2301_78384345的博客

原创 WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计

百度php解析函数，得到存在漏洞函数，然后代码内搜索。

原创 WEB攻防-通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用

选中要保存的请求，点击Generate HTML,生成带有添加用户请求的html文件，然后将构造的html放在网站上，生成访问地址，诱导管理员点击链接，就会添加用户。怎么看有没有同源策略：以新网页打开页面，如果能打开，则没有同源策略，refer会为空。start Recording之后就会抓取到包。CSRF构造工具，也可以用bp构造。

原创 WEB攻防-通用漏洞&XSS跨站&绕过修复&http_only&CSP&标签符号

xss漏洞借用csrf漏洞，注册时把修改管理员账号密码的路径注册进去，当管理员查看用户信息时，就会获取管理员的cookie，去自动修改管理员的账号密码。3、设置CSP（Content Security Policy）;XSS修复-过滤函数&http_only&CSP&长度限制。XSS绕过-CTFSHOW-316到331 关卡绕过WP。4、输入内容长度限制，转义等；1、过滤一些危险字符；

原创 WEB攻防-通用漏洞&XSS跨站&权限维持&捆绑钓鱼&浏览器漏洞

登录后，就会自动把用户名和密码发送到服务器，服务器保存为newfile.txt文件。解决权限获取后，不能解密密码的问题，实时获取登录的token。XSS-Flash钓鱼配合MSF捆绑上线。XSS-后台植入Cookie&表单劫持。XSS-浏览器网马配合MSF访问上线。修改index.html的地址。把文件放到网站目录下。

原创 WEB攻防-通用漏洞&XSS跨站&MXSS&UXSS&FlashXSS&PDFXSS

FlashXSS-PHPWind&SWF反编译。PDFXSS-PDF动作添加&文件上传。上传后，发给别人带漏洞的分享链接。使用jpexs反编译swf文件。

原创 WEB攻-防通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持

指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行处理或处理不严，则浏览器就会执行用户注入的脚本。劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等；4、XSS跨站-攻击项目&XSS平台&Beef-XSS；3、XSS跨站-攻击手法&劫持&盗取凭据等；1、XSS跨站-原理&攻击&分类等；

原创 WEB攻防-通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用

白盒审计-CuppaCms-中间件-.htaccess。白盒审计-Metinfo-编辑器引用-第三方安全。白盒审计-Finecms-代码常规-处理逻辑。4、字典目录扫描探针编辑器目录构造地址；3、功能代码直接看源码应用或搜索关键字；1、个人用户中心是否存在文件上传功能；2、后台管理系统是否存在文件上传功能；3、字典目录扫描探针文件上传构造地址；白盒：看三点，中间件，编辑器，功能代码。2、编辑器直接看目录机构或搜索关键字；黑盒：寻找一切存在文件上传的功能应用。1、中间件直接看语言环境常见搭配；

原创 WEB攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

的漏洞环境集合，进入对应目录并执行一条语句即可启动一个全新的漏洞环境，让漏洞复现变得更加简单，让安全研究者更加专注于漏洞原理本身。中间件文件解析-IIS&Apache&Nginx。Web应用编辑器-Ueditor文件上传安全。实例CMS&平台-中间件解析&编辑器引用。Vulhub是一个基于。

原创 WEB攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀

没上传之前一直访问upload post:代码（利用php创建一个文件 读取flag）条件竞争：在上传成功后，立马访问，创建型代码（代码被执行后，重新新建一个文件）这时可以上传一个转换后的ip地址，ip地址对应网站包含后门代码。1、判断上传前和上传后的文件大小及内容；2、png文件被上传上去，被自动删除了。3、文件上传-.htaccess妙用。1、上传后门时，文件内容带.就不行。2、判断上传后的文件返回数据包；4、文件上传-PHP语言特性。2、文件上传-简单免杀变异。1、文件上传-二次渲染。

原创 WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性

后端代码验证的content-type，通过抓包修改php的content-type为jpg的img/png。后门代码需要用特定格式后缀解析，不能以图片后缀解析脚本后门代码（解析漏洞除外），需要在index.php中调用到.user.ini，使.user.ini生效。4、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等。修改后缀png为php，即可上传后缀为php的文件。3、检测后缀：黑名单，白名单，MIME检测等。2、检测内容：文件头，完整型，二次渲染等。3、文件上传-实例CMS文件上传安全分析。

