09 2021 档案
摘要:1.本题是通过布尔注入获取一段secret key,该key存于challenges数据库的某个随机表名的表内。要求在请求次数不超过130次的情况下获取该key。 2.根据网上的wp,跑脚本 原理:在获取表名或key时,我们判断第7位(比特)是不是1就知道该字符是数字或字母;而第6位不用管,因为对于
阅读全文
摘要:1.判断注入点 2.查看数据库 本题利用了两个括号进行注释 ?id=-1'))union select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where t
阅读全文
摘要:1.常规方法测试 2.根据错误信息判断闭合方式为")–+,并且为字符型注入 3.查看当前库 ?id=1") and updatexml(1,concat(0x7e,(database()),0x7e),1)--+ 4.查看库下的所有表88IVGFZVAY ?id=1") and updatexml(
阅读全文
摘要:1.常规方法测试判断注入点 2.爆数据库 ?id=1 and updatexml(1,concat(0x7e,(database()),0x7e),1)--+ 3.查看当前库下的所有表格:ECII73SA8M ?id=1 and updatexml(1,concat(0x7e,(select gro
阅读全文
摘要:1.修改一句话木马文件,后缀名为.pphphp,上传成功 2.链接测试 3.获取flag
阅读全文
摘要:本题的输入次数限制为5 1.判断注入点 2.查看当前库和数据库 ~6YVFTRPF6D~ 3.找列名 ~id,sessid,secret_ZQ3W,tryy~ 4.获取flag ?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(s
阅读全文
摘要:1.常规思路:修改.htaccess文件,上传指定后缀名的一句话,菜刀连接getshell。 蚁剑未能连接成功。 2.使用 PHP passthru()函数 先写一个.htaccess文件上传 <FilesMatch "sj"> //sj随便写的,后面上传的文件没有后缀,就叫sj SetHandle
阅读全文
摘要:1.CTFHub 文件上传 - js前端验证 2.将一句话木马后缀修改成png模式,然后开启抓包,将后缀修改成.php 3.上传成功,蚁剑进入查看flag 4.获得flag
阅读全文
摘要:1.判断注入类型,双引号注入 2. 3.爆表名
阅读全文
摘要:1.无限制上传 2.编写一句话木马 3.上传,使用蚁剑获取路径
阅读全文
摘要:1.第一个输入框与下面Hello后的内容相同,猜测可以通过该输入,改变页面内容。 2.在xss平台注册,新建项目,复制首行 3.获取flag=ctfhub{1e2dd4cbc94b2222a7a8dc78}。
阅读全文
摘要:1.常规方法测试 2.判断注入点 3.爆出相关信息。?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+
阅读全文
摘要:1.题目:302跳转 2.使用BP之前,点击clear history清除记录,然后点击Filter,勾选CSS,否则捕获不到。(通常情况下css,images等会被过滤) 3.点击Give me flag,捕获,response获得flag
阅读全文
摘要:1.第一步:常规方法测试 2.第二步:注释测试,回显正常,判断为数值型注入 3.第三步:判断字段数,图一回显正常,图二无回显,判断字节数为3 4.第四步:确定回显位置 5.第五步:确定数据库 6.查看challenges库下的所有表 7.查看09B8URLOSV表下的所有字段 8.查看表secret
阅读全文
摘要:从less54开始,开始模拟真实的环境,本关对输入的次数进行限制,超过十次则会刷新数据 基于错误_GET_单引号_字符型_UNION注入 1.常规方法测试,报错,但无错误回显 2.进行注释,正确回显,未过滤注释。 3.由主界面的提示已知数据库名是challenges,注入表名和数据即可。这随机生成的
阅读全文
摘要:1.输入正常参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页无回显。 2.将后面的内容注释掉,网页用户名列表,得出此处存在单引号闭合的字符型的盲注。 3.堆叠注入,和 Less 49 一样使用时间盲注就可以完成,此处用于测试堆叠注入。使用堆叠查询完成 Less 38 的样例。 ?so
阅读全文
摘要:1.输入正常参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页无回显。 2.将后面的内容注释掉,网页无回显。进行下面的所有测试,得出此处存在数值型的盲注。 ?sort=1'--+ ?sort=1')--+ ?sort=1'))--+ ?sort=1"--+ ?sort=1")--+ ?
