合天网络安全笔记-五-
合天网络安全笔记(五)
P33:第31天:XXE漏洞-XXE利用及漏洞防御 - 网络安全就业推荐 - BV1Zu411s79i
啊。
哈喽哈喽大家好,大家能听得到我说话吗,今天稍微迟了一点,然后大家作业有做吗,就是前天说做那个实验来着,大家实验做了吗,可以,好吧那话不多说,我们就先讲今天的一个内容吧,因为今天有同学就是说让我讲一下。
这个命令执行,所以在这的话就补充一个,就是在p h p引用外部实体的时候,它支持了一些扩展,就是在这边这些,那这个就是最下面这个的时候,当我们的目标机器安装并加载了菲律宾的,expect这个扩展的时候。
就可以执行系统命令,然后它的用法是这个样子的,后面加上了我们是这个命令内在xml中的话,你在这个外部实体,这就用这个后面加这个id,如果他装的话,他就会回想我们的一个uid。
给我们这个是简单的介绍了一下,然后昨天是讲到了参数实体就讲到了这儿嘛,对吧,就是我们是想说如果是java里面的话,然后我们要包含的那个不是包含,要读取的那个文件,它里面有含有特殊字符。
我们这个时候想要用用这个sedate这个东西,把它包起来,然后读出来看看能不能把它读出来,但是这时候他就报了一个错误,说xml文档结构必须从头至尾,包含在同一个实体中,这个就是它不允许将内部实体和外。
部实体结合使用,所以在这里的话他这样是不行的,所以接下来的话我们就先来看一下参数试题,然后参数实体这边他的声明的话,就是这个样子的,它分为两种,一种是内部的一个声明,一种是外部的声明,然后在内部的话。
这里他这个值是实体值,它就它相比前面的就加了一个这个百分号嘛,对吧,然后外部的话就加这个system,然后后面是他的一个url嗯,可以看下面这张图里不对,下面这张图里面就是在这个滴滴滴中。
这里这个上面这个框框,这个椭圆的话,它就声明了一个实体是一个参数,实体,它用百分号,然后空格,然后它的实体名称就叫这个paparom entity,后面是他实体的一个值,接下来下面的话它就声明了之后。
在下面进行了一个引用,一用的话,它是跟我们之前的那个实体是不一样的,我们之前的是使用连接符号,然后这种形式来进行引用的嘛,他这里的话是使用这个百分号,然后entity分号来进行一个引用。
最后在我们云文档元素里面的话,我们去引用这个跟针具体,所以他会回响这个ba br给我们,右边有说明,就是说使用百分号是听名,这里的空格就是这个中间的空格是不能少的,然后在d td中定义。
然后只能在滴滴滴中使用百分号,实体名封号进行一个引用,它不能在这个像这个entity一样,在文档文档里面,就是文档内容里面进行引用,它只能在这个d td中进行一个引用,嗯我们可以看下一张ppt的话。
就是一个对比,首先大家可以回顾一下,就是和上一节课一起回顾一下,就是首先在这个地方的话,它是声明了一个内部实体,然后它的实体名称就叫normal,它的值是hello,然后在这个level一的话。
它是一个外部的普通实体,然后它的内容就是file,就是c windows windoi的一个文件内容,下一行的话就是我们一个参数实体,是一个内部的一个参数实体,嗯然后在这个里面的话,它的。
里面的一个实体是这个内部实体,word,下一行的话就是一个外部的一个实体,外部参数,实体,在这里的话就去引用了我们本地的9999,端口下的c date。d t t,然后我们分别引用这两个,就这两个。
嗯参数实体就是在滴滴滴中进行一个引用的,接下来在文档内容里面,这里有个hello,又去引用了这个pr a参数,实体里面定义的这个内部实体,这就用它来进行一个引用了,接下来接着就是我们一个普通外部。
普通实体的一个内容,所以回想到这边的话,就是hello world,就是这个的值,后面的话就是我们这个文件的一个内容,内战的话,如果我们去监听这个本地的9999端口的话,也会看到。
就是也会有这个请求给我们,就是我们可以看到他请求过来的url是这个,这个是参数实体它的一个简单的声明以及引用,那我们就回到之前说过的,我们如何让它来进行一个,就是将我们的文件读取出来呢。
首先假如说是这个样子,这里的话就声明了一些内部参数,实体及外部参数实体,然后在这个o里面将它们拼接了起来,最后在这个文档元素中进行一个引用,就是把这个file d盘下的叉叉,一test d txt。
放到我们这个c d a t a这个格式里面来吗,然后在o里面进行一个拼接,拼接之后,然后再进行一个引用调用,但是这里的话他报了一个错,是说参数实体引用这个百分之start。
不能出现在dvd的内部子集的标记内,这个内部资金其实就是我们xml的dt地区,就是这个地方,我下面这一段文字有说明,就是说参数实体必须定义在,单独的d d d文档中,单独的dt文档。
就比如说是我们外部的一个,比如说我们前面那张这,这个这种就是一个单独的dd d文件嘛,就是我们外部去进行一个引用的,这种单独的dd文件进行引用进来,或者是直接写在我们xml文档里面的一个滴滴滴。
那前面那种就是单独的一个d d d文档的话,它就是我们这个xml文档的外部磁吸,然后后面这种就是这一种的话,就是称为我们差还蛮有文档的内部子集,但是我们引用的话只能在dt d文当中。
就是只能在我们的一个单独的dd文档,外部子集中,而不能在我们xml的滴滴滴这个地方,这是他规定的,所以那这样的话,我们其实是不是就可以说,我们是不是,只要把它的这个引用放到一个外部的。
单独的一个dd d文件中,然后我在这个地方就是在,就是把,就是把这一行放在一个单独的嗯d td文件中,然后在这的话,我们新定义一个另外的一个外部实体,外部普通实体,然后他的ul的话。
就是我们这个我们把它放到一个单独的,ttt文件的一个路径,这样的话是不是就可以进行一个引用了呢,我们来看一下,嗯可以看到在下一张ppt的话,我就是这么做的,就是把这个放到一个单独的一个dvd文件中。
然后在这的话新定义一个,我这边是新定义了一个参数,外部参数实体,然后在这里的话进行了一个,调用这个调用的话,其实在这的话就是这个百分号d t d这个地方,它其实就是声明了我们这个o这个实体。
它是为这个的,就是把它们拼接起来的一个内容,然后在我们文档元素里面再去进行了一个调用,最终的话它就会将就是这样回钱给我们,嗯大家有听懂吗,就是说我们原本是打算这样,直接把它拼起来的嘛。
就是直接在它的一个xml的d td文档里面,然后把它们拼接起来,但是这个时候的话他会报错,它提示说参数实体引用,不能出现在dd d的内部词集中,那所以这样的话,我们就可以把它的这个参数实体引用放到外面。
来,放,放到一个外部单独定义的一个dvd文件中,这样然后再这个地方,我们先把这个滴滴滴引用进来,就是调用调用,这个时候我们调用完这个百分之滴,滴滴封号之后,就对我们这个or实体进行了一个声明了。
就已经有这个or实体了,所以在我们这个文档元素里面,就可以用这个连接符号or分号进行一个引用,最终的话它就会有一个回响给我们,就是我们这个d盘下叉叉一test。txt文件的内容,大家有听懂了吗。
如果听懂了的话,就打个一,是我掉线了还是这么长,为什么没有人理我,好难,不难不难,那就是有个问题,那我直接,嗯我刚才不是说了吗,你是说这个样子吗,就直接这样吗,那不是会报错吗,就是他规定不能这样子。
但是我们可以这个样子,就是把它放到一个单独的一个外部,它的一个xml的一个外部资集中,然后在这里的话我们去引用进来,就不要太,听懂,好吧哎我我刚才其实想说,那这样子的话,这样可不可以呢,我们来试一下。
就是,然后我现在这ip变了变成了131,一生,看一下可不可以。
啊这个也要改。
必须要正确的符号组成,好吧。
这样是不行的,我们去看一下,看一下这个日志里面有没有,诶他来访问了,但是他并没有,就是他并没有回响给我们,他访问时去访问了,你看一下cdt 3是什么东西,好吧,那这样就不行。
他并没有会献给我们,他是说元素内容必须由格式正确的字符,数据或标记组成。
哦哦哦我这是一个我这也是一个外部普通实体,然后我去在这个里面定义了,又定义了一个内部实体,这样是不行的,还是得加这个百分号,就是把它定义成一个参数实体,这样子才行,我刚才只是试了一下,不理解咋能这么深。
这个待会会说,这个待会儿会说,嗯我们接着往下走吧,还有另外一种形式,就是说我们可以把这个他引用的东西放在外面,但是我们只要只要主要是他引用是在外边,他那个前面那个就是这一串,不是说啊。
只能在d d d文档中集集外部资集中吗,就是它的引用只能在,我们的外部子集中,所以的话我们也可以把刚才那一整段,放到一个外部的一个子集中,然后在这的话我们去进行一个引用,引用滴滴滴。
这样的顺序是不能乱的,你先要引用了这个滴滴滴,然后再去引用这个or,因为你只有引用了这个滴滴滴,把它引用进来了,才是才把我们这个or给的,它的一个声明给引用进来了,然后你在这边再进行一个引用的话。
它才能把它引用进来,最后在这里的话,我们就嗯将我们这个file在这个地方输出,嗯这样也是可以的,其实只就只要是把我们的一个嗯引用,放在一个外部的一个单独的文件中就可以了,对吧嗯,我们接下来讲叉叉一把。
叉叉一的话其实嗯它的一个定义,叉叉一就是xml,external entity及xml外部实体注入,攻击发生在应用程序解析xml输入的时候,它并没有禁止外部实体的加载。
导致攻击者可以通过xml的外部实体,获取服务器中本应被保护的数据,那它产生的原因是在文档类型定义的部分,可以引用我们外部的gtd文件,所以这里就可能会容易出现安全问题。
xml解析器解析外部实体是支持多种协议,比如说fl协议可以读取本地文件内容,使用htp协议可以获取外部资源等等,这个我们上节课以及刚才也有就是用到,因此攻击者可以构造恶意的外部实体。
当解析器解析包含恶意外部实体的,xml类型文件时,便会导致叉叉一的就是这个漏洞,好我们接下来可以看一下它的利用场景,战争一的话,其实它是分为有回线以及无回线,有回血的话,它就是可以直接在页面中看到。
我们po的执行结果或者是执行的现象,那他也可以说就是带内差异,没有外部实体及攻击者,可以发送带有叉叉一有效负载,这个有效负载负载就是我们的那个pload的请求,并从包含某些数据的。
外部应用程序中获取到响应,简单来说其实就是他就会回想给我们,我们发送了,我们等一个po的工具,它会回献给我们,那无回响的话,它又称为这个blind叉叉,e,可以使用外带数据通道提取数据及带y xml。
外部实体o o b杠叉叉一嗯,这个这两个大会都会说,漏洞发现,首先的话可能是需要寻找,能够接受我们xml作为输入内容的一个端点,我们其实可以去可以发现,就是我们的一些,比如说最简单的一个登录的一个地方。
它不是有uslime及password吗,主流的话可能就是用jason来一个,来进行传输数据的,那这个时候如果你把他的那个请求方法,htp里面的一个请求方法,就是这个嗯请求方法就是哎我在说什么。
这个是这个请求方法,就是那个get poster,有的时候你把它改成poster,然后我刚才要说的是,你把整个hd p头部里面有一个content type字段,把它改为这个。
这个application,然后杠cheml,他如果是一个json格式的话,他可能就是obligation,然后obli application,然后后面是一个json格式嘛。
所以如果你把它改为一个xml的话,他或许也能够进行解析,看看政府去是否解析了发送的内容,如果解析了,那么可能会存在叉叉一的漏洞,第二个的话,如果站点解析xml就可以尝试引用实体和滴滴滴。
如果可以用外部实体,则存在x站一漏洞,我们可以看一下,首先是找到xml内容的输入点,然后检测xml是否能被成功解析内,在这的话,我就直接用我自己搭了一个这个来进行演示。
在这的话我就直接输入了uslim po内卷的话,它是成功将我们这个hello回旋给我们,就是将我们这个xl这种数据给解析了的,所以接下来的话我就可以尝试看看,它是不是可以引用外部实体嗯。
可以看到下一张就是这张ppt的话,在这个地方我是定义了一个外部的参数实体,然后它的这个ul的话是这个c ci点,i o里面提供了一个po的,这个大家之前有去用过吗,应该,有吧,就是这个东西。
嗯就是这个他会给我们每一个人分发一个域名,然后在这个po的话,他这里其实就有一个这个xml实体注入,我就直接把这个复制过来,然后把这个地方把它的这个这个域名,改为我们自己的一个域名就好了。
然后你在这个hp request jet就会有回旋,如果它能够解析的话,就是存在差异漏洞的话,就像这边这样,有一个回钱给我们,就说明它存在这个叉叉一漏洞,这个大家应该没有什么问题吧,如果没有问题的话。
那你就扣个一,ok,接着往下讲讲这个叉叉一的路利用,那这边的话本地文件读取其实已经前面有提到,就是如果是有回血的叉叉一的话,我们就有三种方式嘛,就是这个file中直接进行读取,如果是p h p程序的话。
我们还可以使用这个p h p的一个伪协议,进行一个读取它的一个文件流,然后当所读取的文件包含了这种特殊符号的话,使用sedate,然后利用的话是我们外部参数实体啊,这个就不多说了,那一阵有一个需要。
就是可能需要注意一点的地方吗,就是,有些菜没有解析,它是支持列目录的,就是直接把目录给列出来,那我们前面的话就使用这三种的话,都是我们已经知道我们要去读取的文件,是哪一个文件。
然后才能进行一个把它就是读取出来嘛,那有些差没有解析库的话,它是支持直接你在后面输入一个目录,然后他就可以把目录下的一个文件,都回钱给我们,然后攻击者可以通过类目录读文件。
然后获取账号密码后进行进一步的攻击,比如说读取这个他们开的gun users,点tml得到账户密码后,登录他们开的manager,部署web shell,这个后面大家就看一下就好。
只要主要是主要是知道他有时有些的解析库,它是支持列目录的,嗯接下来的话就看一下无回血的查查,一大多数情况下,服务器上的xl数据处理后并不会回显,所以即使是漏洞存在,我们的pload被解析了。
但是由于没有输出,也不能得到数据,所以我们也不知道到底它有没有这个漏洞,因此我们就可能想要想要利用的话,就必须找到一个不依靠其回血的方法,就是外带一个数据,把我们把我们想要读取的一个数据。
或者是它的一个文件内容,比如说这说本地文件读取的话,就是一个文件内容发送到远程服务器上,它的利用思路是通过外部d td方式,可以将内部参数实体的内容,与外部滴滴声明的实体的内容拼接起来。
利用po的来从目标主机读取到的文件内容后,将文件内容作为url的一部分,来请求我们本地监听的端口,是不是看不懂,没关系,我们一步步来看一下,就是刚才那个思路的话,其实并不是,大家可能就这么一说。
可能不能接受,所以就我们慢慢来,那首先我们如果要读取一个本地文件,本地文件读取的话,就是要读它的一个服务器那边的一个文件的话,我们肯定是要先定义一个实体的,然后它的值是用我们file协议来进行请求。
本地文件的一个内容对吧,这是肯定要的,就是,然后第二个的话我们是,我们是需要定义另外一个参数实体,将它引引用进来,就是我们要把它的那个file协议,读取出来的文件内容作为我们url中的。
比如说在下面这张图里面的话,就把它作为a指后面的一个内容,就直接把我们这个file files,就是这边定义的这个参数实体,然后在这边引用进来,然后在这里的话,所以如果我们去监听了这个9999端口的话。
就能看到我们这个files,然后就是这个嗯c windows windoi i里面的一个内容,本来是应该这样的对吧,然后我们在这个滴滴滴里面,对这个sd进行一个引用。
引用之后在这里又对这个files进行了一个引用,但是嗯可以看到我们监听,就是这个监听这个9999端口之后,可以发现,他这里get后面这个a就直接是等于百分号files,就没有对它进行一个解析。
就没有把它后面的这个内容拼接上面来,拼接到这里来,嗯这的话是,因为几乎所有的xml解析器都不会解析,同级参数实体的内容,他们两个其实是同级的,所以你说你在这儿声明了这个s。
然后你在这个set里面又去把这个files给引用进来,它是不会进行一个解析的,因为他们俩是同级,那我们就会想,那要是不同级可不可以呢,就把我们这个东西,嗯可以看一下下面这种,就是说参数实体也可以嵌套。
第当两个参数实体不是同一级时,我们可以尝试调用一下,就是下面这一张图,内在这儿的花,嗯可以看到在这个start就是我用个屁吧,就是在这个start这个参数实体里面,然后他的。
值的话就是我们有一个就是一个实体,另外一个参数实体,这样的话是对它进行了一个呃编码,然后这儿的话有一个send,然后system是一个外部的,在这个地方的话对它进行了一个引用。
对这就是对这上面的这个files进行了一个引用,所以这样的话就当就把他们变成了不同级,因为这个start明显是比这个start是,只有我们start声明了才会有这个send。
然后这个send里面它的值才是这个file,就是才会对这个file进行了一个引用,所以说这样的话,他们两个就是这个start以及这个files,他们两个是不同级的。
现在那这样的话我们可以进行一个就是引用,试一下,我们就直接先把这个,starter引用进来,引用进来之后才有这个send的一个声明,然后有sin的声明之后,我们就可以对它进行一个引用对发嗯。
我们这样运行之后,但是他这样还是不行,他还是会有一个报错,就是说参数实体应用,就是这个百分之fails,不能出现在dd g的内部子集的标记内,这个报错是不是有一点熟悉,就是我们刚才才说过的那个对吧。
他不能出现在滴滴滴的外部实习的标记中,那就可以,外部仔细呀对吧,就我们前面说了那么一大堆嗯,大家应该就懂了吧,也是因为这个限制,所以前面就想到,既然内部不行,就引用外部的滴滴滴试试。
现在就在把自己的服务器,加入到我们d td文件中,我们那么看一下最终的一个结果,嗯可以看到,这张图里面,这张图里面的话,我们其实就是将我们前面的那一个,把它们放到了一个外部的滴滴滴中。
然后在这个这边进行了一个引用,对吧,然后我们去监听这个8998这个端口的话,我们直接是用python gm htp server,8998这样简单的提了一个服务,起了一个htp服务,然后监听8998。
然后在这的话我们就可以看到,其实就会有他的一个,他就把这个d盘下一点txt就带出来了,就是这个hello world,这个后面是我一个中文的感叹号,我这么说,大家有听懂吗,嗯我这还给了一个注释。
就是说假如我们的htb它带不出数据的话,你可以尝试一下ftp,ftp的话就是h ftp服务f如何起开启它呢,就直接使用这个python m p y f t p d lib gp p。
后面就加上你的一个端口就好了,这个大家有听懂吗,就是我现在说的这个无回显的那个编码,是实体编码吗,对,其实我这的话大家有看到,我这其实和就是和前面的可能不一样,这的话我是直接将直接将这个滴滴滴。
放在我们这个dog type for,这就是引用,这个就是一个滴滴滴的一个外部声明嘛,这样的话就没有一个就是那个entity,就是没有这个关键字,这样的话可能就会绕过一些wap,大家还有问题吗。
就主要是使用这种方式,就将我们的file先定义出来嘛,首先肯定是要把我们的file给定义出来,就是用一个参数实体plow的把它定义起来,接下来的话因为他们不是不能是同级的,所以我要把这个payload。
放到一个另外一个entity里面,所以在这里的话,我就把它放到了这个trick这个里面来,然后在这个trick里面它又是一个,外部参数实体在这个后面的话,就直接将我们这个payload引用进来了。
所以说这样的话,我们的这个现在我们这个int以及这个pload,它们就不属于同级的了,但是我们如果是直接这样进行,放在这个里面进行引用的时候,它就会报一个错嘛,放那个不能出现在dt的内部子集中。
就是不能出现在d t d的一个文档里面来,所以这个时候我们就把它,放到一个外部的dvd中,对吧,这个百分之啊不是什么,这个连接符号井号三七和我们前面这里有一个,这个是嗯,这个是连接符号井号x25 。
他们两个是一样,只是这个是用16进制表示的,所以它前面有一个x吗,都是这个百分号的一个编码,大家还有什么问题吗,这有听懂吗,如果听懂了的话,就打个一,如果没有听懂的话,就打个二,没有人理我,是卡了吗。
是延迟了吗,一好的,那我们接着往下讲,嗯这个也是一个本地文件读取,然后在这的话这一张图相比上一张图的话,其实就是我们把这个dd,这个这个放到我们这个entity里面。
就是放到这个d o c type里面来了,就放到这个里面来了,然后在这个里面进行了一个引用,就是不对,不是引用,这个是声明吗,这个是声明了,这个滴滴滴的一个嗯外部参数实体,然后在这进行了一个引用。
接下来就引用了这个int这个,然后再由这个send发出去,所以在这里的话,我这是使用了这个p h p filter这个伪协议,然后将我们这个c盘下windows windoi读出来,这里就是这个东西。
就是这个等于后面的这一串内容,接下来就可以把它拿去进行一个解码,解码之后得到的就是他的那个文献内容,因为为什么会就是要这样呢,因为有时候使用使用这种方式,他带不出来,就是他不会有数据回显给我们。
所以如果是为了稳妥的话,大家还是可以,就是把它声明为一个外部参数实体,然后这样进行一个引用,这是两种方式,我们接下来往下走,就是主内网主机探测,如果我们是已经知道了,它的一个内网的一个网段的话。
我们是不是就可以对它进行一个内网,怎么操作呢,其实就是在我们bp里面的那个爆破模块,intruder吗,就是那个intruder那个模块,然后将我们后面这一个字段,就是比如说这里是192。16。1。
239,我们就将它设置为一个变量,这个这个是什么意思,应该大家都懂了吧,就是我们我们是在这声明了一个外部普通实体,它的内容就是这个,然后在这里进行引用的话,就会有这个就是去访问我们的这个hdp,192。
168。一点,这个内容的八零端口对吧,然后在这儿设置py的时候,我们就将它设置为1~254嘛,然后步长是为一,我们可以就是最后我们start就是开启攻击之后。
我们就可以通过这个length来进行一个判断,看我们就是他是不是存活的,如果是无回线的话,我们其实就可以通过,也是这种形式,就是这里是一,但是这个时候因为它是无回血的,我们可以通过它的一个响应时间。
来进行一个判断,你可以看到这边其实是,差不多是21秒的样子,但如果是一个存活的一个主机的话,19519,我说前面这里,这里扫出来的,所以我就直接用195试一下,这样的话他其实才一秒都不到对吧。
就回血给我们了,所以说他的这个时间是有一个很明显的差别的,例如这样手动的话肯定是很麻烦,所以大家可以写一个脚本来进行一下判断,判断的条件,可能就是根据他的这个时长来进行一个判断,如果自己不会写的话。
也可以去网上搜一下,比较多,也,其实内类似于这样的话,就是内网主机探测的话,就是这种形式的话,是不是也就可以对它的端口进行一个探测了,对吧,我们如果知道这个192。16,8。1。195是存活的。
