yiqiqukanhaiba-优快云博客

原创小迪安全48WEB 攻防-通用漏洞&Py 反序列化&链构造&自动审计 bandit&魔术方法

通过提示>寻找LV6 >购买修改支付逻辑>绕过admin限制需修改wt值- >爆破jwt密匙> 重组jwt值成为admin->购买进入会员中心>源码找到文件压缩源码> Python代码审计反序列化>构造读取flag代码进行序列化打印->提交获取。环境介绍：利用python-flask搭建的web应用，获取当前用户的信息，进行展示，在获取用户的信息时，通过对用户数据进行反序列化获取导致的安全漏洞。Pickle.dumps是序列化操作，pickle.loads是反序列化操作。

2024-03-26 23:20:32 1315

原创小迪安全47WEB 攻防-通用漏洞&Java 反序列化&EXP 生成&数据提取&组件安全

操作成功，且得知了是admin操作的，这就说明在序列化下存在admin的权限，且只有此功能存在了对序列化的读取才会知道有admin用户，故存在反序列化操作。Person person = new Person("xiaodi", 28, "男", 101);System.out.println("person 对象反序列化成功！利用：当我们对序列化后的数据进行数据更改，构造出恶意代码，再放回去，便形成了反序列化攻击。发现，data里有反序列化数据，解密一下（base64解密java_bs.py+

2024-03-25 23:26:27 1573

原创小迪安全46WEB 攻防-通用漏洞&PHP 反序列化&原生类&漏洞绕过&公私有属性

此页面以GET方式select的变量接收，根据代码逻辑，得知__destruct方法在程序结束后被调用且password需等于100，__construct方法用new进行构造接收name和password 的值，__wakeup方法，在使用unserializ后自动调用，此时这里就出现了问题。方法，不知道它的具体是什么才可触发，所以先把它姑且为不可访问的类型，也就是可被__call()、__get()所触发，若不存在，则会调用__get函数与__call方法类似，只不过是其对象属性。

2024-03-25 11:36:37 1127

转载小迪安全45WEB 攻防-通用漏洞&PHP 反序列化&POP 链构造&魔术方法&原生类

由于序列化的特性是可以更改变量的属性，那么核心点在backDoor那里的话，就要尝试去引用此对象，这里使用__construct的方法，去更改它的new的属性值改为new backDoor() 原因是：$class变量作为私有变量，必须要new的形式才可进行，而序列化的特性，只能修改属性，所以最佳的修改点就是__construct。——这里指用一次序列化后，会进行一次性的使用，使用完就自动销毁，则刚好可以触发魔术方法。在构造时，要对backDoor对象的$code变量，更改属性值，让eval函数进行执行。

2024-03-21 08:39:09 468

原创小迪安全44WEB 攻防-通用漏洞&RCE&代码执行&命令执行&多层面检测利用

AboutController文件: {pboot:if(eval($_ POST[1]))}!流程:搜索特定函数->parserltfLabel->parserCommom-> About&Content->构造。显出来了，说明此功能点为代码执行RCE，那我们进行调用系统命令去查看当前文件system(‘ls’);第二种：利用php的特性，反引号会让php以为此代码为系统命令，进行执行。由于它的c变量，进行了文件包含，那就直接以文件包含的形式进行注入即可。让RCE转到文件包含中，在文件包含中，进行绕过。

2024-03-20 10:50:50 555

原创小迪安全43WEB 攻防-通用漏洞&任意文件下载&删除重装&敏感读取&黑白审计

分析代码逻辑，img是一个可控变量$thumb_dir会被加入../data的前缀，act=del_img为if的判断语句。分析：比较鸡肋，因为正常来说，是要进入后台才能进行的功能，也就是说只有等管理员配置不当的情况，就可以尝试。函数关键字搜索unlink等，发现可控变量/upload/admin/admin_article.php。因此，访问其功能点http://127.0.0.1/xhcms/admin/?、文件下载 Ø 审计分析-文件下载-XHCMS-功能点。文件读取：基本和文件下载利用类似。

2024-03-20 10:45:46 1178

原创小迪安全42WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议

url编码2次: php//filter/write=convert.base64-decode/resource=123.php content=aaPD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg==因为考虑到urldecode，因此需要进行加密，从而去满足函数的要求，网页会第一次解密，函数会第二次解密，所以我们需要连续加密两次。url编码2次: php://filter/write=string.rot13/resource=2.php。

