- 博客(72)
- 收藏
- 关注
RSS订阅原创 SSRF漏洞
如果攻击者能够通过 SSRF 修改 Redis 的配置,例如使用 CONFIG SET 命令将 dir 设置为 /var/www/html 并将 dbfilename 设置为 shell.php,然后利用 SAVE 或 BGSAVE 命令将当前数据库的内容写入磁盘,就可以在服务器的 Web 根目录生成一个 Web Shell,从而获得服务器的远程控制权限。例如,如果 Redis 服务器能够访问内网中的其他服务,攻击者可以利用 Redis 作为跳板,发送请求以探测内网服务,甚至尝试攻击其他内网系统。
2024-08-26 11:51:58
745
原创 XSS---DOM破坏靶场复现
但是没有任何反应,通过F12查看,发现img标签里面只有“src=1”,onerror=”alert(1)”被丢弃了,原因是存在DOMPurify.sanitize过滤框架,并且该框架绕过几率几乎很小。这是因为它的属性移除是在同一个数组上操作的,假如这个数组里有a、b、c三个 属性,当将a删除后,指针会往下走一步,但是由于第一位的a被删除,那么b会往上移一位,所以b不会被删除。将data插到div里, 获取div里面的子函数,拿到标签里面的所有属性,然后将属性进行移除。然而,嵌套结构中,内层的。
2024-08-17 19:45:59
919
原创 贷齐乐漏洞复现+php特性绕过WAF
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘’,‘(’,‘)’), array(‘&’, ‘"’, ‘’,‘(’,‘)’), $string),在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF的绕过了。中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
2024-08-11 23:53:27
1000
原创 二次注入(2018网鼎杯comment)
先进入/tmp目录,解压缩了html.zip文件(得到/tmp/html),之后将html.zip删除了,拷贝了一份html给了/var/www目录(得到/var/www/html),之后将/var/www/html下的.DS_Store文件删除,但是/tmp/html下的.DS_Store文件没有删除,查看一下,然后因为这种文件直接读取通常存在乱码,所以要转进制读取才行。/*是php的注释符,将后边的引号注释掉。在评论区提交*/#,/**/形成闭合后,将content注释掉了,同时也绕过了引号。
2024-08-05 18:55:11
929
原创 PHP-CGI的漏洞(CVE-2024-4577)
通过前两篇文章的铺垫,现在我们可以了解 CVE-2024-4577这个漏洞的原理CVE-2024-4577是CVE-2012-1823这个老漏洞的绕过,php cgi的老漏洞至今已经12年,具体可以参考我的另一个文档简单来说,就是使用cgi模式运行的PHP,根据RFC3875的规定,Apache会将请求的QUERY_STRING作为命令行参数交给php-cgi执行。攻击者利用这个特性,就可以-d选项修改PHP的配置项,最后执行任意代码。
2024-06-24 20:03:13
2142
原创 PHP-CGI远程代码执行漏洞分析
在远古的时候,web应用的运行方式很简单,web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork出一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,同时这个解释器子进程也就结束了。sapi在PHP中的作用,类似于一个消息的“传递者”,比如我在Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写一文中介绍的fpm,他的作用就是接受Web容器通过fastcgi协议封装好的数据,并交给PHP解释器执行。的方式,也能传入参数。
2024-06-24 19:51:59
828
原创 Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写
Fastcgi协议由多个record组成,record也有header和body一说,服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。为4的record?