这样的话我们就是在后面加一个冒号,我们这个时候就把冒号后面这个端口号,把它设置为一个变量,然后进行一个爆破,你爆破的话只要包括那些常常用的一些端口,或者是一些危险的端口就好了对吧。
大家这个应该也没有什么问题吧,这个需要演示一下吗,那现在的话针对我这个子网的话,就是服务器那边它的一个呃网段的话,就是192。168。31吗,点一吗,从一开始从1~254嘛,它的一个网段是对吧。
然后在这里进行一个叉叉一,进行一个引用,现在看一下,发送到intruder。
然后把这个声明加一个,这个大家应该都会吧对吧,这个po的选成,从1~254,然后步长为一,这个线程你也可以设置一下,然后就start开始开始攻击就ok了,就完事了,应该不难吧。
如果你是需要对它的一个端口进行爆破的话,比如说是40,45端口,然后,and接下来在这里的po的话,你就可以把它设置为simple list,然后从你自己的本地进行一个添加也行,添加本地输入了一些端口。
常用的端口也行,就是这样来进行一个判断,这个大家都懂了吗,后面的从这个java中上传一个sl,导致叉叉一楼的话,我们就下节课再讲,嗯然后因为我就是把这个ppt修改了一部分,所以说你们要现在新的吗。
还是之前的就可以了,因为我昨天哦不对,前天给大家发过一份嘛,要新的是吧,好像,现在56了,大家还有什么问题吗,就是关于今天的这些内容,可能就是这个地方会稍微有点难度,就是舞会线需要把他的数据外带出来的。
这种形式的话,大家可能就有点难接受,但是不知道现在有没有就是明白了,后面前面不用跟,嗯这个其实你跟与不跟都无所谓,因为它主要是是为什么呢,就是你主要是要把他的这个数据回显给我们,就好了。
然后你这边如果是监听的话,我们可以其实可以看一下,就是我们菲律宾study去进行一个记录的时候,它的一个log access点,log,嗯看到它在这里的话,其实就是会记录整个它的一个ul。
除了他前面那个跟就是,比如说这的话就除了这个之外,他后面的这一节从叉叉一开始,这个后面的这一节都会记录下来吗,就把它就是访问的这个url,请求的这个url给记录下来吗,所以说你这加一个问号语。
加不加问号,其实都没太大区别,主要是能把它的一个数据给带出来就行对吧,我这么说,你听懂了吗,然后大家今天的一点今天的作业的话,大家可以去做一下这个实验,这个叉叉一把叉,大家觉得作业要交吗,如果。
嗯还是就是嗯大家就稍微教一下吧,做就随便写一下,让我知道你就是去做了这个实验,然后嗯就行教的吧,嗯交了吧,那你前面就是今天的不对,前天的怎么就没交呢,那你们去好吧,作业给交上来,给我看一下。
就让我也知道下次一定,但我也知道你们就是做了好吗,今天的内容大家还有什么问题吗,如果没有什么问题的话,然后我们就可以下课了,然后明天见,明天还有一节课,后天还有一节课,实验做15分钟。
把它写到文档里有两个小时,为什么为什么要两个小时啊,哦你是想把它总结出来是吗,还是怎么着,总结的话你可以如果你没有太多的时间的话,你就直接把最后你做完之后的那个截图,截个出来,然后发个文档给我们班主任。
然后班主任发发给我就好了,如果这是你的时间不足,如果你想总结,然后觉得就是时间也够的话,其实总结一下是对自己的学习也是一种巩固嘛,就还蛮好的,你就可以也可以就是就总结了再发给我。
你也可以就是等你有时间了,总结自己进行一个总结,但作业的话,你就发一个最后的一个截图给我就好了,好吧,那今天就先这样啦。
P34:第32天:XXE漏洞-XXE漏洞修复及思路 - 网络安全就业推荐 - BV1Zu411s79i
你有什么。
hello hello,hello hello,大家能听得到我说话吗,我一直忘记把这个给打开了,然后我以为你们能听得到,就是音乐,结果发现就我一个人在这里听,今天为什么就只有四个人内。
其中一个人还包括了我,然后今天的话就是我们叉叉一,课程的最后一节课,你们开不开心,兴不兴奋,哈哈我开玩笑的,你们打一是有延迟吗,不是后天,不是明天还有吗,对明天就就是那个课程嘛,对明天是课程考核。
嗯课程考核的话就是在那个靶场,同样是这个地方。
这两个的话其实还挺简单的,我上课都有讲过,然后你只要能登录进去,他登录进去的话,会有一个什么什么locking success就可以了。
然后今天的话就是将继续将我们叉叉一的一个,利用一个java中上传excel,导致叉叉一漏洞,前几天有一个cctf比赛,大家不知道大家有没有就是去看一下,或者是去了解一下,其中一道题的话。
就是考的这个就是考的这个12中上传这个excel,导致差叉叉一漏洞,然后来进行一个读取文件,那我就开始从现在开始今天的一个讲课吧,这里是说如果我们的网站上面,它存在一个上传的功能。
而且是支持上传我们这个excel格式,就是这个必须是这个xl s x格式的,那么就可能存在叉叉一漏洞,它是怎么,它的过程是怎样呢,就是我们首先新建一个excel,就是这个表格,把它就是重命名。
它的后缀为zip,你就会看到,其实它就是由比较多个的xml文件组成的,那在这的话我们是通过更改这个,就是你变成ji p之后的这个xml就是这个content types。
点xml把这个里面的内容改成这种形式,这个的话大家应该都明白什么意思了吧,就是这就这就是一个d t t的一个声明,然后里面有一个test外部实体的一个声明,最终在我们这个文档内容里面进行了一个引用。
所以在这的话如果我们进行监听,监听这个9999端口的话,就是我这就是用这个python,写了一个简单的htp服务,然后它的端口是9999,所以在这的话它就会有一个请求发送过来,就是那边你上船之后啊。
这个当然你要把它改为这个xl s x格式,就是你更改之后,我们把它变成vip格式,就是变成这种压缩包的格式,是为了把他的这个xml文件读语出来嘛,然后把里面的内容给改了吗,改了之后保存之后。
你要把它改回去,改回去,然后回到我们一个上传的地方,把我们这个文件上传上去,上传上去之后,如果他后台进行了解析,就会来请求我们这边起的这个服务,9999起的这个服务,这里有说如果服务器成功解析后。
攻击机则会接收到服务器的请求,然后我们实验室的话有一个这样的实验,我就带着大家来看一下那个实验,这个大家有什么问题吗,我就只是给大家简单的走一遍这个流程,然后它里面的这些原理的话,我就不过多介绍了。
首先他这个任务一的话是出现在在这个阿帕奇,poi这个组件里面,然后任务二的话是出现在这个,这个包装,总而言之,言而总之就是因为他们,包里面进行了一些解析,然后没有过滤掉我们的实体,所以从而能够导致。
解析我们的微代码。
那我们来看一下,就是给大家演示一下。
嗯把一个lip是把它提起来,你没有去做这个实验吗,就是这个java中常见解析,excel in rule的查查一组件出现分析,这个实验应该没有去做。
那我就拿这个阿帕奇poi这个来演示,嗯这里的话它是他因为这没有一个上传,它只是在这个城市里面,所以他就写死了,cs传入的是我们这个c盘下的test 1,这个这个excel文件,我们来打开把它给看一下。
我们看一下这个,文件你可以看到它在这个里面,它默认的话,我在这先,我在我自己本地创建一个excel,然后再,你可以看一下它默认的是怎样的,它默认就是这个样子的,然后这是它的一个声明吗。
他没有文档的一个声明,它是就是实验中,我们这个实验中这一块是我们自己加进去的,加到这里,然后这个的话他就是直接去访问了,我们本地的880端口,然后带的才带的那个url路径是叉叉一杠test。
那我们本地来进行监听,这个就是一个监听的一个命令,我们现在把它提起来,哦他说我刚才没有把它改回来,把它改回来,然后再运行一下,你可以看到在这里的话,它就有我们这个星球的包都给我们了。
就是他带的参数是这个叉叉一杠test这样,所以说,如果我们就是如果碰到一个有上传的地方,然后他他又允许这种格式的话,我们就可以尝试把它改为一个压缩包文件。
把里面的那个content type content types,那个china文件里面改成刚才的那个内容,看一下他是不是能进行一个访问,那如果是要访问外网的话,就是我们也可以通过我上次给大家演示。
那个支付码,把他的那个url改为我们自己的一个域名就好了,我这就不登录了,然后大家这个有什么疑问吗,应该没有吧,如果有疑问的话,就扣个一,如果没有疑问的话,建成之后,然后带什么工具,比如说他都他都能。
他都能把他的一个都能来主动请求我们自己,我们自己这边的服务器了的话,那是不是把他的数据我带出来,就是像前面就其实和,前面那样,读取数据是不是就其实是一样的,对吧,就是这个样子,只是你把这一个部分,那个。
这种形式只是你把你把它放大,只是你把这一个部分,就是这个d d d t d声明,这一部分,放到了我们这那个excel文件的那个xml里面去了,然后你这个这个d d d文件的话。
就是你自己可能他那边就是服务器那边,能够访问到你的一个网址,的一个dt d文件的一个地方,就放到一个地方位置,就是这样子的,就是这个都和大家说过了,其实,所以这样的话也可以进行一个本地文件读取啊。
都是可以的,像就是说的那个那个cctf题目的话,它其实也是就是你上传这个文件之后,你要把它的那个它的flag,不是在一个文件里面吗,我们要把那个文件里面的数据带出来,然后你在这个对。
然后中就可以把它读出来,然后提交就可以了,自己创建了上传不了,好吧,哦对了,给大家分享一下,那个我们不是无回想的时候要把数据带出来吗,那如果是真实的环境的话,可能需要一个能够外网能访问到了一个域名。
但是如果我们只有一个内网,当然你们有服务器的话,就当我没说,然后有一个有一个叫做ng,就是这个东西的话。
它是有一个,现在没。
有一个免费的这里隧道管理,开通隧道,在这里立即购买,这个是个免费的吗,然后协议写到名称,虽然名称你可以嗯随便填,然后这个前置域名的话,就是到时候你生成的那个域名的最后一集,然后这个本地端口的话。
比如说我的就是这个嗯,然后你这个本地端口这里可能需要注意一下,就是你要把这个端口设置为,不合你其他的一些端口冲突的一个端口,比如说八零端口的话,可能就和你本来的一些服务的端口相冲突。
所以说你就把它改成一个你平常不会,就是你没有服务绑定到的一个端口,然后确认添加,然后确认开通就好了,开通之后他在这里的话,它会分配给我们一个这个域名,然后它是映射到哪了,映射到我们本地的那个。
我们刚才绑的那个本地端口,就是,这个本地端口,这然后这个时候的话可能要起一个tomcat服务,或者是起一个别的服务,你就去官网,其实我有写啊,我直接把那个打开给你们看就好了,嗯你们看得清吗。
我好像不能把他,可以,嗯首先就是注册页,这个我现在我现在说什么,大家知道吗,我现在说就是如果你没有买服务器,没有自己的一个服务器,然后你又想可能这种会显得差了一怎么办,就是能让外网能够访问到的一个地址。
然后又能存存自己的一个文件,就可以用这个这个的话,首先去注册一个账号,然后这里开通,开通之后你要选这个htp,然后它的域名,然后它的前置域名,它的本地端口,这个本地端口是跟你就是。
之后你如果是用tom cat的话,就是跟那个是进行一个绑定的,然后隧道管理这里有一个id,就是这个地方他会给你一个id,然后他有一个赠送的域名,就是这个地方,接下来你可以把这个客户端下载下来。
下载下来的话就是,里面你解压之后就是这两个文件啊,你就可以把它,就直接运行这个bat文件,在这输入你的那个这个客户端id的话。
就是你的隧道id,接下来的话可能就要下一个tom cat服务,那链接就是这个你下一个,然后zip的,然后把它解压,修改里面的这个,修改里面的configure server,点xml。
你就是把这个加上这个的话,主要是为了能够记录你的一个日志,就是你的那个访问别人访问过来,你不是要外带数据吗,所以你到时候它外带出来的一个数据,就是在这个logs目录下。
这个目录下的这个文件也可以去看一下,后面跟的是你具体的一个日期,第二个你要把你的一个htp端口,就是这个地方改为,你在那时候这里绑定的这个端口,就是比如说我这设置是8998的话。
你就要把这个端口就给pol pro protocol,我不知道读,就是这个htb,这的对应的这个端口改为8998,那我这就是选的8181,所以我就不用改了,然后再把它启动起来。
启动起来的话就是在闭目录下,对这个,这个文件把它提起来,骑起来之后,你看到这个就是这个start server starting,多少多少毫秒的时候,就说明你已经把它启动起来了。
然后你把你要先把它启动起来,然后再运行它的这个启动工具嗯,填入生成的一个隧道id,然后浏览器进行一个访问,这个访问这个域名的话,就是它分配给你的那个域名,然后我这里是404,是因为我把那个。
就是阿布吉汤pattern这个里面的文件都给删了,只剩下这一个,所以他找不到index,它不是默认去会去访问那个index吗,我把它都给删了,所以就他这里就是有一个找不到404,如果没删的话。
默认会出现tom cat的一个主页,接下来的话就在我这里是九点点二零,这个版本就是在这里这个地方,因为它运行的话是直接他去访问的一个url的,根目录,是是是在这就相当于我们的3w目录下,是这个地方。
所以把这个我们的那个d d d文件,放到这个地方,然后我们拍到了发,发送之后就可以去我们那个logs,这个里面去查看一下它的日志,这样的话就把它的一个数据给带出来了,嗯这样是如果大家没有熟悉的。
我家我今天是不是讲的太快了,然后,然后你们都不理,也不是,就我是不是讲的太快了,就是你们不知道我在说什么,这是什么,老橙子,你发的是什么,对就是将这个换成那个域名,对。
我刚才讲的那个主要就是为了外网能够访问吗,那大家还有什么问题吗,就关于刚才的那个这个这个周二中上传excel,以及我刚才说的这个这个文档,到时候明天会发给大家,因为我上面写的是嗯。
写的是那个靶场的那个什么,所以现在还不能发给你们,我其实也可以发,我到时候直接把它复制出来就好了,这有什么吗,哎大家还有什么问题吗,应该没有了吧,如果有问题的话就扣个一,如果没有问题的话,就打个二。
想知道下向上传为省格杀什么意思,看完内容肯定会审核,还有其他吗,没有啊,我们普通人把它上传上去,肯定不会像我们那样去把它改为一个gp,然后,然后然后再看里面是不是有个什么,它把它下载下来的话。
那就只是一个excel文档呀,就只是一个excel文档而已啊,感觉大家应该没有什么问题吧,讲的还蛮简单的,今天然后最后一个部分的话,就我们就继续往下推进了,最后一个部分就是开大一的修复。
以及我们的一个练习,叉叉一修复的话,方案一就是过滤我们用户输入的一个xml数据,比如说尖括号,然后那个连接符号,一些关键词,这种这个滴滴滴的一个生命的一个关键词,还有这个nt c声明的一个关键词。
或者是这种外部尸体,这个system和public这种形式,但是这种的话嗯不是很推荐他有防御二,能够很好的解决,在java里面的话,你只要加这三行代码,把他的这个diesel loy。
diesel loy dog type这个东西设置为true,然后外部普通实体设置为false,以及外部参数实体设置为false,java是这样的,然后在菲律宾里面的话,就是这个把它设置为true。
不允许加载实体吗,它怎么翻译过来的话对吧,把它设置为true,然后在python里面的话,就是这个样子的,就是把这个reserve entities等于force,我们可以来演示一下。
嗯这个代码的话就是已经修复好的。
然后我现在在这边加上我们前面,等那些披露的事实我就直接复制过来,然后再forward,这里的话它会有一个except。
我们看程序里面他会说文件提前结束,就他不会允许进到,这里他就已经结束了。
就不会进行解析嗯,可以看一下,这边也是没有的,你在p h p里面的话。
我们前面演示的是这个,然后是当他对force的时候,我是不是打错了。
也可以来看一下,哦我刚才好像都没有。
你重新看一下他的报错信息吗。
设置为真实才能有那个不好意思,因为在这的话我就直接把这个复制过来,勾一下,你们看一下我们的。
我这个单词,哦是这样子打的,是那样打的。
是这样的。
那就是这样子打的吧。
嗯我们现在去看一下,嗯这里就有了。
那现在我把它改为tru。
现在保存,先把它颗粒,再发送一次可以看到它其实报错也是不一样的,这里的话它报错是不能加载外部实体对吧,about to load the external entity。
在这里的话就直接是将这个设置为帧的时候,不允许使使用我们的d d d,就是他到就已经结束了,他后面的都没有判断,因为我们在这边使用了一个d d d嘛。
就是这两种内python的话,就因为没有一个环境,所以就不给大家演示了,都差不多,大家今天的内容还有什么疑问吗,网站会按什么来判定他是一个,像方案一的有绕过的办法,像方案一的话,如果你防御的好。
比如说它其实就是不允许加载外部,实体等等这种东西吗,如果他防范的好,就是这这种的话,是把它列为黑名单吗,如果他收集的齐全的话,那肯定也是要看的呀,如果他收集的不齐全的话,那肯定就会有效果的方法。
好吧我还想给大家看一下,就前几天那个cctf比赛,有一个大佬写的right up,但是嗯他现在删了,其实就和就是这这样的,就和这个是一样的差不多,只不过他在这里的话把数据带出来,把数据带出来的话。
其实就是我们这边这种无危险的这种形式嘛,照着写就好就行了,对了大家昨天的一个作业,昨天那个叉叉一li,这个大家有什么问题吗,到最后的话它是有一个就是要把它把这个地方,你不是要保存保存吗,保存文件嘛。
你要把它的格式保存为,而不是格式是u,那个编码设置为那个ut f钢板就好了,过滤用户输入的代码是怎么样的,就和你之前写那种xs s的那种防护,是一样的呀,就是把他们,如果是出现了这种。
它的输入里面出现了这些这些符号,这些尖括号这种东西的话,以及这种字符串的话。
你就直接一个提示说不能不能不允许使用嗯,这个或者是不允许使用啊,entity等等这种提示,然后直接退出就好了呀。
今天的课其实还蛮轻松的。
那大家剩下的时间的话就可以去做一下嗯,今天的一个作业,作业的话就是这个这个嘛。
这个47。105。7。
5。1g7 ,然后这两个都要做,就是有回旋和无回旋的都要做。
然后最终判断的话,就只要是说你能登录成功,登录成功的话,他也不会跳到登录成功一个页面,它只是在这里有一个弹窗,说你登录成功了就好了,那两家剩下的时间就可以去做这个八场,或者是去做昨天没有。
可能没有来得及做完的这个靶场,然后我的话就没有什么问题了,就没有要这样的东西了,嗯大家可以去做,你没有卡,你就是你就是嗯今天的课程结束了,然后我也没有有想要说的东西了。
所以就说如果大家剩下的时间花。
大家就可以去做一下这个靶场。
或者是前天给大家布置的这个实验,如果没有做完的话。
你不去你不去你不去,做了,那你发作业了吗,我作业都没有看,班主任又给我发两个,你觉得为什么不骄傲,梦凡吗,还是这个就是我记得这个要听,我头上没,保安实验室,哦你把把铲子给做了是吧,那你很棒哟。
嗯那靶场的有什么问题吗,没有什么问题呀,你看我问你,你问谁啊,这声音哦哦哦哦,我也哦,我没有对上号,不好意思,那既然你你就已经成了身为信号,那既然你都过了,那明天分享的话就可以说嗯不是最后一天的话。
就大家一起来讲嘛,那明天就你来讲哟,嗯哼可以吗,a s s f是哪个老师,p c r a f好像是刘老师啊,不对他不交流,林老师,明天留一个你的位置给你讲,那个白嫖客考研,奶妈还近视了。
就是那种他马上就是嗯对我把我本来给改了。
就是这里查看网页源代码的时候,它里面有一个说管理员这个二货,把口令存在那个那个目录下吗。
我把他删了,我就直接其实都是一样的,所以就直接给大家嗯登录就好了。
登录成功就好了,为什么还有那些为什么还有五个人,你们都是从哪里知道,如果你在学校里面的话,可能学校老师会通知大家,或者是社团里面都会有通知大家嗯,要么就是去一些c bf的一些平台或者是怎样。
他会有一些公告显示给我们,三,现在火嗯,现在火车上,你们都是学生吗,啊不是班主任有做过,问题是社会人啊,没关系,你们也会就是你们也会变成社会人吗,变成我们这种社会的家,你们也会到这一步到哼哼。
我可以下课了,不和你们瞎聊了,诊断零基础,那你问我呀,反应太慢了,好久都要查资料才能证,那你问我呀,啊还是不要没关系,你就问我呗,就问各位,就是任课老师呗,当然是为了好多,现在还好,现在还好了,就是。
学不会,太可怕了,好吧嗯是是可真,行吧,田战义不会他说的原话吗,原话就是叉叉,一不会就是本家占一,好吧,确实了,确实如果我没有给你们讲讲会的话,你确实可以找我说,你这你怎么长成这个样子什么什么的。
然后我就会改进吗,那个跟我说了之后,我就会,接受你们的建议,然后改进,好啦今天就到这啦,我就不和你们瞎聊了,然后你们如果有什么问题的话,就qq找我呗,那今天就下线下课了。
P35:第33天:课程考核讲解 - 网络安全就业推荐 - BV1Zu411s79i
so for me the day。
you to stay you,don't stay your man,哈喽哈喽,大家能听得到我声音吗,空灵是谁,天天团建一个人,好的哎对耶,你们今天好像没有交作业给我哈,那你们做了没有啊。
就是昨天说对这两道题你没有做吗,从我们的爱快过来给我来给我们快乐的那1年,所有的星球,我们多,亲爱的爱,爱情妙不奇妙,我的爱我爱我,你们都没有做吗,嘟嘟嘟嘟,昨天有约定好,就是来讲题目的那个还差得多。
什么东西还差得多,就是到哪一步了呢。
就是你到哪一步了呢。
怎么说还差得多呢,其他同学呢就是关于昨天的作业,没有人做吗,难道,这么晚吗,嗯那要不然你来分享一下,其他同学没有做嘛,都,是我这边网络有延迟吗,所以你们没有和我说话,昨天的作业应该还算是简单的。
然后你们有什么问题吗,所以就都没有人回答我,刚到学校哦,你们就是大学开学是吗,就是刚开学,好吧,那,那我不知道读你这个单词啊,就是,要不然你来举手来给我们就是演示一下好吗,就是s n i a l同学。
嗯你说句话,让我们看看来,嗯嗯能听得到,大家能听得到吗,嗯大家能听得到吗,啊各位如果听得到吗,嗯好好,他们也听得到,那你说吧,我开一下我的文档,啊就是说你有危险的吧,有回血的嗯对,怎么这么卡。
有危险的你先去先再抓个包,扎个包,开一下bp,然后点点,放放心吧,放心吧,放血放血,然后看他看他那个,看他那个看看那个叫什么来着,返回包,看他的返回包,嗯这样是吗,你的意思是对。
然后看到那个看到它显示的危险的,是armin的那个位置,然后啊这个位置,然后我们就就是我就我就出了个这个,然后我就在那边写这个,写这个这个叉叉一的东西,嗯嗯你就写这个,然后在那个人命的地方呃。
那个地方就是加上那个叉叉一,然后我的那个s n i a,然后就就就就就变上去了,这样是吗,还是怎么着,对对对,就这样,嗯老师,这就是吃到他回血的位置了,然后然后我再看一下,然后大家到这里应该没有问题吧。
然后就是执行那个啥s y s t e m,然后就就就是那个文件包含的东西,写上去就就完事了啊,你说啥s y s是就那个命令啊,就是这个就是这个,保一下,然后后面再加上那个那个我这,啊这个放在哪呢。