原创 WEB-通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外

如果遇到校验select|update|delete|drop|insert|where等字段的过滤，可以把sql语句取出来，然后进行十六进制的编码。编辑信息时，把注入脚本先存进去，存的时候改了地址的值，然后在查询的时候地址就是存入的注入结果。解决不回显（反向连接），SQL注入，命令执行，SSRF等。解决不回显，反向连接，SQL注入，命令执行，SSRF等。DNS注入：在注入上没太大利用价值，其他还行。DNS利用-平台介绍&SQL注入&命令执行等。堆叠注入：判断注入后直接调多条执行。设置变量a，然后执行。

原创 WEB攻防-通用漏洞&SQL注入&增删改查&盲注&布尔&报错

1、查询方式增删改查四种特性决定，部分是不需要进行数据取出和显示，所以此类注入基本上需要从用盲注才能正常得到结果。2、查询方式增删改查四种特性决定应用功能点（会员注册，删除新闻，修改文章等）。此时，我们需要利用一些方法进行判断或者尝试，这个过程称之为盲注。盲注就是在注入过程中，获取的数据不能回显至前端页面。解决：常规的联合（union）注入不行的情况。3、明确SQL盲注延时&布尔&报错。-基于布尔的SQL盲注-逻辑判断。-基于时间的SQL盲注-延时判断。-基于报错的SQL盲注-报错回显。

原创 WEB攻防-通用漏洞&SQL注入&HTTP头XFF&COOKIE&POST请求

原创 WEB攻防-通用漏洞&SQL注入&Tamper脚本&Base64&Json&md5等

字符型：a-z 中文 标点符号 http://localhost:8081/blog/news.php?数字型：0-9 http://localhost:8081/blog/news.php?2、数据库类型注入 -数字型 字符型 搜索型 加密型（base64 json）等。搜索型：在基础上又加入的通配符，如：123* *123 *123*5、复杂注入利用 -二次注入 dnslog注入 绕过bypass等。1、数据表现格式类型注入；

原创 WEB攻防-通用漏洞&SQL注入&sqlmap&Oracle&Mongodb&DB2等

1、数据库注入-access mysql mssql oracle mongodb postgresql。2、数据类型注入-数字型 字符型 搜索型 加密型（base64 json等）5、复杂注入利用-二次注入 dnslog注入 绕过bypass等。2、数据库注入-sqlmap-DB2&SQLite&Sybase。1、数据库注入-联合猜解-oracle&mongodb。3、数据库注入-sqlmap-数据猜解&高权限读写执行。4、查询方式注入-查询 增加 删除 更新 堆叠等。

原创 WEB攻防-通用漏洞&SQL读写注入&MYSQL&MSSQL&PostgraSQL

无法写入：secure_file_priv突破，注入中需要支持SQL执行环境，没有就需要借助phpmyadmin或能够直接脸上对方数据库进行绕过。set global slow_query_log_file='shell路径’ // 设置日志记录的功能。在实战中，一般使用load_file读取有价值的文件：如数据库配置文件、apache搭建文件，可百度搜索。MYSQL，PostgreSQL，MSSQL高权限注入点-可升级读写执行等。PostgreSQL-高权限读写注入。MYSQL-root高权限读写注入。

原创 WEB攻防-通用漏洞&SQL注入&MYSQL跨库&ACCESS偏移

其中的SQL语句能通过参数传递自定义值来实现控制SQL语句，从而执行恶意的SQL语句，可以实现查询其他数据（数据库中的敏感数据，如管理员账号密码）。这一个过程就叫做SQL注入漏洞。MYSQL5.0以上版本：自带的数据库名infomation_schmea，用来存储数据库下数据库名及表名，列名信息的数据库，可以通过查询它，来获取数据库用户、表、列等信息；为了网站和数据库的安全性，MYSQL内置有ROOT最高用户，划分等级，每个用户对应管理一个数据库，这样保证无不关联，从而不会影响到其他数据库的运行。

