- 博客(41)
- 收藏
- 关注
RSS订阅原创 漏洞利用之WAF绕过
命令执行WAF绕过1.通配符符号含义?匹配单个字符如果匹配多个字符,就需要多个?连用**代表任意数量的字符[ ]代表一定有一个在括号内的字符(非任意字符)。例如 [abcd] 代表一定有一个字符, 可能是 a, b, c, d 这四个任何一个利用通配符执行以下命令:ls -l使用通配符/?in/?s -l读取/etc/passwd:/???/??t /??c/p???w?有时候WAF不允许使用太多的?号/?in/cat /?tc/p?sswd
2020-09-07 11:31:05
1115
翻译 TCP/IP协议
TCP原理TCP每发送一个报文段,就启动一个定时器,如果在定时器超时之后还没有收到ACK确认,就重传该报文。 如图所示,数据包由A的缓冲区发往B,B在收到数据包以后,回发一个ACK确认包给A,之后A将该数据包从缓冲区释放。因此,该数据包会一直缓存在A的缓冲区,直到一个ACK确认为止。TCP/IP工作层TCP/IP工作在第4层,(传输层)在TCP/IP协议簇中,有两个不同的传输协议:TCP(传输控制协议)和UDP(用户数据报协议),它们分别承载不同的应用。TCP协议提供可靠的服务,UDP协议提供不可靠
2020-08-31 16:32:05
414
原创 攻防世界-Web_python_template_injection详解
Web_python_template_injection在做这道题之前如果大家不懂可以先看一看这篇文章:从零学习flask模板注入基础知识:在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。1.判断有无模板注入payloadhttp://220.249.52.133:53362/{{7+7}}查看全局变量http://220.249.52.133:53362/{{config}}基础知识:文件包含:是通过python
2020-08-12 09:55:37
8296
2
原创 攻防世界-Web高手进阶详解
Web高手进阶详解点击题目即可查看 点击题目即可查看 点击题目即可查看 点击题目即可查看001 baby_web002 Training-WWW-Robots003 Web_php_unserialize004 php_rce005 Web_php_include006 supersqli007 ics-06008 warmup009 NewsCenter010 NaNNaNNaNNaN-Batman011 PHP2012 unserialize3013 upl
2020-08-11 23:33:18
1072
原创 攻防世界-ics-06详解
ics-06题目场景:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。进入题目后有点吓人,这么多,点啊点发现只有一处可以进入进入报表中心选择时间发现怎么点都没反应,看到上面有id改变id大小发现有变化,根据题目提示只有一处数据(这里是进行id爆破有点搞笑我是想不到)BP抓包爆破:抓包送到爆破模块设置变量设置payload爆破:flag:cyberpeace{7b7a2f215460b0ab1294179bf1b1499a}...
2020-08-11 23:11:34
13480
7
原创 攻防世界-supersqli详解
supersqli查看是否存在SQL注入1' and 1=1 #用二分法查看列数(有两列)1' order by 2 #使用联合查询发现做了SQL注入黑名单禁止出现以下关键字
2020-08-11 22:53:14
7103
3
原创 攻防世界-upload1
upload1根据题目这是一道文件上传题当上传一个php文件时提示只能上传图片,并且无法点击提交按钮,这应该是前端对文件类型进行了过滤查看源代码:发现一个调用了一个check()函数检测文件类型我们把这个函数删除如下:刷新页面发下新可以上传了:用菜刀或者中国蚁剑连接:(注意菜刀可以连接但是无法查看flag我也不知道为啥)flag:$flag="cyberpeace{097e36244c66c690c16373cffd177aff}菜刀,但是无法查看但是无法查看...