这个sister,把那个把那个叫什么来着,我看你,就放在那个叉叉一的后面嘛,这样是吗,对然后你换一下那个那个是二,是那个是我做无回旋的那个,你就把这个换成一,换成当前的这个对吧的那个。
然后就执行就够够一下,勾一下,然后就就解个码,就找到密码了,好的,你这个走了走了嗯,然后就就可以登录了嗯登录就完事了,是吧对就完事了没错,嗯那有同学没有听明白的吗,这,这个kk同学你分明就就在线嘛。
所以我我要点你哦,那你有听明白了吗,我以为都没有人,你在线,所以没人理我,那显然你在线的话,你就说说你理解了吗,就是明白了吗,他整个过程如果没明白,我们就让他再讲一遍,明白了是吧。
嗯这里就有一个login success,那其他同学呢,这这个题目还有什么问题吗,如果没有问题的话,就扣个一,如果有问题的话,就扣个二,好的,那kk同学月同学以及老橙子张喜同学,你们做了第二题吗。
你们有谁要来分享。
就是这个误会写的吗。
如果有人做了的话,就举手,没做为什么没有做呀,做不出来,是哪个地方出了问题呢,还是怎么着,你们关于这道题就是有想法吗,还是没有想法,所以不知道怎么做,好吧,你们想法就是发微服务器看日志。
访问服务器看日志,你是说访问我们这个靶场的这个服务器,然后看他的一个日志吗,自己的,嗯那你为什么会,有这个想法呢,昨天上课说的,嗯好吧,嗯我想知道就是其他同学就是是第一题嗯。
对第一题嗯做了吗,还是第一题也没有做出来,还是就第二题没有做出来而已,如果你是第一题没做出来的话,就打个一,然后如果你是第二题没有做出来的话,就打个二,第一题错了,第二题没做出来。
好吧,哦那看来大家第一题应该都没有什么问题,那有人分享第二题吗,我们,都没有,不会要不会有这个s嗯,我真的不知道读你这个名字,所以好像只能把你拼出来,就是s n i a l,然后来分享第二题吗。
没有其他的人做出来了吗,如果有同学做出来了,然后想分享的话,就扣个一呗,让我看见,大家第二题是出现了什么问题呢,就首先也是同样的嘛,就。
先抓个包试试看看。
然后这个时候我们点go的时候就是发出去,把这个包发出去之后,你会发现其实它相比第一问的话,就是第一个有危险的地方,他其实就没有把这个message就是message中。
我们这个uslam的一个内容回写给我们,他现在就只是一个code,就是你登录成功的一个,就是登录成功与否的一个code,如果你登录失败的话,它就是一个零,如果你登录成功的话,它就是一个一这样子的话。
他就没有把这个回旋给我们,这个message这个这个地方回信给我们,所以这里的话我们可能就是有一个无,就是它是一个无回响的嘛,叉叉一那个标题也有说,所以无悔线的叉叉一,我在课堂上,给大家讲过呀。
大家是哪个地方出现问题了呢,开了构造失败,我知道我知道你的问题,其他同学呢,出现什么问题了吗,就是关于无回血的话,我们为什么会想要ttd文件,放在网站根目录下吗,可以引用d td。
但是system连接不到,可以用dcd,在system连接不到自己服务器开的端口上,嗯什么意思,t t t文件放在网站的根目录下吗,对呀,你可以放在根目录下,也可以放在别的目录下。
只要是你能外网能够进行一个,我们这个17。105。7,5。1g7 能够访问到的一个地址就ok,阿帕奇日志上有访问滴滴滴的日志,那应该就没毛病啊,其实这道题直接拿我ppt这个来套就都行呀,我们只需要把。
只需要把这个地方改为我们外网可以访问的,一个u l l,然后后面存的是你这个ttt的一个位置,然后在这里的话,你把这个文件改成我们这个do log 2点p h p,然后这里的话也改改成我们那个外网。
能够访问的一个地址就ok了。
阿帕奇日上都有访问dt d的日志,就是python开的服务器收不到实体中system的请求,好吧嗯,那要不然就请个人给我们演示一下,那其他同学都没有做出来的话,a s i a l同学。
你要不要再次上台为我们展示一下,不是吧,你后来还没有成功吗,那你给大家演示一下吗,没关系就,因为其他同学都没有,都没有做出来,或者是有其他同学想要嗯分享,或者是看一下,看一下自己哪儿不行的话。
也可以上台,我们一起来看一看,没有人上台吗,好尴尬呀,没有人举手吗,嗯我今天下午自己试的时候,我发现就是那个啥,我不是给大家发了一个这个吗,但是我发现他我下午试的时候打不开,我不知道是不是。
是用的人太多了还是怎么着,所以说大家如果可以的话,还是自己去买一个吧,嗯还是,还是打不开好吧。
好尴尬,没有没有人没有人举手,要分享这道题吗,s s n i a o,你要不举手吧,我按着你的思路来走一遍,好吧,没有人举手,那我就自己想吧,但是我那个他开启不了,所以说如果你们谁有服务器可以借我的话。
算了,还是不要不要,就大家就直接看我的写的这个文档吧好吗,我给大家讲一下。
那首先第一题的话应该大家都都会了,然后我们就把它先过一遍嗯,首先抓个包,然后我们尝试更改这个username的值,其实我们第二关也是一样的,所以我们也可以进行,就是来试一下,把这个哦这里没有回血。
嗯你会发现它这边回响给我们的这个值,是能根据我们这边输入的。
就是在那个页面中输入的这个username。
而进行一个改变的,然后他这里的话又是能够解析,我们一个这种xml格式的,它里面就是一个user这个根元素,然后里面有两个嘛,一个是username,一个是password嘛,对吧。
嗯这个时候的话我们可以尝试来,就是看一下引入一个外部的一个实体,看看能不能把它引进来,然后我这里用的一个po的话,就是那个c e y e自带的一个pdd,然后我们发送之后就会看到那边已经有。
我们这个请求怪了,就是我们登录到那个c e y e d i o,就会看到这个请求,那么就说明它存在这个叉叉一个漏洞。
因为我们当前是我们是要干什么,是要上一次,昨天就是给大家说,就是想让大家能就是知道他的密码,自己登录进去,大家也可以尝试其他的一些。
比如说入口令什么的都可以,那阵的话我们昨天学了叉叉一的话,然后它明显这里也是一个叉叉一的格式这样子,所以我们就先就直接用就是叉叉一的思路,来试一下,刚才试了,也知道它确实是存在一个叉叉一漏洞的。
所以说那么我们就可以猜测。
他是去处理这个逻辑的时候去判断,就是是不是相等的时候,它的那个变量可能就存在。
我们去处理这个登录逻辑的这个文件里面,所以我们可以想到,就是我们把这个文件给读出来对吧,然后可能会看到它的一个登录的,登录了账户和密码,所以说我们就在这边的话,就其实是一个读文件的一个操作。
那读文件的操作的话,就像刚才我们那个同学有说过的,把这边加一个,dog type,any,然后这里面的话就是一个外部实体对吧,我们不能定义一个外部实体,然后这儿的话,其实一个外也不需要用到一个参数实体。
因为我们只需要把它就是带出来就就好了,因为它这是有回旋的,我们不需要再去,就是把这个数据带到我们自己服务器的一个,访问的url上面,我们就可以直接从这边来获取到它的一个信息,所以在这的话。
我们就只需要定义一个外部的实体,外部普通实体在这边的话,它的值的话,我们就一般用ph,那个就是为了防止它是有那个特殊符号的吗,为s6 s杠encode。
然后resource就会等于do login to 1,对吧,我应该没有打错吧,然后在这个username,这就是替换为这个remote,这样的话他能就他就在这边会回血吗,因为会回血给我们。
所以他就会把这个数据给带出来,我们go一下嗯,就和刚才那位同学讲的一样,然后进行解码就可以看到它的一个账户名,密码内无回血的话,就是我们如果输入刚才的这一套东西,他都是在这边是没有回血给我们的。
只有他的一个登录他的这个code的话,可能就是表明你当前它返回的那个值,是true还是false,那这里的话就用零和一来代替,如果是一的话,就可能能登上去,那他除了这个之外,这个是我们没有办法改变的。
因为它是通过后台进行处理,然后返回给我们的,我们没有办法从我们就是这边来进行一个绕过,只能说你把这个username以及password写对了才行,那这样的话。
我们怎么样把它的一个就是它的usm以及password,写对的话,我们也同样可以利用上一个的这个思路,就是去读取它当前的这个文件,当前处理逻辑,登录逻辑的一个文件,那在这的话,因为它是一个无回显的。
其实我们上课的时候也有说过,我们就直接看到第二部,首先前面判断的话是跟前面的步骤一样,但是我这儿好像不能给大家演示,因为我也不知道为什么他就一直打不开呀,你们这能打开吗,你没有装这个吗。
你们的能打开吗哦,我的就是一直在这边嗯,今天下午也是今天下午试了一下,然后他一直在是这个样子的,嗯所以的话我就可能不能给大家演示,就是它出来的一个效果,但是我这边都已经截图了,所以也是一样的。
这个代码大家应该都理解是什么意思啦,就是我在这边,对这个代码,这个代码是和我们ppt里面是一样的,其实就是这个本地文件读取无回显,这就是这个地方,然后他的dd t文件里面的话,就是这个。
当前它的值就是do logging 2点p h p,然后把我们这个file带出来,怎么样带出来呢,就是去请求在这里有一个在这个int的外部实体,啊,不对就是实体参数。
内部实体参数里面它有一个外部的参数实体,这个sand在这里的话,他是去访问了我们这个当前的域名,然后加上了这个的值,其实就是我们这个do log 2点菲律宾,它进行被464编码之后的值给带出来。
怎么样带出来了,你肯定要就是你这只是进行了一个声明,都没有调用,就只是这个file在这里进行了一次调用,你这个int以及这个send都没有进行调用,所以说我们可以在这个这个地方。
首先你肯定要先把这个给调用了,你才能获得他的这些其他的一些文件的声明,所以第一个写的话就是这个百分之d d d,然后一个分号把它调用,然后把他们的一些这个file int。
以及这个send的声明都应用进来,接下来的话我们就去调用这个int,在接下来的话我们就去调用这个sand,对嘛这个代码大家应该没有问题吧,嗯我这里也是一样的,然后可以在日志中怎么看看到。
就是因为我前面有给大家说,就是在我们tom cat啊,刚才有个同学说是不是可以放在,就是放在根目录下,那你一般就是放在根目录下就好了,你如果跟目录下不方便的话,你另外创一个,然后你把这个放到这个里面去。
那你在这个po的这个地方,你在前面加一个叉叉一就好了呀,只要是能够访问到的一个位置对吧,这都是无所谓的,然后昨天配置那个ng rock rock的时候也有说过,就是我们,config,然后server。
xml里面,就是配置了一下它的一个日志存放的位置吗,就是他会,存放到我们这个logo下面的,local local host seglogo,点后面后缀是点txt。
所以我们就可以来到他的一个日志。
去看一下,就是这个logs目录下,今天是多少号,13号,哦这个是我那个的,你看,我测试那天应该是昨天,昨天的话对,就是他的一个带出来的这个数据,它的流程就是这个样子,就是在这边set go之后。
然后这边可能是没有,就还是这个样子,但是你在我们的服务器上,服务器的一个日志中就可以看到,他带出来的一个数据同样进行解码之后,都会有它的一个,账户名密码其实和log给你一点菲律宾是一样的。
嗯我这就没怎么改,啥想法,你用这个服务器添加一个,看能不能用,什么意思,你用这个服务器添加魔法问问,可是,可是这个样子的话,你访问的日志的话也是在他那边的呀,那我们怎么看呢,你是说就是为了有一个服务器。
然后给大家演示一下,然后大家就把这个服务器,当成是我们自己的一个服务器,对这个意思吗,还是怎么着,那如果不是这个意思,你是说直接就是如果是嗯,我们并不是我们自己的一个服务器。
而是真实的一个的一个别人的一个服务器的话,你把在这个服务器上添加一个ttt文件,然后进行访问,那你数据也是看不到的呀,你最终还是要返回给我们自己这边对吧,大家有其他的一些思路吗。
或者是这个有没有听懂的吗,诶你们的这个东西能,登录进去吗,就是访问进去吗,就是这个,我为了给你们演示,专门找了一个结果,他现在又掩饰不成了,我真是服了,这个有发吗,我记得只发了pdf,对呀。
我只发了pdf呀,然后在pdf里面的话,有他详细的一个嗯部署的过程呀,你们就是没有去看是吧,我知道,就是那个pdf都没有去看,反正我每次发在群里面,你们也没理我,看了好吧,太麻烦了,买了个夫妻有没看完。
有服务器不打算有,为什么有服务器不打算用呀,那个封号linux你你说一下,你第二题为什么没有做出来,注册好麻烦,封号linux,你第一题做出来了吗。
然后你第二题做出来了吗,嗯第一题ok那第二题是什么原因呢,大家第二题,我刚才说的应该有懂吗。
有听懂吗,嗯这个的话我其实上课的时候有给大家,就是已经说过了,只是在这里的话,换成一个外网能够访问到的地址就ok了。
可能还是配漏的,我再试试,嗯好的,那你那你们用的是哪个po的呢,能发出来让我看看吗。
我们先把它复制到这边,高考后,有大家有人来就是来分析一下这个错误吗,就是这个封号linux这位同学的,我先把他的封号给加上,然后有同学能够给我们说一下,他的出现的问题吗,read错了吗,哪个read。
这个read吗,这个read是没有关系的,读的不应该是服务器上的东西吗,对,你这访问访问localhost是什么意思,你这样访问的话,用应该是去访问你自己搭的那个,服务器的一个位置,我们为什么要去访问。
自己搭了一个服务器的一个位置呢,因为你这个东西就是你存的这个d d d文件,在你搭的那个服务器上面,所以你要去访问这个这个e v l2 点gtd的话,那你就要你,你这样子,你就要把这个dcd文件。
放在你自己搭的一个服务器上面,然后你在这儿的话,你的一个地址就不应该是一个local host,而是你服务器的你自己服务器的一个位置,相当于是这个47。105。7,5。177来进行访问。
他为什么会访问呢,因为你在这儿就是你把这个发发给服务器之后,他那边不是会去进行一个解析吗,解析之后解析之后他发现他是一个这个root,这它定义的是一个外部实体,然后它的u i l是这个。
所以他就这边的话,应该改成你自己搭了一个服务器的一个地址,我这边就直接用叉叉叉叉代替吧,这个应该是,我们自己的e v a l吧,我们自己这边的一个位置,让它来进行访问访问。
我们这边我们这边存的一个dt d,因为它服务器上不正常情况下,是没有这种d d d文件的,是我们自己写的,所以要让它来访问我们服务器上的一个东西嗯,dog type,对对对,这里也写错了,就是。
做个type嗯,还是我复制错了呀,没有,这里要就是有一些细节的话,也是需要注意一下嗯,所以说在这这是第一个地方,然后第二个地方的话,你不应该是local host,是我你自己搭的一个服务器上的。
一个就是你存放ttt的一个位置,这个样子的话,这个司机他就会来访问这个e v l2 点ttt,然后在你搭的服务器上面,你把这个存成,你把这个存成一个vl 2点滴滴滴,然后大家可以看一下。
就是这一串有什么问题,这个就是在你服务器上存的这个d td文件的话,同样的一个地方就是你在这儿的话,不应该是去读这个文件了,这个是你本地的一个文件,你现在应该是读的是我们要把它。
我们要读取服务器上的那个文件,把它放在这边来,所以的话这里就是这个,do login 2点p h p这个样子,接下来的话你就把这个带出来,就是通过这边,然后给带出来,就是这个这个给带出来嘛。
通过到时候我们去那个日志里面,看他的一个访问的一个url l,我这么说你能听懂吗,或者是你根据我刚才我们说的这些,然后你改一下,然后看看能不能就是成功,还有其他的同学的一个就是我刚才说的,大家有明白吗。
或者大家还有其他的一个pload,然后想分享给我们,然后是自己没有做出来的,然后想让我们一起来看一下的。
嗯这是第一题,嗯好像,好像并没有什么问题的样子啊,嗯大家有看出来就是这个,嗯就是这个第一题大家有什么,就是他发的这个pada有什么问题吗,我好像也没有看出来有什么有什么问题呀,哦哦哦哦哦哦哦哦唉。
你可以哦啊对,对看完,哈哈我对嗯,那个这个应该是第二题的吧,这个地方你不能再去用一个htp这样子啊,你去看一下,就是我们之前学文献包含的时候,选文件包含的时候不是说过,而且这个是等于而不是杠。
就是read等于不是不是杠,你去看一下那个文件包含的时候,我们那个resource这边,不是他要读取的一个文件吗,你这不能再加一个htp,这样进行一个访问,你就加一个相对于我们这个当前这个路径下。
就是这个叉叉一路径下的一个文件就好了,那在这的话我们就可以直接使用一个相对路径,do login 2,因为它就是在这个叉叉一下,就是这个文件吗,所以我们就可以直接这样写,然后哦这个是那个滴滴滴文件是吧。
这个应该是没有问题的吧,这个是不是不要这个封号呀,就直接是这个样子的,但是有时候他这样是带不出来数据的,就是使用这种形式写的话,是带不出来数据的,所以说最好的话,就是按照这这种形式。
就是你在这个dt d文件里面再定一个实体参数,实体,而且你在这个sand,这就是我把这个放大,这个sd这也把它定义为一个参数实体,就是一个外部的参数实体,在这里就直接进行引用了。
好吧,还有其他同学的plog想发出来,我们一起看一看嘛,没有的话,那今天课程也九点了嗯,如果有的话,就扣个一,我们就等你,如果没有的话,就今天就得下课了,如果还想发的话,就扣个一,如果没有要发了的话。
就扣个二,kk小朋友,你是怎么,你是你怎么,刚开始说话,后面又不说话了,好吧,没有人理我,潜水,你们我以为是你们就是网络有延迟,所以我就以为是你们没有,就我还你们还没有听到我说的话。
原来你们就都不说话了是吧,就也没人跟我互动,就我一个人在这里瞎讲,好吧,那大家没有什么问题的话,每次等人说话嗯,但是我不是说如果有,就是有想要有想分享快乐的出来的话,就扣个一嘛,然后不想的话就扣个二吗。
你们也没有打呀,真听课还行吧,之后如果有什么问题的话,好之后有什么就是大家还有什么问题的话,就qq找我呗,那今天就先下课了。
P36:第34天:SSRF漏洞-SSRF简介及漏洞防御 - 网络安全就业推荐 - BV1Zu411s79i
大家能听得到我的声音吗,能听清楚声音的,在公屏上面扣个一吧,声音的话应该也清楚吧,嗯好的,那么呃我们正式开始我们今天的一个课程内容,我们今天的话主要讲的一个课程内容的话,是这个服务端的一个请求伪造。
也就是这个s s r f它的一个呃,是这样的一个英文的一个呃,仅仅写缩写就serverside request for glory,就是服务端的一个请求的伪造,这样子的一个攻击。
那首先的话我们先来了解一下它的一个漏洞,它是什么样子的一个漏洞,它有什么作用,首先我们先来看一下,先来了解一下什么是ssr,也就这一个服务端的一个请求伪造,就大家其实可能看到这个ssr的话。
可能会想起来,就是前面前面老师所讲到的一个cs rf对吧,他们两个的话其实挺像的,这样的话他们呃他们是有本质上的区别的,再等会的话会给大家做一个呃讲解,然后这个s cf的话,它是攻击者构造的。
这种令攻击链接传给服务端执行,然后造成了一个漏洞,一般的话是用来进行一个外网的一个探测,还有的话是攻击内网的一个服务,那我们来看一下这个图,这个图的话啊,比较好的解释了啊。
这个s s r5 它这样子的一个漏洞,它的一个利用以及它他能够做到的一些事情,就是说其实这样的一个一句话,能够概括这个漏洞,它的一个作用,就穿越穿越网络防火墙的一个通行证,就说我们呃应该大家都有了解到。
就是说一般的这种呃网站对吧,或者说呃你一个公司一个企业的一个网站,它啊你是能够去从外网访问到对吧,然后的话你能够访问到这个网站,但是你不能访问到这个公司,他的一些内网的一些好东西,因为它是有防火墙啊。
我们其实可以看到这个s sf的话,就是呃利用这样子的一个ssr漏洞的话,我们可以啊通过一些通过服务器来去访问,或者说去攻击内网的一个服务,那为什么他能够做到这样子的一个呃功能呢。
我们可以来看一下这个漏洞,它的一个形成的一个原因,大多的话它是由于服务端提供了,从其他服务器应用获取数据的一个功能,然后的话他没有对目标的一个地址,做严格的过滤性质,然后的话我们来呃理解一下。
这一个从其他服务器应用获取数据,这样子的一个功能,这个功能的话其实啊我们也是经常能够去见到,也也能够去使用到,就说啊比如说我们的一个服务器,比如说我的啊我们的这样子的一个网站对吧。
我这里的一个网站我反问我访问之后的话,我的比如说我这里的这些图片对吧,这图片的话,在这里的话是放在我们的这个服务器上面吧,如果说如果说你的这样子的一个图片,它是啊托管在其他的一些服务器上面啊。
他不是给你的一个网站服务器在一个服务器,所以的话他需要通过这种呃链接对吧,通过一个链接的一个方式,来去远程的去加载另外一个服务器上面,或者说图片服务器上面的这种资源,然后的话如果说他没有对呃。
这里的就说请求这个图片资源的这个呃链接,这种目标做一个限制以及过滤的话,就会导致这样子的一个s sf的一个漏洞,我们可以利用啊,我们可以利用我这里的这个网站服务器,然后的话来去呃攻击。
利用其他的啊去访问其他的一个资源,然后这里的一个呃,这里的一个目标的一个地址的话,我们可以去使用到内网的一个地址,如果说他能够去允许,去访问到内网的一些资源的话,好的话这样子的一个过滤限制。
就是说它没有对我们的这样子的一个呃,请求的这种资源,就说请求其他服务器的这种资源啊,这样这样子的一个链接,或者说这样子的一个url做一个啊,限制他限制的话,好在后面的一个漏洞的一个修复会有讲到。
就是说啊,比如说我们要限制,他不能够去访问到内网的一些ip对吧,因为它它呃因为他这一个服务器,它去获取到的那些资源的话,它可能是存在内网的一个服务器上面的,所以说如果你要去获取到内网,服务器的一个资源。
你需要去通过这样子的一个链接对吧,通过这样子的一个i p,然后的话你没有对这样子的一个ip,做这样子的一个性质,就说啊,因为你一个内网,你有其他的一些ip嘛对吧,然后的话我们可以伪造这样子的一个。
就是伪造这样子的一个请求的一个目标,由我们的这个就是含有漏洞的这个服务器,向我们指定的这个目标发送这样子的一个请求,比如说访问内网的一些ip的一些呃,端口以及服务。
然后的话最常见的一个例子就是攻击的攻击者,它会传入一个这种未经验证的一个url,然后的话后端代码,它直接去请求这样子的一个url,然后的话会造成这样子的一个s3 f漏洞。
就是说呃我们这里的一个url的话,是攻击者能够去可控的对吧,然后的话这个呃url可控的话,并并没有对它做一些过滤以及限制,所以的话我们呃能够去进行一个应用,然后的话会导致这样子的一个漏洞。
然后的话就是我们来区分一下,ssr f与csr的一个区别,据说csf我们其实上之前的课程的话,讲到了,就是说它是一个跨站的一个请求伪造对吧,cross site request forgery。
然后他在这种夸张的一个请求伪造的话,它一个发生的条件是,就是说当我们用户在比如说一个a网站对吧,你登录之后有这样子的一个登录的一个状态,然后的话攻击者呃,就是呃发送像这样子的一个用户。
