chualam的博客

原创 【sqli-lab心得】1-22关

第一关刚安装好 发现写入引号没有报错 原来是忘记关闭magic_quote_gpc了发现注释符--无法注释掉后面的代码，任然报错，用--+替代解决了，--之所以无法注释掉，是因为与后面的引号连在一起了，而+作空格的作用，把它隔开常规注入table_name返回Subquery returns more than 1 row，则说明需要改成group_concat(table_name)账号密码一起注入 group_concat(username,'~',password)第二关不需要

原创 【php代码审计】csrf

php环境<?$pass = $_POST['pass'];echo $pass;?><form action="" method="post"><p>修改密码<input name="pass" type="text"></p><input name="sub" type="submit"></form>html payload代码<script>function post() {

原创 【php代码审计】SQL注入

环境代码：<?php$host = "127.0.0.1";$user = "root";$pass = "root";$db = "mysql";$conn = mysqli_connect($host,$user,$pass,$db);echo $id=mysqli_real_escape_string($conn,$_GET['id']);$sql = "select * from all_user where user=$id";if($row=mysqli_query($

原创 【php代码审计】本地包含与远程包含

注意代码：include如果php环境开启了allow_url_include则可以为远程包含同时可以使用 url参数=php://input 来写数据上下都是伪协议，不过 url参数=php://filter/read=convert.base64-encode/recource=index.php; 是不需要开启allow_url_include的如何断点：%00 和 ?(表示参数)...

原创 【php代码审计】XSS

echo,$_SERVER['PHP_SELF'],$_SERVER['HTTP_USER_AGENT'],$_SERVER['PHP_SELF'],$_SERVER['HTTP_REFERER'],$_SERVER['REQUST_URL']

原创 【php代码审计】命令注入

passthru,exec,system,反引号,proc_open,shell_exec,pcntl_exec,popen补充eval(),，assert(), preg_replace()[php 7.0版本不再使用], create_function, call_user_func, call_user_func_array，array_map()，ob_start()解决方案:escapeshellarg（防止文件写入）,escapeshellcmd(过滤# & ;``,|

转载 【读书笔记】蓝队——windows系统篇小白注释

探测局域网内主机net view /allnet vew \\ip如果遇到 发生系统错误 6118，此工作组的服务器列表当前无法使用说明是因为防火墙拦截ping探测for /L(代表循环) %i(变量) in (1,1,254) do ping -w(等待回复的超时时间)30 -n（要发送的回显请求数） 192.168.0.%i | find "回复" >> sb.txt开启Dhcp服务器日志reg add HKLM\System\CurrentContr..

原创 【读书笔记】Nmap一些常用功能复习+详细解读报错

主机发现nmap -sn -PE-sn：NULL扫描，我的博客写过，请翻查-PE：全名icmp—echo——request（求报文请求），通常用于ping，我们发送一个icmp报文过去，其实就是求报文请求，如果对方存活，则应该回复一个icmp——echo——reply报文服务版本扫描nmap -sV-sV 端口版本扫描，例如对方把22端口改成了2222，我们就只知道对方开放了2222端口，而不知道端口运行了什么服务端口扫描nmap -sT -sU -p T:80,443,U.

原创 【学习笔记】NULL扫描

什么是NULL扫描null其实指的是标志位为空这个标志位是tcp数据包的一个类型，指的是rst类什么是RST它的功能在于A与B创建了TCP连接，然后其中一端突然异常了，给另一方发送RST包，断开TCP连接，因为能够中断正常的连接，所以也衍生出了RST攻击NULL扫描的功能主要是浅显的判断操作系统类型的，如果发送RST包，对方系统没有返回包，那就是linux系统，反之，要是返回了数据，则是windows系统。原理Linux系统遵循RFC标准，如果端口开放，你还发包给这个端口，则

原创 【NDN学习】NDN的定义，基础，解决什么问题

NDN的作用：替代TCP/IP框架，用数据内容替代管道的地位 要点： 1.用户只需提供数据名字，无需地址 2.无需从服务器拿数据，可以从就近的缓存拿，数据可以来自任何节点 3.所有数据包都要有数字签名TCP/IP只提供一个通讯管道，重视管道的维护，不关心内容的...