阅读全文
摘要:1.输入正常参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页返回错误信息。 2.将后面的内容注释掉,网页返回正常的信息,得出此处存在单引号闭合的字符型注入。 3.堆叠注入 和 Less 47 一样使用报错注入或时间注入就可以完成,此处用于测试堆叠注入。使用堆叠查询完成 Less 38
阅读全文
摘要:1.常规办法测试 2.将后面的内容注释掉,网页返回错误的信息。进行下面的所有测试,得出此处存在数值型注入。 ?sort=1'--+ ?sort=1')--+ ?sort=1'))--+ ?sort=1"--+ ?sort=1")--+ ?sort=1"))--+ 3.本less可以和less47~4
阅读全文
摘要:1.输入正常参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页无回显。 2.将后面的内容注释掉,网页用户名列表,得出此处存在单引号闭合的字符型的盲注。 3.使用时间盲注,方法和上个less相同
阅读全文
摘要:如题,本题为SQL整数型注入 1.判断列数 2.判断回显点 1 union select 1,2 3.判断表名和列名 4.获得flag
阅读全文
摘要:1.输入正常参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页无回显。 2.将后面的内容注释掉,网页无回显。进行下面的所有测试,得出此处存在数值型的盲注。 ?sort=1'--+ ?sort=1')--+ ?sort=1'))--+ ?sort=1"--+ ?sort=1")--+ ?
阅读全文
摘要:1.输入正常参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页返回错误信息。 2.注释掉后面的内容,网页返回正常的信息,因此判断此处是单引号闭合的字符型注入。 3.获取目标emails表中的消息(同less 46) 4.改变 LIMIT 子句后的参数,取出其他数据。
阅读全文
摘要:Less 46 ~ 49 的网页功能是返回一个列表,因此能借助回显位置进行注入。此时可以根据是否返回报错信息,选择使用报错注入还是时间盲注。 1.打开网页,是个新的网页,尝试输入新的参数 sort,网页回显用户名列表。 sort介绍: 参数描述 sortby 可选。规定排序顺序。必须是函数。 如果调
阅读全文
摘要:1.在用户名使用万能密码测试,全部都登录失败。在密码字段使用万能密码测试,使用单引号和引号闭合时登录成功。说明用户名参数注入时存在过滤,密码字段存在单引号闭合的字符型注入。 a' OR 1 = 1# a') OR 1 = 1# 2.堆叠注入:同上几个less,每次登陆时完成一步堆叠注入。 a') O
阅读全文
摘要:1、在用户名使用万能密码测试,全部都登录失败。在密码字段使用万能密码测试,使用单引号和引号闭合时登录成功。说明用户名参数注入时存在过滤,密码字段存在单引号闭合的字符型注入。 Password:a' OR 1 = 1# 2.堆叠注入:参考上个less,在每次登陆时完成一步堆叠注入。 a' OR 1 =
阅读全文
摘要:1.在用户名使用万能密码测试,全部都登录失败。在密码字段使用万能密码测试,使用单引号和引号闭合时登录成功。说明用户名参数注入时存在过滤,密码字段存在单引号闭合的字符型注入。 a' OR 1 = 1# a') OR 1 = 1# 2、堆叠注入:参考 Less 38 的测试流程,每次登陆时完成一步堆叠注
阅读全文
摘要:less42-less45:使用 POST 提交参数的登录界面,username 字段进行了参数过滤,但是 password 字段没有。此处可以在 password 字段使用万能密码直接夺取用户,也可以在该字段处使用堆叠注入 1.在密码字段使用万能密码测试,使用单引号闭合时登录成功。说明用户名参数注
阅读全文
摘要:1.输入正确的参数,网页回显正常的信息。使用单引号闭合,网页无回显。 2.将后面的内容注释掉,网页无回显。测试以下所有语句,全部都无回显,说明此处存在数值型盲注。 ?id=1'--+ ?id=1')--+ ?id=1'))--+ ?id=1"--+ ?id=1")--+ ?id=1"))--+ 3.