原创 信息收集流程总结

感觉是目前使用的最好的一款子域名查询工具，下载地址：https://github.com/shmilylty/OneForAll。天眼查：根据前面获取的企业名称可以获取目标企业的微信公众号、微博、备案站点、APP、软件著作权等信息。乌云漏洞库还可以通过查看历史漏洞来收集目标资产，可能漏洞库中泄露的域名现在已经很难找到了。目前支持一键收集：子域、子域常用端口、子域Title、子域状态、子域服务器等。七麦数据：通过当前APP查询所属公司的所有APP。可以在线查询域名获取IP、C段、子域名等信息。

原创 Maven导入jar包到本地仓库

mvn install:install-file -Dfile=C:\Users\Administrator\Desktop\temp\lombok-1.18.24.jar -DgroupId=org.projectlombok -DartifactId=lombok -Dversion=1.18.24 -Dpackaging=jar<dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId

原创 WEB攻防-python考点&CTF与CMS-SSTI模板注入&PYC反编译

知识点：1、PYC（python编译后的文件）文件反编译；3、SSTI模板注入利用分析；

原创 WEB攻防-JS项目&Node.js框架安全&识别审计&验证绕过

在JavaScript中也存在变量和函数，当存在可控变量及函数调用即可参数漏洞。一般有/static/js/app.js等顺序的js文件。开发框架-Vulhub-Node.js安全。插件wappalyzer。2、常见安全问题-前端验证&未授权。1、原生JS&开发框架-安全条件。真实应用-APP应用直接重置密码。真实应用-违法彩彩文件上传安全。安全条件-可控变量&特定函数。2、流行的Js框架有哪些？3、如何判定js开发应用？4、如何获取更多的js文件。1、什么是JS渗透测试？5、如何快速获取价值代码。

原创 WEB攻防-JavaWweb项目&JWT身份攻击&组件安全&访问控制

以后，用户与服务端通信的时候，都要发回这个 JSON 对象。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。3、访问控制&安全组件&越权&三方组件；安全问题-目录遍历&身份认证-JWT攻击。安全问题-访问控制&安全组件-第三方组件。2、目录遍历&身份验证&逻辑&JWT；

原创 WEB攻防-PHP特性&缺陷对比函数&CTF考点&CMS审计实例

在使用==比较md5的时候，只要第一位是相等的数字，则会值相等。2、CTF考点与代码审计；1、过滤函数缺陷绕过；

原创 WEB攻防-ASP安全&MDB下载植入&IIS短文件名&写权限&解析

可以通过扫描得到数据库文件路径，或者如果有网站源码，可以根据默认配置（目标服务器没有该配置的情况下）扫描到之后，用下面的工具（不支持win10）把木马文件put到服务器，上传后修改文件名为可解析文件。通过留言写入后门，在通过菜刀访问.asp时，就会执行后门。ASP-中间件-IIS短文件名探针-安全漏洞。ASP-中间件-IIS文件上传解析-安全漏洞。ASP-中间件-IIS配置目录读写-安全配置。ASP-数据库-ASP后门植入连接。2、ASP-数据库下载&植入；ASP-数据库-MDB默认下载。

原创 信息打点-红队工具篇&Fofa&Quake&Kunyu&Suize水泽&Arl灯塔

github监控，当监控的关键字在github出现时，就会监听到，并且发送到钉钉或者邮箱。1、网络空间四大引擎-Fofa&Quake&Shodan&Zoomeye。2、自动化信息收集项目-ARL灯塔&Suize水泽&Kunyu坤舆。网络空间-Fofa&Quake&Shodan&Zoomeye。工具测评-自动化收集-ARL灯塔&Suize水泽&Kunyu。3、单点功能信息收集项目-企查&子域名&指纹识别&社工信息。工具测评-单点功能器-企查&子域名&指纹识别&社工。

原创 信息打点-APP&小程序篇&抓包封包&XP框架&反编译&资产提取

执行命令后，就会对apk反编译，然后从反编译的代码中提取资产信息，结果会输出到out文件夹中。先使用apk资源提取工具，把资源提取出来，然后把资源放入到查壳工具查一下。如上图，反编译的时候可能获取不到地址，有可能地址是在启动的时候获取的。APP-框架使用-Xposed&JustTrustMe。APP-外在抓包-Fd&茶杯&Brup。APP-内在搜索-反编译载入IDEA。APP-资源提取-安装包&资源文件。2、App-外在&内在-资产收集。APP-外在抓包-封包监听工具。1、小程序-外在-资产收集。