原创 火狐插件代码审计笔记（1）

getBoundingClientReact().top/.bottom/.right/.left获取距离顶部的具体数值创建节点步骤1.let node = document.createElement("Li"); \\创建节点 LI是标签<li></li>2.let textnode = document.createTextNode("haha"); \\创建文本节点3.node.appendChild(textnode); \\把文本节点追加进节点4.docum

原创 【学习笔记】Oracle报错注入

||utl_inaddr. get_host_nameid=1||utl_inaddr. get_host_name((select banner from v$version where rownum=1))爆数据库版本id=1||utl_inaddr. get_host_name((select owner from all_tables where rownum=1))爆库名id=1||utl_inaddr. get_host_name((select owner from all_tabl

原创 【学习笔记】Mysql bigint溢出漏洞

针对的版本为mysql 5.5.5及以上bigint长度为八字节，也就是六十四比特，这类数据类型有最大的符号值用二进制，十六进制，十进制分别表示为“0b0111111111111111111111111111111111111111111111111111111111111111”、“0x7fffffffffffffff”和“9223372036854775807”mysql> select 9223372036854775807+1;ERROR 1690 (22003): BIGINT v

原创 【学习笔记】文件上传绕过

一般防御：JavaScript（直接禁用就好）content-type: image/gif (抓包改包)文件内容头（GIF89a）利用copy命令把图片和木马结合 木马头加上内容头就可以了后缀名黑白名单（大小写绕过，能被解析的扩展名列表jsp jspx jspfasp asa cer aspxphp php php3 php4exe exee，）配合文件包含漏洞（先上传一个包含恶意php代码的图片或者txt，有些waf只会对动态语言的页面进行验证）文件名解析漏洞（test.asp.　　tes

原创 【学习笔记】日志xss打内网，nginx&apache结合的bug

apache和nginx的日志不美观，很难看，所以一些管理员会对其进行排版并输出成html的格式这时我们在消息头的ua部分进行xss提交即可获取内网IP的js代码(使用WebRTC，因为浏览器限制，想获取真实的外网IP，除chrome、Firefox之外都不行)。如果想获取外网IP，把第12行，改为servers ={iceServers:[{urls:“stun:stun.services.mozilla.com”}]};就行了。在文章底部会给出代码，大伙可自行下载(打开控制台即可见到IP)。O

原创 【学习笔记】asp中的中转注入和消息头注入

中转注入原理我们都知道request. querystring是get，request. form是post。而一般人为了方便都是直接使用request("")的方式请求，没有明确用哪种请求方式，asp的解析顺序是先get后post然后cookie传输 ，这里的中转注入就是利用了cookie注入的方法怎么检测？例如网站xx. com/?id=1把id给去掉 就无法显示正常页面，因为没有传递参数。这时在ie浏览器中输入JavaScript:alert(document.cookie=“id=”+es

原创 【学习笔记】解析漏洞大全

iis6baidu. com/xx.asp/xx.jpgbaidu. com/xx.asp;.jpg都会被解析为asp文件默认可执行文件除了asp 还有cer asa cdxapache他是从右到左解析的，遇到不能识别的后缀名会直接跳过，例如xx. php. fuck 会解析成php配置问题导致的解析：apache的conf里面add handler php5-script和addtype application/x-httpd-php 当遇到类似于xx. php. jsp时会自动解析成php