阅读全文
摘要:1.输入正确的参数,网页回显正常的信息。使用单引号闭合,网页无回显。 2.把后面的信息注释掉,网页仍然返回错误信息。测试以下所有语句,测试得出此处是单引号和括号闭合的字符型盲注。 3.堆叠注入 ?id=1');CREATE TABLE WhiteMoon LIKE users;--+ ?id=1')
阅读全文
摘要:1.常规方法测试报错 2.将后面的消息注释发现报错依旧存在,因此判断本less为数值型注入 3.使用堆叠注入,参考less 38 ?id=1;CREATE TABLE WhiteMoon LIKE users;--+ ?id=1;INSERT INTO WhiteMoon SELECT * FROM
阅读全文
摘要:1.输入正确的参数,网页回显正常的信息。使用单引号闭合,网页回显错误信息。 2.注释掉后面的信息,网页返回正常信息,说明此处存在单引号闭合的字符型注入。 3.根据wp,此处需要使用到堆叠注入 堆叠注入: 此处使用 Less 1 的 payload 就可以完成注入,此处用于测试堆叠注入。所谓堆叠注入就
阅读全文
摘要:1.注入正常的参数,网页回显正常信息。注入单引号对参数进行闭合,网页虽然返回了正确的信息,但是对单引号进行了转义。仍让使用 %df 把斜杠吃掉,网页返回错误信息。 uname=%df'&passwd=&submit=Submit 2.把后面的内容注释掉,网页回显登录失败,说明此处有单引号闭合的字符型
阅读全文
摘要:1.输入常规参数进行测试 ?id=1’,发现下方提示中,单引号被注释掉,因此本less依旧可以使用宽字节 %df和%5C来爆数据库 2.?id=1%df'和?id=1%df'--+ 把后面的内容注释掉,网页返回正常信息,说明此处使用单引号闭合 3.爆出用户名密码
阅读全文
摘要:小迪渗透 阿里云 常见的脚本语言类型有哪些:asp PHP aspx jsp javaweb pl py cgi等 Request请求数据包数据格式 1.请求行:请求类型/请求资源路径、协议的版本和类型 2.请求头:一些键值对,浏览器与web服务器之间都可以发送,特定的某种含义 3.空行:请求头与请
阅读全文
摘要:涉及知识: #常见搭建平台脚本启用 #域名IP目录解析安全问题 #常见文件后缀解析对应安全 #产检安全测试中的安全防护 #WEB后门与用户及文件权限 #ASP、PHP、ASPX、JSP、PY、JAVAWEB等环境 #WEB源码中敏感文件 后台路径,数据库配置文件,备份文件等 #IP或域名解析WEB源
阅读全文
摘要:搭建安全拓展 涉及知识: #常见搭建平台脚本启用 #域名IP目录解析安全问题 #常见文件后缀解析对应安全 #常见安全测试中的安全防护 #WEB后门与用户及文件权限 #ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 #WEB源码中敏感文件 后台路径,数据库配置文件,备份文件等 #IP或域
阅读全文
摘要:本less的考点是数值型注入 1.常规方法测试,提示无报错但1被转义 2.同上利用宽字符进行注释测试%df ?id=1%df'--+ ?id=1%df')--+ ?id=1%df'))--+ ?id=1%df"--+ ?id=1%df")--+ ?id=1%df"))--+ 3.直接用 ORDER
阅读全文
摘要:less34的考点是:POST型的注入 1.根据wp提示,可以使用万能密码方式来突破
阅读全文
摘要:1.常规办法测试发现,虽然没报错,但是单引号被转义了 2.仍然使用 “%df” 和反斜杠的 URL 编码 “%5C” 闭合,进行宽字节注入。 3.把后面的内容注释掉,网页返回正常信息,说明此处使用单引号闭合。 4.同上个less注入
阅读全文
