊,重启好,我们还有一个这个连接啊,刚才那就是说服务上面自己呢去绑定,然后呢你那个控制主机的主动连接,还有一种情况,就是说这个rob服务器呢,他主动把权限交到这个地方。
然后呢你这个控制主机就自己等着他过来。
好那么现在呢我们先把那个NC1把它还原出来,因为之前已经下载了,这个我就不多说了,好这个呢接下来我们就要做他的第二个实验。
就第二个就这里呢。
他本地的去把它反弹到566是吧。
所以我们这边一般提前在这里先监听好,NC杠CPAP物流的货啊,飞机也行啊,等待对方谁来连接我是吧。
就让这台服务器的主动把权限交出去,交到这个IP的566勾。
我们看这里啊,是不是来了,你看直接来了,没问题啊。
所以呢你用哪种方案都可以哈,用哪种方案都可以,现在删不掉,删不掉的原因就是因为他把WC执行了啊,先把WC暂停,让他全丢掉,好那么现在呢在讲这个之前。
我先把它停止一下,防止有人搞破坏啊。
好那么现在呢大家就明白这个道理了啊,这是我们说的最简单的,但是现在啊我就在这个镜上面给他加一下,防火墙的策略,防火墙策略那不是让大家去学习防火墙,防火墙的学习是一方面。
最主要就是了解这个正反向的一个应用问题,我加个什么防火墙策略啊,防火墙里面有陆战策略和出站策略,出站的就是检查出去的,能理解吗,入站就是检查进来的,就是针对这台主机近代的流量。
出站就是针对这个主机储存的流量好,我们先来看鲁战策略,我加一个这个防火墙啊,看着啊,我把防火墙开起来,看这样开了之后。
我们实验该怎么做,主要原理呢是希望大家搞清楚,这个正反向的应用场景,同时呢等下还有一个支点啊,还有一个支点,那我先启用防火墙。
诶什么情况,汽油里面直接卡死了,会不会把之前那个车里搞关了,他妈的我连不上了呀。
好还连得上,吓死我了,好把防火墙启用了啊,我们来给大家看一下这个防火墙,这边我们先来给大家看一下,这个入站的一个防火墙是开的啊。
我八零端口是保证它能运行,所以我开了个八零端口,因为我这个上面五服的是八点logo的。
我现在没办法不开放啊。
好大家,我现在感想啊,我搞个入站策略,搞入站策略啊,我搞个什么东西呢,我就限制物流端口,假设我假死啊,如果真实情况下人,那我肯定会限制很多端口,或者说限制很多东西,我现在是假释。
就说我只能让你用五六人口来反弹,我再把五六口给他限制掉,你该怎么办啊,如果在这里啊,显示一个端口,我要突破566,我该怎么办呢,我限制特定端口566组织连接,是吧,然后就是TCP566写一个名字好。
我加了这个呢,就是金子五溜溜传入好,这个时候该怎么办呢。
这个时候该怎么办呢,后面还是来到刚才那个地方,把网站先开起来。
好刷新。
那么还是来到这里啊,我们这里呢是如粘,限制了这个566,那么你要566去控制的话该怎么办,这两个方案哪个不行了,我先问一下大家,是这个不行,是上面这个不行啊,下面这个不行,是上面的下面的上面的不行是吧。
对不对,好,我们试一下看是不是不行啊,我就直接执行给你看吧,我就不知道这个1270了。
我直接执行,我怕等下又卡死了啊,我直接给你看下了,我直接在这里执行好吧,NC就是这个命令嘛是吧。
来执行这个帮566,然后这边呢之前是连接上的哈。
我来连接了连接这个目标的566常识连接,然后这边先进。
哎呀,他把文学都换了。
直接接近566啊,那我们这边呢来去连接它,是不是连接不上了,大家可以看到,什么我自己删的文件被换了,没看到,我原来60KB变成2KB,我打开就提示这个吗,那连不上啊,看到没,是不是连接不上。
庐山被改了吧,就是你进来之后,这个东西被阻止了,是不是被阻止了啊,所以连不上了,最低只能怎么办呢,是不是只能选取第二种方案呢,就让这个东西主动出去,怎么出去呢,是不是就NC杠1SMD,然后给出去啊。
因为给出去就属于这个什么除张就不属于入站,就说你自己出去流量哈,他没我没有设置嘛,对不对,什么鬼啊,他妈IP是不能复制了,嗯给到目标的566,对不对,然后这边呢是属于一个什么本地接近566。