2024-03-17 17:29:27 1121

原创小迪安全41WEB 攻防-通用漏洞&XML&XXE&无回显&DTD 实体&伪协议&代码审计

因此，可以从到无回显的网页中，排去无回显的其他原因（代码写错、网络问题、没有漏洞等情况），当工具网页中，出现了来自内部的iP，则说明XXE漏洞存在，只是不回显数据。将读取到的文件信息，保存到指定地址中，并让本地接收的文件写入get.php，对读取的文件信息进行收集保存到本地file.txt。输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。那就远程读取文件，将文件进行保存，再用get.php进行读取，存入file.txt文件，获取相关内容。

2024-03-17 17:23:51 1219

原创小迪安全40WEB 攻防-通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数

11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法（inurl:）加上这些关键字去寻找SSRF漏洞一些的url中的关键字: share. wap、 url、 link. src、 source. target. U、3g、 display、sourceURI、imageURL. domain..这些是都会向服务器去请求我们所发送的信息，若配置不当，我们输入了访问它自身的地址，则会回显出它自身的情况。号或其他的号就被盗了。网站采集，网站抓取的地方：一些网站会针对你输入的。

2024-03-14 13:38:54 1031

原创小迪安全39WEB 攻防-通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用

11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法（inurl:）加上这些关键字去寻找SSRF漏洞一些的url中的关键字: share. wap、 url、 link. src、 source. target. U、3g、 display、sourceURI、imageURL. domain..这些是都会向服务器去请求我们所发送的信息，若配置不当，我们输入了访问它自身的地址，则会回显出它自身的情况。举个生活中的例子：就是某个人点了个奇怪的链接，自己什么也没输，但。

2024-03-12 23:20:48 1248

原创小迪安全38WEB 攻防-通用漏洞&XSS 跨站&绕过修复&http_only&CSP&标签符号

直接写入js弹窗，发现直接爆了，一般的是需要通过获取Cookie等信息，构造链接让管理员点的，但属于这种刷题的，网站会自动配个机器人辅助点击，同时将此服务器作为本地，无需考虑跨站。如果我们将注册的账号密码改成JS代码，在管理员查看账号密码的时候会触发JS，从而发送到我们的本地文件，拿到cookie信息——实现跨站攻击。分析：此修改密码的功能并没有对账号进行验证，即只要是个用户，则访问该网址都会进行修改密码，那么当管理员访问了该网站，也会对密码进行修改。——即获得当前的页面源代码（一些靶场会屏蔽xss平台）

2024-03-11 22:54:17 1086

原创小迪安全37WEB 攻防-通用漏洞&XSS 跨站&权限维持&钓鱼捆绑&浏览器漏洞

（打包好木马，第一次解压时，设置为解压前的木马还没解压出来，无法执行，第二次执行时，前一次解压的木马已经出来了，所以解压前运行木马文件可以上线。本身对Cookie进行过滤，而xss平台只能解析一部分，Cookie用不了/解密不了。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行。劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等；代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵。资料，从而获取用户隐私信息，或利用用户身份对网站执行操作；

2024-03-10 23:44:00 1062

原创小迪安全36WEB 攻防-通用漏洞&XSS 跨站&MXSS&UXSS&FlashXSS&PDFXSS

浏览器自身的漏洞缺陷，即当浏览器进行翻译的时候，会将里面的<img src=x onerror=alert(1)> 代码进行执行，即使已经过滤了，当翻译的时候就会将此代码执行。mXSS中文是突变型XSS，指的是原先的Payload提交是无害不会产生XSS，而由于一些特殊原因，如反编码等，导致Payload发生变异，导致的XSS。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行。劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等；网络钓鱼，包括获取各类用户账号；

2024-03-10 23:39:58 1072

原创小迪安全35WEB 攻防-通用漏洞&XSS 跨站&反射&存储&DOM&盲打&劫持

比如我们在这里注入出来的仅仅是服务器的数据，而XSS大多数的数据都是针对于人，并且此漏洞也不能对其他人造成危害，因为我们给他们的是一个地址，无法进行UA头的修改。就是在输入输入的地方，倘若输入一个js\html等代码，使这个网页可以对此代码进行执行的话，这就是xss攻击。条件过于苛刻：但是对于将地址放到邮件中点开，就会自动接收文件，机主看不到，从而从后台默默安装，然后控制。接收和输出数据的过程都是由js来进行的，故将输入和输出的结果显示在前端上。资料，从而获取用户隐私信息，或利用用户身份对网站执行操作；