发送呃一个2亿的一个网站,这个网站呢就比如说一个二一的一个链接对吧,然后他访问这样子跟链接的话,就访问到了我们的这样子的一个二,还有恶意代码的一个网站b,然后这个网站b的话,能够去劫持用户的一个浏览器。
然后的话以用户的一个登录的一个状态,或者是身份来发送啊,就是不是本人用,就是不是用户本人操作的一个请求,就是说嗯,然后的话csf的话,它是服务端没有对用户提交的一个数据。
进行一个这种随机值的一个交易对吧,就是说他没有而校验你的这样子的一个,数据的一个来源,好的话,没有对我们的一个htp的一个请求包,就是常见的这种raf字段是吧,来进行一个校验。
然后的话攻击者可以利用这样子的一个csf,来利用用户的一个cookie信息来去啊,进行一个伪造用户的一个请求,来发送到指定的一个服务器,然后的话s s f的话,它是服务器对用户提供了一个可控ur。
我过于信任,就是说呃s sf它是呃利用的,就是啊,用户就是利用的是服务器对用户提供的一个url,就是过于信任,然后的话csf他是,呃,是什么来着,突然忘记了,而是对用户的这个这样子的一个请求。
是过于信任,他没有验证用户的一个就是一个呃身份,就说没有对用户提交的一个数据进行一个验证,然后对它的一个这种请求的话过于信任,所以的话会导致这样子的一个漏洞,然后s3 服他没有对攻击者提供了这种url。
进行一个呃限制,以及检测它的是否是一个呃正常,或者说是否是没有恶意的一个呃请求,好的话,我们可以用s s f来啊,以这种还有这个sf,还有这种s sf漏洞的一个服务器,以它作为一个跳板来攻击内网。
或者说其他的一个服务器,i s s5 ,它攻击的一个危害,就危害的话就是我们可以通过呃获取web应用,可达服务服务器的一个banner信息,好的话收集内网服务的一个指纹信息,以及内部网络。
还有端口的一个信息,唉如果它存在这样子的一个s s f漏洞的话,对吧,我们可以通过啊这样子的一个服务器来去啊,访问他能够去访问到的这种啊,服务器的这种资源,就包括说内网的一些资源,好的话。
我们可以通过一些啊url的一些协议,来去对内网的一些ip以及端口,以及服务的一个信息做一些收集,呃这个的话在后面会有介绍的,第二个的话就是呃,攻击运行在内网的一个系统或应用程序。
然后对行业漏洞的这种内内网服务的话,实施攻击获取获取外部需要,这个的话其实呃比较好理解,就是说我们呃其实在内网的一些服务的话,它不像在外网的话有很严格的一些限制,而在内网的话。
呃你的一些就是一些安全的一个力度,其实是啊,相比于在外网的一些应用的话是不足的,就说它会存在这样子的一些啊,比如说未授权的这种内网的一些服务对吧,他没有做一些呃测试,然后的话我们就可以利用这样子的一个。
s sf攻击去访问到内网的这种,还有漏洞的一些服务,然后的话我们能够去通过啊s2 ,像这种内网服务,发送我们的这种啊payload来攻击它,来获取到他的一个web share。
所以说的话我们如果说你能够正好能够去进啊,正好去利用到这样子的一个漏洞,来攻击到了内网的一个服务的话,我们可以直接啊就是绕过防火墙对吧,直接穿透防火墙来进入到目标的一个内网。
第三个的话就是通过这种url项目,来读取内部的一个资源,或者让服务的一些执行相应的一些攻击动作,然,像比如说在内网的话,有就是说内网的话有像这种我们之前有说到的,就命令执行的这种。
struck two的这种命令执行对吧,还有的话就是呃之后会有讲到的一个release,的一个未授权,就是说我们可以通过啊,因为在内网里面的话,这种缓存对服务器的话,一般都使用这种radish嘛。
然后的话它会有存在有大量的这种radio,然后的话它的一个授权的话,他没有做这样子的一个严格的一个进群,所以的话我们能够去通过他的一个未授权的一,个访问来get shell,就包括说呃。
像我们的一个像我们的一个网站目录,写我们的一个shell,以及通过电视任务来谈一个bash shell回来等等,在后面的话会有介绍的,啊那前面介绍了,就是说这一个s肉段它的一些嗯,就基本的一些原理。
然后的话它形成了一个原因,以及csf它的一个区别,下面的话我们来就是了解一下,就是说这样子的一个是s rs漏洞,它存在于哪些场景,也就是说我们能在哪些地方,哪些功能点上面去查找到这样子的一些。
去寻找到这种这种sf的一个漏洞,就说这样子的一个漏洞场景,首先第一个的话,就是从我们的一些web功能点去寻找,首先第一个的话就通过我们的一个web的这种url,地址的一个分享网页的一个内容。
这样子的一个功能,然后这种功能的话就是呃,其实我们就是访问这种网站对吧,反正网站的话他有就说你发,你查看他的这样子的一篇文章,这篇文章的话有这种分享到微博啊,空间等等的这样的一些信息啊。
不是这样子的一个功能对吧,然后他的在这样子的一些分享功能的话,然后他会就是说通过啊,你给定的这个就是网站对吧,然后他会通过目标地址获取到,你给定的这个网站,它的一些开头啊。
还有就说一些图片等等的一些内容,然的话,如果你没有对你的这样子的一些,就是说通过指定的这种链接,给定的这种资源,你们要对它做一些限制过滤的话,就可能会存在这样的一个s s f漏洞啊,比如说在这里的话呃。
我这里的话是啊,就随便找了一个那个free buff的,就说经常去看他的一些文章嘛,他底下的话就有这种啊,分享分享到微博空间等等的,这样这样子的一个功能对吧,然后然后他的一个请求包的话。
其实就是像这样子的一个请求包,就说你分享过去之后的话,比如说我分享到微博对吧,分享到微博之后,他后面的话就是会携带这样子的一个,url的一个参数,这个参数的话哦,还有其他的一些参数,比如说开头啊。
还有这样子的一个p i c,就图片的一个链接等等啊,url 2的话就是你这篇文章的一个地址对吧,title的话就是在这里啊,比如说这个这篇文章的一个呃,就是标题就在这里对吧,然后还有的话就是一个图片。
图片的话就是说它会获取到你啊,就是你分享过来的那个网站,它的这样子的一个图片的一个啊资源,然后他的一个资源的话,就是体现在这样子的一个url链接上面,就说这个图片的一个链接好,在这里的话。
你可以把他的这样子的一个p p i c的这个,图片链接对吧,把它改成为啊我自己的这样子的一种图片,或者说指定的一个嗯,指定的一个图片的一个资源,那样的话我去进行一个发包的话。
是能够去获取到我自己服务器上面的,这种图片资源,然后的话你也可以说去啊尝试,就是说去尝试去进行一个访问它的,一个内网的一个ip对吧,就说啊大家对内网ip有概念吗。
就是说内网的一个ip的话,它是有这样子的一些网段的,呃。
常见的一个内网ip段,像比如说我们的一个1920168对吧,还有的话172。16,还有一零,它是有abc 3类的,就是说常见的这种内网的。
比如说我们在这里,查看自己的一个ip地址,所以一般的话呃,一般的话都是1920168开头的这种对吧。
这种的话就是一个内网的一个地址,然后的话还有就是172。16。
这样子的一个网段。
这样的话提一下,可能有些人不是很分得清楚,好的话,在这里的话,我们其实可以去尝试去尝试修改,我们的这样子的一个资源,修改为一个内网的一个ip地址对吧,如果说它这里存在这样的一个漏洞。
他就会去请求我们这里,给定的这样子的一个ip地址,给定的这个ip地址的话,呃,就是我们啊自己去进行一个构造的,当然的话前提你是啊,就是不知道他的一些内网的一些资源的,所以说这里的话。
如果它存在这样子的一个漏洞,我们可以通过去进行一个爆破,就包括它它的一个内网的一个ip ip段哦,我们通过他的一个就是说他会去请求,我们这里给定的一个内网的一个ip资源对吧。
如果说存在这样子的一个i p,然后指定的这样子的一个资源的话,就说明啊它存在这样的一个漏洞,能够去访问到内网的一个指定的一个ip,然后的话我们可以通过这样子的一个漏洞,来去爆破它的一个内网的一些ip段。
然后这里的话呃我这里试了,就是说他去请他啊,我这里改成我自己服务器的一个ip地址对吧,就是一个图片,然后的话进行一个发送的话,可以看到在这里的话,他会去请求到我在这里的一个服务器。
这里的一个啊qr code,点pg的这样子的一个资源对吧,然后可以看到它是从这,从这样子的一个链接过来的,就是我这里的好发送过来的这个包,这个链接过来的,当然的话这里的话它是呃。
就是呃以这样子的一个例子,来给大家做做一个解释讲解,就是说他会去对我们这里给定的这样子的一个,链接去进行一个请求,然后获取到啊指定的一个服务器的一个资源,然后加载到这里来对吧,那么我们就可以去伪造。
伪造他这种请求的一个地址,伪造成其他的一些资源的一个地址。
那这样的话大家其实呃这样的话大家,看一下。
这个的话是我挺早之前就随便找了一篇文章,然后这里的话不是有个这样子的一个功能嘛,对吧,就分享到一个微博,然后一般的这种分享的这种的话对吧,可以看到在这里的话它会有这样子的一个图片,而这个图片的一个地址。
就是这样子的一个地址,然后我们其实可以通过抓包,然后抓包的话能够抓取到这样子的一个,抓取到这样子的一个请求,就它里面的话就携带了这样子的一些内容,而这些内容的话,它是从指定的一个啊链接上面去获取来的。
当然话这样的话它是大家可以去尝试一下,这样的话是呃,他没有没有这样子的一个s sf漏洞,我只是以这个为例子讲解一下,就是抛砖引玉,介绍一下这一个从医这种药的地址,分享这种网页内容啊,他其实这里的话。
它其实是有请求,我这里的一个服务器的一个ip地址的,当然的话也可以去请求其他的一个外网的一个,服务器的一些资源对吧,但是的话对于内网的一些呃资源的话,呃大家可以去进行一个尝试,就如果去进行一个爆破的话。
呃就比较麻烦,那我们呃,再看一下第二个,第二个的话就是一个在线翻译,就是说呃我们常我们常见的,像那种百度翻译对吧,还有有道啊等等这样这样的一些翻译,它其实有这样子的一些功能。
对就是这是一个百度翻译对吧,它你可以看到它这里可以输入文字网址,还有图片文档等等对吧,那这里可以允许你输入网址,啊这里网址的话,我们啊随便找,诶,就说这里的一个百度翻译的话,他可以去翻译呃。
就说你指定的这样子的一个网站,我发一个网站,找个英文网站嗯。
然后可以看到我这里的话,输入这样子的一个url地址对吧,输入这样子的一个网址,然后它这里有这样子的一个功能,就是能够把我这里输入的一个指定的一个啊,url的一个内容,把它翻译成一个中文对吧,啊。
其实在其实在这这样子的这样子的,一些功能的话,它的一个原理其实就是他会去,首先他会请求你给定的这样子的一个,二楼沙发吧,我们可以查看一下它的一个请求包,其实啊可以看到在这里的话。
它是我们这里输入的一个网址对吧,然后他会以这样子的get请求去查询,就是这样子的一个网址,我们这里输入的一个网址,那他查询之后的话,它会返回这样子的一个呃内容,然后他返回这个内容的话。
它是呃要返回你这这样子的一个指定的,这个网站对吧,那么他首先就需要去请求这样子的一个网站的,一个这种网页的一个资源对吧,然后的话他再去用它的一个翻译的一个服务,对它进行去进行一个翻译。
所以说在这里的话呃,它也会有存在这样子的一些asset up漏洞,它你没有对这样子的一个啊,这种你这里输入的这种链接,这种url地址做一个过滤的话,就会存在这样子的一个漏洞。
就比如说你这里可以尝试使用一个内网的,一个ip对吧,然后这里是如果说它这里的一个服务器,它允许呃,他有允许去访问到,内网的一些ip的一些资源的话,那么它会存在这样子的一个漏洞。
当然的话你需要去就输入到啊,你要确定你能够,你要能够知道他内网的一些ip的一些网段,然的话你再去啊对这些网站去进行一个呃测试,因为我们知道就是内网的一个网站的话,有很多的就刚刚有看到。
它的一个是它的一个这种啊,他在这样子的一种ip的一个数量的话是很大的,然后的话在这里其实呃你们也可以去尝试去啊,去尝试输入你自己的一个啊地址对吧,输入你自己的你服务器的一个啊页面。
然后的话你去进行一个呃翻译,翻译之后的话,它会有这样子的一个请求,就这个请求的话,他是从啊这个百度翻译的这样子的一个服务器,去建一个发送的,然的话他会请求到你这里,给定的这样子的一个呃链接。
然后他获取到我这里的一个资资源内容,之后的话,再去进行一个翻译,可以看到有这样子的一些呃,这里这样子的一个请求,好,第三个的话就是通过呃要地址加载与下载图片,就这个的话其实跟前面也是类似的。
就是说在这种就是通过要地址去进行,而加载这种资源的话,就呃很有可能会存在这样子的一个漏洞,他没有对这样子的一些呃有严格的限制,然后还有就是图片的一个文章收藏的一个功能,就说你去啊收藏这样子的一个文章。
对比如说你去啊收藏到啊印象笔记对吧,然后你去收藏当于印象笔记的话,他会呃你们有用过的话,他会把,就是他会把你给指定的这种文章的一个内容,然后它会把它给保存到你那个,印象笔记的里面啊,印象笔记里面去。
然后它其实就是把你给定的这一个啊,要地址里面的这种文本的一些内容对吧,然后把它给放到了,那你那个印象笔记的一个呃内容里面去,所以说的话它中间就有这种去向指定的,你改变这种url地址去进行一个请求。
里面的一些title,还有文本内容,然后的话再显示出来,啊,第二个的话就是从ur的一些关键字,去进行一个寻找,像比如说这种小啊,还有像这种url对吧,因为呃像这样子的一些关键字。
后面的话他啊通常会去接这种啊链接,就说去接啊,常见的这种请求资源的这样子的一些啊链接,就是说通过这样子的一些参数,当然的话还有其他的一些,就是呃看实际的一个功能点的一个不同。
然后最后的话对前面做一个总结,就是说这种ssr不漏洞,它常见的这种场景的话,首先第一个就是能够对外发起这样子的一个,网络请求的这种地方,比如说我们啊啊这种下载图片对吧,还有就是啊获取指定服务器的一些图。
片的一些内容对吧,像这种地方的话,就很有可能存在这样子的一个漏洞,第二个的话就是从远程服务器请求资源,就说从我们的一个啊指定的这种啊服务器,去请求这种文本的一个内容,还有像这种图片资源是很常见的。
那我们去去寻找这样的一个漏洞,大家就啊注意去观察这样子的一些啊功能点,第三个的话就是呃漏洞的一个利用,就是说我们怎么去利用这样子的一些漏洞,然后在这里的话呃,首先的话带大家一起了解一下。
就是说这样子的一些协议,一些url的schedule的一个协议,就是我们在常啊经常会去使用到,这就说在ssr f漏洞里面的话,经常会去使用到去验证的这样子的一些协议。
首先第一个的话就是这个dictor的一个协议,这dk的协议的话就是一个字典服务器协议,其实从字面意思的话也能够知道,就是啊我们在s2 当中的话,可以去使用到这样子的一个dt协议。
来获取我们的一个目标服务器上面,端口运行的一个服务,版本的等等的这种banner的一些信息,好我们看一下这样子的一个例子,一个的话就是一个本地利用,这里的话使用的是一个cl的这样子的一个命令。
就是说这个命这个cl的话,它其实是一个命令行的一个工具,它的一个作用的话就是用于发出这种网络请求。
获取数据,其实就是说你在命令行上面的一个啊。
可以达到像浏览器的这样子的一个功能,就是说去好访问,去请求你给定的这样子的一个啊链接啊,然后的话再获取你给定链接的一个,这种数据资源,这个的话是呃经常去使用到的,这样子的一个命令,in what um。
就cl这个面的话是啊,一般的话都是默认都有的,然后这里的话有一个杠v的一个参数,就是显示我们的一个就是我们的一个呃,对指定资源的一个请求的一个详细的一个过程,以及信息,这句话我使用这个dk的协议来去啊。
访问我本地的,来去探索我本地的,比如说啊一个3306的一个端口,就说我们的一个数据库的一个端口对吧,然后我们这里去进行一个访问啊,打错了,进行一个访问,访问之后的话,可以看到上面这里的话就是呃。
我们对这样子的一个请求的一个过程,就说他会去请求这样子的一个啊啊链接对吧,然后去请求我们的这里给你的这一个ip地址的,这个3306的一个端口,然后在这里的话,可以看到它这里返回了这样这样子一串信息。
这样的一个字符串,这个字符串的,我们其实可以看到这里有一个mary db对吧,乌班图啊,1604,这里的话其实就是显示了当前的这一个数据库,的一个版本的一些信息,它是一个5。5。5啊啊。
不是他是一个mary db的一个呃十点的一个版本,然后的话当前的一个系统的话是一个乌班图,16004,我们可以看一下,可以看到我当前的这样子的一个呃数据库,是一个marry db。
一个十点的一个版本对吧,然后我当前的一个系统版本的话,是乌班图的一个1604的一个版本啊,其实我们可以看到,我们通过这样子的一个dt协议的话,能够获取到就是说指定的一个ip地址,指定的一个端口。
上面的一个服务的一个版本的一些信息对吧,那么我们可以尝试一下使用啊,就是访问其他的一些端口,比如说嗯8080的一个端口,没有关,有诶哦,这里打错了,d i c t dictor,你好。
在这里可以看到的话,我这里访问啊,我本地的一个24680的这样子的一个端口,然后的话可以看到它这里返回了,这样子的一个信息,是一个ssh二点对吧,然后我这里的话是使用的这一个端口。
是一个s区的一个服务的一个端口,所以说我这里去进行一个探测,指定的一个端口,然后他给我返回了一个这个端口,上面所运行的一个服务的一些信息,这就是一个这个dict协议去探测啊。
指定ip端口的一个这种banner信息的一个啊功能,然后的话再应用到我们的一个s f里面的话,就是说我们就是说下面的一个远程的一个利用,就是说我们前面知道,就是说如果说它存在这样子的一个。
s sf漏洞的话,我们可以通过,就是说他请求的这种资源的一个链接地址,它是可控的,那么我们可以去进行一个伪造,伪造成我这里指定的这种啊,一伪造成我这里的,比如说这个dictor啊。
指定的这个ip是这个等一个二二十二端口对吧,然后然后的话我去进行一个发送,发送我的这样子的一个请求,然后我们这里的这个啊服务器,这个这个服务器的话,它就会去啊以这一个dict协议去啊。
请求指定的这个ip的22号端口,好的话,它就会返回这个指定的22号端口,如果说它存在这样子的一个端口,就说这个端口是开放的,那么它就会返回这个端口上面的这种啊。
服务器的一个版本的一个信息。
这么卡呢。
而我这里的话访问的是嗯。
我这里的话是访问的这样子的一个网站,就是说这个网站对吧,它存在这样子的一个s s s s f的一个漏洞,好的话,我在这里的话,我去啊发送这样子的一个请求,我这里修改它的一个呃,请求的一个地址为我这里。
而我这里的这一个dict协议的,这样子的一个地址,然后的话我去进行一个请求的话,可以看到可以在这里看到能够探测到啊,指定的这个远程服务器,它的呃端口的这种banner的一个信息。
就是说它的一个版本的一个信息。
以及它服务器的一个信息,然后还有其他的一些端口。
在这里的话我就不一一的去尝试了,这就是一个啊dt协议的一个使用,好第二个的话就是一个fire协议,fire协议的话,其实前面也给大家已经有介绍了,就说它是主要就是用于文件系统中的一个内容。
的一个获取读取,就是说访问我们的一个文件系统当中的,一个文件的一个内容,啊这里的话其实就是,就是利用到这样子的一个file协议,去读取我们的文件系统中的一个内容,这样的话我以还是以这个为例子,比如说。
我这里想要去读取到指定系统中的一个etc,下面的一个password的一个内容,那么我们可以使用到这样子的一个file协议,去进行一个读取,然后的话因为它这里存在这样子的一个漏洞。
这样这样子的一个sr sf漏洞对吧,他会去请求我们这里给定的这样子的一个啊,这样子的一个链接,然后的话他会请求我这里给定的,以这个file协议的一个链接,然后的话获取给定的这一个啊链接的一个内容。
然后的话再返回给我们,可以看到,在这里的话是能够获取到它的一个啊,password的一个内容,这就是一个file协议,好的话,第三个的话就是这个go f协议,就go f协议的话呃。
在后面的话去进行一个漏洞的一个应用的话,会经常会去使用到,就说像比如说这种radius的一个未授权,然后的话go for的话,它是一个就是万金油的一个协议,他什么都能够去进行,一个就是什么都能干。
就他能够去发送到去,就是说在后面去进行一个漏洞啊,应用的时候,我们就会去使用到这样的一个篝火协议,来向指定的这种在内网的一个服务,比如说release的一个未授权,我们需要向他发送我们的一个pload。
然后的话发送给release去进行一个执行,就会去使用到这样的go f协议,而这里的话我们可以看一下。
比如说我在这里。
好卡呀。
比如说这里我使用一个c l l来去啊,就发送这样的一个请求,这个请求的话是啊利用gf协议,然后的话他请求在一个地址的话,是我这里的一个服务器的一个地址对吧,请求的一个端口的话是呃6789。
然后后面这里接的话,就是我们利用这一个篝火协议,去传递的这样子的一个内容,然后这里的话是一个hi everyone,this is just a test对吧,然后中间这里的一个0%a,还有20%的话。
就0%a的话就是一个空格嘛对吧,哦不对,0%a是一个换行,20%是一个空格,就它是一个诱饵的一个冰嘛,然后我在这里的话,我去进行一个呃,首先我需要在这里啊,因为这边的话,它没有开放这个这样子的一个端口。
所以的话你直接去进行一个访问的话,他肯定是不会有信息的,我在这里的话使用一个,我在这里使用nc来今天这样子的一个呃,6789的一个端口,然后的话我再使用这一个go f协议区,进行一个访问。
或者说去发送我这里的一个内容啊,其实我们在这里的话可以看到,在这里的话接收到了,从这里的一个服务器上面所发送过来的内容,这个内容的话就是像这样子的一个hi everyone。
this is just a test这样子的一个内容。
就是啊勾否协议,然后第四个的话就是s sf in ph p,在这里在这里的话,我们主要的话就是给大家介绍,就是说在菲律宾当中所导致的这样子的一个,就说啊,导致就存在这样的一个哈萨沙漏洞的。
这样子的一些原因,好的话是有什有什么样子的一些功能,或者说菲律宾当中的一些函数使用不当,然后导致的这样子的一个sf的一个漏洞,首先的话我们可以看这里的话,我列举了三个。
就是说这里的这三个函数如果说使用不当的话,而十分的容易导致存在这样子一个漏洞,首先第一个的话就是这个crl e x e c,然后第二个的话就是这个发get contains。
第三个是这个f sock open,下面的话我们111的对它做一个介绍,所以第一个的话就是这个c r l e x e c,就是我们从这个函数它的一个啊,就是名字的话。
也能够知道它是使用的这种cl的一个方式来去,呃,请求我们指定的一个资源,然后这个函数它的一个作用的话,就是我们从前端传过来的这种url对吧,它会被后台,如果是,如果它后台使用的是这样子的一个函数的话。
它传到传递到这个函数的话,它就会指定的这个要要去进行一个请求,然后的话把请求的一个结果又返回给前端,也就是返回给我们的一个啊浏览器的一个页面,对吧,奥特曼啊,我们他都这样子的一个协议。