2020-08-11 17:41:56
660
1
原创 攻防世界-unserialize3详解
unserialize3查看源代码:class xctf{public $flag = '111';public function __wakeup(){exit('bad requests');}?code=这是一个利用反序列字符串来进行绕过的题,根据提示我们要构造code参数,但是需要绕过wakeup函数**__wakeup()**是PHP的一个魔法函数,在进行unserialize反序列化的时候,首先查看有无该函数有的话就会先执行他绕过:可以通过增加对象的属性个数来进行绕过
2020-08-11 16:40:16
7073
2
原创 攻防世界-Web_php_include详解
Web_php_include源代码:<?phpshow_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);}include($page);?>分析:strstr():定义和用法:搜索字符串在另一个字符串中是否存在,如果是,返回字符串及剩余部分,否则返回
2020-08-11 12:19:22
10424
5
原创 攻防世界-PHP2详解
PHP2进入后神门也没有查看源代码也没根据提示我们进行后台扫描发现phps(这里phps是我自己加入字典里的,记住就好,主要是告诉大家一个方法)发现源代码;查看源代码:<?phpif("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "admin"){ echo "&
2020-08-11 11:35:47
11312
2
原创 攻防世界-NaNNaNNaNNaN-Batman详解
NaNNaNNaNNaN-Batman进入题目发现是一个附件,用记事本打开发现实jsp写的,但是有点乱,改名为.html访问:整理源代码: function $(){ var e=document.getElementById("c").value; //正则表达式 if(e.length==16) //输入为16位 if(e.match(/^be0f23/)!=null) if(e.match(/233ac/)!=null)
2020-08-11 10:15:32
1258
原创 攻防世界-NewsCenter详解
NewsCenter进入后我们发现有一个搜索框进行新闻搜索我们尝试有无sql注入我们输入1’ and 1=1 #判断有无sql注入发现有查看列数1’ order by 3 #联合查询 1’ union select 1,2,3 #查表:1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() #查字段:1’ union
2020-08-11 09:58:38
5521
原创 攻防世界-warmup详解
warmup进入题目后只有一个图片,我们查看源代码,发现源码信息;查看source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) //check函数检查传入的page是否在白名单里 { $whitelist = ["source"=>"source.php","
2020-08-11 09:42:06
8181
4
原创 攻防世界-php_rce详解
php_rce进入后发现是一个php框架,根据题目php-rce远程命令执行,我们百度一下这个版本有什么漏洞
2020-08-10 23:23:37
11975
2
原创 攻防世界-Web_php_unserialize详解
Web_php_unserialize源码:<?php class Demo { //定义一个类 private $file = 'index.php'; //变量属性 public function __construct($file) { //类方法 $this->file = $file; } function __destruct() { echo @highlight_file(
2020-08-10 22:53:17
5155
2
原创 攻防世界-Training-WWW-Robots详解
Training-WWW-Robots根据题目robots.txtflag:cyberpeace{e9c0801e3ed84033430148b6b40252ff}
2020-08-10 21:44:29
1939
原创 攻防世界-baby_web详解
baby_web题目描述:想想初始页面是哪个根据提示我们尝试/index.php页面:发现网页直接跳转到1.php我们尝试抓包分析抓包:(index.php)点 Foward放过当跳转到1.php时放到repeater模块发现flag但是隐藏了falg:flag{very_baby_web}...
2020-08-10 21:35:05
10984
原创 DVWA-Javascript详解
前端攻击(JavaScript Attacks)低级进入靶场后点击提提交,发现phrase错误根据提示我们输入success,提示说token不对查看源代码:发现phrase表示我们输入的内容,然后计算输入的token值document.getElementById("token").value = md5(rot13(phrase));,写入token,但是为啥写入success也报token错误?<?php$page[ 'body' ] .= <<<EOF<
2020-08-06 18:08:51
2102
原创 DVWA-CSP Bypass详解
CSP Bypass靶场练习CSP简介CSP全称是: Content-Security-Policy, 内容安全策略。是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要采用函数过滤转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完
2020-08-06 09:24:46
1284
原创 DVWA-Insecure CAPTCHA靶场
逻辑漏洞准备环境:多数DVWA不安全验证这个模块报错,需要修改配置,需要添加如下配置:配置文件位置:$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';注意:服务器将改密操作分成了两步,第一步检查用户输入的验证码,验证通过后,
2020-08-03 23:22:45
509
原创 常见漏洞原理及修复方式
漏洞原理及防护Burte Force(暴力破解)在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。防御:1.是否要求用户设置复杂的密码;2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp;3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等);4.是否采用了双因素认证;XS
