xiaoheizi的博客

用户登录成功后，服务端通过jwt生成一个随机token给用户（服务端无需保留token），以后用户再来访问时需携带token，服务端接收到token之后，通过jwt对token进行校验是否超时、是否合法。因为网站是根据键值对在数据库对用户的输入进行验证的，所以我们可以修改一个数据库不存在的键值对编号让值为null来绕过登录。比如：网站的上传头像的目录设置了不允许执行程序文件，只允许查看头像，我们上传的脚本文件就执行不了。在爆破脚本中写入要爆破的token，运行爆破脚本，成功爆破出密匙：shipping。

CORS全称Cross-Origin Resource Sharing, 跨域资源共享，是HTML5的一个新特性，已被所有浏览器支持，跨域资源共享(CORS)是一种放宽同源策略的机制，它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制，以使不同的网站可以跨域获取数据。例如，如果requester.com想要访问provider.com的资源，那么开发人员可以使用此标头安全地授予requester.com对provider.com资源的访问权限。

发送给用户，用户访问登录就等于是在攻击者搭建的http://xiaoheizi.fun/zblog/zb_system/login.php 网页登录，攻击者就能够在自己服务器接收用户登录的账号密码。于是攻击者在服务器搭建了一个一模一样的显示界面：http://www.xiaoheizi.fun/zblog/zb_system/login.php。服务器设置使用x.php文件接收用户输入的账号密码。

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令，通常与管理的安全意识和平台的初始化配置等相关，通过系统弱口令，可被黑客直接获得系统控制权限。在常见的安全测试中，弱口令会产生安全的各个领域，包括Web应用，安全设备，平台组件，操作系统等；hydra是一个自动化的爆破工具，暴力破解弱密码，是一个支持众多协议的爆破工具，已经集成到KaliLinux中，直接在终端打开即可。-t TASKS 同时运行的线程数，默认为16。

右键选择Do intercept----response to this request模块（接收当前数据包的返回包），记住正确返回包的返回状态值：{"code":200,"data":"18313278106","msg":""}查看数据库表，发现新注册的用户repswcode值依然是y，xhz用户和两个账号的区别就是进行过找回密码。福利期货再次点击忘记密码，随意输入错误验证码，抓取忘记密码的数据包。

通常用户访问一个应用的大致流程是：登陆—验证权限—数据库查询—数据返回，如果”验证权限”这个阶段出现验证权限不足或没有验证，那么就会导致越权，用户A可以操作其他用户的内容。逻辑越权漏洞就是不同用户之间操作权限的请求数据包没有做验证或验证不完整，导致用户A修改了身份验证的标志后，就有了同权限或高权限的操作权限。当前这个漏洞属于第二种原因：执行操作时有登录验证，但是是先执行操作在进行登录验证的，这种验证等于无效。3.有验证：验证产生在用户凭据验证上——cookie，jwt，session，token。

修改用户上传的文件名：当文件上传到服务器之后，服务器可以对文件进行随机重命名，然后再保存到上传目录中，这样黑客就无法找到他上传的脚本。比如将用户上传的文件保存到下载功能的目录下。首先上传一个后缀php的文件查看有无过滤，据回显发现有js前端校验白名单，只允许上传后缀为.jpg\.png\.gif的文件。找到一个可以上传文件的入口成功绕过就可以上传脚本文件，然后访问脚本文件来执行脚本，从而达到控制服务器的目的。前端校验：前端页面在提交上传文件时，增加文件类型的校验，如果不是指定的文件类型，就拒绝提交。

是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口，并且为了方便，让应用去调用代码或者系统命令执行函数去处理，同时没有考虑用户是否可以控制这些函数的参数问题，没有做好检测和过滤。代码执行：eval()、assert()、preg_replace()、call_user_func()、call_user_func_array() 、 array_map()等。但是有反射机制，并且有各种基于反射机制的表达式引擎，如: OGNL、SpEL、MVEL等.查看代码，发现大概率存在漏洞，看看参数是否可控。

导致用户通过路径回溯符../等相关操作，跳出了程序本身的限制目录，然后再利用文件下载功能，使前端下载请求可以下载服务器中的任意文件。文件读取漏洞，就是攻击者通过一些手段绕过应用程序的限制读取到服务器上开发者禁止读取的文件。主要读取的文件是服务器的各种配置文件、文件形式存储的密钥、服务器信息等。下载网站首页文件index.php看看，加入../就是下载网站的首页文件，不加下载的就是files目录下的index.php。发现在thumb.php文件里面出现了，虽然没有调用代码，但应该就是这个文件触发的。

文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致执行了非预期的代码。伪协议玩法：可以进行文件的读取和写入还有代码执行，绕过有过滤可以使用编码绕过。1、有可控文件如能上传文件，配合上传后包含——包含上传后的路径即可执行脚本代码。发现包含代码固定了目录和文件后缀，所以无法使用"伪协议玩法"利用漏洞。查看首页index.php文件代码，发现大概率存在文件包含漏洞。尝试包含日志文件，判断网站中间件，获取日志文件路径。尝试包含日志文件，发现因为固定后缀名无法包含。

XML被设计是为了传输和存储数据，XXE漏洞全称XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。test.dtd内容：

先上传1.php，它的目的是让服务器上的php来创建一个2.php，我们在1.php被删除之前访问到他，就可以在服务器中创建2.php，2.php是一个木马文件，但是这个是系统自身创建的，所以不会被删除。假如我不断的上传发包，然后我同时也不断的访问那个我们上传上去的文件的地址，我们就开始和服务器的函数比手速了，函数执行都是要时间的，如果我这边上传上去，且没有删除，那个时间可能很短，然后被我访问到了，岂不是就可以执行PHP了。