- 博客(106)
- 收藏
- 关注
RSS订阅原创 Stacked Queries(堆叠注入)
文章目录基本知识原理介绍:堆叠注入的局限性Mysql数据库实例介绍CTF 实战与各种姿势修改表名利用HANDLER语句利用MySql预处理正常利用MySql预处理配合十六进制绕过关键字MySql预处理配合字符串拼接绕过关键字Stacked injection 汉语翻译过来后,国内有的称为堆查询注入,也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段,通过添加一个新的查询或者终止查询( ; ),可以达到 修改数据 和 调用存储过程 的目的。这种技术在SQL注入中还是比较
2021-03-28 10:02:18
3360
1
原创 RSA算法原理及CTF解题
The RSA encryption algorithm is an asymmetric encryption algorithm. RSA is widely used in public key cryptography and electronic commerce. RSA was proposed in 1977 by Ron Rivest, Adi Shamir, and Leonard Adleman. All three of them were working at the Massac
2021-03-12 20:42:21
13655
原创 内网渗透测试:隐藏通讯隧道技术
我的Freebuf:https://www.freebuf.com/author/MrAnonymous我的博客:https://whoamianony.top/文章目录什么是隧道?先判断内网连通性网络层隧道技术IPv6 隧道ICMP 隧道icmpshPingtunnelicmptunnel传输层隧道技术lcx端口转发内网端口转发本地端口转发二者结合使用NetCat——瑞士军刀内网代理PowerCat应用层隧道技术SSH协议本地转发实验远程转发实验动态转发实验HTTP(S)协议reGeorgSOCKS.
2021-02-21 16:52:49
2049
1
原创 内网渗透测试:域内权限维持思路总结
我的Freebuf:https://www.freebuf.com/author/MrAnonymous我的博客:https://whoamianony.top/文章目录Windows 操作系统常见持久性后门Windows系统隐藏账户Shift 粘滞键后门(1)手动制作(2)Empire 下的利用注册表键后门(1)手动制作(2)Metasploit 下的利用(3)Empire 下的利用Windows 计划任务后门(1)利用 at 命令(2)利用 schtasks 命令(3)利用SharPersist工.
2021-02-21 16:49:32
1600
原创 内网渗透测试:NTLM Relay攻击分析
我的Freebuf:https://www.freebuf.com/author/MrAnonymous我的博客:https://whoamianony.top/文章目录基础知识NTLM认证过程NTLM中继攻击原理获得Net-NTLM Relay的思路利用LLMNR和NetBIOS欺骗获得Net-NTLMHash利用WPAD劫持获得Net-NTLMHashSMB Relay(SMB中继)攻击攻击演示Responder中的MultiRelay.pyImpacket中的smbrelayx.pyMetasp.
2021-02-21 16:48:09
785
原创 内网渗透测试:Windows权限提升思路
我的Freebuf:https://www.freebuf.com/author/MrAnonymous我的博客:https://whoamianony.top/文章目录Windows系统内核溢出漏洞提权1. 手动查找系统潜在漏洞2. 自动查找系统潜在漏洞3. 选择漏洞并利用Windows系统错误配置漏洞提权Trusted Service Paths漏洞(可信任服务路径漏洞)系统服务错误权限配置漏洞计划任务与AccessChk使用AccessChk使用自动安装配置文件AlwaysInstallElev.