等待连接566,然后他给出去执行。
我炸了,我可能是之前设置那个那个防火墙没关闭,除在这里呢,是我这里,这里是之前那个啊。
我就把它删掉,因为之前我坐车的时候没有把它关,没把那个删掉啊。
原来的那个啊好再来一下。
你看是不是出来了,你看回来了,解释了。
对不对,所以呢就相当于说做了入站之后,是不是就只能用下面这种,这就是反向的呀,这叫给除去,对不对,因为你限制进入的,所以你就要主动出去了,好那么现在如果我做了这个除债限制,那限制五零,那怎么办呢。
对不对,好,我再限制啊,再把这个删掉是吧,把炉粘的这个这个给删掉,然后呢这边呢就加个什么限制出站的566,哎搞错了,好我现在这个之后大家想都不用想,那刚才这种操作是不是就不行了呀。
那我们测试一下是不行了啊,在刚才那个操作接近566,刚才是可以的对吧,然后我再把这个命令重新执行一遍,你看给出去有没有反应啊,是没反应啊,来给出去没反应,惊死了,对不对,所以呢你就需要怎么办呢。
是就自己绑定了自己绑定自己的566,然后让他去连接它不就行了吗是吧,他连接到五六了,真没绑,你对不对,你看为什么还是不行呢,因为啊这个防火墙开了之后呢,入站呢它是只允许程序通讯的,接口啊。
所以他这个防火墙呢有点那个啊,如果他先知主宰的主宰里面没有方形的话,也不行,为什么呢,因为他这个入站里面只允许这个设置的通讯呢,就这几个端口呢,它能通讯其他端口呢它不会限制嗯,那你先吧,错了无所谓。
这和那个没关系啊。
不是错误原因啊,这个是防火墙的车辆,这个车辆呢一说大家有可能就是说哎呀。
这里又听不懂了,那为什么呢,是这样的啊,这个访问台有个优优先级,有个优先级,啥优先级呢,啥优先级啊,就是默认开启之后,它会对入站的检测的更为严格,对出站的检测的宽松,就是我们说的啊,进来它是检测的。
详细储蓄呢就比较宽松,它和我们人一样啊,你在进这个组织之前是很严厉的,进去之后就发现很宽松了,所以他一般开E之后,即使你没有设置这个除五常规则,它有一些流量,他进不去,他就只允许上面设置这些流量的通讯。
所以呢他即使没有设置这个炉渣的是吧,你这个除站被禁止之后,你真相连接也是失效的,也是失效的啊,但是我们做这个实验呢,我可以把它开一个。
这个让他增加了五六的,那个是保持通讯的,所以我就在那开一下,因为我要做这个正反应实验啊,但实战中呢可能这种情况呢就比较少见了,那你只能用它能通讯的。
那我在他保持状态,有入站的是允许的,就是入站允许五六的进进去,所以这个时候呢我们再做真相就可以了。
我们再来看一下。
所以监听自己本地566,然后这边你去连接是可以连接上了,所以大家要理解啊。
要理解,我如果不做那个就是你相当于说炉渣的话,他是他这个防火墙一个策略,那就是默认是入站比较严格,所以它默认的话你不添加一些端口的话,它只能使用它默认通讯这些端口,否则的话你也进不去,但出战的话。
一般斗士都能出去好,这里呢我先把那几个东西呢全部设好了之后啊,把防火墙呢先不管它好。
那么这个搞清楚之后。
大家就应该能够理解了啊。
其实就是非常简单的事情,你只要记住一句话,他能不能找你,还是你扫他两个情况,因为你要控制对方或者通怎么去控制的话,无非就两种,你主动找他控制,或者说他主动把权限交给你两种情况,对不对。
就像你和一个女孩子一样是吧,是你要约她出去,他主动求约对吧,告诉你他要和你出去,或者你主动告诉他,你要约他,就看你选择哪种方案,哪种方案的可达和不可达的问题,那么现在呢就这个事情。
那么接下来我们再来演示一下,回写数据回血的问题,何为数据回一些问题呢,而且又是个防火墙的问题,麻烦我们的这个今天的一个亮点就在这里了啊。
首先我们来演示一下一个数据回线问题。
先把这个解决,再来解决防火墙问题啊,看着啊。
好刚才那个执行命令这里他是能够回写命令的,他的命令执行命令之后呢,啊他能执行命令对不对,他能执行命令对不对,不会写,你怎么知道他执行命令没有。