原创 信息打点-CDN绕过篇&漏洞回链接口探针&全网扫描&反向邮件

如：网站账号的注册、找回密码都是通过邮件验证码的情况，收到邮件后，点击显示邮件原文，即可找到目标服务器ip。3、带WAF的CDN：用户访问域名->CDN节点（WAF）->真实服务器IP->访问目标主机。2、普通CDN：用户访问域名->CDN节点->真实服务器IP->访问目标主机。黑暗空间引擎，通过漏洞或泄露获取，扫全网，以量打量，第三方接口查询等。子域名，去掉www，邮件服务器，国外访问，证书查询，App抓包。1、传统访问：用户访问域名->解析服务器IP->访问目标主机。

原创 信息打点-系统篇&端口扫描&CDN服务&负载均衡&WAF防火墙

Kali上自带Namp，Masscan，lbd等项目，超级ping：ping.chinaz.com。lbd：负载均衡识别，广域网负载均衡、应用层负载均衡。3、获取阻碍信息-CDN&WAF&负载均衡&防火墙。3、阻碍信息获取-CDN&WAF&负载&防火墙。Nmap：端口扫描，应用协议，防火墙识别。1、获取网络信息-服务厂商&网络架构。2、获取服务信息-应用协议&内网资产。2、服务信息获取-协议应用&内网资产。Masscan：端口扫描、应用协议。超级ping：CDN服务识别。

原创 信息打点-资产泄露&CMS识别&Git监控&SVN&DS_Store&备份

网站管理员在发布代码时，没有使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就使.svn隐藏文件夹被暴露于外网环境，可以利用.svn/entries文件，获取到服务器源码。是Java的WEB应用的安全目录，如果想在页面中直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问。修复建议：删除web目录中所有.svn隐藏文件夹，开发人员在使用SVN时，严格使用导出功能，禁止直接复制代码。7、下载配合-WEB-INF泄露-RoarCTF-2019-EasyJava。

原创 信息打点-Web架构篇&域名&语言&中间件&数据库&系统&源码获取

从这个响应中，可以看到网站的语言(php)、框架(zblog)以及中间件(apache)、系统(如果url中区分大小写，则linux几率大，不区分的话windows的几率大，但不是百分百，如https://xiaodi8.com/index.Php)、数据库(使用搭建组合php和什么数据库更搭配？基础信息（打点信息）、系统信息（服务器情况）、应用信息（网站应用、源码）、防护信息（、是否有安全防护软件等）、人员信息（管理人员）、其他信息（企业查询、子公司、子公司相关应用）等。

原创 资产架构&端口&应用&CDN&WAF&站库分离&负载均衡

架设第三方插件安全：站长为了网站方便维护而安装的第三方插件，如果插件出现了安全问题，对网站本身也会有危害（功能越多，插件安装越多，则安全系数越低）3、考虑阻碍-站库分离&CDN&WAF&负载均衡&主机防护。1、资产架构-端口&目录&插件接口&多站点&多应用。2、番外安全-域名&服务器本身&服务厂商&管理人员。4、性能优化-负载均衡&CDN加速&OSS云存储等。服务器架设多个应用安全：服务器安装了多个web应用。3、安全部署-WAF防火墙&主机防护&HIDS等。2、架构搭建-目录&端口&子域&插件&应用等。

原创 30余种加密编码进制&Web&数据库&系统&代码&参数值

MD5不可逆，但不代表不能解密，不直接通过算法来解密而是通过枚举撞库来解密，尝试生成很多的加密或对应的明文字符去枚举。BASE64值是由数字0-9和字母a-zA-Z + / =所组成的字符串，大小写敏感，结尾通常有符号=ASCII编码是将128个字符进行进制数来表示，常见ASCII码表大小规则：0-9<A-Z<a-z。URL编码是由数字0-9和和字母a-f所组成的字符串，大小写敏感，通常以%数字字母间隔。HEX编码是计算机中数据的一种表示方法，将数据进行十六进制转换，它由0-9、A-F组成。