2021-02-21 16:46:24
1346
2
原创 Apache SSI 远程命令执行漏洞(SSI注入漏洞)
SSI 服务器端包含SSI(server-side includes)能帮我们实现什么功能:SSI提供了一种对现有HTML文档增加动态内容的方法,即在html中加入动态内容。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令。在测试任意文件上传漏洞的时候,目标
2020-07-25 13:09:15
2690
原创 PHP的模板注入(Smarty模板)
Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过,讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析。题目地址:https://buuoj.cn/challenges CISCN2019华东南赛区Web11基本信息题目模拟了一个获取IP的API,并且可以在最下方看到“Build With Smarty !”可以确定页面使用的是Smarty模板引擎。题
2020-07-24 12:23:35
9130
原创 PHP的伪随机数爆破
基础介绍随机数并不随机首先需要声明的是,计算机不会产生绝对随机的随机数,计算机只能产生“伪随机数”。其实绝对随机的随机数只是一种理想的随机数,即使计算机怎样发展,它也不会产生一串绝对随机的随机数。计算机只能生成相对的随机数,即伪随机数。伪随机数并不是假随机数,这里的“伪”是有规律的意思,就是计算机产生的伪随机数既是随机的又是有规律的。 怎样理解呢?产生的伪随机数有时遵守一定的规律,有时不遵守任何规律;伪随机数有一部分遵守一定的规律;另一部分不遵守任何规律。比如“世上没有两片形状完全相同的树叶”,这正是
2020-07-12 20:00:08
3224
1
原创 [安洵杯 2019]easy_web(md5强比较,反斜杠逃逸,绕过cat)
F12没什么收获,不过看到url有个值很像base64的编码:拿去解码一下:MzUzNTM1MmU3MDZlNjc=还是像base64,在解一次:3535352e706e67看起来像是hex,拿去转字符串:555.png可见,文件名被hex->base64->base64三重编码了,那么我们尝试反加密回去读取index.phpindex.php—>hex:696e6465782e706870再转base64:Njk2ZTY0NjU3ODJlNzA2ODcw.
2020-07-12 14:57:52
776
1
原创 [GXYCTF2019]BabySQli——“绕过md5比较”
TMD这道题目就是脑洞真的大!!!进入题目,一个登录框,随便输入后点击登录就跳转到了search.php页面,查看源码可以发现一长传编码,base32再base64解密之后是 select * from user where username = '$name'。常规sql注入手段猜测后台代码中的字段数:1' union select 1,2#1' union select 1,2,3#可以测出user这个表一共有三列,猜测分别为id,username,password(经验)。在这里,
2020-07-06 21:47:45
2160
原创 PHP反序列化字符逃逸详解
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php此类题目的本质就是改变序列化字符串的长度,导致反序列化漏洞这种题目有个共同点:php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。总是先进行序列化,再进行替换修改操作。第一种情况:替换修改后导致序列化字符串变长示例代码:<?phpfunction filter($st
2020-07-05 16:13:47
7269
6
原创 条件竞争漏洞
“竞争条件”是什么?竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,但他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段,也被称之为临界区(critical section),如果没有应用好同步技术则会发生“竞争条件”问题。条件竞争漏洞其实也就是当同时并发多个线程去做同一件事,导致处理逻辑的代码出错,出现意想不到
2020-06-22 16:25:20
877
1
转载 LFI 绕过 Session 包含限制 Getshell
文章目录前言用户会话会话存储会话处理LFI SessionSession Base64EncodeBypass serialize_handler=phpBypass serialize_handler=php_serializeNo session_start()表单利用攻击Conclusionsession文件包含漏洞就是在用户可以控制session文件中的一部分信息,然后将这部分信息变成我们的精心构造的恶意代码,之后去包含含有我们传入恶意代码的这个session文件就可以达到攻击效果。前言之
2020-06-10 17:46:42
1261
原创 Bypass information_schema与无列名注入
文章目录Bypass information_schema前言前置任务MySQL5.7的新特性sys.schema_auto_increment_columnsschema_table_statistics_with_buffer、x$schema_table_statistics_with_buffer无列名注入利用joinjoin … using(xx)利用普通子查询[SWPU2019]Web1——无列名注入Bypass information_schema前言聊一聊mysql在被waf禁掉了in
2020-06-09 19:43:11
3291
4
原创 [GYCTF2020]FlaskApp(SSTI)
进入题目:是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
2020-06-09 14:06:09
2838
原创 Weevely(Linux中的菜刀)
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章目录基本用法后门生成连接后门weevely模块几个模块的使用::shell_su模块:system_info模块:audit_disablefunctionbypass模块:audit_etcpasswd模块:backdoor_reversetcp模块:audit.phpconf使用技巧获取其他用户的凭据绕过策略读取/etc/passwd猜解SQL用户凭据日志清理绕过系统禁用函
2020-06-06 16:01:03
7761
原创 [GKCTF2020]EZ三剑客-EzWeb(SSRF)
查看源码发现提示:在url里访问一下:得到一串ifconfig的结果,整理一下的:eth0 Link encap:Ethernet HWaddr 02:42:ad:62:04:0a inet addr:173.96.119.10 Bcast:173.98.4.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 RX pac.
