NSQ0207的博客

system用户（默认密码：system，对应A8的系统管理员、A6的单位管理员）group-admin（默认密码：123456，对应A8集团版的集团管理员）admin1（默认密码：123456，对应A8企业版的单位管理员）audit-admin（默认密码：123456，对应审计管理员）

抓包，查看报错暴露出绝对路径。

扫描目录，dirsearch 查找泄露信息（py -3 dirsearch.py -u https://ip）扫描端口，namp 找到对应端口（nmap -Pn --open ip ） 然后使用。

使用burpsuite抓包，修改GET为PUT上传方式，添加文件名gsl.jsp/，添加shell脚本。将jsp木马保存到zip压缩包中，再修改后缀名为war上传。在manager/satus可以看到服务器状态。修改后缀名为war上传。生成哥斯拉代码 选择语言。下载gsl.jsp文件。启动tomcat8漏洞。启动tomcat漏洞。

攻击机kali2：进行攻击，在RedisModulesSDK文件夹下创建文件exp.so文件。攻击机kali2：查看README.md，下载文件。目标机kali1：启动redis服务。

XXE（外部实体注入)php libxml2.9.0以后，默认不解析外部实体。存在XXE漏洞XML基础语法XML的基本结构XML基本的结构，由XML声明，DTD部分，XML部分，三部分组成，示意图如下实体又分为三种， 一般实体(通用实体)，参数实体，预定义实体一般实体参数实体内/外部实体内部实体，直接创建dtd外部实体，从外部引用dtdpayload验证xml是否执行。

主机MySQL连接虚拟机MySQL，链接失败则虚拟机MySQL执行下面语句开启远程连接。主机MySQL执行语句，查看是否为NULL，如果是则在虚拟机里配置文件。为NULL在虚拟机里面配置。在主机的mysql里面执行。查看是否成功执行木马。

在url栏上输入O:4:"Flag":1:{s:4:"file";protected属性被序列化后属性名长度会增加3，因为属性名会变成%00*%00属性名。private属性被序列化后属性名会变成%00类名%00属性名。O代表对象 因为我们序列化的是一个对象 序列化数组则用A来表示。这个方法会在一个对象被当作字符串时被调用，于是我们就能看到下面。s:4:"name" 字符串 属性值长度 属性值。运行11.php文件，获得序列化后的值。在vulhub文件内找到shiro漏洞。

SSRF漏洞SSRF漏洞（服务器端请求伪造）：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。SSRF原理SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。PHP中下面函数的使用不当会导致SSRF:SSRF漏洞利用手段。

SSRF中有个很重要的一点是请求可能会跟随302跳转，尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php。这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。URL中必须包含http://notfound.ctfhub.com。CTFHub在线扫端口,据说端口范围是8000-9000。127.0.0.1的十进制：2130706433。访问位于127.0.0.1的flag.php。读取一下Web目录下的flag.php。

修改username，可以查看其他用户的信息。粘贴url，可以查看到管理员的功能。登录管理员，复制url。

右键点击要伪造的页面，找到engagement tools->generate CSRF POC，生成POC嵌入到网页中即可。的文档或它加载的脚本如何能与另一个源的资源进行交互。来识别用户的，当用户成功进行身份验证之后浏览器就会得到一个标识其身份的。点击修改，然后点击刚刚创建的html，然后提交可以发现内容被修改了。，只要不关闭浏览器或者退出登录，以后访问 这个网站会带上这个。抓包修改url，下载windows/win.ini文件。将url输入到网页中，发现原来的内容被修改了。直接构造钓鱼链接即可。

在一个代码文件中直接包含（引入）另外一个代码文件。

题目告诉说flag不能直接被包含，但是下面有一个shell.txt，密码是。如果文件名前六个如果是：php://则执行include包含函数。所以我们直接使用 php://filter。

发现文件夹flag_is_here，接下来我们使用cd命令，进入到文件夹，ls查看这个文件的内容。(2)less:与more类似,但是比more更好的是,他可以[pg dn][pg up]翻页。(4)tac:从最后一行开始显示,可以看出tac是cat的反向显示。(1)more:一页一页的显示的显示档案内容。(9)vim:一种编辑器,这个也可以查看。(7)od:以二进制的方式读取档案内容。(8)vi:一种编辑器，这个也可以查看。(6)nl:显示的时候,顺便输出行号。(3)head:查看头几行。

RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。

上传jpg文件，修改后缀为php，在内容里面添加

在使用NTFS格式的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名，且保持::$DATA之前的文件名。例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php"发送到Repeater，在Hex处寻找61， 将刚刚a处的61，改为00，回车。修改后缀为.php1 .php2 .php3 .php4 .phtml。在该处输入123.phpa.jpg，注意该处输入为a,方便寻找。

在www目录下放入文件xss-lab。

HttpOnly绕过如果在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止xss。作用：仅仅是防止通过js脚本读取到cookie信息利用xss漏洞，在源代码上输入脚本（xss平台脚本），可进行表单劫持可绕过的两种方式：浏览器保存账号面：产生在后台的XSS，例如存储型XSS，xss平台直接接收。浏览器未保存读取密码:需要xss产生于登录地址，利用表单劫持常用标签一、无过滤情况

什么是文件上传漏洞?什么是文件上传漏洞?用户上传的文件后缀以及文件类型限制不严，攻击者可通过 Web 访问的目录上传任意文件，包括网站后门文件，进而远程控制网站服务器。文件上传漏洞类型黑名单绕过：指定文件名不能上传白名单绕过：指定文件名能上传解析漏洞创建文件???

放入脚本，使用$.getScript功能是异步加载并执行。​​​​​​​查看cookie的flag。检查是否存在弹窗，可以放在url地址栏上执行。​​​​​​​查看cookie的flag。​​​​​​​查看cookie的flag。​​​​​​​查看cookie的flag。查看cookie的flag。查看cookie的flag。有空格，用/代替 （/**/）

在线利用网站：复制代码输入复制的代码查看获取到的cookie二、xss触发方式（1）在标签外：（2）在标签内：使用事件型：（先用引号闭合，看看是否有过滤如果有使用大小写试验）在标签内不能使用标签，使用标签标签内资源类型是url使用伪协议。

打开网站会报错修改密码更换php版本成功：答案。

1.查询数据库2.查询表名3.查询字段名3/**/union/**/select/**/1,column_name/**/from/**/information_schema.columns/**/where/**/table_name/**/=/**/'sozekgxoan'/**/and/**/table_schema=/**/"sqli"/**/limit/**/0,14.查询字段具体内容3/**/union/**/select/**/1,grou

Sqlmap的开源项目，托管在github，最简单的安装方式便是使用git，执行如下命令： -- level 指需要执行的测试等级，一共有5个等级（1-5），可以不加level。默认是1。使用参数“-u”或“–url”指定一个URL作为目标默认情况下Sqlmap会测试所有GET参数和POST参数，实际上还可以手动指定一个以逗号分隔的、要测试的参数列表，该列表中的参数不受level限制。这就是“-p”的作用。举个例子，若想只测试GET参数“id”和User-Agent，则可以这么写：如果不想测试某一参数则可以

CTFHub靶场+cookie注入+查询UA注入+Refer注入

确定网站存在注入后，用于查询当前用户下的所有数据库。如果当前用户有权限读取包含所有数据库列表信息的表，使用该命令就可以列出所有相关数据库。如果不加入-D来指定某一个数据库，那么会列出数据库中的所有的表。列出数据库所有用户，如果当前用户有权限读取包含所有用户的表的权限时，使用该命令就可以列出所有管理用户。如果当前用户有读取包含用户密码的权限，sqlmap会先例举出用户，然后列出hash，并尝试破解。查询完表名后，查询该表中的字段名，在后续的注入中，—columns缩写成-C。3、查询当前用户下的所有数据库。

盲注：布尔+时间宽字节：使用%dfload_file使用

http header注入使用 ' 判断哪里存在sql注入测试，使用 ' ' 发现成功使用order by 判段是否为select查询，如果不是则使用updatexmladmin'orupdatexml(2,concat(0x7e,(version())),0)or'

1、使用 ' 进行测试2、使用order by 测试有几个字段3、使用union select 1,2 查看字段。

查询语句：select id,email from member where username=$id

brup响应状态+post和get：