我们如何去进行一个啊,就是有,就是说如果说它是它的一个后端,它是使用到这样子的一个啊函数,然后的话它没有啊正正确的一个进进行的一,就是没有正确的使用这样子的一个函数的话,我们能够通过什么样子的一些。
方法来去进行一个攻击以及利用,那这样的话就需要使用到,我们前面有说到这种啊dict这种协议,然后同样的我们在这里的话是使用这个协议,来对我们的一个内网的,内外网的一些端口进行一个探测。
探测它的一些版本信息等等,好在在这里的话,我以这个为例。
啊这个这个的话就是那个把机啊。
我忘了说了,就那个把机这个s的一个漏洞理解对吧,然后这里的话已经给了有这样子的五个啊题目,然后第一个这个cl的理解的话,它就是使用使用到的这样子的一个c l e x,e c的这样子的一个函数啊。
其实啊这样的话我有给了这样子的一个,就是大概写了这样子的一个简单的一个界面,那这样的话给了这样子的一个源码,就是说这个题目的一个源码就在这里的话,主要的话就是这个是要ex 1 c的一个函数,然后呃。
前面的话就是就通过这个u r l的一个参数,对吧,获取用户传递的这种链接,然后传递过来之后的话,就用这样一个c l e x e c去进行一个请求,然后请求之后的话,他会把请求到的一个内容。
然后进行一个输出,就是echo就输出到我们的一个页面,好在这里的话,在这样的话要提一点的就是cl的话,它不仅仅就是支持这种htp,还有h h t p s的一个协议,对我们前面利用这个cl去访问。
指定的一个web的一个页面对吧,然后他其实还支持其他的这样子的一些协议。
在这里的话我们可以使用这个c,杠v吧,非要杠大v这样子的一个参数来查看到,就说这个cl这个工具的话,它能够就是支持有这样子的一个协议,有这么多的一些协议。
像比如说dictor file ftp ftp啊,就是文件传输嘛,还有我们那个勾符啊,h p h p以及常见的像这种pop 3就邮件服务的,还有sb以及tnt等等的这种协议。
我们都能够使用这样子的一个cr 2,来去利用这些协议来发送我们想要的一些请求。
那这里的话我们看一下这个,啊这个概述的话,我这里就是呃以文字的形式对应,s35 做了一个基本的一个介绍吧,那我们先看一下第一个题目,第一个题目的话我们可以看到就是我这里访问,访问之后的话。
它返回了这样子的一个内容对吧,返回了这样子的一个内容,然后的话我们其实从页面的话,从页面上的话没有发现什么特殊的一些地方,而我们主要的话看这里就看它的一个链接,我们前面有说到。
就是说啊他有这样子的一些就是关键字对吧,我们常见的一些关键字,比如说url,还有其他的一些啊,就说后面接,后面接我们啊的一个链接的这种关键字,然后这种关键字后面的话。
通常的话会接这样子的一个呃逆ip url,而这个url地址的话,就是他要去请求的这样子的一个url地址,而在这里的话,它是请求到了这样子的一个资源对吧,我们可以直接去进行一个访问,对吧。
它它的一个资源内容的话,就是这样子的一个歌词,歌词的一个内容对吧,那么在这里的话,我们就可以去进行一个ss漏洞的一个测试,而测试的话我们首先就要啊,想到就说我们要测试它的什么什么。
什么样的一些内容来去对它进行一个验证,首先第一个比如说我们请求一个其他的一个啊,在这里的话,可以看到它是能够请求到其他的一个资源的,对吧啊啊没有,他是同他是在同一个服务器上面的对吧,是在这里的话。
我去尝试去请求一下,其他服务器上面的一个资源,说呃,啊就我就访请求啊,这个这个ip地址上面的一个啊资源,然后我去进行一个啊访问,访问之后的话,可以看到它在这里的话,显示了这样子的一个内容。
而这个内容它是从哪里来的呢,我们来访问一下这样子的一个地址,这个地址的话,可以看到它的一个网页的一个内容的话,就是这个内容,那么我们从这样的话能够分析出,就是说他在这里的话,它有这样子的一个功能。
就是它可以去请求你这里给定的这个url地址,然后的话啊,把这个url地址的一个网页的一个内容,文本内容或者说他其他的一些内容把它给获取,就把它给请求过来,请求过来的话,再输出到我这里的一个页面上面来。
那我再尝试一下啊,内网的一个ip地址对吧,比如说呃幺七点点0。1,这个的话其实也不能说是一个内网的一个地址,就说一个啊这是一个回环地址嘛,就是说呃访问这一个的话,就相当于访问的是,你本地的一个资源吗。
然后在这里的话我去进行一个访问,我这里本地的这种啊,内网的一个ip地址对吧,然后可以看到在这里的话,他返回了这样子的一些内容,这些内容的话其实就是这里,这里的我这里的这个服务器上服务器,我这里访问之后。
这里的一个内容对吧,那么说明的话,他在这里的话是存在一个sr sf漏洞的,而且它没有对我们这里传递的这个呃链接,这种啊,内网的一个ip地址,还有外网的这种链接地址,没有做任何的一个检测以及过滤好的话。
我们就可以利用这样子的一个功能来进行一些,就是你原本访问不到的这样子的一些内容,的一个请求,啊这里的话我们验证的话,它是能够去访问到他内网的一些ip的对吧,然后的话想要去进行一个呃端口的一个探测。
就说探测我们的一个啊指定的一个服务啊,不是就探测我这里的一个服务器里面,它的一个呃一些ip或者说一些端口好探测,探测一个内网的一个ip的话,因为这里的话其实可以看到,它是能够访问到内网的ip地址的。
一个资源的对吧,那么我们可以尝试一下其他的一些ip地址再说,像这样子那种ip地址对吧,然后,好在这里的话可以看到这里一直是在转的,说明的话,他这里的话是没有这样子的一个,说明的话他是没有这样子的一个呃。
呃就是存在这样子的一个i p上面有啊,一个web的一个服务的这种资源的。
因为我这里的话是一个,这个这句话是一个阿里云的一个机器,就是,他这里的话就啊有这样子的一些内网的一些ip,但是的话它是没有其他的一些资源的,就没有其他的一些服务的。
然后像正常的正常的这种服务器对吧。
比如说你是你的这个服务器,它是一个外网的一个服务器,然后的话这个服务器,正好是能够去访问到内网的,那么我们就可以利用这一个服务器去访问到,指定的这一个内网的这样的一些资源,比如说比如说在这里的话。
一个内网的一个ip是这个对吧,那么我们可以尝试去访问这个171这个网段,其他的这样的一些ip。
它是否有存活,如果存活的话,这个存活的这个ip它开放了哪些端口。
然后这些端口它有什么样的一个服务对吧,然后的话说到探测端口的话,在这里的话我们就需要去使用到这个dict协议,我们在这里我们可以尝试去啊用这个dict协议,来探测一下。
比如说呃它的一个808年的一个端口对吧,也其实也就是这一个也就是这个服务器啊,这里的一个好web页面的一个呃端口,然的话在这里我们其实访问之后,可以看到它返回了这样子的一个内容,就是说htp 404。
然后的话其实可以看到它在这里的话,返回了你这一个服务器,所使用到的一个呃阿帕奇的一个版本,以及呃你的一个菲律宾的一个版本等等的,这样子的一些信息,然后说明的话他在啊。
虽然他这里显示的是一个bad request对吧,但是的话其实可以看到,可以知道它这里的话是能够去进行一个访问的,而我们呃可以尝试其他的一个端口对吧,如果说他没有这样子的一个端口的话。
它是什么都没有显示的,然后的话还有22s3 h这样子的一个呃,它的一个版本以及它的一个服务嗯,还有像比如说3306对吧,这样子啊,其实在这里如果说他能够去进行一个探测的话。
我们不可能说这样子一个一个去试吧对吧,就是一个一个ip的去尝试,这个时候的话我们其实可以去使用,去使用我们的一个bp,对,就是说我们可以直接使用一个bp来,就是对我们这里指定的这一个啊。
端口的一个数据去进行一个爆破,比如说,它的一个请求的话,就是呃这样子的一个请求对吧,然后的话它的一个回形的话是在这里,然后如果说就说他这里是有这样子的一个,服务开放的,所以的话他会有这样子的一个回血。
就是说有这样子的一个内容显示出来,如果说他没有这样子的一个,它好没有存在这样子的一个端口对吧,我们去进一个访问的话,它其实是没有啊,其他的一些内容的,它的一个字节是1600对吧。
我们访问一下3306可以看到的话,他的一个字节数的话是1724,然后的话我们可以把它发送到,我们的一个爆破模块嘛对吧,来对我们的,这里指定的这一个ip去进行一个爆破,这里的一个爆破的话啊。
我们首先要知道,就是说啊我们的一个i p端口的话,它是最大是一个6536,就说它的一个i p的一个端口数的话,是从1~65536好,这里的话这样的话我们选择一个numbers。
numbers的话就是数字嘛,然后的话我们从1~65536对吧,好的话啊,进进去的话就是一嘛就是123456,重播的话是有65536这样子的数据,好的话,我们可以去进行一个啊爆破去访问。
然后其实然后可以看到在这里的话,已经有了一个8年端口对吧,我们看一下它的一个返回的一个信息,返回了一个信息的话,是这样子,说明的话它的一个八零端口它其实是存在的,然后它是一个呃阿帕奇的一个服务。
然后还有就是22端口对吧,然后以及啊这个3306,当然的话我这里的话就不一一个一个去跑了,因为有点多,这话就是介绍一下,比如说思路,然后这里的话是一个det协议的一个使用。
然后第二个的话就是我可以去进行一个尝试,去读取读取我服务器上面的一个文本内容,那么我想实现这个的话,我们就需要去使用到这样子的一个file协议,这个file协议的话,比如说我们这里的话。
已经知道它是一个linux服务器对吧,我可以啊,就是用常见的这种啊文件,比如说etc password,又常见的这种文件,就每个系统每个linux系统都有的这种文件,然后去进行一个尝试访问。
访问之后的话,我们来就是观察它的一个响应,它是否有返回你指定的这样子的一个,文件的一个内容,然后这里的话是返回了,就可以就正常的返回到了我们这里,返回的这个文件的一个内容。
啊这样的话就是一个啊dict协议,就对我们的一个端口的一个服务,去进行一个探测,然后第二个的话就是一个敏感文件的这种读取,就是fire协议,就是啊在念令时灵,在另一层面的话,就另一些系统里面都全啊。
都有的是这样子的一种文件,就是说etc password这种文件,然后windows的话就是我们可以使用这种啊,windows下面有一有一个这种windoi n i的,这样一个文件,就是系统的一个文件。
就是啊所有的这种windows系统都有都会啊,都会有这样子的一个文件,我们可以去访问一下,它,其实就是这样子的一个内容,然后我们可以通过这样子的,就是啊常见的这种文件来去进行一个验证。
就印证它是否能够去使用这种file协议,去进行一个文件的一个读取,而第二个的话就是这个file get content,的这种这样子的一个函数,这个函数的话,它同样的能够去进行一个。
就是给我们对我们给定的这种链接,去进行一个请求,然后在这里的话它与前面不同的一个地方的话,就是它支持这样这样子的一个,菲律宾的一个伪协议,我们可以通过这一个菲律宾的一个伪协议,来去进行。
一个就是这个服务器它的一个源码的一个读取,懂了,这句话我,是,不好意思,喉咙堵了,这样的话我我以这一个啊题目作为一个例子,我们直接先看源码吧,就是它的一个源码的话,其实跟前面也是类似的。
就通过这个file协议好吧,通过这一个file参数去啊,获取指定的一个资源对吧,然后的话给这一个file,get content的这个函数去进行一个处理啊,这个这个文件的话,它把这个函数的话。
它的一个作用就是将你给定的这个文件,读入一个字符串,然后在这里的话它会用echo把它进行一个输出,那我们可以看一下,就是这个题目,我们可以看到我这里的话好访问之后的话。
可以看到同样的是在他的一个url地址里面,有这样子的一个内容,有这样子的一个链接对吧,而我们访问一下它的一个内容的话,其实就是这样子的一个一张图片对吧,而这张图片的话它是把呃。
这张图片的话它是在这里的话,它是通过那个far get content,这个函数进行一个获取的,然而这样的话跟前面的话其实都是一样的,就是进行一个进行一个测试嘛,测试的话像啊啊外网的一些服务对吧。
外网的一些hp服务,还有内网的一些htp服务等等,这样子的一个一些资源去进行一个测试,对吧,这样的话我就不重复了,然后在这里的话,主要就是介绍这一个这一个番啊,这个p h p伪协议。
也就是这个就是菲律宾file read,这样子的一个啊协议,这个协议的话啊,其实呃大家别看着就是很复杂的一个样子,其实就啊挺好挺好记的,也挺好理解的,主要的话就记这里就这一个convent base。
64encode,然后resource,resource,后面的话就是接我们的一个就是资源嘛,就是我们这里要读取的,就是说读取的这样的一个文件,然后的话给这一个base 64 encoder。
这个函数区间一个处理,而这个函数的话,他就是把我们这里的一个啊,给定的这一个好文件,把它的一个内容做一个base 64的一个冰嘛,然后把它编码之后的话,再进行一个,再用这个菲律宾尾写预期读取读取出来。
然后它的一个效果的话就是像这样子,我们在这里的话呃,使用这样子的一个伪协议,然后的话我们读取这里的,就是这里的一个f g c的一个内容对吧,我们回车回车之后的话,可以看到它在这里的话。
它显示了这样子的一个内容,这个内容的话,它其实就是一个base 64的一个编码的一个啊,字符串呃,我们可以对它做一个解码,解码之后的话,它的一个内容就是这里我们其实可以看到的话。
这里的话就是当前这里的这个页面,它的一个源代码,而它的一个代码的话,其实他那个源代码的话不是说我们在这里的啊,我们这里右键查看网页源代码的一个代码,就是说我们在这里右键查看网页源代码的话,是啊啊。
就是服务端它的比如说我们的一个菲律宾脚本,他啊把我们的一个内容进行一个处理,处理之后的话,再返回给我们前端的一个内容,是这样子的一个内容对吧,在这里,在这里我们读取到的这样子的一个内容的话。
它的一个源代码是,就说这个页面的一个完整的一个源代码,就包括了我们的这种菲律宾的一个代码,我们其实可以发现,就是说因为你是这样子的一个菲律宾文件,如果说你的一个服务器支持这样的一个,菲律宾文件解析的话。
如果说你这个文件它存在一个菲律宾代码,他就会把这个文件里面的,p h p代码做一个解析对吧,然后的话再把它解析之后的一个内容输出来,然后大家可能这里会问为什么,就是说为什么不直接通过file协议。
去进行一个读取呢,就说直接我这里直接读取这一个指令的,一个文件内容不行吗,呃,那我直接我直接通过这样子的一个方式去进行,一个读取它这样一个文件呃。
这样的话我。
我这里的话直接去进行一个文件的一个读取,哦不是搞错了,可以看到我在这里的话,我直接啊,就是说在这里我直接传一个文件名对吧,就说读取当前这个目录下面的,这个一点text文件对吧,而不是一样的。
可以进行一个输出吗对吧,然后他这里的话一定要大家一定要注意的一点,就是我在这里的话,我是这样子的一个text的一个后缀,就是说他这里啊读取的一个文件,是这种text的这种文本文件,对于这种文件的话。
他会直接把里面的一个内容进行一个输出对吧,但是的话对于这种啊,我这里换一个文件c l l点片区域,对于这种菲律宾的一个文件,去进行一个啊直接的去进行一个获取的话。
可以看到在这里它返回了这样的一个内容对吧,这个内容的话,其实就是我们前面直接去访问这样子的一个,cl。ptp的一个内容对吧,他其实没有返回,说没有说返回这个菲律宾文件里面的一个,而代码,而是返回了。
而是返回了,就是啊,把这个菲律宾文件作为做了一个解析之后,它的一个内容给返回出来了,所以说我们想要获取到你指定的这一个文件,它的一个啊云代码的话,你就需要去使用到这样子的一个。
菲律宾的一个伪协议来去进行一个读取,而它读取的话就是把它的一个指定的一个文件,里面的一个啊内容做一个base 64的一个冰嘛,然后的话再进行一个输出,这样子的话,他就不会说把里面的这个p h p文件。
里面的一个内容啊,当成一个啊就是进行一个解析,然后进行一个输出,这句话是一个fire get contains,以及这个片区伪协议的一个介绍,然后第三个的话就是这个f sock open。
而这个f sopen的话,它的一个意思就是打开一个网络连接,或者是一个这种linux的一个套接字连接,它其实就是一个打开一个这种socket,一的一个零件,然后它的一个行这个函数的话。
它就是他能够对指定的这种ip地址。
去进行一个访问以及请求。
而ip还有域名,然后的话把它会把请求到的,这样这样的一个内容,然后进行一个返回输出,看一下,好可以看到我在这里的话呃,就访问之后的话,它的一个链接是访问的这个3w点,百度点com对吧。
然后他返回了这样子的一个就是呃,返回了这样子的一个啊百度点com的一个首页,这样子的一个页面,就说他把这一个百度点com的这个首页的一个内,容进行了一个请求,请求之后的话获取获取值啊。
请求获取下来之后的话,输出到了这样子的一个页面,然后在这里的话可以看到这里的话是他的啊,一个请求的一些啊内容,就是说它的一个请求的一个响应,然后的话这个函数的话,还有就是对啊,指定的一个ip地址。
这个内容去进行一个访问。
可以看到这里的话它就是它的一个内容的话,是在这里。
还有就是他的一些ban的信息,都给你进行了一个返回,这就是这个函数,然后注意的话这里是就是说socks的话,它是只针对于说是这种ip地址进行一个访问,请求你你如果是说像这种一个啊。
就是url l l的话,确定,这种url地址的话,它是无法去进行一个啊解析以及处理的。
他只只能是对这种啊,就是啊我们的一个域名以及我们的一个ip地址。
才能够去进行一个请求,啊第四个的话就是呃前面其实我们了解,就是我们通过前面的这些例子的话,有发现一点,就是说他的这种呃他的这种请求访问之后的话,它都会有这样子的一个回形对吧。
就是说比如说我这里请求这样子的,指定的一个内容,它会啊回形出这样子的一个资源,的一个内容对吧,然后的话有存在这样子的一些情况,就是说访问请求之后的一个资源,它不会说在这样子的一个页面上面。
去进行一个显示,但是的话它实际是好,实际的话是有对这样子的一个链接,去进行一个请求的,是的话,它没有返回到我们的一个前端,然后在这里的话就是啊要说到这个s sf,它的一个呃没有回血的这种啊盲s。
而针对这种盲s3 f的话,我们怎么去对它进行一个测试呢,就说前面我们我们进行一个测试的话,比如说我们通过访问指定的这种啊,一个外部的一个访问外部的一个,这种链接对吧,访问外部的这种链接。
然后的话我们怎么知道他访问成功呢,因为他这里的话要有就是有回血对吧,就显示了就是啊只给定了这个链接的一个内容,我们才知道他啊行就是请求成功了,就说有对指令的这一个呃定接去进行一个请求。
如果说他没有这样子的一个返回的话,那么我们怎么去进行一个判断呢,在这里的话介绍两种啊,介绍两个方法,第一个的话就是htp的一个带外通道。
这里要介绍的话就是这个bp的这个call back cocooperate,这个client就是在这里这里有一个bp,然后这个那这样的话他这个bp的话,它有提供有这样子的一个服务。
就是说我点这里的一个copy to。
就复制到我们的一个剪贴板呃,然后我们粘贴出来看一下,上线出来之后的话,它其实就是像这样子的一个呃链接一个地址,然后这个地址的话,它其实是bp官方的一个这样子的一个地址。
啊这这个的话它有什么作用呢,我们在这里我们去进行一个访问,访问之后的话,他会有有给了这样子的一个字符串对吧,这里我们不管,然后我们可以看到过了一会儿之后的话,他在这里的话有显示这样子的一些内容。
而这里的一些内容的话,其实就是我在这里访问之后,所做的一些请求与它的一个处理,首先我们可以看到第一个,第一个的话是一个dns的一个请求对吧,他的这样的一个意思的话,就是说我们在这里访问对吧。
我们这里访问这个链接之后的话,它首先进行了一个dns的一个解析,就就说把我们这里指定的这个域名进了一个,进行了一个dns的解析对吧,解析之后的话啊,就说它解析成一个ip地址。
就是说从我们的一个电服务器上面,解析为一个对应的一个ip地址,然后的话,然后的话再去请求这样子的一个ip地址啊,我们在这里的话是发送的这样子的,一个htp的一个请求对吧。
然后在这里的话都有记录我们这样子的一个,请求的一些啊过程,所以说在这里的话,我们同样的可以就是说在进行一个sr 3 f,它没有回血的时候,我们可以利用它的这样子的一个功能,来去对它进行一个判断。
就是说判断他是否有对我们这里给定的这个,url地址好进行了一个请求以及解析对吧。
而第二个的话就是这个dns log电slog的话,就是这里网上有这样子的一些平台啊。
其实同样的就是利用的这样子的一个,而dns的一个解析,就是说大家要了解的一个。
就是说我们访问我们这里。
正常的去访问这样子的一个网站对吧,比如说访问一个百度,访问这样子的一个百度,它是这样子,它有这样子的一个过程,就是说你在这里,浏览器访问了这个百度之后的话,它会首先在你本机,在你本机的一个dns。
也就是那个host那个host文件里面啊,你电脑电脑有没有,它都有这样子的一个host文件嘛,对吧,就是说他会在这个文件里面去查找,你这里的一个域名,它是否有这样子的一个ip的一个记录,如果有的话。
它就会啊解析到,他会去访问到指定的这样子的ip地址,然后的话把指定的一个ip地址的一个内容获取,获取下来对吧,如果说没有的话,他就会去像好公共的这种d s的一个服务器,去进行一个解析。
在dns服务器上面的话,它就是记录的好,域名以及ip的一个对应的一个表嘛对吧,它其实就是这样子的一个呃关系啊,关系表就是对应的一个表,就是域名跟ip的一个对应表,那我们再去公共的这种dns。
就这个dns服务器的这种表当中,去查找到指定的一个ip地址,然后然后的话再去请求这个ip地址,然后他就是有这样子的过程,然后在这里的话,我们就可以去使用到这样子的一个dns的一个logo。
因为我们首先会去像我们指定的这样子的一个,呃,就是指定的这一个啊域名对吧,做一个dns的一个解析对吧,这个dns解析的话,它就会有这样子的一个记录,所以说我们get一个sub,就是这样子的一个域名对吧。
然后的话我们嗯对它做一个请求。
在这里的话。
有那个8g的,这里在这里把鸡的话,是有这个无非钱的一个sr f,我们在这里的话,可以去,请求我们这里啊,首先的话先正常的一个来吧。
来一个正常的百度点com对吧,我们执行之后的话啊,我这里忘记改了,我这样的话是把代码做了一个改动,让他有了回血,就其实我在这里的话就是加了这个echo output。
就是把我们这里c l e x e c,获取到的一个内容的话,用echo把它输出来,然后我这里把它去掉的话,它就它虽然有请求了这样子的一个啊url对吧,然后的话同样的有内容,有内容获取获取了他的一个内容。
但是的话我们没有使用echo去把它输出,也就是说他没有这样子的一个回形,这样子的一个输出好,我们再测试了一下,可以看到这里的话是已经没有内容了,好在这里的话我们怎么去进行一个判断。