2020-06-03 22:18:15
4543
原创 浅析Redis中SSRF的利用
文章目录SSRF介绍RESP协议Redis配合gopher协议进行SSRF概述利用条件利用绝对路径写webshell构造payload写ssh公钥构造payload利用contrab计划任务反弹shell构造payloadSSRF介绍SSRF,服务器端请求伪造,服务器请求伪造,是由攻击者构造的漏洞,用于形成服务器发起的请求。通常,SSRF攻击的目标是外部网络无法访问的内部系统。这里我们要介绍的是关于redis中SSRF的利用,如果有什么错误的地方还请师傅们不吝赐教/握拳。文章中的数据包构造会涉及到re
2020-06-03 20:31:53
690
转载 PHP LFI 利用临时文件 Getshell 姿势
文章目录前言PHP LFI临时文件全局变量存储目录命名规则Windows Temporary FilePHPINFO特性测试代码漏洞分析漏洞利用php7 Segment Fault利用条件漏洞分析代码环境漏洞利用前言最近整理PHP文件包含漏洞姿势的时候,发现一些比较好用的姿势关于本地文件包含漏洞可以利用临时文件包含恶意代码拿到Webshell的一些奇技淫巧,于是打算详细整理一下。PHP LFIPHP LFI本地文件包含漏洞主要是包含本地服务器上存储的一些文件,例如session文件、日志文件、临时文
2020-06-02 16:21:07
2596
1
转载 探索php://filter在实战当中的奇技淫巧
前言在渗透测试或漏洞挖掘的过程中,我们经常会遇到php://filter结合其它漏洞比如文件包含、文件读取、反序列化、XXE等进行组合利用,以达到一定的攻击效果,拿到相应的服务器权限。最近看到php://filter在ThinkPHP反序列化中频繁出现利用其相应构造可以RCE,那么下面就来探索一下关于php://filter在漏洞挖掘中的一些奇技淫巧。php://filter在探索php://filter在实战当中的奇技淫巧时,一定要先了解关于php://filter的原理和利用。php://fi
2020-05-30 16:22:12
1682
转载 WAF是如何被绕过的?
前言首先我们要了解什么是waf:Web应用防火墙,Web Application Firewall的简称。我们口头相谈的waf有什么功能呢?WAF可以发现和拦截各类Web层面的攻击,记录攻击日志,实时预警提醒,在Web应用本身存在缺陷的情况下保障其安全。但是,WAF不是万能的、完美的、无懈可击的,在种种原因下,它们也会有 各自的缺陷,作为用户不可以盲目相信WAF而不注重自身的安全。我们来看一下目前主流的WAF绕过技术作为攻击者,我们要清楚我们利用哪方面来进行绕过:Web容器的特性Web应
2020-05-29 22:33:50
470
原创 渗透测试|shopXO后台全版本获取Shell复现
shopxo是一款开源的企业级商城系统,基于thinkphp5框架开发。这几天做了“[GKCTF2020]老八小超市儿”这道题,学到了后台获取shell的一个技巧,所以在这里复现一下。提供一个搜索语法:title=“ShopXO企业级B2C电商系统提供商”(不要干坏事哦)渗透测试复现页面来自buuctf——[GKCTF2020]老八小超市儿。ShopXO全版本getshell流程走起:进入题目(网上随便可以通过搜索找到一个使用shopxo搭建的演示站)别的漏洞没找到,尝试访问默认登陆后台,后台页
2020-05-29 18:34:57
5095
1
原创 CTF中的CVE-2020-7066
PHP中get_headers函数在PHP开发中,我们经常需要获取HTTP请求中发送的服务器信息,本文通过一个简单的PHP示例介绍了通过get_headers函数获取服务器的相关信息。**get_headers() 是PHP系统级函数,他返回一个包含有服务器响应一个 HTTP 请求所发送的标头的数组。**如果失败则返回 FALSE 并发出一条 E_WARNING 级别的错误信息(可用来判断远程文件是否存在)。array get_headers ( string $url [, int $format
2020-05-29 15:14:13
2499
原创 SQL(宽字节注入)
GBK 占用两字节ASCII占用一字节PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗,也就是说:%df\.