那你看着啊,我把源码里面的东西把它改掉,我把源码里面的东西给它改掉,就是这个回响命令这个地方把它改掉,就很简单,我模拟一个不回血的地方,这什么情况,怎么上传字幕都出来了,等我讲完课啊,你们再怎么搞。
是你们的事情啊,先等我讲完课啊,Take a,我在这里注释一下。
保存好,我们看一下啊,重新来执行的命令,啥都没有了,看到没,我现在拼音也好,我自己也好,他什么反应都没有,这种情况下,我有两种情况,一个我不知道这个东西有没有安全问题,第二个他有安全问题。
但是我看不到又该怎么办,所以说反弹C2是他的一个解决方案。
就直接让它反弹给你,你在上面执行是不是一种解决方案,先写一下啊,所以我们现在已知漏洞有漏洞有,但是数据都不会写,所以我们一路前方就是什么反弹先,然后呢就有了是吧,反正现在权限都给你了。
你说还有没有回血呢,你直接在上面自行命令,你说有没有回血,那有了啊,第二种就是我们说的DIY,所以说反弹形状,它有很多地方都用得着DEA查询,什么叫DEA查询呢,让他主动把结果给出来,主动把结果给出来。
而且我现在呢你看啊,我怎么让他主动把权限给出来了,对不对,我刚才不是说了通道符吗,我该怎么写它,他是会拼一下,7。0点,一会这样去拼个地址,对不对,我掐管道符。
我怎么办呢,看着啊,不前面你就像当我我用这个叫dx logo这个东西。
就是网上的,随便搞一个这个第26个地址,啥地址呢,你看我发过这个地址后就会有信息啊。
有什么,比如我拼我拼这个地址。
对不对,你拼了之后,我们刷新一下,你就会有一个IP地址是吧,有个信息曾经触发过好现在我们再看一下啊。
我前面加上个who am i点访问他再刷新。
是不是多了个户外密啊。
那么我一旦把这户外密加上一个什么加的分号,写上去,再来刷新,不就变成root了吗。
他就把户外面执行出了root,带到了原始地址里面,在这里加上了root吗,你就能看到LUT呀,能问你一下,对不对。
那么大家试想一下,我把这条命令他数据不回显,我是不是可以尝试让他拼执行一条命令,看一下这个数据有没有更改就知道了呀,但是这里有点不行,为什么有点不行。
因为这是windows服务器,windows服务器它是不支持这种代入的。
来给简单看一下吧,我拼who are me。
点是吧,罚分配给我的这个地址。
这里,我拼着你拼通了。
但是刷新一下。
是不是还是外面呀,不行呀。
为什么不行,因为我后面要执行命令啊,我该怎么办,我加这个封号行不行,找不到主机,它不识别这个命令。
我刚才说了,windows里面他没有这个和这个。
所以你只用这个,用这个有没有办法呢,来试一下,你必须要执行这个命令,但这个命令执行不了啊,你怎么办呢,你前面你就说你要执行这个有什么用呢,在后面他不识别,他虽然拼了127001有什么用呢。
他后面这个有啥用呢。
他还是昏迷啊,就说我要把那个昏迷执行,意思就是我必须要把它执行才行啊,但是他不支持,他没有这个例子,加这两样东西都会把它关闭的,十给生命令。
他只能当做字符串,能理解吗,所以我怎么办呢,我采用泡沫show泡泡小米。
泡泡小米,你怎么玩呢,先给他演示一下,看着啊,这就是思路,就是你要活学活用,针对各种操作系统要掌握一些东西,你看它虽然不支持,但是PCIE他支持,你看啊怎么办,pom秀,我先来到PCIE的框架。
我自行户外迷,它是等于这个命令的,对不对,我可以用POSURE能复制变量这个权限,SAMD那个窗口是不能复制变量的,但泡沫SHOU,这个是可以的,Pmcisamd。
这个升级版就windows在7win7之后自带的一个东西,我怎么办,写个变量X等于关闭,那么就表示变量X等于y me,我在echo输出X这边变成了这个值,那么大家问一下这个有没有想法了呀,我又该怎么写。
实现它该怎么写,X等于who am i,再写一个变量,写个分号,代表这个与结束Y等于什么。
复制一下Y等于什么点。
这个例子用单引号括起来字符串,对不对,然后我看一下啊,输出变量X是等于这个管理员的,在输出Y是等于这个数值的,我在输出X,是编程那个完整的地址是代入进去了呀,是不是,是不是全部整合到一起了。