原创 【ctf】面对多重过滤怎么办

url编码绕过%0a代替；%09*代替flag因为过滤了cat和/ 所以提交ca%5ct

原创 【ctf】空格被过滤了

如果是系统命令则cat<文件则cat{IFS}文件则cat<>文件如果是sql注入则union/**/select

原创 【ctf】十六进制与数字比较

ascii是每个标准转换码 可以转换成多种进制十六进制在php中会转换为十进制

原创 【ctf】urldecode二次编码绕过

ereg 区分大小写eregi 不区分大小写第一个绕过是游览器的url解码 第二次是urldecode的函数解码绕过方法 把其中一个字母url双重加密

原创 【ctf】异或注入

fuzz'^(length("select")!=0)--+ 双真或者双假为假绕过检测方法：双写seleselectct注释方法‘ xxxx #’ xxxx--+or绕过infoorrmation_schemaupdatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) %23

原创 【ctf】ereg()和md5()和sha1()一类还有strpos和strlen

它们三个只能处理字符串 不能处理数组md5和sha1可以尝试用0e开头的值 在弱对比==的时候使用 0e返回的值都是0 所以绕过

原创 【ctf】文件备份和md5函数数组绕过

<?include_once “flag.php”;ini_set(“display_errors”, 0);$str = strstr($_SERVER[‘REQUEST_URI’], ‘?’);$str = substr($str,1);$str = str_replace(‘key’,”,$str);parse_str($str);echo md5($key1);echo md5($key2);if(md5($key1) == md5($key2) && $

原创 【ctf】php://filter/read=convert.base64-encode/resource=

题目中flag在index里 打开后url有file= 发现index.php打开后没东西于是就用到这个语句 这个语句的作用就是作为一个协议流的中间流 处理其他流 可以作为文件包含漏洞的攻击至于为什么没有显示flag 肯定被注入掉了这个协议还可以攻击一些php写入了exit导致无法连接菜刀的问题 把<>这些过滤掉...

原创 【ctf】burp抓包不能post解决

一个get的数据包想改成post 奈何数据没用flag返回 但是hackbar提交却可以是因为http消息头中没有实体头 把get改post后 再加上Content-type: application/x-www-form-urlencoded即可

原创 【ctf】布尔型注入

步骤：猜数据库名字长度--猜数据库名字 --猜表单数量--猜表单名字长度 --猜表单名字--猜字段数量--猜字段长度--猜字段1 and length(database())>31 and mid(database(),1,1)='a' //用substr函数也行1 and ascii(substr((select database()),1,1))='数字'1 and left(database(),4)='sqli' //判断字符串1 and 1=((select count.

原创 【ctf】phpinfo主要看什么

绝对路径(_SERVER[“script_FILENAME”] )core部分 和 protocols部分redis、memcache、mysql、SMTP、curl这些泄漏真实ip（_SERVER[“SERVER_ADDR”]或SERVER_ADDR）GOPHERfastcgi泄漏缓存文件地址（_FILES[“file1”]）一些敏感配置allow_url_include、allow_url_fopen、disable_functions、open_basedir、shor

原创 【ctf】简单说明报错型注入floor()和updataxml原理

floor rand group by 缺一不可报错原理 floor(rand(0)*2)x 中floor负责把生成的随机数的小数去掉但是(0)*2严格来说不算随机数 他的生成形式基本为011所以能肯定导致报错 如果是rand()*2就会不可控我是这么理解的：它一共有五次操作 如下：由011011的这种形式 第一个生成的数字是0 他会检查有没有为0的键名（key） 结果当然是没有（第一次操作） 所以会插入一个虚拟表但是在插入过程中要再取一次group by 后面的值 即再进行一次运算

原创 【学习笔记】74cms v3.6 任意密码重置漏洞

找回密码页面抓包改电话

原创 【学习笔记】 MetInfo 6.0.0 任意文件读取漏洞

readfile函数(xx) 控制xx里面的内容就可以实现任意读取

原创 【学习笔记】PHPCMS v9.6.0 wap模块 SQL注入

原创 【学习笔记】DedeCMS 5.7 /install/index.php 远程文件包含漏洞

变量覆盖：用我们自己自定义的参数替换程序原有的变量值一般需要结合程序其他功能来形成完整的攻击原本带有变量覆盖功能的函数extract 和prase_str或者是全局变量导致的覆盖$$key = $abc$key = '123'$123 = $abc如果我们可以控制$key 就可以实现变量的覆盖想想是否可以让require _once变成空 这样就可以成功覆盖了...