原创 抓包封包工具

1、为什么要抓包 抓包获取应用的资产信息进行安全测试2、抓包对象有哪些 小程序、APP、桌面应用等3、抓包和封包的不同之处 零散与整体的区别，封包是零散的，抓包是整体，封包能精确到每个操作的数据包

原创 SRC平台

乐信安全应急响应中心 http://security.lexinfintech.com/security/index。蚂蚁金服SRC https://security.alipay.com/sc/afsrc/home.htm。你我贷安全应急响应中心 http://www.niwodai.com/sec/index.do。VIPKID安全应急响应中心 https://security.vipkid.com.cn/融360安全应急响应中心 https://security.rong360.com/#/

原创 burpsuite

所有的工具都共享一个能处理并显示HTTP消息，持久性认证、代理、日志、警报的一个强大的可扩展的框架。Intruder（入侵）-一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing技术探测常规漏洞。Proxy（代理）-拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许拦截、查看、修改在两个方向上的元石数据流。Spider（蜘蛛）-应用智能感应的网络爬虫，能完整的枚举应用程序的内容和功能。

原创 kali实用工具之ettercap

ettercap最初是交换局域网的嗅探器，但在开发的过程中，它获得了越来越多的功能，从而使其转变为强大而灵活的中间人攻击工具。它支持许多协议（甚至是加密协议）的主动和被动解剖，并包括许多用于网络和主机分析的功能。首先配置/etc/ettercap/etter.dns文件。-q，-quiet 安静模式，不显示抓到的数据包内容。-G，-gtk 使用GTK+GUI，开启图形化模式。选择网卡，只有在同一个网卡（ip段）下，才能扫描到。-T，-text 使用之显示字符的界面。-w 将嗅探的数据写入pcap文件。

原创 kali实用工具之xHydra

比如某一个人对一个东西很喜欢可能会用这个东西的拼音或者英文单词，再加上一些特殊寓意的数字来组合出自己的密码，所以字典的生成必须要针对个人，网上所谓的一个字典通用这种说法是不对的，最好的方法就是为某一个人编辑专属于他的密码字典。xHydra称为九头蛇，是一款登录爆破神器，xHydra几乎可以爆破各种协议的登录，比如windows的远程桌面、ssh、ftp、路由交换设备等等。crunch是一种创建密码字典的工具 ，按照指定的规则生成密码字典，可以灵活的制定自己的字典文件。-d 探测网站路径的深度，默认值为2。

原创 kali实用工具之nmap

它被用来快速扫描大型网络，包括主机探测与发现、开放的端口情况、操作系统与应用服务指纹识别及常见安全漏洞。SYN 攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以。-T4指定扫描过程的级别，级别越高扫描速度越快，但也越容易被防火墙或者IDS屏蔽，一般推荐使用T4级别。和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

原创 kali实用工具之NC

获取shell分为两种，一种是正向shell，一种是反向shell。如果客户端连接服务器端，想要获取服务器端的shell，那么称为正向shell，如果是客户端连接服务器，服务器端想要获取客户端的shell，那么称为反向shell。相当于客户端监听6666端口的nc连接，并且把/bin/bash文件发出去，然后服务端相当于拿到了终端，就可以执行命令了。NC（netcat）被称为网络工具中的瑞士军刀，体积小巧，但功能强大。Nc主要功能是可以在两台设备上面相互交互，即侦听模式/传。

原创 6年程序员，从零开始

现在的工作并不是我想要的，也不是我当时学习编程的初衷，我想做一个自由的开发者，想有更多的时间陪伴家人，想去想去的地方看想看的风景。接下来先定一个小目标吧，从零开始做一个小系统，把我日常工作开发中，经常用到的工具做成可视化的功能，然后发布上线，既是复习一下技术，也为更多的人提供一些绵薄的便利。所我想先做，如果能通过做，结交一些志同道合的朋友，明确以后的方向，那就再好不过了。我想了很久，久到好几年了，我都一直在想怎么搞钱，将来的路何去何从，但是到了现在我也没有想出来，这也导致了我近来严重焦虑，总是头痛。