2020-08-03 17:42:28
4605
3
原创 皮卡丘靶场-越权
越权如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。 一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。 **因此,在在权限管理中应该遵守:**1.使用最小权限原则对用户进行赋权;2.使用合理(严格)的权限
2020-08-03 12:19:46
693
原创 DVWA靶场-文件包含
文件包含低级源码:<?php// The page we wish to display$file = $_GET[ 'page' ];?> 低级什么也没做,直接包含文件:中级查看源代码:<?php// The page we wish to display$file = $_GET[ 'page' ];// Input validation$file = str_replace( array( "http://", "https://" ), ""
2020-07-31 11:55:57
434
原创 DVWA靶场-暴力破解
暴力破解低级因为等级比较低,我们上来直接抓包暴力破解:选择攻击模块分别为变量1,2选择字典,这里是我手工创建了两个简单的账号密码字典load直接导入,直接添加其他方法都行成功中级我们查看一下源代码,对比低级别发现做了限制如下mysqli_real_escape_string()函数:会对特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义,作用是抵御了SQL注入sleep( 2 ):这个意思就是如果登录失败的话,就会延迟两秒后才能提交。总结:虽然在Medium级别中
2020-07-31 10:44:30
1417
原创 皮卡丘靶场-sql注入详解
皮卡丘靶场-sql注入数字型注入这里为post传参,所以我们需要抓包抓包后发现id,我们一般在后面输入 ’ " \来测试有无注入,发现有sql语句报错,而且没有数字1,这和题目提示的数字型注入一样发现每次刷新网页下面都会变化2.御剑扫描
2020-07-20 11:22:52
626
原创 DC-3入门练习
EXP资源链接:https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g 提取码:0fkw
2020-07-15 16:15:16
745
原创 DC-2 入门练习
*DC-21. 准备工作:创建好DC-2靶机查看网络配置以及MAC地址(为后面扫描找ip准备)这款工具可以自定义请求头响应头(Request header,Reponse header)打开这款插件直接在value处填写注入参数即可然后按上面的键开始(value中的值需要注意的是空
2020-07-12 11:28:58
3208
1
原创 封神台靶场-第一章
第一章:为了女神小芳!Tips:通过sql注入拿到管理员密码!寻找注入点,判断是什么注入|?id=1 and 1=1| 显示正常 ||-|–|| ?id=1and 1=2| 页面有变故(存在注入) ||?id=1’ | 页面有回显但是无法判断注入类型||||查看列数及字段数(这里通过二分法可以快速定位列数为2)联合查询(注意前面id为假才会执行后门的联合查询)|?id=121 union select 1,2 #| 查看回显位置 ||–|--||?id=1
2020-07-12 11:00:52
2866
原创 封神台靶场-第三章
第三章:爆破管理员账户登录后台使用工具:御剑后台扫描,burpsuit进入网站后想进入管理后台页面,试着在url地址后加/admin常试结果成功了,如果不成功再用工具扫描如下:登陆后台后使用bp暴力破解模块爆破账户密码(这里我们知道账号密码就不具体演示了):3.使用bp修改数量价格flag...
2020-07-12 00:27:25
2379
原创 封神台靶场-第四章
第四章:为了更多的权限!Tips:1、存储型Xss2、flag在cookie里,格式为zkz{…},xss bot 每10秒访问一次页面3、自建Xss平台源码:http://www.zkaq.org/?t/99.html登陆后根据提示要进行存储型xss注入。这里我们可以借助一个xss平台xss平台没有的可以在这里注册创建项目2.选择模块我这里选择自己想要的模块3.复制如下代码到可能存在注入的地方4.随便填入留言板提交5.回到xss平台发现收到xss注入反馈fl
2020-07-12 00:10:20
1543
2
原创 封神台靶场-第六章
第六章-SYSTEM!POWER!Tips:1、提权!2、FLAG在C盘根目录下!1.在第五章的基础上用菜刀连接,根据提示查看flag,发现没有权限,这里想到提权,这是本章重点(注:如果中途出现掉线,重新连接菜刀,或重新上传木马连接)2.上传cmd.exe,iis6.exe文件(在upfile这里上传这俩个文件)3.打开cmd命令,想法:创建管理员组新用户成员,奈何权限低。whoami查看当前用户:发现为web应用服务组成员,权限低我们想到还有一个iis6,我们查看该用户发现为syst
2020-07-11 23:42:20
1457
原创 封神台靶场-第五章
第五章- 进击!拿到Web最高权限Tips:通过修改Cookie登录后台(没用重打) 2、上传SHELL!3、Flag在web根目录(flag.php) 3.上传图片时建议上传小文件,我建议用QQ表情。来到传送门提示修改cookie,这里我们想到了第四关的flag-cookie信息如下,修改cookie信息,成功进入后台。cookie:ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC在存储里将上面的cookie值进行修改:根据提示信息这
2020-07-11 22:31:08
1980
原创 DC-1-flag5完结
**Flag-4**根据提示我们查看/etc/passwd(linux用户组目录)这里我们发现Flag4用户,但是我们没有权限之前查看端口,该服务器开发22端口,我们可以尝试远程爆力破解:-l 用户名-P 指定密码字典-vV 显示爆破详细信息-f 如果找到密码就停止爆破-o 爆破结果输出文件爆破成功发现密码远程登陆:**flag5**1.根据flag4的提示发现了5的线索但是没有root权限无法进入家目录:2.是否具有一些命令具有SUID标识及提权:(除此
2020-07-11 18:30:42
487
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人