2024-03-10 23:35:35 950

原创小迪安全34WEB 攻防-通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用

重命名页面是在html上执行的，之所以绕过是因为，页面上的xxxx.png的限制只是存在于前端，只是一个显示结果，以js的形式，并不是执行在php上。从上传文件分析，它将上传的信息放在了文件头部的位置；发现有个重命名的功能：进行抓包，猜测是以to为标准，所以进行参数修改，去掉.png改为php文件。从.htacess文件中发现，在此目录中对以上的文件，都会给于允许拒绝的权限，从而导致访问失败。当修改type后的，php是成功上传的，就是文件的路径更改了，那对于黑盒基本就寄了。

2024-03-10 23:27:40 1376

原创小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

那么当我们写入1.php.jpg时，表面上的图片，但由于管理员的配置，所以会将此文件解析为php。上传带有后门的图片，再后面输入/*.php(*指任意)，即可被执行。此时发现，原本的图片被解析为.asp格式，因此也可以从此进行利用。因此我们可以利用文件上传，上传此文件类型，访问图片，生成后门。、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等。1.上传文件能不能修改上传目录或上传的文件名能增加命名。上传文件，在后面Hex里修改相关参数，进行绕过过滤。此时的图片是可以正常运行的，是一个正常的图片形式。

2024-03-07 09:00:13 1273

原创小迪安全32WEB 攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀

原理：首先是因为网站中对关键字符的过滤，使我们不能以正常的payload填入进去(也就是eval等)，为此我们利用include函数，去包含一个地址，此地址中的文件里是包含着payload的，由于地址的表达被过滤，所以需要IP地址转换进行绕过。分析：查看路径得知是.php的文件中执行的，这样就解释通之前的“前置”问题，如果路径是/upload/等这样的，就触发不了，需用.user.ini等文件进行触发，这里就包含了一个php文件——文件包含漏洞。、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等。

2024-03-05 22:17:45 1279

原创小迪安全31WEB 攻防-通用漏洞&文件上传&js 验证&mime&user.ini&语言特性

是指定一个文件可以在index.php里执行，所以它不是像前置中所提到的一样，况且它也是解析代码，它是在index.php中调用了.user.ini从而触发后门；日志文件：记录访问的地址和访问的信息和访问的UA头，我们将UA头改为payload，UA头流入日志文件中，再利用/user.ini去包含日志文件，去触发UA头中的payload。做了.user.ini文件配置之后，访问upload的情况——包含了日志文件，故显示出日志文件的内容。、绕过技巧：多后缀解析（PHP5），截断，中间件特性，条件竞争等。

2024-03-04 23:14:50 1122

原创 SQL注入总结

2024-02-26 21:51:38 343

原创小迪安全30WEB 攻防-通用漏洞&SQL 注入&CTF&二次&堆叠&DNS 带外

一般的，代码上和数据库上的堆叠操作权限是不一样的，如果代码上允许堆叠，那数据库上一定可以，如果代码上不行，数据库也可以进行堆叠。那么此时我往username这个地方开始注册时就注入了SQL注入，那么此时显示出来的就是我SQL注入来的地方。通过注册完账号后，进行账号登录，此时发现我们的用户名被调用了，这时就可以估计此注入点是二次注入。过滤规则，select是被过滤的，还有一些注入常用语句也被过滤了，此时可考虑堆叠注入。解决不回显，反向连接，SQL 注入，命令执行，SSRF 等。

2024-02-25 11:07:47 1477

原创小迪安全29WEB 攻防-通用漏洞&SQL 注入&增删改查&盲注&延时&布尔&报错

发现此表单，是一个留言板，留言板就会与数据库有关，并且每输入一个留言，就是一个插入数据库的操作,insert into values(‘xx’,’xxx’...)注意格式单引号，然后插入又是报错注入类型。Del=2 and if(1=1.sleep(5),0)——此时的语句是不对的，因为and是一假则全假，所以不够保证，因此改为or。由于我们是直接进访问地址的，会出现SQL语句不运用的情况，没有函数去触发我们的参数，所以我们要去找调用了这个文件的文件。还是不对，对mysql进行监视，发现并没有注入进去。

2024-02-21 21:21:32 1119

原创小迪安全28WEB攻防-通用漏洞&$QL注入&HTTP头XFF&COKIE&PO$T请求

思路：当用户进行商品购买时，是需要对其身份进行验证，也就是COOKIE验证的，所以会接受COOKIE数据，并将其带入到数据库中进行验证，此时，若没进行过滤，则会产生漏洞。通过bp进行测试，发现它给了提示，这时我们就有了想法，如果我把IP给改了，那它的提示会不会是一样的，若是不一样的就说明IP被记录了。IP要进行代码的获取，获取到之后，IP可能会记录到数据库中：若会，并且IP能够进行自定义，这时便符合了SQL注入的条件。因此根据语句逻辑，是通过代码获取，所以对数据包中的IP可以进行伪造。