那么大家该怎么写它呢,该怎么写,它是不是就利用这个泡沫show命令。
把这个X等于你要执行的命令写进去,加上这个目标地址去拼他不就得了吗,该怎么写啊,你看我在拼这个X加Y,然后呢我再重新怎么样呢,再写个变量XZ等于X加Y,那我来艾特一下XZXZ就等于来。
是不是就是你的权限加上这个目标地址,然后我再拼XZ,他就会尝试找这个主机,对不对,但是找这个主机呢,他又不能找这个主机,他也找不到啊。
他也找不到,这里面会不会收到这个权限呢,你看刷新是还是搜不到啊,为什么呀,因为地址里面有一个东西。
有个斜杠,导致他找不到,我该怎么办呢,又该怎么办,T换一下XX等于什么,X等于,替换一下REARA妈的这个命令,他不给我提三,那我还只能凭记忆了啊,是这样写的吧,将斜杠把它替换成三个,看是不是可以啊。
然后重新复制一个叫xx好,我出去xx他没有替换,那我重新把这里再来Z格吗,再输出好,替换了,你看就把这斜杠它替换成三个X的,我再来看一下,再怎么样,变量XZ等于什么变量,X加上XY。
然后再输出一下XC变量XC,你看是不是就完成了呀,那这里就没有封号了,并且以这个三个四个叉为标格,所以你等下就直接看这个四个叉,就知道是那个斜杠了吗,再拼一下,变量XZ。
是能拼通的呀,能听懂,我在刷线这边会不会是个信息呢,是不是收到了他的信息了呀,就知道了呀。
你知道我做这个事情是为了干嘛呀。
能不能理解我刚刚讲了一穿的那个东西呀。
是为了干什么东西啊,是要把它带出去,该怎么带呀,在这里待,为什么要在这呆,我该怎么构造那个语句啊,我先给他看个完整题,这是我构造出来的语句,来理解一下它是什么东西啊。
大家看一下啊,这啥语句嗯,你看一下啊,这怎么写的,用pop命令复制霍米,把换米的执行结果给到变量X然后呢,X呢就把它替换一下,把这个斜杠替换上差,为什么要替换它,有三个层次的情况,第一种啊。
我先把思路写一下,为什么要这样写,第一种CMD里面无法实行换密,它无法执行关闭,为什么无法执行关闭啊,因为前面是个拼命令,在他的脚本代码中就只能执行IP地址,一些官迷他不支持他不解析换命。
你要把换命结果带出去,你才能知道他有执行命令的机会,能理解吗,他拼昏迷可以,但是你不知道结果,我要把结果带出去,就把昏迷的执行结果带出去,但SAMD呢不能自行换命,因为他前面是个拼命的干扰到了他。
没有像LINUX上面可以用这些东西呢是吧。
直接换me,他不行。
所以我就要用到什么泡沫修变量赋值,把这个结果呢给什么变量,把执行结果货币执行结果啊,给这个变量是吧,然后呢又由于这个结果里面带有这个什么符号,导致这个什么拼命令无法执行,所以怎么办呢。
所以我就进行了这个替换,哪对不对,切换三个S,然后呢再用Y和这个Z呢X呢进行组合变成Z,然后再拼ZZ就是加上目标第一次这里,然后再加上刚才得到的昏迷结果,在这里写成这个用pop shoe来调用执行。
所以我们现在来观察一下啊,我重新来获得一个地址。
刷新一下,把这个替换,好把这个替换之后。
我们加上刚才这个地址里面,去看他是不是能够自行结果,并且带出来来看一下,写进去看着啊,一一后面呢把执行的结果给带出去,因为他没有回血嘛,他没有数据回写啊,现在是空的,现在是空的,这是不知道谁执行的。
不管了哎,真他妈的没意思啊,你们自己说这有什么意思啊,这种人才这样搞,现在自己能来打是吧。
说实话这种人太他妈的没有经过社会的毒打。
我真是懒得跟他计较的,完全啊。
真是他妈的,哎呀不要跟这种人计较,我跟你讲啊,不用计较,我都懒得说,他随他去。
说多了他会他只会这个啊。
简直是他妈的无聊啊。
搞些这种事情,我知道开安全车的。
好,我们这里大家把这个刚才那个蛛丝给他做掉啊。
不知道有回响啊,我们先来看一下啊,我刚才把这个结果呢看一下啊。
不上去,我们来观察一下正面的结果,你看是不是带出来了,你看结果是不是带出来了,这个S就是我刚才那个写过的分割,你知道就可以是吧,这明确的同样道理啊。