2020-05-28 17:26:51
584
原创 MySQL注入点写入WebShell的几种方式
在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。比如:当面对一个MySQL注入点,通过使用SQLmap的--os-shell命令选项,便可轻松一键获取Webshell,但是非正常退出时,便会在网站目录中存留SQLmap临时上传的Webshell文件。接下来,本文将通过构造一个注入点,分享几种Webshell写入的技巧。0x01 构造一个注入点1、在默认数据库test中创建测试表admin和测
2020-05-27 20:21:58
1503
原创 CSRF漏洞学习二
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章目录跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户 的浏览器 去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。..
2020-05-25 20:00:56
438
1
原创 CSRF 漏洞学习一
CSRF 漏洞CSRF全称为Cross-site request forgery, 跨站请求伪造。说白一点就是可以劫持其他用户去进行一些请求,而这个CSRF的危害性就看当前这个请求是进行什么操作了。跨站请求攻击,简单地说,是攻击者通过一些技术手段,指利用受害者 “尚未失效的身份认证信息”(cookie、会话等)欺骗用户 的浏览器 去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这
2020-05-24 17:47:00
745
原创 Metasploit 提权篇
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章目录内核漏洞提权enum_patches模块Windows-Exploit-suggesterWindows ClientCopyImage Win32k Exploit(MS15-051)Windows TrackPopupMenu Win32k NULL指针解引用(ms14_058)通过 KiTrap0D 提升 Windows 权限(ms10_015)Task Sched.
2020-05-24 14:43:54
2528
2
原创 MSF 基本使用之信息收集
简介信息收集是渗透测试中首先要做的重要事项之一,目的是尽可能多的查找关于目标的信息,我们掌握的信息越多,渗透成功的机会越大。在信息收集阶段,我们主要任务是收集关于目标机器的一切信息,比如IP地址,开放的服务,开放的端口,存在的漏洞等。 这些信息在渗透测试过程中启到了至关重要的作用。当我们通过代理可以进入某内网,需要对内网主机的服务进行探测。我们就可以使用MSF里面的内网主机探测模块了。在这之前,先修改 /etc/proxychains.conf ,加入我们的代理。然后 proxychains ms.
2020-05-22 22:13:21
1319
原创 flask 之 ssti 模板注入学习
flask基础Flask是一个使用 Python 编写的轻量级 Web 应用框架。在学习SSTI之前,先把flask的运作流程搞明白。这样有利用更快速的理解原理。路由先看一段代码from flask import flask @app.route('/index/')def hello_word(): return 'hello word'route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问http://127.0.0.1:5000/index的时候,fla
2020-05-21 11:50:33
1782
原创 SSTI 服务器端模板注入
什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念,通过与服务端模板的 输入输出 交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞
2020-05-21 11:05:52
2066
1
原创 BUUCTF 2018 Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)
参考:谈谈escapeshellarg参数绕过和注入的问题PHP escapeshellarg()和escapeshellcmd()并用之殇谈escapeshellarg绕过与参数注入漏洞https://blog.csdn.net/qq_26406447/article/details/100711933进入题目显示php源码:这里用到escapeshellarg()、escapeshellcmd()两个函数:escapeshellarg:escapeshellarg() 将给字符串增加一