2024-06-24 19:45:48
1034
原创 不出网上线CS的各种姿势(内网横向)
在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行,但是目标主机并不会直接上线的,需要我们自己用链接命令(link <ip>)去连接它。经常是拿下一台边缘机器,其有多块网卡,用于连接内外网,内网机器都不出网。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。一样,建立pystinger连接之后,直接生成payload在业务主机执行,业务内网主机192.168.111.236即可成功上线。
2024-06-21 16:41:46
2054
2
原创 PDO预编译与sql注入
刚学web安全的时候学到sql注入防御,那些文章基本上都会说利用pdo预编译就可以近乎完美防御sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美防御sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以防止sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
2024-06-20 20:49:37
1385
原创 MySQL绕过
(2)将 ’ 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉。(1)greatest(n1,n2,n3,...) //返回其中的最大值 (2)strcmp(str1,str2) //当str1=str2,返回0,当str1>str2,返回1,当str1<str2,返回-1 (3)in 操作符 (4)between and //选取介于两个值之间的数据范围。对于具有云WAF防护的网站,只要找到网站的IP地址,通过IP访问网站,就可以绕过云WAF检测。
2024-06-20 20:45:00
989
原创 CTF中文件包含漏洞总结
通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。
2024-06-20 20:30:56
2072
原创 一道CTF题:PHP文件包含Session
中,因此我们输入的数据未经过滤的就被写入到了对应的sessioin文件中。结合前面的php文件包含,可以推测这里可以包含session文件。当base64串的长度小于100时,前缀的长度固定为15个字符,当base64串的长度大于100小于1000时,前缀的长度固定为16个字符。如果直接用php伪协议来解密整个session文件,由于序列化的前缀,势必导致乱码。中的内容,并将其进行序列化,然后发送给会话保存管理器来进行保存。的session文件路径是测试出来的,常见的也就如。
2024-06-20 20:24:25
911
原创 php伪协议总结
本篇总结下一些封装协议,涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://等PHP.ini:file:// 协议在双off的情况下也可以正常使用;file:// 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响file:// [文件的绝对路径和文件名]
2024-06-20 20:15:38
1005
原创 cs与msf权限传递,以及mimikatz抓取win2012明文密码
环境搭建:攻击IP :10.11.17.22(kali cs服务端、msf所在主机)靶机IP:10.11.73.53(Windows2012)
2024-05-31 22:11:23
422
原创 报错注入7大常用函数
GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集) GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错。#获取users表里的段名。
2024-05-21 20:44:45
1502
原创 SQL注入流程(联合注入)
但是并没有获取到数据,因为当id=1时,查询正常,但只取出了第一列数据;要想第一列取不出数据---要么id特别大,要么id是-1;通过上面的方法,我们已经知道列数了,但是上述方法都需要我们逃逸出单引号,如果没有逃逸出来,mysql会将单引号内当成一个整体,就不会执行后面的命令了。同理空格也需要编码--- %20 (--+也可以;id=-1' union select 1,database(),3--+ 获取到当前数据库。要知道数据库信息,我们可以通过联合查询找到我们想要的信息,但是联合查询。
2024-05-17 20:36:02
2122
原创 SQL注入常见类型及注入点的判断
字符注入的时候我们需要逃逸单引号,但是php提供了魔术引号开关magic_quotes_gpc和addslashes(),iconv()函数作为防御,特点是自动给传入的参数如单引号,双引号,反斜杠,%00前面加一个反斜杠,进行转义,避免单引号进行逃逸。id=1这种形式的url,这个时候我们输入and 1=1与and 1=2,进行判定看是否会出现and 1=1回显正常,and 1=2回显不正常的情况。sql语句的变量并不是直接传入的变量,而是通过其它的方式保存到了数据库,形成二次注入。
2024-05-15 23:16:18
1792
原创 无列名注入----CTF例题:[SWPU2019]Web1
1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/b,3/**/union/**/select/**/*/**/from/**/users)as a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,10,21,22/**/&&/**/’1‘=’1---查出users的列名,但没有想要的信息。进入题目后发现有登录和注册接口,直接注册登录。