它是否对我们这里给定的这一个啊地址,进行了一个请求以及解析呢,是我们这我们可以使用这个dns slog,我们,然后去进行一个尝试,特色了之后的话,我们回来去看一下,刷新一下,刷新之后的话,可以看到。
在这的话有了这样子的一些请求的一个记录,对吧,我们可以在后面再加一点,加一点内容,我们去进行一个测试,这个时候的话刷新刷新之后的话,可以看到,在这里的话就返回了这样子的一个内容。
好我们可以通过这里来去进行一个判断,判断我们在这里的话,给定的这一个呃啊域名这样子的一个地址的话,啊,服务端它是对它做了一个正常的一个请求,虽然的话它这里的话是没有任何的一个内容,就是回形的。
也就是呃介绍两种,就是如何去测试这种没有回血的,这种sr r f的一些方法,然后然后本节课的话嗯,这样的话我看了一下时间的话又稍微有点晚了,这样的话剩下的一个内容的话,我们下节课再讲吧。
剩下的内容的话其实没有多少了,就是对我们的一个sr r f,它的一些性质如何去进行一个绕口,你们有什么样的一些知识以及方法,而去绕过服务端,对这样子的一些啊,就是说对这个s3 f漏洞。
他请求的这种啊地址啊以及链接它的一些性质,针对这些性质,我们可以采用什么样的一些方法,去进行一个绕过,这样的话我们下节课再给大家做一个介绍,然后这节课的话就到这里了啊,就下课之前的话,下课之前的话。
我在这里的话呃,就是布置三个课后作业,就说这三个实验,这三个实验的话,我们下节课会给大家去进行一个讲解,然后这里的话哦大家先去做一下,然后等会的话,我会把这个三个实验的话链接发到群里吧。
然后最后的话呃大家有什么啊问题吗,在这节课的话呃,主要的话就是介绍了一些就是理论吧,就是基础的一些理论吧,然后下节课的话,下节课的话主要的话就是操作,就是我们如何用这样子的一个ssr f手动。
然后的话嗯,利用我们的这样子的一个一些ur的一些协议,来去进行一个呃内网服务的一些攻击,利用比如说radias,还有呃struck two等等这样子的一些漏洞,大家有疑问吗。
就是说对于课程的一个内容的一问,而这节课主要的话就是介绍了sf漏洞,就是他是什么样子对吧,然的话这个漏洞的话它有什么样的一些场景,就是说我们可以通过什么样的一些功能功能点,就去查找什么样的一个功能。
能够查找到这样子的一个sf漏洞,然后的话就是呃在s漏洞,它的一个利用以及测试的时候,我们会去使用到的这样的值的几个协议。
就fire协议,go否协议,其实呃还有的话就说,大家如果发现了有这样子的一个sc漏洞的话,对吧,首先第一个的话就是你去测试一下它的,它支持的这种一二的这种协议,比如比如说在这里,如果说它是我的。
如果说它是使用的这种u2 ,ex e c的这样的函数对吧,去进行一个请求的,那么你可以去尝试它是否有支持这样子的一些,ur的协议,然后的话,如果说他支持这样子的一些幼儿的协议的话。
那么我们就可以去尝试使用这样子的一些协议,对指定的这样子的一些服务去进行一个攻击,利用,然后我看大家都没有什么问题啊,那么我们本节课的话就到这里结束了。
我们下节课再见。
好的,那么我们呃开始我们今天的一个课程内容,我在讲我们今天课程内容之前的话,我们先啊哦,一起来回顾一下我们上节课的一个内容,我们上节课的话是介绍了s s f这个漏洞,它的一个形成的一个原因。
以及介绍了它的一个作用,以及什么是一个s sf,就是这个服务端的一个请求伪造,大家要记住它是一个好,能够去穿越网络防火墙的一个通行证,我们可以利用这样子的一个一个s s f的一个,漏洞来去啊。
攻击我们原本是无法去访问到的,这种内网的一个服务,像包括radi啊,我们这节课会讲到的,以及还有其他的一些呃web的一些应用,这些应用的话啊通常会存在于一个内网当中,因为在内网当中的话。
我们是无法去直接的去访问到他的一个服务的,对吧,对,包括有防火墙以及有nt的这种网络地址转换,我们是无法去直接访问的,然后的话如果他的这种啊,一个企业或者说一个公司,他的这种外部的这种网站服务器对吧。
或者说他的一些啊提供的这种web,应用的一些功能点,它存在这样子的一个s sf漏洞,那么我们就可以利用它这样子的一个漏洞,来去攻击他的一些内网的一些服务,啊这个s5 它漏洞。
它形成的原因就是它没有对我们的这种啊,就是服务端提供的,从其他服务器应用获取数据的一个功能,没有对它做一个过滤以及限制,好的话,s5 它的危害的话就是啊,我们可以通过它去攻击内网的服务嘛。
然后的话通过一些url的一些协议,来去探测内网的一些信息,包括它的内网服务的一些端口啊,以及它的一些版本信息等等,他的话能够啊,就是对针对于在内网当中的这样的一些,含有漏洞的这种服务进行一个攻击。
来获取内网服务的一个web share,来直接进入它的一个内网去进行一个攻击利用,然后第三个的话就是通过一些幼儿的一些协议,能够去读取内部的一些资源,然后的话执行相应的一些攻击动作。
比如说这节课会讲到的一个,而攻击内网的一个未授权的一个radius,以及攻击内网的这种structure,这种啊,能够去进行一个远程命令执行的这种漏洞,然后的话就是介绍了如何去进行一个。
sf漏洞的一个寻找,也就是说这种漏洞,这个s漏洞它存在的一些场景,就是通过一些web的一些功能点,就这些web功能点的话,有比如说一个通过这种ui的地址的一个分享啊,网页的一个内容对吧。
他会去请求去请求远程的这种啊,服务器的一些内容,如果说他没有对这里的这个去其他服器,获取资源的这种啊功能去进行一个限制的话,那么我们可以去尝试啊,请求内网的这样的一些资源。
那他就是这种在线翻译的这种断点,这样的话呃像一般的这种比较大的这种呃翻译,比如说百度有道这种翻译的话,它是没有说存在这样子的一个road,它性质的话是啊十分的严格的。
然后的话就是通过电话地址加载下载图片,这个的话是我们经常会去啊看到的,也是会经常去碰到的这样的一些功能点,这样的话我们可以针对的,针对性的去对它做一个测试,那他就是啊一些我们去查找这样子的一个。
漏洞的时候,我们可以通过这样的一个url,它的一些关键字,因为我们再去查看请求包当中对吧,它会有很多的这样的一些参数,这个参数的话,我们可以就是啊,有针对性的去查找这样子的一些关键字,这些关键字的话。
它它的一个功能就是去获取,远去请求远程服务器的这种资源,的一个功能点对吧,那么他就可能会存在这样子的一个s,s f的一个漏洞,那这个号的话就是一个总结,总结的话其实就两点。
就是能够对外发起网络请求的一个地方好,第二个的话就是从远程服务器去请求资源,哦然后的话我们也介绍了就是s5 漏洞,它的一个利用就利用的话,主要的话就是我们碰到这样子的一个漏洞的时,候。
我们通过什么样子的一些这样的一些协议,来去进行一个测试,比如说第一个就是这个dictor,dictor的话,我们可以用用它来去探测啊,去探测目标服务器上的一个端口,以及它它的一个端口的一个存活。
以及它端口上面所运行的一个服,务的一个版本等等的这样的一些信息,然后第二个的话就是这个file协议,fia协议的话主要就是用于文件系统的一个啊,就是获取文件系统当中文件的一个内容。
然后第三个就是这个篝火协议,篝火协议也是我们常去使用到去进行一个啊,攻击内网服务,就是攻击内网当中含有漏洞的这种服务啊,用用它来去发送我们的这样子的一个攻击的。
一个payload来去攻击内网服务的一些漏洞,好接下来的话有介绍,就是说在ssr啊,不在菲律宾当中的话,有这样子的一些函数,能够导致这样子的一个s f漏洞,就说我们在进行一些这样子的一个啊。
功能点的一个测试,或者说是一个白盒的一个测试,对它的一个代码去进行一个审计的话,我们啊可以着重的去关注这样子的一些函数,可能第一个的话就是这个c l e x e c,它的这个函数。
它这个功能的话就是去啊,请求我们传我们传过去的一个url,然后的话把这个url的一个请求的一个内容,把它给返回,返回到我们的一个前端页面,然后的话我们可以啊,针对这样子的一个函数的话。
能够去使用这种dictor,还有file协议去进行一个文件的一个读取,还有端口的一个探测,然后的话就是这个file协议的话呃,就是注意一下,就是在windows进行时,系统里面的话。
就是我们啊都会有的这样子的两个文,就两个文件,我们可以用这样子这样子的,就是存在的两个文件来去进行一个测试,如果说你能够去读取到这样子的,两个文件内容的话,那么说明你能够去使用这样子的一个file协议。
来去读取啊,系统当中的一些敏感的一些文件,这个的话就是这个呃发get content这个函数,这个函数的话,主要就是用于文件的一个内容读取,就是说它的一个功,这个函数它的一个功能的话。
就是用于文件的一个读取,它也是啊,同样的可以去进行一个,就是对我们啊提供的这种url去进行一个请求,把他请求的一个内容返回给我们的一个页面,然后的话这里的这个函数的话,它的一个特别的一个地方的话。
就是我们可以使用这样子的一个ph p伪协议,来去读取这个网站里面的啊,这个网站里面的一个源代码,然后这这这这psp伪协议的话,其实在我们的这种cctf题目当中,这种web题目当中的话是很常见的。
好的话还有就是像s s r f这种啊,攻击radir这种,这种形式的一些题目也是存在的,好第三个的话就是这个f socks建立这种socket,socket的一个网络连接。
主要的话是去对我们给给出来的这种ip,以及域名去进行一个请求,然后的话前面的话主要就是啊介绍了,就是说啊常见的这种有回旋的说他有啊,我们可以通过这样子的一些协议来去啊,去进行一个测试。
测试它是否支持这样的一个协议,主要的话就是通过查看页面上面啊,它使用这样的一个协议,比如说读取文件的一个内容对吧,好的话,他会在页面上有这样子的一个显示,这个的话就是有回血的。
一个就是basic的一个s3 f,然后还有的话一种情况的话,就是说服务端它不会对你给定的这个url啊,他请求之后的一个内容,给你呈现到一个前端的一个页面,所以的话它是啊我们无法去通过啊。
在前端的一个页面上面去查找返回的一个内容,来去验证是否存在这样的这样子的一个漏洞的,所以说我们可以通过这样子的两种方法,第一个的话就是这种htb的一个带外通道,主要的话就是bp里面的话。
它有这样子的一个自带的一个功能,那样的话你也可以使用你自己的一个,官网的一个服务器对吧,你可以通过今天你的一个官网服务器的一个呃,外表日志来去查看它是否有就是请求。
就是远程去请求我们的服务器上面的一个资源,然后的话就是这种dns log这样子的一个平台,就通过啊dns的一个日志来去进行一个判断,啊下面的话就是呃我们上节课没有去啊,没有来得及讲的一个内容。
进这里的话我们继续嗯,首先的话就是这个sf漏洞,它利用的一个限制logo,就是我们如果查找到这样子的一个s s r漏洞,对吧,他不可能是说啊,就是他可能会对我们访问的。
或者说给定的这种url有相应的一些性质,安的话这一些限制的话,我们可以通过这样子的一些方法来去进行,一个绕过,首先第一个的话就是嗯,我们看一下这里的一个例子,这个例子的话我们啊可以看到在这里的话是啊。
百度点com,后面的话我们接了一个art符号,art符号后面的话,接接了我们的这样子的一个内网的一个ip对吧,或者说其他的一个ip,然后其实这样子的一个一二的话,你实际去进行一个访问的话,它其实是啊啊。
实际上去解析到的一个ip地址的话,是这一个是我们在at符号后面所接的,这样子的一个i p,我们可以在浏览器上面去进一个尝试对吧。
我在这里是啊,我们还点lab。com对吧,我在后面接一个at符号,后面的话接我的内网的一个ip,比如说292。168。一点,我然后回车对吧,回车之后的话,你你可以发现它实际解析到的。
就是说访问到了这样子的一个ip的话,是我们的这一个内网的这一个192。16,8。1。52的这样的一个i p对吧,就是之前的话是这样子的一个网站,好的话我们可以通过这样子啊。
就是他对我们的这样子的一个url对吧,有这样子的一个就是啊域名的这种限制,然后你可能他实际的去进行一个啊解析的时候,它实际的话是解析到了这样子的一个,内网的一个ip,而不是我们在这里好。
可以直接去看到的这样子的一个,百度点com的这样子的一个域名,那这样的话就是这个ip地址转换进制,这个的话我们看一下,就比如说我这里的这样子的一个192。16,八点点一这样子一个ip地址。
我们可以把它改写成这样子的,一些进制的一个形式,首先比如说一个八进制,八进制字形式的话,就是像这样子,然后就还有的话就是啊16进制,16进制的话是以这样子的一个0x结尾啊,不开头的这样子的一个字符啊。
我们其实,这里防不到,我们可以用这样子的一个在线的一个工具,去进行一个转换,首先比如说我们在这里啊,我们的一个ip的话是一个,顶分十进制对吧,比如说我是192。168,顶一顶五,哎我这里复制不了啊。
因为我,之前的那个电脑。
我这里是换了个新电脑,就之前的那个电脑,昨天下雨的时候被拧坏了,拧拧短路了,然后用不了了。
好现在正在修,所以的话,这里的这一个office的话,他没有激活,它用不了复制的一个功能,我这里的话敲一下吧,啊我用他的这样子的一个功能,能够把我们的这样子的一个ip地址,转换成一个就是数字。
就转换成一个静止,我们这里转换之后的话是这样子,然后他你看着这样子的话,是一个字符串对吧对吧。
就是一个一个平平无奇的一个字符啊,把一个数字组成了一个啊,就一串数字对吧,但是的话我们在这里可以看到我在这里的话,我输入到浏览器当中对吧,那这里的话因为这里的话有记录。
他直接的话就解析成为了这样子的一个。
我这里的一个内网的一个ip,我这里的话重新换一个吧,2020,然后我进行。
然后我回车,可以看到我在这里的话呃,我去把它当成一个就是一个ip地址,去进行一个访问对吧,当成一个幺幺去访问我这里访问招的话,可以看到它就是会去自动的去解析,为我们的这样子的一个顶分十进制的。
这样子的一个ip地址。
然后我们可以通过这样子的一个方式来去,就是绕过好绕过服务端,它对我们的这种ip地址的这样子的一个性质,对啊,我们可以通过这样子的一个啊进制的一个形式,来去啊,进行一个logo,而第三个的话就是添加端口。
就可能绕过它的一个正则的一个匹配,就是说我们呃服务端,如果说它是采用了这种正则匹配的一个方式,来去过滤我们所传递的这样子的一个url的话,我们可以啊,有可能就是说通过添加这样子的一个啊端口。
就是说比如说添加一个八零端口,来去绕过它的一个正则的一个匹配,啊这个的话是啊。
是那个就是乌云上面的一个按钮啊,就大家大家啊,有知道乌云吗,应该都听过吧,然后的话就是呃因为无源的话。
现在是呃网站关了嘛,就是啊我们有这样子的一些网站,就是啊婺源的那些网站的话,里面有很多的以前的那些大佬,他们啊挖掘漏洞的这样子的一些,详细的一个过程。
然后的话呃我们可以通过这样子的一些网站,就说他有啊物源的这种历史的一个漏洞,就别人搭的一这样子的一个网站,我们其实可以在这里面的话啊,能够去学习到,就是说因为现在的话这个网络安全的。
就是网络安全法的这种性质,就有很多的这样子的一些内容,或者说就是漏洞的一些细节内容的话,是否能不能去公开的披露的对啊,所以的话呃其实有很多的这种就去啊,去直接去学习的这种知识的话。
你可能自己的话比较难的去看到,所以的话我们其实可以去查查找,就是以前的他们的这种啊,漏洞利用的一些思路对吧,他这里的话啊有写的很详细,就就是我们就是提交的,他其实就是一个提交的一个那个漏洞报告嘛,对吧。
就是你发现这个漏洞的话,它的一个过程,这样的话我们可以去查找,我们想要去了解这种,比如说c s s s r f对吧,像这种呃,它里面还有这种脚本对吧,这种探测指定端口的这种脚本。
我们用可以用这样子的一个脚本去探测啊,用这个sf漏洞去探测它的一个内网的一个ip,的一个存活对吧,像6379的话,就是啊release的一个端口嘛对吧,能够探测到它内网的这种ip有哪。
有哪些ip有这样子的一个6379,如果说它其中存,正好存在这样子的一个未授权对吧,那么我们可以利用它,利用他的这样子的一个呃内网的这种服务,来对它进行一个攻击,然后的话还有其他的话。
我这里的话就呃有很多的这种记录,大家可以去学习一下呃,大佬的这种这种姿势,然后第四个的话就是这个呃,这样子的一个就是域名,这个域名的话是,它它的一个特点的话就是啊这个是别人给啊。
就是别人做的这样子的一个服务,这个服务的话就是啊,我们访问这个网站的一个子域名的时候,比如说我们啊访问的是这样子的,一个192。168点点一,这样子的一个子域名,而我们访问这样子的一个主域名的话。
它会自动的去重定向到我们的这样子的,一个i p,我们可以来尝试一下。
比如说我啊访问一下我的这个对吧。
访问这一个我们把把记得这样子的一个ip,然的话我在后面接我们的一个xp。io,这样子的一个啊域名对吧,而我们其实在这里的话,其实可以看到我们这里的话,相当于是这一个域名对吧,这个x i d。
o这个域名的一个值域。
然后的话我们去进行一个访问,访问之后的话可以看到它虽然这里是访问的。
是这样子的一个i p对吧好吧,这样子的一个域名有一个值域,但是我们实际访问到能够去访问到的,这样子的一个内容的话,是我们在这里的一个啊给定的这个域名,或者是说ip的这样子的一个内容。
这个呢这个的话就是这个啊域名的一个作用。
然的话像这个name。
也是可以的,这个的话呃。
还有这个,呃这个是一个开源的,是别人,是有这样子的一个项目,它其实是一个这样子的一个电的一个重定向,就是说它这个域名的话,它其实设置好了,就我们在前面啊加的这样的指的一个值域的话,呃。
它会重定向到我们这里的,加的这里的一个内容。
这个的话呃这个是它的一个网站,还得换一个点name,这样的话我就不一的去看,这个话是呃比较有意思的一个东西啊,然后第五个的话就是这个短地址的一个绕绕过,就说呃我们有一些ip地址对吧。
ip地址因为我们的一个ip地址,正常的ip地址都是啊,这点分十进制这样子的一个格式对吧,我们可以有针对性的去对这种ip地址,进行一个过滤,好的话,我们可以通过使用这样子的一个短地址。
就有这样子的一些啊短地址,就当你们大家应该也有碰到,像比如说有微博啊,百度还有这样子的一些短地址的一些服务。
啊微博像新浪的这种短地址对吧,比如说我这里啊,除了一个ip。
除了这样子的一个ip,我们可以和这里的话,可以选择这样子的一些短域名,比如说我选择这个dw点之一顶分对吧,我们可以,应急不正确。
我随便找一个域名吧,换一个这个。
tm,诶我反问不了了呢。
哎我这个。
算了就就这个吧。
这代理我这个代理没有配了,我刚刚才弄的,要FQ的吗,这个怎么样,行吧,我们就用这一个服务吧,就这里的话我们可以看到它,这里的话把我们刚刚的那个呃链接对吧,把它给缩短成了这样子的一个短地址,好的话。
我们可以通过这样子的一个短地址来去访问,来去访问到我们的这样子的一个域名,这样子的一个就是你想要去访问的,这样子的一个域名,然后我们可以通就通过这样子的一个方式,来去进行一个绕过,然后第六个的话就是呃。
利用这样子的一个句号的一个形式,就我们其实可以就是我们常见的这种ip对吧,它是通过这样子的一个点来去进行一个分隔的,好的话,我们可以通过利用这样子的一个句号的,一个风格的一个形式。
我们可以看一下,就是我这里要访问一个啊,就访问这个吧,我把它改为一个句号,就把它的一个点,对就是这样子的一个。
就是这样子的一个形式,这样子的一个ip形式对。
然后我们直接去访问的话,它其实它同样的会去跳转,然后这样子的一个啊域名,它其实是跟好我们这样子的一个ip是相等的,比如说327,比如说我访问这一个127点点零点对吧,好我们啊访问之后的话。
其实他在,其他在我们浏览器里面去进行一个解析的时候,它实际的话是去访问的,是这样子的一个i p对吧,我们可以通过这样子的一个构造的这种形式来,去,就是啊就是去混淆它的这种格式嘛。
啊就他如果说他过滤的是啊,通过这样子的一个啊点去进行一个分隔对吧,就像我们之前讲那个呃将命令执行的时候对吧,就是他他通过这样子的一个用,点去进行一个分割,然后的话给它分隔成为一个呃部分。
分为分割成为四个部分,好的话,一一的去对它做一个判断来证。
来证明他是一个正常的一个i p。
那么的话这里的话我们可以通过这样子的一个,构造的这种形式来去进行一个绕过,以上的话就是针对这样子的一些,就是好分享给大家,这样子的一些绕过限制的这样子的一些知识啊,有些的话其实还是比较有意思的。
那下面的话我们来了解一下,就是这个漏洞的一个防御,就防御的话嗯,其实我们从前面的话也大,基基本上大概都有对他有了一个了解对吧,所以第一个的话就是过滤他的一个返回信息,对吧,就我们我们不让。
就是说我们的这样子的一些请求的一个资源,或者说啊这一些不合法的这种请求的话,它的一个返回信息是啊,就是它里面包含有这样子的一些敏感的,一些信息对吧,那么我们对他的这样这样子的一些反馈的。
一些信息做一个过滤,那就不允许他去进行一个返回,就如果包含有这样子的一些敏感信息的话啊,第二个就是统一这样的一个错误信息,就有些呃它的一个请求我们可以通过啊,就是如果说你能够去访问到的话。
它不会有显示内容,但是的话呃我们可以通过判断,就是说它有这样子的一些状态吗,或者说有这样子的一个tree或者force,又如果你访问成功了,他就会有一个去访问失败了,他会有一个force。
我们其实也可以通过这样子的一个形式,就是说它的一个响应的一个状态,来去判断你的这样的一个请求是否成功了,第三的话就是啊性质它紧缺的一个端口,就会采用的这种端口,就我们常用的就是hp的话,就是八零嘛。
还有8080等等的这样子,这样子的一些端口嘛,还有其他的一些,比如说呃其他的一些22呀,3306啊,这种端口的话就不允许它进行一个访问,而第四个的话就是呃更严格的这种,对我们的一个内网的一个名单,好不。
内网的一个ip设置,这样子的一个黑名单,就只允许允许这样子的一个i p,去进行一个呃访问,然后第五个的话就是尽量不需要的这种协议,就只允许中htp啊,还有htp的这种请求,就我们前面的话有去说到。
就是像这种firework,还有dict这种协议的话,能够去进行一些信息的一些探测是吧,然后的话我们可以通过禁用它的,这样子的一些协议,就是不允许他去使用这样子的一个协议,好。
最后的话对我们前面的一个内容,做一个基本的一个总结,其实就是这样子的一张图,就前面的话我们也讲了,就是啊这个漏洞的一个产生对吧,大s4 好,不在p h p当中啊,我们需要去关注这样子的一些函数。
这样子子的几个函数,是容易导致这样子的一个漏洞的,然后的话就是对它的一个利用,就是说这样子的一些协议,然后攻击的话就是我们能够去进行一个攻击的,这样子的一些应用,比如说radius discuss。
一次盖子的话,其实它其实也也存在,有这样子的一个sf的一些漏洞的,好的话,还有的话就是这个faster cgi等等的,这样子指的一些内网的一些应用,我们都可以通过这样子的一个s漏洞,去进行一个利用。
攻击,好的话就是啊对于这个漏漏洞的一个防御,以及一些绕过的一些方法,这个的话就是呃我们上节课就是啊,我上节课发给大家的这样子的三个实验,这三个实验的话大家有没有去进行一个预习呢,就有没有去做。