摘要:1. 2.对 宽字节注入漏洞 进行测试,?id=1%df' 这种操作是由于 GBK 国标码是双字节表示一个汉字,因此导致了反斜杠和其他的字符共同表示为一个汉字。这可以让数据库的 SQL 查询了正确的参数(汉字),从而可以使用 UNION 语句进行注入。 3.使用单引号闭合时使用宽字节注入,其他步骤与
阅读全文
摘要:1.注入正常的参数,网页返回正常的信息。注入单引号闭合,此处参数也被 WAF 防御了,注入两个同名的参数 id 进行参数污染。对第二个参数用单引号闭合并注释掉后面的内容,网页回显正常的信息,说明此处不是单引号闭合的。 2.多个方法测试,测试到用双引号和括号闭合时返回错误信息,把后面的内容注释掉后回显
阅读全文
摘要:1.注入正常的参数,网页返回正常的信息。注入单引号闭合,此处参数也被 WAF 防御了,注入两个同名的参数 id 进行参数污染。对第二个参数用单引号闭合并注释掉后面的内容,网页回显正常的信息,说明此处不是单引号闭合的。 2.?id=1&id=2" ?id=1&id=2"--+ 多个参数测试,测试到用双
阅读全文
摘要:less 29 1.判断注入类型 2.使用HPP方法绕过(http参数污染)。?id=1&id=2,第一个id用于绕过waf,第二个id用于注入 如图所示,这种攻击成功的绕过了WAF 3.对第二个参数用单引号闭合并注释掉后面的内容。网页回显正常的参数,说明网页存在单引号闭合的字符型注入。 4.判断表
阅读全文
摘要:Less 27 和 Less 28 都涉及到了对 “SELECT” 和 “UNION” 的过滤,根据情况我们可以采用大小写过滤或者用其他编码打乱过滤的句式。 1.注入正常的参数,网页返回对应 id 的正常信息。单引号没有被过滤,使用两个单引号分别闭合前后的引号。网页回显正常的内容,说明该网页存在单引
阅读全文
摘要:less 26的考点是:Trick with comments and space (过滤了注释和空格的注入) 1.使用常规办法测试,发现当单引号闭合时,开始报错 单引号没有被过滤,我们使用两个单引号分别闭合前后的引号。网页回显正常的内容,说明该网页存在单引号闭合的字符型注入。 2.对于被过滤的字符
阅读全文
摘要:本less的考点是:Trick with OR & AND(过滤了 OR 和 AND 的注入) 1.先注入正常的参数,网页回显正常的信息。使用单引号来闭合,网页回显报错信息。 使用 “--+” 注释掉后面的内容后回显正常,说明此处是单引号闭合的字符型注入。 2.构造真条件时,发现网页回显了报错信息,
阅读全文
摘要:Less 24的考点是:二次注入 二次注入的原理:注册一个"特殊的用户",然后在修改密码的时候,使sql语句发生改变,任意执行一些命令,从而达到注入的目的。 1.首先,该网站可以允许注册用户,以及用户自行修改密码。百度代码如下:在login_create.php中有可以写入用户名和密码:$sql =
阅读全文
摘要:Less 23实验考点是:过滤注释的显错注入 1.用常规办法测试 说明有注入点,但用#或者--+都无法成功,因为代码中将#和--+替换成了空格 2可以通过;%00注入来绕过 语句执行后:SELECT * FROM users WHERE id='-1' union select 1,2,3;%00'
阅读全文
摘要:1.Base64编码双引号Cookie注入 这个实验和Less 21一样,只是注入语句需要用双引号,其他同上个less
阅读全文
摘要:Base64编码单引号Cookie注入 1.输入账号密码 2.根据提示,用户名和密码使用了Base64编码,RHVtYg==对用的是Dumb,因此填入Cookie中即可,方法和less 20同理
阅读全文
浙公网安备 33010602011771号