2024-05-14 23:43:15
1136
原创 HCIP扩展知识补充
G0/0/0与G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析;C1对应源流量,b1对应监控接口,p1是将c1和b1组成一个策略,最终接口上调用p1策略;
2024-05-13 20:24:22
771
原创 交换机相关技术
当master出现故障时,backup接收不到master发的hello包,此时虚拟网关将转移到backup上,然后backup会用该虚拟网关的虚拟MAC往下发包,让二层设备以为该虚拟MAC更换接口了。(二).组播或广播-----解封装(不知道是不是给自己的,所以解封装,查看三层ip)组播不一定解,因为组播MAC是被区分的,可以看到加没加该组;可以实施上行链路追踪。2.未知的其他设备-----洪泛(除接收端口以外的所有接口都需要复制)3.未知的其他设备-----洪泛(除接收端口以外的所有接口都需要复制)
2024-04-26 10:42:58
845
原创 生成树协议--stp
企业网三层架构-à冗余à线路冗余à二层桥接环路以上3个条件最终导致设备工作过载,设备过热,导致重启保护所以需要生成树协议来解决环路。
2024-04-22 18:07:12
677
原创 VLAN知识点总结
首先对交换机等设备进行了解中继器:物理层设备只能提供电流信息的电压恢复,但无法恢复波形,所以无法理论无限延长传输距离集线器:物理层设备 多接口的中继器二层交换机的作用: 区别集线器(HUB),HUB为物理层设备,只能直接转发电流;冲突交换机工作原理:当电流进入交换机后,接口将电流识别为二进制;然后查看数据帧中源MAC地址;将该MAC地址与其进入的接口进行映射记录到本地的MAC地址表中;再关注数据帧中的目标MAC地址,然后查询本地的MAC地址表,寻找对应的接口;若表中无记录,将洪泛该流量。
2024-04-18 17:18:23
945
原创 BGP的属性和选路规则
本地优选0.0.0.0的路由传递给本地的其他BGP邻居;将本地通过IGP协议学习到的路由重发布或宣告到BGP协议,将携带本地IGP度量值到BGP路由中。若网络没有小AS,仅存在大AS时no-export和no-export-subconfed作用一致。no-export-subconfed 接收到的条目若存在该社团属性,将不传递给下一个小AS。同时该属性用于EBGP水平分割,接收到路由条目中若存在本地的AS号将拒绝接收;no-advertise 接收到的条目中若存在该社团属性,将不再传递该路由。
2024-04-12 19:50:31
2438
原创 BGP扩展知识总结
又由于IBGP的水平分割规则,导致从外部学习到的路由传递给本地AS时,需要和本AS中所有运行BGP协议的设备逐一建立IBGP邻居关系;(一台设备宣告,会将自己的度量带着,其他没有宣告的设备会通过BGP学到第一台设备宣告的路由,并且将度量洗为0,会导致选路不佳)意义在于,IBGP邻居间传递路由在一个AS内部,若贸然修改属性,极易出现环回--维持AS-BY-AS特性。若需要在传递聚合条目的同时,再传递部分的明细路由;IBGP水平分割----AS-BY-AS,一个条目在一个AS中传递属性不变。
2024-04-12 19:37:26
732
原创 BGP---边界网关路由协议详解
且BGP协议工作环境中为节约成本,必然出现非直连需要建立邻居关系—单播邻居)--- 基于TCP工作 -三次握手四次断开 4种可靠传输机制 -- TCP只能基于单播工作。由于BGP可以非直连建立邻居关系,故在一个AS内部,可以通过与多台运行BGP协议的路由器建立BGP邻居关系,来稳定关系网络;而本地通过BGP协议学习到的路由,只要在本地依然优秀,将继续将向本地的其他BGP邻居传输;基于TCP的179端口工作;会话建立后,邻居间正常收发一次open报文,交互RID,相互认识,建立BGP的邻居关系,生成。
2024-04-10 20:00:14
1133
原创 重发布和路由策略
【2】由于重发布协议,将在重发布过程中,不携带源有协议的度量值,而是在重发布起始位置添加种子,故当多点(多台ASBR)重发布相同路由时,将导致选路不佳--【1】不同路由协议使用不同的路由优先级,当大优先级协议的路由条目进入小优先级协议时,被导致其他的ASBR路由表被刷新,最终将这些路由传回源协议---控制层面:路由协议进行路由信息共享传递的流量(告知的流量,发出的方向就是出口,接收的方向就是入口);【2】改流量---路由策略 -- 1.偏移列表 2. 分发列表 3. router-map。
2024-04-09 19:57:32
1399
原创 OSPF扩展配置
(不同路由协议之间会存在度量不同,互不兼容,如rip(跳数)和ospf(cost开销值),重发布时,把路由从一个协议导入另一个协议时,会将原来的度量删掉,然后由该协议区间的路由器根据该区域规则重新生成一个度量----起始度量)区域0连接到两个非骨干区域,这两个非骨干假设为区域1和区域2;-- >(前提为可以建立邻接)exstart -->exchange-->若查看邻接的DBD目录后发现不用进行LSA交互直接进入full 若查看后需要进行查询、应答先进入loading,在查询应答完后再进入full;
2024-04-09 17:08:22
1046
原创 OSPF防环文档
在向Area0通告Type-3 LSA,为每条区域间路由携带上Cost值,这个值就是它自己到达各个目标网段的Cost,而R3收到这些Type-3 LSA并计算路由时,路由的Cost就是在R2所通告的Cost值的基础上,加上R3自己到R2的Cost值,然后,R3向R4通告这些区域间的路由时也 携带者自己到达目标网段的Cost,而R4到达目标网段的Cost则是在R3的通告值基础上累加 自己到R3的Cost——典型的距离矢量行为。从路由器到所连Transit网段的开销值就是连接到这个网段的接口所配置的开销值。