啊我这里的话是啊,有收到两位同学的这样子的一个作业,我看了一下的话,我看了一下的话,都做的挺好的,啊对于这啊,对于这一个课程的,就前面我讲的这个课程内容的话,大家有没有什么疑问。
然后还有的话就是这三个实验,大家有没有什么疑问,需不需要我去啊,给大家做一个讲解,大家都没有没有问题吗,第二个实验自动连接,需要第二个实验是吧,第二个的话是这个。
第二个你说的这个定时任务的话,应该是这个radio吧,是这个release的这个实验吧。
就是啊你说的是这个第二,这里的第二个是吧,就这个radi这句话我给大家,讲一下吧,然后这里的话呃,也是本来就准备给大家去做一个讲解的,就是说这个的话,我就比较常见的这样的一个案例,就是说通过s2 。
s pro中去攻击我们的内网的这种radio,好在你的一个实验的话,我先建一个机器,这样的话前面的话应该没有什么问题啊,前面的话我在课上的话都有讲过了。
然后这里的话呃。
就这一个靶场的话,其实跟我们这里的话是啊一样的,有类似的,前面的话应该没有什么问题,就通过这样子的一个s漏洞对吧,我们测试测试的话,它存在这样子的一个s s r f,好的话。
我们通过这样子的一些就是啊去发包,去请求我们的一些端口对吧,我们指定的这种端口,比如说22号端口和其他的一些端口,如果说它存在这样子的。
比如说这这些端口存活的话,那么它就会有返回这样子的,一个200的这样子的一个状态嘛对吧,如果说他啊,如果说他这个端口它没有存活的话,它它的一个响应的话是会啊,就是会比较慢的。
因为他要去请求这样子的一个端口,然后的话与这一个端口建立这样子的一个连接,如果他没有端口的一个存活的话,它会它的一个响应的一个时间的话会比较长,呃前面的话就是,前面的话就是一个环境的一个搭建阵容的话。
我没有怎么讲的啊,你的你的一个问题的话,应该是在这里在这里对吧,就说这一个啊,ladies反弹需要的这样子的一个batch脚本对吗。
就是说你不知道啊,你对这一块不是很很很理解。
哦是吗。
是的吧,那呃我这样的话给大家做一个就是介绍,这样的话呃,其实我准备了这样子的一个笔记,待会的话可以发给大家,这样的话就是呃我们先来看一下,这个radiv社群来进行利用这这样子的一个release。
未授权去进行一个攻击的一个反弹,需要的一个脚本,对他的一个脚本的话,就像这样子,首先这里的话我们可以看一下对echo杠一echo的话,其实就是呃把我们的这里的一个内容对吧,就是主要的话就是一个管道符。
这个管道符的话就是把我们前面的一个内容,单单作为这里的后面的一个呃输输入对吧,这里前面echo的一个意思的话,就是就是把我们的这里那个内容输出来嘛对吧,输出来的话,这里的话把它作为了一个输入。
然后这里的话就是这个release videos客户端,这个是ci这个video的一个客户端,然后它的一个命令的话,就是是这样子的一个形式,杠h后面的话是接我们的一个,就是你要连接的这样子的一个。
release服务器的一个i p好,干p的话,就是我们你们就是我们要去连接的,release服务的一个端口,默认不默认,一般的话是一个6379的一个端口,然后杠x后面的话接的set 1,那你的意思的话。
就是把我们的就是在我们的这个radio,就是前面的是连接,连接到这样子的一个radio服务器对吧,连接之后的话执行这样子的一个命令set 1,然后这里sert一的话。
就是在我们的这个release数据库当中,添加一个这样的一个key值,然后这个key也就是静嘛,就是它是一个净值啊,对的这样子的一个数据库,就一个键的话存储这样子的一个值。
然后的话这里的话是把我们就是添加这样子的,一个喂啊,添加这样子的一个e的一个key,然后它的一个值的话就是我们这里的一个啊值,而这里的一个值的话其实就是一个定时任务,就嗯时任务的话。
这里的话啊大家可以去自己去百度1下吧,就是说这里的话是一个念历史上面的一个电池,任务的一个写法,就是前面的话是一个啊,这也是一个分分钟啊,就是最小的一个单位,它是一个,啊就是我们啊你定时嘛,电池的话。
你需要设置这样子的一个时间对吧,就是秒多少秒来执行一次,然后多少分多少。
就是啊月啊,还有零啊,就是呃再百度1下。
on table是linux里面的一个定时任务的一个命令,这样的话我们可以看一下,这里就默认的话它是这样子的一个格式,就是啊它默认的话是这样子的一个格式嘛,就是新新新新。
然后分别代表的话就是我们的一个啊,分钟多少分钟,0~59分钟对吧,然后多少小时啊,多少天多少月,啊这个是,没有week是多少周吗,就隔隔多少周,隔多少周去啊,执行一次。
然后后面的话是接我们执行的一个命令啊,这里有个user name的话,就是我们以什么样子的一个,用户去进行一个执行,这样的话可以省略,然后后面的话是接我们的执行的一个命令,然后我们回来去看一下。
这里回来之后的话,我们可以看到这里的话,其实就是我们前面有说到的,这个bush的反弹命令对吧,通过白雪的这样子的一个方式,来反弹这样的一个shell,来去迎接我们这样子的一个,指定的一个ip以及端口。
这样的话是呃,写的是127这个幺七点点零这个端口,然后这里的话前面这里的一个杠n,杠n的话就是一个呃换行,就像我们呃,实验。
在这里我们看一下,就是在这里在这里我们可以看一下,这里的话就是他执行这个需要之后对吧,我们其实可以看到在这里执行之后的话,它传递的这样的一个数据是这里嘛对吧,而这样的话其实它有这样子的三个换行。
三个空行就是我们前面的一个杠n杠。
而后面的话是会有四个,啊这你要注意的一个点就是,这里它会有多多一个干员多的一个概念的话,是,因为我们的一个echo端口,去进行一个这样子的一个重电量的话,它会自动的去添加。
就是它会默认的会带有这样子的一个换行符,然后后面的话就是我们通过这个release的一个,客户端的这样子的一个啊命令去啊,去执行我们的这样子的一个啊设置,这样的话就是连接我们的这个radius服务器。
然后的话执行这样子的一个命令,执行命令的话就是设置我们的一个目录,就是我们的一个工作的一个目录。
是这一个目录,而这个目录的话就是我们的一个定时任务,所在的一个目录啊,我去服务器上面看,也就是这个rutable啊,这样的话暂时没有这样子的一个定时任务,就是给root的root用户的。
然后我们可以去wbg这个目录下面去看一下,这里的话是啊,他是现在的话。
因为没有定时任务嘛,所以的话它里面的话是没有文件的,而这样的话我们设置这样子的一个目录。
然后下一个的话就是设置我们的一个文件,的一个名字是一个root,然后这里的话note的意思的话,等于就是我们会啊,在这里它会有去创建这样子的一个啊,就是我们在我们当前的一个工作目录下面的话。
会生成这样子的一个root,用root文件啊,这个root文件的话,它的一个内容,内容内容的话就是我们保存,这样的话是保存就保存我们上面啊,执行的这样子的一个命令,把我们的一个啊内容给写到了这一个啊。
key为一的一个值,然后保存之后退出,然后保存之后的话,他就会去进行一个啊执行,这样的话是v底的一个特性,就是它通过这样的人格命令他们执行,我们就在我们的这个指定的一个目录下面,生成这样子的一个文件名。
而这里的一个文件名的话,就是我们这里啊设置的这里的一个值,把我们的值保存到了我们这样子的一个文件,然后保存到这个文件的话,等于就是我们在服务器上面,新建了这样子的一个啊,新建了这样子的一个定时任务。
而这个定时任务的话,就是我们这里隔一分钟之后,就每一分钟他都会执行一次,每隔一分钟它会执行这样子的一个命令,就是弹一个shell,谈到我们指定的一个ip端口,因为就是这个电池任务的一个呃。
电池任务的一个解释,这句话大家啊理解了吗。
能明白吗,不明白的话呃,说一下哪里不明白,好然后的话还有其他的一些问题吗,这个的话应该是呃,就步骤的话已经写得很很详细了,大家还有其他的一个问题吗。
都都没有问题了吗,我把这个呃文档发群里吧,我这句话应该写的比较详细呃,呃这样的话是我之前的一个笔记啊,时间的话可能不对,就是我我直接从我之前那个笔记上面,摘摘下来的,然后这个的话应该没有啊。
大家有没有什么问题啊,要不要我讲一下,下面要写进radio,我们的这样子的一个密钥不是不是写到了radio,而是而是我们通过这个radio对吧。
它能够去进行这样子的一个写文件的一个操作。
然后他写的话,他是会把它写到了那个我们的就是,我们的一个ssh有这样子的啊,不知道大家有知不知道,就是免密登录啊,就是我们登录这样子的一个linux服务器,我们要登录的话是要要输密码吗对吧。
如果说你的这个密码你输,你看这这样子的一个密码。
你是啊设置的比较复杂对吧,比较复杂的话,你都记不住嘛,所以的话我们可以通过设置这样子,这样子的一个免密登录名,密登录的话,因为s s g它是呃,那前面一个连接你中间的这种数据的话,它是经过加密的。
经过加密的话,我们想要就是客户端和服务端,也就是说我们的一个机器要去隐密的去迎接,我们的一个服务端,好连接我们的一个服务器的话,我们需要生成这样子的一个密钥以及供样,这是生成错的一个生成的一个方法。
那就是s曲线,t g,利用这样子的一个工具来生成我们的一个密码,好干,t后面的话是接我们的一个呃加密的一个方式,一般的话是rsa的一个方式,嗯r s a,然后的话它会保存在这样子的一个目录。
默认的话是在这这样子的一个目录下面,我们这样的话直接回车,然后需要你输入一个密码,这个密码的话就是啊,可以是一个比较简单的一个密码,因为就是说当然的话你也可以不输,如果你不输的话,就是说啊。
比如说某个人,他使用了你的这样子的一个电脑对吧,然后的话他就能够去不需要使用密码,使用任何密码的一个方式去进行一个连接,这样子的一个机器,然后我这里的话就不设密码,就回车回车就可以了,回车回车之后的话。
我们可以去这个目录下面查看一下,打开之后的话可以看到它,这样的话会生成这样子的两个文件,就一个的话是一个i d i s a,这样子的一个文件对吧,这个的话就是啊写入的是我们的一个私钥。
这个私钥的话就是在我们的一个服务端好吧,在我们的一个就是我们想要去连接啊,其他服务器的这样子的一个密钥。
我可以看一下。
另外就是这样子的一串值,它是使用i sa的一个方式进行了一个加,然后的话还有一个公钥,开始点public,它是这样子的一串值这一串公钥的话,内串公钥的话,我们可以就是啊。
把它发给你想要去隐密登录的那个机器。
就把这一串直,然后这里的话这里的话那个实验的话呃。
是哪一个实验。
真香了,是那个,是哪个实验,我就是就是这一个是吧,在后面是吧,这一个吧,这个呃攻击strike to的,对这个这个这个weblogic的这个s sp的一个漏洞。
这个算是web logic的这个啊它自带的啊,它自身就有的这样子这个漏洞,然后他这句话是用到的这样子,他的这样子的一个功能点,我们可以通过这样子的,在这里传我们的内网的一个ip,来去对它做一个探测。
而且他而且的话他是一个有回血的,然后在这里的话主要是这里,这里的话我们通过前面的这样子的一个利用,前面的话主要的话是看这里啊,就我们前面应该比较详细啊,就介绍了这一个c i。
c i l f的这样子的一个注入啊,这个c i l f注入,需不需不需要大概的给大家说一下呢。
就这样的话,大家有理解吗,我大概说一下吧,就这一个c i l f的一个漏洞的话,就是这个c r l f的话,就是我们的一个回车换行,就cr的话就是回车嘛,lf的话就是换行,然后大家回想一下。
就是我们之前在讲http的一个啊请求头,就是他的一个字段的时候有给大家说过对吧,就大家回想一下那张图嘛,就是说每一个这种我们的一个htp的一个,请求头当中的话啊,啊每一个啊请求头部它的一个字段。
它的最后都有这样子的一个c r l f,这样子的一个呃字符,然后这个字符的话就是一个回车换行,好在这里的话我们怎么去进行一个利用呢,就是我们可以通过这个cf,然后这里的话其实就是呃回车的话。
就是这个它的一个url编码的话就是0%d,然后呃矿产的话就是0%a,他是一个ur l的一个兵马,然后我们可以通过这样子的一个0%d,0%a来构造这样子的一个回车换行,然后他这里的一个漏洞的话。
就是我们在这里能够去通过这样子的一个,0%d 0%a这样的一个方式,因为我们前面有说到,就是它的一个字段,它是以这样子的一个方式结尾的,就说明是前面的一个字段的话,它的一个内容的话是已经结束了。
然后后面的话就是新的一个字段,然后我们可以通过在这里的话输啊,构造这样子的一个cf来,就是把我们重新再构造另外一只另外的一个呃,呃另外的一个请求逃亡,就我们其实可以在这里看到。
就我们在这里通过发送这样子访问,这样子的一个请求包对吧,访问到这里的一个端口之后的话,我们通过它的一个响应,好吧,通过他的一个请求过,能够知道它是发送了,就是他请求的是一个啊post的请求嘛。
然后他访请求的是这样一个xs的一个内容,然后的话主要的话看看这里,这里有一个host 3 w点,百度点com这样子的一个啊字段啊,其实这个字段的话,其实是在我们原本的一个请求头,它是没有的啊。
是我们通过这样子的一个构造来啊,添加的这样子的一个啊,就是注入了这样子的一个呃请求头,啊到了后面的话就是说因为他是这一个参数,存在这样子的一个cf的一个注入嘛,啊我们可以在这里。
在这里通过他的这样子的一个cf的一个注入,来发送我们的啊,这样子的一些数据包给我们的一个radio,给我们的这里这个release的一个服务器,然后发送的这个数据包的话就是这里的一串。
这里这里这一串的话我们可以看到就是set test,set test的话就是创建了这样子的一个,test的一个key嘛对吧,然后它的一个值的话就是这里的一串。
这一串的话就是我们前面说到的这个啊公钥。
就我们在这里生成的这样子的一个公钥,在工业上的话啊,可以自己生成,就生成之后的话,我们把它放到这里报告,这里的话就是啊这个test啊,这个t名为test的这一它的一个值。
它存储到这个release的一个数据库啊,到了这里,这段话其实跟我们前面的那个需要脚本的话啊,应类似的,应该能看得懂,然后后面的话后面的话就是啊,前面的跟前面的一样。
我们设置我们的一个目录为这个这个目录,这个目录的话就是我们保存的我们的一个呃,那个ssh的那个密钥以及公钥的一个目录。
我们设置的一个目录的话,是在这里把我们设置了一个文件名。
是这个authy kiss,这个author kiss的话,这个文件的话它里面存储的就是我们的,就是比如说我们已经连接过了,我们已经有连接过了,诶这里没有吗,我们可以把我们的就已经有连接过了的。
这样子的一个t就是它的这种公钥,把它存储到这样子的一个文件里面,然后存储到这里的一个文件里面的话。
那其实就是一个啊,就是我们去进行一个身份验证的时候,会去用到的这样子的一个好公钥,就一个钥匙嘛,然后我们我们可以通过存储的,我们这里生成的这一个公钥,好,我们可以使用这里的。
就是我们直接能够通过snh这个方式。
来去连接我们这里存放公钥的这个服务器,这里的话应该有你看到我这句话啊,我这句话有设置了一个,这个的话是我之前设了一个明媚的一个登录,然后我们只需要把它把那个公钥,把它给放到这里来,好保存,保存之后的话。
我们可以直接通过ssh啊,root 17,通过诶我这里的话和s h的端口是那个,每个端口好,我们可以看到,这里的话有了这样子的一个验证对吧,那验证的话其实就是呃,验证我们这里存储的一个公钥。
它是否啊是我们这里生成的啊,我们yes yes,之后的话,可以看到我们没有输任何的一个密码对吧,我们没有输密码,我们直直接就啊就是确认了这样的一个连接,我们就连接到了这里的一个服务器,看一下它的内容。
对吧,好,在这里的话就是通过这样子写这样的一个,s h的一个啊key这个免密登录的这样的一个key,写到这样的一个文件之中,写入之后的话,我们直接可以在我们在这里生成的这个,t的服务器上面来通过啊。
不需要密码的去登录到指定的这一个服务器,这句话就是这里的一个关于这个s h i s的,一个key的一个,解释,这句话大家应该明白了吧,能明白吗,大家可以自己去尝试一下,就是通过这样子的这种呃。
这种通过radish写这个s h key的话,也是呃也是啊比较经典的一种方式,就是我们能够直接的通过写入的,我们的这样的一个公钥对吧,能够不需要立马的去登录到,就直接获取到目标服务器的一个啊shell。
而且是就是很稳定的一个需要,呃大家还有还有疑问吗。
嗯大家还有问题的话直接提哦。
还是说这个struck two的话呃,应该呃跟前面的话其实也是类似的,就我们直接用这样子的一个payload就可以了,好用他的这个p o c,因为他这里的话就是直接能够去进行一个命令,执行嘛对吧。
然后的话我们通过这个s s r f,通过这个s2 f来去访问,就说同直接去访问他的这个呃,struck two这个啊服务访问这个服务的,它是存在这样子的一个漏洞,我们可以通过这样子的一个plc来去执行。
我们想要的一个命令,然后他这里的话就是通过呃,通过通过那个下载一个,就通过we get下载这样子的一个shell脚本,然后把它下载,下载到这个指令的一个服务器上面,然后下载下载之后的话,我们在啊。
给他就是给他一个执行的一个权限,给他执行权限之后的话,我们再去执行它,因为我们已经能够去命令执行了嘛对吧。
直接通过这样子的一个payload去啊,执行,执行我们的这样子的一个反弹shell的一个脚本,然后的话在我们的一个服务器上面去进行一个,今天就能够弹回我们的目标服务器的一个shell。
然后这里的话关于这个struct to的话呃,大家可以直接搜一下,搜一下实验室,有实验的,这样的话呃这个struct to的话是很好利用的,就不像radise那样子,就是说我们可能需要通过这样子的。
比如说你要弹shell,我们需要通过这样子的一个脚本,就是因为我们想要把我们这里传递的,这样的一个脚本,就说这种数据要把它给发送到我们那个,radius服务器,然后发送到这个radio所服务器的话。
我们需要啊就是符合它的一个格式啊,因为我们是需要去使用到这个go for go,呃这个这个篝火协议去进行一个发送,所以的话我们需要把它就是啊转换成啊,能够去直接去进行一个发送的这种格式。
就是发送的用这个goff协议去发送的这种数据,直接发送到我们的一个radius服务器的,一个6379的这个端口,发送过去的话,它就会执行我们上面的一个shell的一个脚本,然后把我们的一个定死啊。
这一个电池任务,弹shell这个脚本写到我们的电池任务里面去,然后的话隔一分钟之后就能够弹弹shell,然后在这里的话我们可以通过它返回的这种加,就这个加ok的话。
就是radio他执行执行完命令之后的话,它就会返回返回给你,就执行一条命令,它就会返回给你这样子的一个啊字符就ok,就是执行成功了嘛,然后我们这里的话是有五条命令,所以的话返回五个。
ok就说明的话这样的话是已经出现成功的,然后这里的话呃这样的话可能这里要说一下,大家可能会有疑问,在这里的话我们是通过这个so cu,这个so cut的话,其实也是一个就是啊一个工具。
它是你可以说是好nc的一个加强版,就是说它的一个功能的话,比nc要其实是要更强的,就更强大的,它的一个功能的话很丰富,能够端口转发压床,就是nc能干的,他都能干,等于就是然后他还有其他的一些啊。
其他的一些功能,然后这里的话我们通过它的这样子的一个命令,其实我们想要获取到这样子的一个数据,这个数据的话,其实就是我们啊执行这个脚本对吧,执行这个脚本之后,我们发送给我们的一个release服务器。
那这样的一个数据是这样子的一个格式对吧,然后的话我们发送的数据格式是这样子,我们如果说要去使用到这样子的一个go for协议,发送这样子的一个啊,我们这里执行需要脚本的一个数据的话。
我们就需要获取到它的发这种原始的一个数据,好的话,通过转换转换为就是呃符合go for的这种,go for发送数据的这种格式的,带一个啊,这样子这样的话有给一个脚本。
就是它有这样子的一些转换的一个规则嘛,然后在这里的话就是通过这一个socat来监听,我们的一个44的一个端口,而今天的这一个端口的话,他会把这里的一个就是呃,把发送到这个444端口的。
一个数据给转发到我们的一个呃,这里的一个6379的一个端口,这个637的话,其实就是我们本地的一个release的一个服务器嘛,对吧,然后在在这里的话,我们就是执行这个脚本,这些脚本的话。
这里需要两个参数,大家要注意的话,这里的话是两个变量有啊,多了一的话就是我们这里的第一个变量,就是我们的一个ip嘛,然多了二的话就是一个端口,然后执行之后的话,执行之后的话呃。
啊不是在这里就执行之后的话,我们像我们的一个这里,今天的一个14 四的一个端口,发送我们的这执行命令之后的一个数据,也是这里的一个数据嘛,发送给这里,实际的话其实就是发送到了我们的一个呃。
这里的一个6379的一个radio服务器,然后在中间我们这里监听的话,就像就相当于一个中间人对吧,我们可以把它发送到服务端的,就是说这个6379的端口,它的这种原始的一个数据把它给获取下来。
就是你发送过去,你发送发送到服务端,然后的话服务端返回的一个响应的这种数据,能够通过这种方式把它给获取下来,然后的话再通过这个go f协议,就啊我们的指定我们的一个release的一个端口。
后面的话接我们的这里的一个数据,然后发送,发送之后的话就能够去进行一个呃,写这个写这个shell,学我们的一个定时任务来反弹一个shell,这里应该能明白啊,其实我这个文档的话已经很详细了。
然后这里还有要注意的一点的话,就是这里了,就大家哦大家可以可以自己在本地啊,就是我那时候的话,也是就自己自己在本地搭环境嘛,大环境,然后你自己搭一个radius的一个服务器嘛。
然后通过这样子的一个方式截获这一个数据,结合这个数据化,你需要去进行一个啊转换转换构造好,这里构造的话我们要注意的一个点的话,就是它在这里,我们其实可以看一下这里的我之前的一个数据。
这里这句话其实就是我们这里的感恩感恩,给你复制下来。
我们复制下来咳,就这里的话,我们可以看到前面的话是有三个换行对吧,这三个空行其实就是我们之前的一个感恩,感恩的话就是换行的意思嘛,就换了三个行,然后这里的一个数据的话,我们可以看一下,这里的话。
我们选中这里的话其实是有51个字节,就51个字符对吧。
这样的话它的一个长度是51,然后后面的话这里呢要注意的话。
它是有四个字符,然后,就可以看到在这里的话有一个这样子的一个值,58,这个58的一个值的话。
就是表示我们这里所传递的这个数据,它的一个啊长度是一个58这一个长度,然后因为我这里的话是一个本地嘛,如果说你想要你要去连接一个指定的啊,这里面是这样子吗,你想要去连接一个指定的,123指定的一个ip。
比如说电网的一个呃,1。100这样子的一个ip对吧,然后端口的话是,啊666,然后这里的话我们实际的实际要去反弹的,一个小小的话是这样子的一个ip对吧,然后这一个端口,所以的话我们这里的话需要更改一下。