2020-05-20 17:08:31
1032
原创 PHP代码审计基础篇(XSS 漏洞)
XSS 漏洞XSS学名为跨站脚本攻击( Cross Site Scriptings),在Web漏洞中XSS是出现最多的漏洞,没有之一。这种漏洞有两种情况,一种是通过外部输入然后直接在浏览器端触发,即反射型XSS;还有一种则是先把利用代码保存在数据库或文件中,当Web程序读取利用代码并输出在页面上时触发漏洞,也就是存储型XSS。XSS攻击在浏览器端触发,大家对其危害认识往往停留在可以窃取cookie、修改页面钓鱼,等等。用一句话来说明该漏洞的危害就是:前端页面能做的事它都能做。挖掘经验挖掘XSS漏洞的关
2020-05-20 14:30:17
1181
1
原创 PHP代码审计基础篇(SQL 注入漏洞)
文章目录SQL 注入漏洞挖掘经验普通注入编码注入1. 宽字节注入2. 二次urldecode注入espcms 搜索注入分析漏洞防范1. gpc/rutime 魔术引号2. 过滤函数和类3. PDO prepare预编译每类漏洞都有针对性的审计技巧,在我们掌握了这些技巧之后,就可以有针对性地挖掘我们想要的漏洞。漏洞大致分为SQL注人、XSS、文件操作、代码/命令执行、变量覆盖以及逻辑处理,等等,这些都是常见的Web漏洞。本章作为基础篇,只介绍最常见的SQL注入、XSS、CSRF 漏洞,分析其原理、利用方式
2020-05-19 22:00:25
1069
原创 代码审计(全文通读审计案例)
骑士 cms 通读审计案例我们已经介绍了代码审计中通读全文代码审计方式的思路,下面我们用案例来说明这种通读方式。为了方便大家理解,笔者找了一款相对简单容易看懂的应用骑士cms来介绍,版本是3.5.1,具体的审计思路我们在上文中已经有过介绍。1. 查看应用文件结构先看一下骑士 cms 的大致文件目录结构,如下图:首先需要看看有哪些文件和文件夹,寻找名称里有没有带有api、admin、manage、include 一类关键字的文件和文件夹,通常这些文件比较重要,在这个程序里,可以看到并没有什么PHP
2020-05-18 23:01:33
974
3
原创 总线与主板
总线(Bus)是供多个部件分时共享的公共信息传输线路,一个系统的总线结构决定了该计算机的数据通路及系统结构。在微型计算机中,总线以及所连接的部件都安放在主板上。计算机在运行中对于系统的部件和外部设备的控制都通过主板实现,主板的组成与布局也影响着系统的运行速度、稳定性和可扩展性。采用总线结构的优点:各部件可通过总线交换信息,相互间不必单独连线,减少了传输线的数量,提高了系统的可靠性。在计算机系统需要扩展时,只要把要扩展的部件接在总线上,提高了微机的可扩展性。(声卡,网卡等)总线总线及其规范总
2020-05-17 15:00:08
3459
原创 存储体系
多级存储体系的建立多级存储体系的建立多级存储体系的建立是成本、容量和速度折中的结果理想的存储体系应当具有充足的容量和与CPU相匹配的速度。但是实际的存储器都是非理想化的,其制约因素是价格(每位成本)、容量和速度。这三个基本指标是矛盾的。由图2.53(a)可以看出,存储速度越高,每位成本就越高;由图2.53(b)可以看出,随着所使用存储容量的增大,就得使用速度较低的器件。合理的分配容量、速度和价格的有效措施是实现分级存储。下图是典型的分级存储系统层次结构示意图。整个层次结构有如下规律:(1)价格依
2020-05-17 12:34:12
2316
原创 PHP代码审计五(代码执行漏洞)
PHP代码审计阶段,基本要理解常见Web漏洞,如Sql注入、XSS、CSRF、文件上传等,近十种安全漏洞的产生原因和初步的防御方法。文章目录代码执行漏洞漏洞简介代码执行漏洞相关函数:eval()函数assert() 函数CTF实例preg_replace() 函数call_user_func() 函数动态函数进入正题之前先扫一下盲区,可能有朋友已经会了,可以跳过webshellWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。一
2020-05-16 19:55:52
2275
原创 代码审计四(找回密码问题)
验证Token在找回密码的时候生成一个token,然后存储到数据库中,然后把找回密码的地址发送到邮箱中,这个url中就含有token,由用户点开后就可以修改密码。延伸一些CMS的密码加密方式很难被破掉,有时候拿到了管理的密码破不掉利用方法:一般找回密码是用的邮箱,首先把管理的邮箱注入出来,然后再去找回密码,再把数据库的token注入出来,构造一下地址就可以重置密码了。rand函数生成Token$resetpwd=md5(rand());对 rand() 函数生成出来的数字进行md5,某些平台下
2020-05-16 16:47:22
777
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人