2024-02-20 22:16:54 960

原创小迪安全27WEB 攻防-通用漏洞&SQL 注入&Tamper 脚本&Base64&Json&md5 等

搜索型（模糊查询’%%’）:http://192.168.101.1/blog/27/other/news.php?加密/编码型(base64 )等:http://192.168.101.1/blog/27/other/news.php?——sqlmap对于编码或者加密型等，会出现识别不了的情况，所以要手工或者向sqlmap加入脚本：--tamper=xxx.py。注入：对与json格式，SQL语句不对双引号””，进行考虑，所以只需考虑键值中的数据类型。

2024-02-20 11:55:20 682

原创小迪安全26WEB 攻防-通用漏洞&SQL 注入 &Sqlmap&Oracle&Mongodb&DB2 等

通过sqlmap找到管理员账号和密码，从而登入后台，再利用后台进行os-shell的连接实现shell交互，此时通过shell交互便可获取到对方服务器的IP等敏感信息，同时，在自己的服务器中开启监听，利用高级权限读写文件，向对服务器写入payload（.exe）并运行，实现上线服务器，然后在监听过程中开启msf，从而提权。猜回显位：用的是单引号，进行猜测，因为在数据库中加入单引号是一种字符类型的，通过SQL语句，判断之后的数据是否能正常的显示页面，从而进行判断注入点。测回显：/new_list.php?

2024-02-18 14:41:34 1337

原创小迪安全25WEB 攻防-通用漏洞&SQL 读写注入&MYSQL&MSSQL&PostgreSQL

id=2 and 1=2 union all select 1,(select username from manage),(select password from manage where username in ('admin_mz')),4 8、MD5解密。——令日志内容写入知指定路径。

2024-02-18 14:30:08 1162

原创小迪安全24WEB 攻防-通用漏洞&SQL 注入&MYSQL 跨库&ACCESS 偏移

SQL注入：传参id变量，通过$sql变量来进行指定的sql数据库查询，从而执行恶意的SQL语句，实现查询其他数据内容（敏感信息）**原理：**借用数据库的自连接查询（inner join）让数据库内部发生乱序，从而偏移出所需要的字段在我们的页面上显示。实现当前网站跨库查询其他网站——原理：因为是root用户会管理到所有的网站的数据库。数据库中的操作能被其利用和破坏——增删改查——需符合SQL语句的逻辑格式。注：这里的联合查询是有限制的，就是union前后查询的数据必须保持同列。产生在数据库上的注入。

2024-01-29 20:33:39 1227 1

原创小迪安全23WEB 攻防-Python 考点&CTF 与 CMS-SSTI 模版注入&PYC 反编译

由题得知，此题中的flag是在FLAG的文件中，索引会打开文件进行读取，并且shrine作为变量，被进行过滤”()”（这里是限制了python的函数）；应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、可控值需留给数据库语句去操作取出数据（标题）并显示，方便了报错后的界面样式，如果这里是不固定的则可以进行注入，输入攻击代码。传入的数据会变成py代码去实行，所以可以进行shell反弹，将服务器的权限直接提到自己的电脑里。

2024-01-26 00:02:52 1084

原创小迪安全22WEB 攻防-JS 项目&Node.JS 框架安全&识别审计&验证绕过

此页面中就找到了忘记密码中的验证数据包的代码，从中可以知道当状态码为200时，可以进入验证成功，之后进入重置密码的界面（这里并没有对其进行验证/user/reset_password/）JS是本地上传，也就是图片通过本地的限制文件之后再发送出去，我们这时抓的包是它本地走过以后的数据包；注：这里无法使用之前学过的浏览器设置禁用JS的方法，因为他网站本身就是以JS搭建的，如果禁用了，就会连网站都打不开。注：这里是修改实际上是对前端的修改，然而对这个应用的数据库并没有进行修改，所以最后是修改失败的。

2024-01-25 00:38:38 1496

原创小迪安全21WEB 攻防-JavaWeb 项目&JWT 身份攻击&组件安全&访问控制

每一个字符串的生成都会伴随着一些密钥、签名等，所以如果我们直接对admin的值进行更改，是改不成的，因为我们没有密钥；若要成为管理员账户，则需对admin的值改为true，并加密将此值放到bp中替换掉以前的参数——这种思路是不对的，要考虑到签名之类的。再根据直接上传的文件进行分析得知，我们输入的Fullname会直接为文件名进行上传，若要上传到指定的文件位置的话，可以进行数据更改。得到后，发现密钥是不知道的，只有找到了正确的密钥，字符串生成才是正确的。再看包，找到对映的包，点击添加到库，即将包解压开。

