qq_46081990的博客

【代码】第99天：权限提升-数据库提权&口令获取&MYSQL&MSSQL&Oracle&MSF。

原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL 注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

GET方式获取参数 keyword 的值并赋值给 $str，插入 h2 标签时使用了 htmlspecialchars 函数对 $str 进行了处理（即将预定义的字符转换为 HTML 实体），而插入 input 标签时并未进行任何过滤，由此这里存在 XSS 漏洞。然后是获取参数 t_sort 的值赋值给 $str11，通过 str_replace 函数处理后得到 $str33，然后插入名为 t_sort 的 input 标签里，存在 XSS。

在没有登出 DVWA 的情况下，打开 Postman，输入 DVWA 的 URL，在 Headers 里面输入获取到的 cookie 值，然后点击 Send 发包。所以我们构造 payload 如下，将其输入到存在 XSS 漏洞的界面的 URL 地址栏中，触发 XSS 漏洞，Win 11 会访问 beEF 的 hook.js。将 payload 输入到存在 XSS 漏洞的界面的 URL 地址栏中，触发 XSS 漏洞，Win 11 会访问 getcookie.js。在 Kali 上打开 beEF（

这是由于 Nginx 把以 .php 结尾的文件交给 fastcgi 处理，但 fastcgi 处理的时候发现并没有这个文件，于是 fastcgi 会继续向上查找，然后找到了上级文件 .jpg，于是就把 .jpg 当作 PHP 文件处理，导致漏洞产生。1、 将 php.ini 文件中的配置项 cgi.fix_pathinfo 的值设置为 0，这样 PHP 解析 webshell.jpg/1.php 这样的目录时，只要 1.php 不存在就会显示404页面。分析文件上传页面 index.php 源码。

Apache HTTPD 支持一个文件拥有多个后缀，并为不同后缀执行不同的指令。该漏洞并不是 Apache 程序本身的问题，而是管理员配置不当造成。如果运维人员给 .php 后缀增加了处理器。那么，在有多个后缀的情况下，只要一个文件含有 .php 后缀的文件即将被识别成 PHP 文件，没必要是最后一个后缀。利用这个特性，将会造成一个可以绕过上传白名单的解析漏洞。

Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

上传 .user.ini 和图片马 webshell.jpg 后，需要等待300秒（user_ini.cache_ttl 默认值），不想等可以直接修改PHP配置文件。上传成功后，右键图片 - 复制图像链接，可以看到上传的路径 http://localhost/upload-labs/upload/webshell.php。创建 .user.ini 文件，意思是所有的 PHP 文件都自动包含图片马 webshell.jpg，即 readme.php 也会包含。/upload/ 后面写上 xxx.php+，

SQL注入是一种将SQL代码插入或添加到应用（用户）的输入参数中的攻击，之后再将这些参数传递给后台的sql服务器加以解析和执行。由于sql语句本身的多样性，以及可用于构造sql语句的编程方法很多，因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入的方式主要是直接将代码插入参数中，这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中，之后将这些字符串保存到数据库的数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时，恶意代码就将被执行。

指程序在使用包含文件的函数时，用户可以控制文件包含的参数，而且程序未对传入的值进行严格审查，导致包含了一些具有危害性的脚本代码的漏洞。

查看源码：发现没有检查后缀名，直接对字符串进行了拼接然后上传，所以任意类型的文件都可以上传，存在很严重的文件上传漏洞，我们直接构造一句话木马，然后上传。

命令注入就是在需要输入数据的地方输入了恶意代码，而且系统并没有对其进行过滤或者其他处理导致恶意代码也被执行，最终导致数据泄露或者正常数据被破坏。

也可以换种思路：查看源码发现没有对参数进行任何过滤，于是可以SQL注入，输入用户名admin'#成功登录

CSRF（Cross-Site Request Forgery）攻击中，黑客盗用了用户的身份，以用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了黑客所期望的一个操作，比如以用户的名义发送邮件、转账等。方式2：构造一个页面（csrf.html），将修改密码的链接重定向到一个自己写的一个错误页面，用户点击之后以为出错了，实际已经执行了恶意代码。6. 服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据。

htmlspecialchars() // 把预定义的字符 & 、”、 ’、 < 、 > 转换为 HTML 实体，防止浏览器将其作为HTML元素trim(string,charlist) // 移除 string 两侧的空格或其他预定义字符，可选参数charlist支持添加额外需要删除的字符。mysql_real_escape_string(string,connection) // 函数会对字符串中的特殊符号（ \ x00， \ n， \ r， \ ，'，"， \ x1a）进行转义。

指已存储（数据库、文件）的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。

在SQL注入过程中，SQL语句执行查询后，查询数据不能回显到前端页面中，需要使用一些特殊的方式来判断，这个过程成为盲注。

Medium 级别的表单通过 POST 方式提交，需要使用 --data 参数把数据引入过来，再改一下cookie，其余和 Low 级别一样。可以看到页面需要 cookie 来认证身份，通过 burpsuite 抓包得到 cookie。将 cookie 添加进去。

查看前端代码：发现是一个form表单，有id和submit两个参数，并且以GET方式提交。查看后端PHP代码：将结果集中first_name和last_name字段的值分别赋值给变量first和变量first和变量first和变量last，并打印输出。输入单引号查询，页面报错，判断存在SQL注入。如何判断是字符型还是数值型的方法，参考此链接：sql注入_字符型、数字型判断输入1查询出的用户为admin，输入1+2查询出的用户还是admin，判断是字符型SQL注入。或者输入1 and 1=2 页面

HTTP无状态协议，是指协议对于交互性场景没有记忆能力。

Burp Suite