随笔分类 - Web安全
摘要:web 这web题除了最后一个rtmpdump是个0day,其他的都是前端的问题,noxss200比较有意思。 一、cosplay step1 首先获取Bucket里的文件列表: console输入: (function(){ cos.getBucket({ Bucket: Bucket, Regi
阅读全文
摘要:[TOC] drupal .开头文件名 文件上传 通过diff 8.8.1的补丁,很容易发现修复点,位于 补丁在文件名两侧进行了trim(..., '.'),结合漏洞通告可以知道应该是文件名过滤不严导致.开头的文件上传。 原生模块分析 漏洞点位于 函数 全局搜索调用本函数的地方,发现只在 中被调用。
阅读全文
摘要:[TOC] 前言 这一个需要管理员权限的二次SQL注入,利用起来比较鸡肋。这里仅分享一下挖洞时的思路,不包含具体的poc。 分析 漏洞触发点在components/com_content/models/articles.php:L458 通过访问 可以到达漏洞点,但是state我们控制不了,因为首先
阅读全文
摘要:[TOC] 0x00 前言 没有 0x01 分析 这个漏洞被描述为“未授权访问私密内容”,由此推断是权限判断出了问题。如果想搞懂哪里出问题,必然要先知道wp获取page(页面)/post(文章)的原理,摸清其中权限判断的逻辑,才能知道逻辑哪里会有问题。 这里我们直接从wp的核心处理流程main函数开
阅读全文
摘要:[TOC] 0x00 首先,session_start()是什么? 当会话自动开始或者通过 session_start() 手动开始的时候, PHP 内部会依据客户端传来的PHPSESSID来获取现有的对应的会话数据(即session文件), PHP 会自动反序列化session文件的内容,并将之填
阅读全文
摘要:终于到了最后一部分,这些关跟之前不同的是这里是限制次数的。 less-54: 这题比较好玩,10次之内爆出数据。先试试是什么类型: ?id=1' and '1 ==>>正常 ?id=1' and '0 ==>>不正常 所以是单引号注入。union一波试试: ?id=1' union select 1
阅读全文
摘要:#前言 这次做的还挺多的,只有个Web300没做出来,排名由上次60+进步到这次16名(最后三分钟掉了5名),感觉还是不错的。但是很明显,流量题有很大的运气成分。做完流量题之后还剩一个多小时,水了水Misc,然而之前从来没做过,不知道有什么套路,到最后也没做出来。看看排名靠前的大佬基本就是Web+C
阅读全文
摘要:这里是堆叠注入部分 less-38: 这题啥过滤都没有,直接上: ?id=100' union select 1,2,'3 less-39: 同less-38: ?id=100 union select 1,2,3 less-40: 输入?id=1',无语法错误回显。改成?id=1' and '1,
阅读全文
摘要:继续继续!这里是高级部分! less-23: 提示输入id参数,尝试: ?id=1' and '1 返回的结果与?id=1相同,所以可以直接利用了。 ?id=1' order by 5# 可是页面返回了错误,后来又试了--,一直无法注释,不知道什么情况。后来看标题,发现已经把注释给过滤掉了。服务端如
阅读全文
摘要:好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试一试) Less-1: 提示参数是id,值为数字。 先测试是字符型还是字符串型: ?id=1 and
阅读全文
摘要:最近开始打ctf了,发现好多sql注入都忘了,最近要好好复习一下。 <! more 基础知识: floor(): 返回原理: 这个payload的重点在group by a,也就是group by floor(rand(0) 2)。首先,floor(rand(0) 2)的意思是随机产生0或1。虽说是
阅读全文
摘要:题目名称:因缺思汀的绕过 题目地址:http://www.shiyanbar.com/ctf/1940 1、with rollup: with rollup关键字会在所有记录的最后加上一条记录,该记录是上面所有记录的总和。 2、group_concat(): group by与group_conca
阅读全文
浙公网安备 33010602011771号