2024-01-25 00:31:05 1514

原创小迪安全20WEB 攻防-PHP 特性&缺陷对比函数&CTF 考点&CMS 审计实例

这题加了个strpos，是寻找字符串的第一个匹配字符，而且最后一个条件中是===，故要考虑值和类型完全相等的状况，又因为，它用了preg_match和strpos，使八进制和十六进制不能用；代码逻辑是：当name和password收入的值不同时，进入第二个条件：name的md5加密后的数==比较passwordmd5加密后的数，如果相等，则输出flag。第二个是不带的，而我们是要进else拿flag的，所以。这题就是==，输入flag.php的文件，不让它等于flag.php，进else里，将输入值打印；

2024-01-18 21:46:29 1439

原创小迪安全19WEB 攻防-.NET 项目&DLL 反编译&未授权访问&配置调试报错

本身被封装后，需要通过反编译获取之前的信息；由第二种方式得，参与验证的文件是purchase.Master所以只需找到无此文件的文件即可。即在报错页面中，会出现ASP的版本号，文件目录等信息。通过双开页面，一个页面退出登录，另一个页面也会退出用户页面。通过观察发现并没有存在验证代码，所以验证代码应为调用代码，报错页面显示是自定义的，不会暴露信息，除非是自定义暴露。.dll文件：java封装后的文件，可以实现代码调用。.NET 项目-DLL 文件反编译指向-代码特性。而.asp文件会进行调用.dll文件。

2024-01-17 18:12:28 732

原创小迪安全18WEB 攻防-ASP 安全&MDB 下载植入&IIS 短文件名&写权限&解析

原因：数据库后缀为.asp文件，所以当我们留言时，数据会存储到数据库里，.asp是直接执行的，所以当我们植入一个木马向数据库时，数据库会以.asp形式将此木马直接执行。.mdb之所以是以下载的形式，是因为在配置文件中，没有对.mdb的文件进行配置，所导成的。通过文件名为a.asp，里面的1.jpg由1.asp组成，因为识别为.asp文件，所以会将1.jpg里的代码进行实现。此时看它的数据库文件，为.asp，所以当进行访问时，会直接以asp的形式进行执行。4.ASP-中间件-IIS 文件上传解析-安全漏洞。

2024-01-16 20:45:20 874

原创小迪安全番外：基础篇-思维导图总结和知识点回顾

2024-01-15 18:57:28 469

原创小迪安全17PHP 开发-个人博客项目&TP 框架&路由访问&安全写法&历史漏洞

发现此页面不是网页上显示的页面，通过寻找，得知application文件的index/controller/index.php文件进行显示，对其今下午修改。举一反三：在application文件下创建一个新的文件作为新的模块，再新文件下创建新的controller并创建新的控制器，并进行url访问。http://serverName/index.php（或者其它应用入口文件）/模块/控制器/操作（方法）/[参数名/参。以及application文件下的index是以url访问进行的。

2024-01-14 00:41:41 603

原创小迪安全16 PHP 开发-个人博客项目&JS-Ajax&前端逻辑&购物&登录&上传

当我们进行登录时，浏览器发送请求包，并得到一个响应包，然后浏览器会根据这个响应包进行判断，然后Ajax代码解析，最后弹出结果。注意：在进行前端渗透时，需要看前端的参数是否影响判断验证数据（找关键的），如果有，则可通过前端进行更改参数，从而达到绕过。在设计2中，看似对数据进行绑定，但是并没有对判断的数据进行绑定，所以这个时候的绑定是面子功夫。虽说，把价格固定好了，但是数量没有进行固定，所以可以通过修改数量进行绕过。它是验证数据Ajax文件，还是以前端的方式进行验证，因此，同理绕过。

2024-01-06 22:59:43 1045

原创小迪安全15 PHP 开发-个人博客项目&登录验证&Cookie&Session&验证码安全

直接访问，发现session与之前的登录成功的对方进行了一个加密通话，通过session，当登录成功的用户进行访问时，会建立起一个会话框，以session随机字符串来进行验证。后台管理系统：有多个文件页面和功能页面，为了方便验证，一般会用Cookie或Session进行验证。但是就会出现Cookie修改伪造——代码逻辑问题（代码中只是判断cookie是否存在即可）若要攻击，只能用户在访问的过程中（会话建立的过程中），进行劫持session。后台验证1：登录用户逻辑安全。正确——成功登录——跳转成功页面。

2024-01-05 21:43:30 473

空空如也

空空如也