原创 【学习笔记】PHPCMS v9.6.0 任意文件上传漏洞

漏洞触发点在注册功能我们的提交攻击载荷在$_POST['info'] 可以注意到它被htmlspeicalchar处理主要将尖括号转换为html实体看到变量名$func ='editor'-看到$value = xxx -> download(content )什么是锚点：是网页制作中超级链接的一种，又叫命名锚记。命名锚记像一个迅速定位器一样是一种页面内的超级链接，运用相当普遍相当于id= 或者 href="#top"playload = x

原创 【学习笔记】ElasticSearch Groovy 脚本远程代码执行漏洞(CVE-2015-1427)

ES旧版本中使用MVEL作为脚本执行引擎 没有安全限制 因此可以构造任意java代码CVE -2014 -3120出了这个CVE后 又用groovy引擎了防止恶意脚本执行 还用了沙盒的机制（因为沙盒限制不严格导致漏洞）CVE-2015-1427沙盒通过黑白名单检测可以说它是浅沙盒如果黑名单禁用a() 白名单有b() 就用b()调用a()通过一个类获取另一个类通过getclass方法获取class对象反射调用类 替代品forname 利用它来调用java.lang.runtim

原创 【学习笔记】Hadoop YARN REST API未授权访问

一般来说 api未授权访问一般导致信息泄露，但是如果包含管理和任务执行功能 就会扩大危害程度它的restapi开放在xx端口善用官方文档 看调用使用说明查看具体调用的位置curl -v -X post '网站详细地址'可以得到application id从官方文档查看调用的具体参数编辑一个data.jsoncurl -s -i -X POST -H 'accept:application/json' -H 'content-type:application/json' api

原创 【学习笔记】WordPress ＜4.5 SSRF

SSRF服务端请求伪造php中常见的涉及对远程资源访问的函数fsockopen()file_get_content() curl_exec()主要是通过request的方法wordpress对请求的url有过滤：wp-includes/ http.php wp_http_vaildate_url进行url判断js中的trim是删除特定符号的意思preg_match执行正则表达式匹配curl接受八进制 因此可以绕过ip地址段的正则表达式有可能请求没有回显 但是可以通过nc来..

原创 【学习笔记】Discuz 7.2 反射型xss漏洞

xss黑盒测试 测试在referer=处插入数据 然后看源码 看看js等信息如看到windows.location.href=‘’ 就要想到闭合引号 并且增加新增代码记得用；隔开settimeout其实用的是js的eval白盒代码审计find . -name '*.php' | xargs grep '你要找的函数'主要判断函数上面成立条件的if语句str_replace 对函数进行html进行编码操作...

原创 【学习笔记】WordPress 4.2.0-4.5.1 flashmediaelement.swf 反射型 XSS

实例 wordpress 4.5.1如果是一般的flash xss 要做反编译swf 然后源码分析如果是开源项目的 直接github就能找到如何给flash文件传参html中的embed标签中的flashvar变量可以直接通过/.swf?a=xx&b=xx直接传参swf的核心代码是.as文件注意到里面有个关键函数externalinterface.call() 这个call其实就是调用js的函数（help.adobe.com看具体函数调用）注意objectid等参数.

原创 【学习笔记】Python介绍与入门

建议直接学习python3 python3不向下兼容python2vi 1.pypython3 1.pychmod +x 1.py 给予执行权限4个空格表示一个级别的缩进 8个空格是第二个级别函数定义与函数定义之间需要两行定义：def sb():赋值 sb = '123' 或者是字典类型 sb = {’a‘:1} 或者元组类型 sb = （1，2）如果我们是直接执行某个.py文件的时候，该文件中那么”__name__ == '__main__'“是True,但是我们如..