2024-04-09 17:08:08
935
原创 OSPF不规则区域以及OSPF的数据库和优化OSPF的LSA
1.末梢区域 -- 该区域拒绝外部进入的4/5的LSA;可以将非法ABR上,不同区域宣告与不同的OSPF进程,造成独立的协议;2.完全末梢区域 --- 在末梢区域的基础上,进一步拒绝3类LSA的进入;cisco思科--- 取消两台ABR间所有的周期信息,仅存在触发更新-- 不可靠。多进程 --- 一台路由器上允许的多个ospf进程,每个进程运行独立的接口(1) 域间路由汇总 --- 只能在区域间传递3类LSA时,进行手工的路由汇总。华为 --- 保留所有的周期信息,对中间区域资源占用严重。
2024-04-01 18:52:23
1067
原创 OSPF协议详解
更新方式 --- 触发更新 -- 224.0.0.5/6 周期更新 --30min:相当于ospf的保底,因为信息量大,触发更新可能出现问题,此时周期更新能够进行兜底(rip也有周期更新----rip缺少hello包和确认包(ack))当数据库表同步完成后,本地使用SPF算法,将数据库表转换为有向图,再将有向图计算成为最短路径树,然后以本地为起点,计算到达所有未知网段的最短路径,然后将这些路由加载于本地的。将使用DBD/LSR/LSU/LSack来进行交互、共享,同步数据库,获取未知的LSA信息;
2024-04-01 18:33:48
1248
原创 网络类型整理
BMA --- 广播型多路访问(以太网) -- 在一个网段内可以放置多个物理节点,同时该范围内可以实施广播洪泛机制;以太网技术的核心为频分----在同一物理介质上,使用多个相互不干涉的频率来共同传输数据,实现带宽的不断提升;MA--多路访问 --一个网段内以太网允许存在多个节点,故需要二层单播地址--MAC地址。HDLC的升级版 --- 华为等一系列设备的默认串口二层技术 -- 公有技术。【3】GRE -- 通用路由封装 --- 标准简单的VPN技术;以太网的频分为物理技术,主要在于提升带宽;
2024-03-31 19:21:02
1572
原创 HCIA复习
Protocol---协议号(0-255) 6----tcp 17----udp 其余全用于跨层(icmp---1/ospf---89)其余数字每一个皆对应一个固定的跨层封装协议。代理ARP:若一台路由器收到了非本接口直连网段地址的ARP请求,将查询本地路由表,若表中存在到达被请求ip地址的网段的路由,将代理该被请求ip,使用本地的MAC地址进行ARP应答;6)负载均衡--当访问同一网段时,若存在多条开销相似路径时,可以让设备将流量拆分后延多条路径同时传输,实现带宽叠加的效果;
2024-03-31 17:40:33
834
原创 ARP协议定义及工作原理
地址解析协议(Address Resolution Protocol,ARP):ARP协议可以将IPv4地址(一种逻辑地址)转换为各种网络所需的硬件地址(一种物理地址)。换句话说,所谓的地址解析的目标就是发现逻辑地址与物理地址的映射关系。ARP仅用于IPv4协议,IPv6使用邻居发现协议(NDP)替代。ARP协议目前最广泛应用于寻找32位IPv4地址与以太网的48位MAC地址之间的映射。
2024-03-27 16:06:29
1584
原创 防御保护IPSEC实验
在FW5和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24。新建acl待加密数据流。
2024-03-08 18:30:44
403
原创 防御保护知识总结
DFI --- 深度流检测技术 --- 一种基于流量行为的应用识别技术。代理扫描 --- 文件需要全部缓存 --- 可以完成更多的如解压,脱壳之类的高级操作,并且,检。3,全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;2,基于应用网关的检测技术 --- 有些应用控制和数据传输是分离的,比如一些视频流。4,内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。1,基于“特征字”的检测技术 --- 最常用的识别手段,基于一些协议的字段来识别特。
2024-02-29 11:35:03
901
原创 防火墙综合实验
5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。1.1,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)1.办公区设备可以通过电信和移动两条链路上网,(多对多的NAT,且需要保留一个公网ip不能用来转换)4.FW3和FW4组成主备模式的双击热备。
2024-02-18 23:14:01
405
原创 防火墙相关知识整理
Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。当web服务器给PC进行回报时,来到防火墙上,防火墙会将报文中的信息和会话表的信息进行性比对,如果,发现报文中的信息与会话表中的信息相匹配,并且,符合协议规范对后续报文的定义,则认为该数据包属于PC,可以允许该数据包通过。优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向(outbound) 流量从优先级低的区域到高的区域 --- 入方向(inbound)
2024-01-29 16:06:29
1069
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人