你只想执行什么结果,比如说我获取什么结果啊,我获取个VERFIA是什么结果,是我们的电脑版本的这个概念的,第二是这个东西啊。
然后呢我把它进行一个复制,再来看一下四个简单把它带出来,执行刷新,王者又死了吗,没死啊。
这fir命令在这里不支持啊,这个命令没fire嗯,其他命令什么DR呀,是太多了啊,你自己就找个比较简单易懂的一些命令嗯,这画面就觉得简单了,其他命令我倒忘记记录啊,就查看那个信息的这个命令没有飞了。
还是我还是洗锅,不是不是只要信息太多了。
他待的太多了啊,昏昏迷迷看到结果就可以了啊,这个呢其实就是说数据带歪的意思,因为它执行结果里面就这里呢他没有结果,看不到他最近结果里面没有,所以我就把主动脉带出来。
带出来的情况呢,就我刚才说的啊,反正现在能解决,但反正现在我已经演示了,待会结果呢,为什么要这样写,因为很简单,他执行的是samd mini,SAMDI无法执行户外mini,原因是什么呀。
原因呢大家可以看一下源码哈,可以看一下那个源码啊,这个源码不用看了,看的太复杂了。
简单的就是说它前面有一个干扰,就是说你必须要拼一个IP地址,然后加上管道服务。
但是关大户加上去之后呢,你可以拼这个地址,但是你要把你执行命令的结果呢带出来,它无法识别这个结果,你加昏迷,他就全部变成昏迷。
他无法指引昏迷,把昏迷结果带出来,所以我就需要用到什么,用到pom show,用变量赋值获取这个执行结果,然后呢再把这个结果的拼接到这个域名后面去,再利用拼命的去把它怎么样把它带出来,能理解吗。
这就是刚才这一长串为什么这样写的原因,嗯啊能理解吧,这还这还有点难理解,这有什么难理解的,哪个不理解是不理解代码的意思,还是不理解我为什么要这样写的思路,思路不理解,刚才不是做了实验吗。
那他这个地方不是拼IP地址,能够虚拟IP地址吗,拼了,但是他没有什么没有回血,所以我也不知道这个地方有没有执行,所以我就想办法执行一条命令,让他这个带出来,对不对,我自行车会命令呢,他是能执行呀。
它是能执行执行的,但是它不显示啊,你也不知道结果是什么,也不知道究竟值能执行,这都不清楚,所以我需要把它带出来,带出来之后有数据才知道他那个嘛,所以我就会怎么办,就先这样子是吧,让他重新直接是吧。
直接拼这个IP地址,就看这个命令能不能执行,对不对,所以我就重新给写个拼命令,然后拼这个IP地址,看看有没有数据过来是吧,现在确定一下他有没有执行命令,哎有了就说明他这个地方能执行命令。
好这第一步啊,确定了啊,先确定有人知命令的啊,确定人知命令,但是由于它是windows系统,windows系统里面没有这种什么这种管道路,没有任务管的服。
因为有这种管道服的话,他可以带,外加上这个户外迷。
他就会把昏迷执行,结果呢发到这里来,对不对,这样子已经测试过的啊。
来我们来测试一下啊,再演示一遍,再听不懂,那只能说你自己太愚笨了啊,那INUX系统上面可以拼这个命令,你看这个结果是不是就有root啊,他就把这个换执行的结果root显示出来了。
所以你就知道分执行结果是root数据出来了,但是windows上面能不能行啊,来windows可执行下来,windows windows执行这里面有没有效果来提示。
找不到那东西,没有数据,它不允许这个命令,你直接写昏迷也行不行呢,写货币前面就变成昏迷,啥都不死了,他不能把昏迷指定出来,因为他后面结果是这个要把这个传出去才行,传不出去怎么办呢,windows不支持。
所以你用到windows里面的泡沫show,用泡沫show里面去先复制X等于Y名变量,对不对,所以你输出X就是这个值,再把X加,再把Y复制什么这个域名,复制这个域名前面加上个点拼接的,对不对。
然后呢XZ等于什么呢,就变量X加上什么XY就把两个B组合起来,写错了二维变量名,前面写错了,就XC等于它,然后你再数数XC不就拼就好了吗,XZXX就等于这个值吗,是不是带出来了,所以你就可以怎么样拼。
变成Z了,但拼字变成Z了又不行,为什么呢,因为拼的这个域名要求里面不能有这个分号,所以我就有想的方法,就把XZX这里呢把它里面的这个这个什么,就把它这里面的这个斜杠啊,把它换成一个字符是吧。
随便换个字符,然后呢你再来看一下这个Z是吧,再来看一下这个ZZ,那就再来看一下SS就变成这个完整的了,对不对,那么现在呢再重新把变量的重新复制一下,你看现在输出现在再再再拼一下这个什么,再拼一下这个Z。
所以就拼通了呀,拼通这边就有结果了呀,刷新结果出来了吗。
然后再组合到刚才那个里面去,前面加上P地址,后面用来调用这条命令,这数据带歪了,其实那就是你用泡沫来实现自行关闭命令,并把昏迷的复制到域名组合里面去,就这么简单,这个知识点呢就是告诉大家两个事情。
一个是为什么要学命令,学命令就是要体现到这里,还有一个就是什么事情呢,就是这个DIY查询他是干嘛的,很清楚,数据不会写的时候可以用到,就说你执行一个东西之后,对方页面啥都没有,你也不确定是吧。
那你就尝试让这个数据能不能带出来,看下你这边能不能收到反应,就说明他有没有请求过,对不对,既然他是执行命令,我就拼命令让他去请求一个网站,这个网站看有没有收到过访问请求,有,那就说明他命令执行了没有。
那就是没有嘛,对不对。
我前期测试过了,我拼这个域名,他能收到有漏洞,有执行命令的权限,所以我就尝试执行一个昏迷命令,把昏迷的结果给他带出来,那么就有刚才我讲的这个事情了。
当然你也可以采用我们刚才前面说的这个反弹,需要对,用反弹需要,对不对,也可以啊,对不对。
而且我告诉你啊,这种拼的一个解析呢能绕过防火墙,我刚才的防火墙呢全部是开的。
那全部是开的数据都能出去,为什么呀。
因为这有关那个OSI7层那个讲解就是拼命的,他走的是SMP协议,然后这个防火墙过滤的是TCP和UDP,协议呢要比他低一级,它在它的商业等级,这个有点讲到内网的一些那种隧道东西的话,我们不能再讲了,再讲。
我怕越讲越来越多了,这给大家招来这个压力了啊,不不不能讲。
我们点到为止啊。
其实今天讲的这有些超标了啊,但是但是步枪标呢我讲了光脚。
你把这个反弹削了一反弹呢,把这个什么带歪呀,也不知道他究竟是干嘛用的,所以我必须要有一个安利的去给他演示人装。
大家知道啊,这个东西它在哪些范围内啊,哪些范围上面能够使用,就大家知道它的应用场景,这样子呢就会记忆的更深刻啊。
不是说要带大家去利用这个漏洞,主要是通过这个漏洞利用呢,来清除我们今天讲的这个什么DIY查询呀,还有这个正反向,他们是在什么情况下用到的,并不是教大家去打这个皮卡丘这个靶场啊,这不是我们的目的。
这只是一个岩石的场景啊。
好今天的内容就讲这么多了啊,看大家有没有什么问题啊,有问题就赶紧问,没问题,我们就下播是吧,后天再讲下面内容啊。
下面内容是什么内容呢,就是讲这个表啊,这个是我们这一章节要讲的内容是吧,你看哪些没有讲过,就是我们后面要讲的。
唉不抓内鬼没必要,你抓也抓不到是谁,只能抓到IP,你知道IP是谁呢,浪费时间啊,随它去啊,没必要的,看图片的好。
我看下图片啊,啊这个图片是是别人这个一个威胁专家,培训方案里面是吧,培训方案里面所提供学习的时候了,就把我那个B站视频放上去了,参考我那个B站视频。
所以说呀说明还是得到大家认可,啊哈哈看这个是什么图片。
这啥情况。
打都打不开,打不开啊,这是谁发的图片,打打不开,看到了。
环是什么啊。
应该不是假的吧,谁是小的一个图纸,加G好CDFC平台的是吧,主要是我说那个用我的号去留言的。
听说是给我都不敢去报名,没关系的,临时渗透环境。
笑死了,是他小弟,是这个id,小迪害死人呐,这,唉我都说了啊,在别人群里面这些内鬼啊,天天他妈的不干正事,拉着我的好,我他妈的好心意帮你去花钱买来了好,给你一工来学习,你就拿着我的号去调侃。
官方本来就封了一个号,你还跑去调侃别人,哎,真的是啊。
浙公网安备 33010602011771号