它在这里的一个呃就是长度的一个值,我们可以看到这里的话是一个55,这里55,然后加上我们这里的一个三,再加上这里的一个四。
就是55+7嘛,55+7的话,就是他在这里的一个长度的话就是62,所以说我们在这里的话,我们需要做一个更改,更改为一个62,就是啊体现到这里,那个po的话就是在这里嘛,呃在这里那应该有58嘛。
我们把这里58改成62就可以了,另外就是关于这个sf啊,radio就是攻击内网radio的一个啊步骤以及方法,我看大家呃没有反馈给我,就是大家都听懂了是吧,听听懂了,听懂了就是没有问题的。
大家在讨论区扣个一好吧,让我了解一下大家的一个就理解的一个情况,如果有问题的话扣二,然后把问题发出来嘛,我现在的话就再给大家五分钟的时间吧,如果没有问题的话,我们这节课的一个内容的话就到这里结束了。
好这位同学,这一个应该理解了吧,就连接工具的话,就我们直接通过s h就能够连接了,呃大家是有问题还是没有问题的,也也给我一个反馈吧,啊没有问题的话,那我们下课吧。
呃下课之前的话。
呃,有一个就是我们下节课的话就是一个考核嘛。
然后考核的话我在这里的话有就是。
准备了两个题目。
准备了这样子的两个题目。
我发到群里,然后的话需要大家去啊进行一个做,做出来做的时候的话呃,大家就是啊在下节课之前的话啊,把那一个就是你做的这样子的一个详细的过程,以及步骤把呃记录下来,然后写下来啊,就是把作业发给班主任。
然后到时的话呃如果有问题的话,我给大家讲解,呃这里的话,看一下。
我在这里的话,我写一个flag,就是啊考核的一个目标的话,就是把这一个啊flag就是拿到,三个点text。
就是他的flag的一个目录的话,是在这一个tap tap目录下面,我直接告诉大家吧,就在这一个tap目,下面有一个flag intt这样子的一个文件。
我需要你就是啊,目标的话就是获取到它里面的一个值。
呃然后的话这个的话就是下周的一个考核好。
我们这节课就到这里结束了。
P37:第35天:SSRF漏洞-课程考核讲解 - 网络安全就业推荐 - BV1Zu411s79i
是我们这一期的一个web安全培训的啊,就是课程内容的最后一课了,应该是,然后后面的话就呃我这节课讲完之后的话,后面的话就是呃两节,就是把我们前面的一些内容的,就是关于这些web安全相关的一些知识点。
给他给大家做一个就串联对吧,就是针对这样子的一些web安全漏洞啊,我们如何去发现,如何去利用的一些思路,好的话就是最后的一个呃就业的一个培训,就是这啊,解决大家就是在去进行一个就业的时候。
一些简历制作啊,还有就是就业的一些选择等等的,还有的话就是呃有相关的一些呃,企业的一个内推的一个资格,然后本节课的话就是一个课程的一个考核的,一个讲解啊,讲解的话主要的话就是呃上节课给的两个题目。
就这两个题目,然后呃大家有做出来的吗,就这两个题目大家有做出来的吗,没有,hp为c82 21,那其他的呢没没有尝试吗,呃这个的话是啊,这两个题目的话,是把那个file协议给就是过滤了呀。
就是你的这个file协议,那如果说你能够去直接使用到一个file协议的话,我可以直接就是file对吧,因为我已经知道flag的位置嘛,我直接,我直接通过file协议对吧。
然后直接读取这一个flag的一个文件,这样子的话就直接就能够出来一个flag对吧,那这样子的话没有什么就是没有什么可考性,就是没有什么考点是吧,所以的话这两个题目其实是有,把这样这个法尔协议给禁用的。
就是把它给过滤掉了,而其他人呢这这两位同学是啊,有碰到一些问题对吧,其他同学有没有就是有一些思路,或者说有做出来的,公钥,你说的用公钥尝试是哪一个,是哪一个题目啊,就这个是吧。
这个你为什么会想到用公钥去做呢,就是你啊你用功要去做的一个,就是你前面的一个思路是怎么怎么样的,啊要不要不就是说呃,就大家有什么就是有什么想法直接说吧,这边是可以这样子举手吧,就大家可以直接举手。
然后发言,就大家碰到了一些问题啊,然后的话呃有有有就是你你的一些思路,啊你你这个这个老橙子,你要不要说一下,你要不要说一下,就是你的,你为什么要想想,要去用公钥去来尝试做这个题目呢,就是你的一个呃依据。
要不要尝试说一下。
都没人想分享一下的吗,没的话,那那我来我来讲吧,就,首先的话在这里的话就呃,就从明很明显就是一个s s r f嘛对吧,其实就前面的一些题目,然后的话你要做出来一个,你要得到那个flag的话对吧。
我们先回想一下,我们就是前面讲s f的时候,我们要怎么去进行一个啊测试,就说怎么去测试这样子的一个ssr f漏洞呢,对吧,我们前面的话有提了,就是有通过一些ur u i5 协议对吧。
通过协议来去进行一个测试,然后的话看他的一个回血对吧,来判断啊,来获取他的一些信息,来判断服务服务器的就是啊一些端口啊,服务它的一个开放的一个状态对吧,然后的话我们我们知道了这样子的一些信息,之后的话。
我们再去针对这样子的一些端口,它的一些服务,来去进行一个啊针对性的一个利用,对不对,然后前面的话有说到是吧,用啊,就是这里的话有提示让你输入一个url嘛对吧,那我输入一个url进行一个测试嘛。
就是htp协议嘛,比如说我输了一个百度,对啊,然后我测试一下,测试一下之后的话,发现他是返回了我这一个啊链接的一个好,源代码对吧,源码,那么你在这里这样的话,我们要明白,就是说他啊。
就是它后台后端怎么去进行一个处理的,就说你首先你要有这样子的一个概念,我们在这里输入这样子的一个url对吧,输入之后的话,后端它是怎么处理的呢,我们从结果的话能够发现,它是返回了我们的一个源码。
返回了我们给定的这个链接的一个源码,那么我们就能够大概的知道它后端,它其实会向我们给的这个链接发起一个请求,对吧,就啊请求这里的一个链接,它的一个源代码,然后的话显示出来我也想到了这里对吧。
然后这里是htp协议,那么我们还有呃前面有着重说的dict协议,对吧啊,dict协议,比如说我,我随便输入一个ip对吧,我先不输入这种内网的一个ip,我输入一个公网的ip嘛。
我为了验证他是否支持这样子的一个协议,对不,他的话呃。
22号端口对吧,我这边的话,我在我自己的一个服务器上面先做一个,就是今天今天我的一个,22号端口对吧,我这里监听之后来,然后我在这里通过这个协议去啊,访问我的这一个公网服务器的,22号端口对吧。
因为它会对我的这里的22号端口,做一个探测,然后的话我进行一个test,test了之后的话,我们怎么去查看它是否有就是请求呢,有像我这里给定的这个dex协议,就是有去使用这个协议去啊。
探测我这里的一个服务器的一个端口呢对吧,我从我服务器上面的一个危险就能够知道,它其实是好有趣,请求我这里的一个22号端口的对吧,好的话,可以看到这里的话是他请求的一个客户端,它是使用的一个c r l的。
一个7。29的一个版本对吧,他是从呃这个ip啊访访问过来的,对吧,然后的话其实呃其实在这里的话,其实就是建立了这样子的一个连接,我们其实可以看到在这里的话,它其实连接到了我这里,服务端的一个22号端口。
然后我们如何去,就是说其实就是客户端与服务端之间建立,连接了之后的话,我们其实可以去传递数据的对吧,我可以在这里随便输入,这样输入这样子的一串数据,然后我这里输入之后的话。
其实我们的这一个连接而断掉之后的话。
它就会把我的这里的一个数据给传到。
可以看到我在这里的话呃,像客户端对吧,随便呢传输了这样子的一个字符串对吧,然后服务端的话,他请把客户端,他请求我们服务端的一个数据对吧,我这样的话给了他这个数据的话,在客户端的话他就回显出来了。
其实就跟我们去请求一个链接,然后服务端就是啊请求的链接的一个服务端。
它返回给我们这里的一个数据。
其实是一样的对吧,这样子的话,我们能够判断它是能够支持这样子的一个,dict协议的,也就是说我们可以使用这样子的一个dict协议,来去探测内网的一个端口,对吧,那么我们尝试一下啊。
探测一下内网的一个端口,就是说啊,因为我们现在这里的话是在这个服务端对吧,在这一个啊,在这一个服务器,然后的话我们在这里请求我们可以尝试,如果他没有,就是说它存在这样子的一个s漏洞,也就是他没有去限制。
我们在这里请求的这种优的一种效啊,不是url的一个协议,以及它没有限定我们的这样子的一种啊,访问内网的ip以及特定的一些端口的话,我们可以去进行一个尝试,好的话,我们在这里尝试一下,尝试之后的话。
可以发现它这里的话返回了这样子的一个呃,我们22号端口,它所运行的一个服务以及版本,它的一个服务的话是s h,版本的话是7。4的一个,open s h的一个版本对吧,那么我们能够去使用这样的dt协议。
去探测内网的一个端口,那么我们是不是能够去探测其他的一些端口呢,比如说3306对吧,进行一个测试,然后发现的话它这里有回血,然后可以看到这里的话是一个,5。7。29的一个版本,但这里乱码的话。
其实呃是因为中文的,而它本来就是这样子的一个乱码,然后显示的话是有问题的,好的话,我们不可能是说这样子,手动的去一个一个端口区进行一个探测对吧,那么我们,我们如果说你这样子。
手动手动的一个一个端口去探测的话,那太太麻烦了,所以的话我们可以尝试使用bp嘛,就是啊其实上节课也有用,有说到对吧,使用bp的这一个爆破爆破模块,是这里吧,就这样子的一个包。
嗯啊抓抓取他这样子的一个请求的一个包的话,就是像这样子的一个包,然后的话我们可以通过bp的一个爆破模块对吧,然后对它进行一个爆破,爆破之后的话,它的一个结果其实就是我们就是我们在这里。
我们的这个服务端对吧,这个服务端它的一个啊,它内网的,就是说它本地的这个啊开放的一个端口,我们通可以通过通过它的一个响应,来去进行一个判断,啊这样的话会比时间啊,因为我这里的话是探测的一个全端口。
就是1~6535,然后的话它它的一个呃时间的话会是比较久的,因为他需要一个一个包,一个一个端口,也就是一个端口要发送一个包,然后的话获取它的一个响应,这样的话已经出了一个22号端口对吧。
然后最后探测之后的一个结果的话,其实就是啊有这样子的一些端口存活,我们可以看这里就能够得到它存活的一个端口,有这样子的一些22元,33065002,还有8080,还有23005这样子的几个端口。
然后的话呃,主要的话看这个就是它的一个状态码,是200的嘛,其他404的话就说明这个端口的话啊,没有开放的,然后这里的话呃我们再回过头来,就是呃看一下我这里的一个文档吧,我的话呃写了这样子的一个文档。
也就是我们如何去进行这样子的一个,就是去测试这样子一个s漏洞的一个思路,首先我们得到这样子的一个站点对吧,得到这样子的一个站点,我们想要去测s s s f,首先我们我们要去测试它。
也就是呃要能够获取到它的一个信息,大家一定要注要记住的话,就是s f它的一个作用对吧,它的一个作用就是去探测内网的一个信息,因为我们要去啊利用,就是利用这样子的一个存在。
3伏的一个这种啊web服务器对吧,然后的话它是能够去访问,如果说它是能够去访问内网的对吧,那么我们可以利用它这样子的一个s漏洞,去探测内网的一个信息,也就是说以这一个啊服务器作为一个跳板,去获取去。
直接就是穿穿越我们的一个呃防火墙,来去访问内网的这样子的一些服务,以及获取它的一些端口信啊,信息,版本信息等等,然后的话我们前面的话有说了,就是啊htmd好不,h t t p的一个协议以及这个协议对吧。
然后的话还有其他的一个一些,就是说的一些fire协议对吧,也是常常用的,也是常见的一些file协议对吧,放协议的话,因为我们能够其实通过啊,这样子的一些信息的话,能够知道。
它其实是一个linux的一个服务器对吧,它其实是一个linux的一个服务器,然后的话因为有像这种22号端口嘛对吧,如果是一个linux服务器的话,那么我们就是可以尝试使用file协议去读取啊。
linux系统当中那些特殊的一些文件,也是啊常见也是常用的一些文件,比如说etc password对吧,然后我们可以去进行一个测试,而测试之后的话,这里的话是啊,没有这样子的一个信息的一个返回对吧。
然后的话从这里的话,我们其实也能够就是啊测啊,知道了解一点的话,就是说他这样的话不能够去使用这样子的一个,file协议,直接去读取啊,这个系统里面的一些文件,也就是这里的话有对这个发展协议做一个禁用。
然后的话还有就是其他的一些协议,比如说啊ftp ftp协议就我们怎么去测试的这个呃,测试它是否能够去使用ftp协议呢,好我们首先要知道ftp的话,看一下这里的这个文档。
这个文档的话就是啊列举了就是常见的,也就是一些啊我们经常呃就是经常会去使用,而且碰到的这样子的一些端口,以及它的一些服务,就是说一般的一般就是约定俗成的这种,比如说12号端口对吧。
就是对应就是使用的一个s h的一个服务,当然的话你也可以去更改它的一个端口,就说你可以把s h服务的一个端口,改成其他的一个端口,比如说我的话,我把我自己的服务器的话,是改成了其他的这样子的端口。
因为你就是默认的12 12号端口的话,你现在公网的这种服务器的话,别人会去尝试,就是就你去挂个挂个那种爆破,弱口令的一个脚本对吧,你直接挂挂在那里,然后的话直接对这种官网的这种服务器。
直接去进行一个批量的去爆破对吧,然后他批量爆破的话,他批量爆破的话,他针对的就是默认的去使用这种,22号端口的嘛对吧,如果说你去跟使用其他的这样子的,一些端口的话啊。
可以比较有效的去防止他的这样子的一种爆破,除非的话它是有针对性的去对你的这个服务器,做这样子的,做这样子的一种探测对吧,那么的话他肯定也是能够去发现到你,你的服务端就是啊开放了哪些端口。
然后的话这个端口它使用的什么样的服务的话,都是能够探测出来的,就是我们使用map就能够去进行一个探测,然后的话我们呃这里的话,比如说我就是大概说一些常用的一些端口啊,这个的话大家可以不用去死记啊。
就是就是之后的话大家肯定也会经常碰到,也会经常用到的,比如说ftp ftp的话就是20~21的一个端口,然后s h是22,tnt是23,还有像我们的一种邮件服务啊,25对吧,还有常用的电的话。
它是使用的一个53,以及hdp对吧,八零,还有的话像,还有的话像我们的我们的一个radio对吧,radius的话是一个6379,还有像我们的啊就mysql,等等的这样子的一些就是常见的一些端口。
以及就是80808080的话有啊,这样的话是一个他这里写的话是htp的一个pro,就是hp的一个代理,它默认的话是使用808年的一个端口,就比如说bp的话,1p里面的一个hb的一个代理的话。
它默认的话也是使用了一个8080端口对吧,然后的话像tom cat这种web服务的话,它默认的也是使用的8080的一个端口啊,这样的话就是对长镜的一些端口,给大家啊做了一个基本的一个介绍吧。
就让大家有这样子的一个印象,好我们回回回到我们的一个题目,就是说我们如何去探测它是否能够去使用,这种ftp的一个协议呢对吧,我们前面的话有说到就是ftp的话,他使用的是一个21号端口对吧。
然后我想要去探测它是否能够支持,使用这种ftp协议对吧,我这里的话我首先。
我首先我要去探测的话,我需要去使用到我我们的一个公网服务器对吧,我首先在我的一个公网服务器上面,今天一个21号端口。
因为它默认的话它是使用的这样子的,21号端口,如果你不去特意的去指定的话,然后的话我们在这里的话,我们在这里的话,通过ftd协议去访问我的这这样子的一个呃。
服务器的一个ip对吧,好的话,我去进行一个测试,去建一个访问,访问之后的话,我们从服务端的一个回响也能够知道对吧,可以看到这里的话是有一个ip,有这样子的一个ip来连接了我的21号端口,对吧,是啊。
一个ftp的一个呃服务,然后这里是。
从这里的话我们也就能够啊大概的知道他是啊,就是这里的话它的一个服务端的话,它是能够去支持使用这种fdp协议的,以及还有其他的这样子的一些协议,比如说f t p s啊,还有sf tp啊,还有tnt呀。
然后的话还有go for,关于go for的话,其实上节课也说到了嘛,也是就是我们在后面去进行一个应用的时候,也会经常去使用到的这样子的一个协议,然后的话我们探测完了。
就是说我们能够去使用这样子的一个要的,这种这种协议对吧,能够使用它去获取到特特定的一些信息对吧,然后的话还还能够去用这样子的这种协议,去发送这样子的一些payload以及一些数据对吧。
然后的话我们就需要好,应该是说我们可以前面的话我们也是啊,就是有测试了,他能够去使用这样子的一个dc协议对吧,那么我们就能够去使用这样子的一个电协议,去探测啊内网的一个端口以及服务信息。
然后探测内网的话,我们可以通过这样子的一种爆破的一个方法去,就是通过他的一个响应来去啊,验证来去发现它的一些端口的一些开放,以及它的一个啊就是端口开放的一个情况,然后的话我们知道了他的开放了哪些端口。
那么我们就能够有针对性的去利用它的,这种端口的一个服务对吧,比如说啊22对吧,然后的话像这种数据库mysql mysql数据库是吧,然后呃,其实s也是可以去使用这样子的一个go f协议,去。
就是去好利用这样子的一个mysql数据库的,当然的话利用这个mysql数据库的话,它是就是说用这个上分零六的话,是需要有一些前提条件的,就他的一个前提的话,就是说你需要去呃。
你需要知道你的这个这个数据库,它的一个用户名以及密码,所以的话好的话,才能够去利用这个go f协议来去啊,像我们的这个啊,内网的这种三这种数据库服务,去发送我们的一个数据,好的话。
还有就是呃5002的话,就是我这里的一个web服务嘛,web服务的一个端口,以及呃8080的一个端口,8080端口的话,我们前面有就是前面也说了,也提了,就是说8080端口的话,默认的话呃好。
这样的话我们可以去进行一个访问,就是一般的话它是使用的这种,就是用于做一个web服务器,像比如说我们的就说hd p你也可以啊,像比如说我们的angx啊,还有像这种tom cat,tomcat的话。
默认是使用的8080端口,然后的话像其他的这种web服务器的话,也是也有可能会去使用到这样子的一个端口。
然后这里的话,啊这样的话这个题目其实大家没有做出来啊,这两个题目大家没有做出来的话,其实。
其实没有关系啊,就是这两个题目的话呃。
首先这一个就这一个这一个题目的话。
应该说这两个题目其实都有稍微有一点问题,这个问题我也不是,就是他这里的话有一个tomcat的一个服务,然后这一个tom cat服务的话总是会断掉,就是我不知道是他的一个连接数太多了。
还是怎么的,就他过一会就会断掉,然后起了的话。
它的一个端口也会就起不来,所以的话可能大家也如果有去呃,有同学去这样子去进行一个端口的一个爆破。
探测的话,如果没有探测到这个八零端口的话啊,这个8080端口的话,其实啊可能是服务端挂掉了,就是这里的一个嗯嗯,我刚刚起了一下,这起了一下这个tomcat服务的话,直接整个机器都卡死了呀。
然后的话直接零都连不上去了,所以说这里的话稍微有点问题,而且这个tom片啊这一个服务的话,现在的话可以看到是已经起来了。
就是他今天在8080端口好的话,这个服务的话他要起来其实需要需要一段时间,就是而且他的时间的话说不准啊,然后可以看到我在这里的话啊,我这里起来了对吧,起来之后的话,我这里去进行一个访问对吧。
我们通过hdp的一个协议,或者说你通过det协议,通过这个协议的话,它会返回就是你的一个服务,你的这个服务的话,它使用的一个阿帕奇对吧,那么我们知道他是阿帕奇的话,那么我们就可以尝试使用http协议。
去进行一个访问它的一个页面对吧,然后的话我们从它的一个回血,其实也能够知道啊,不好看的话把,从他的啊就就这样吧,其实这个的话就是那个实验的一个题目,类似的,当然那个题目的话。
就是他没有去禁用这样子的一个凡尔协议啊,他是能够去直接通过法尔协议去进行一个,flag的一个获取的,然后从这里的话,我们从它一个回形,其实我们也能够知道它是使用的是struct to,对吧。
然后的话从他的就是啊struct to的话,我们要去访问他的首页,从啊返回的信息里面也能够知道,就是访问它的一个index对action,这是struck to这个框架的一个特点,一个特点。
这个的话就是它的一个首页,然后这里的话就是呃8080端口,我们这里知道他是一个struck two对吧,知道他是一个struck two,那么我们就可以去尝试使用,subject to的一些漏洞。
我们既然知道了,他是这样子的一个struct to对吧,那么我们可以尝试去使用,就是去好查找已有的,已有的这种ject to的这种漏洞,还有一个p o c对吧。
我这里的话呃就是查找了一部分的这种structure,因为是two的话,它的一个漏洞,它其实是很多的,有一系列的一些漏洞,这样的话我只列了一部分,就他的一些p c我们可以直接去进行一个使用。
然后的话我们通过测试的话,就通过通过在这里去啊使用我们的这种plc的话,能够啊知道的话它是使用的一个好不好,它是存在的这样子的,一个shake to的一个032的一个漏洞,然后他的一个plc的话。
就像这样子,这是他的一个plc,然后他执行的命令的话,这里的一个命令的话就是执行的一个或卖,也是查看当前的一个用户,我们来尝试一下,然后可以看到这里,我发送了我们的这样子的一个plc的话。
可以看到它返回了它的一个结果,就是root,也就是我们当前的一个用户的话,它是一个root用户,也是linux的一个最高的一个权限,然后其实这里的话我们就已经能够去啊,通过这样子的一个。
就是通过这一个四七这个服务器的,这样子的一个s漏洞,然后的话来去攻击他内网的这样子的一个,8080端口的一个strike two的一个框架对吧,然后我们通过这一个框架,它所存在的一个漏洞来获取到。
就是说这个啊就是他的一个命令执行漏洞,来获取到内网的这一个strong to这个服务的一个shell,那么我们怎么去执去获得他一个需要,那这个的话其实上节课也也说了,就是那个实验嘛对吧。
我们既然能够去进行一个命令执行了,那么的话我们就能够通过好执行,我们的一个命令来反弹一个shell,反弹到我们的一个服务端,好的话,反弹之后的话,我们就能够获得内网的一个呃。
内网的这一个strike to服务的一个shell,也就是我们能够直接的啊得到内网的一个shell,当然的话前提的话是这个内网的一个服务啊,这个服务器是能够去直接的去访问到外网的。
这个的话就是这里的第一个题目,这里的第一个题目的话,呃后面的一个get shell的话我就不说了吧,就执行命令吗,呃就通过之前的一些命令来访谈一个shell,你可以通过bh啊,咳咳咳。
通过半起来反抗这样子的一个笑,这样的话就是第一个这一个呃,有回旋的一个s3 f的一个啊,解题的一个思路,关于这个的话,大家有没有什么疑问呢,就有没有什么问题啊,你啊你们现在你们现在访问一下吧。
因为那个的话,因为那一个的话,我之前放上去的时候是没有问题的,就我之前放上去是没有问题的,然后后面的话大家可能在测的时候啊什么的,或者说他过了一会。
他的一个那个,就服务端的话,他这个服务的话会断掉,断掉之后的话,这个就等于就这个服务断掉的话,它的一个端口就没有开放了嘛,所以的话你就找不到,现在的话是开放了。
大家可以尝试一下,下午访问没反应呃,这个服务这个服务它有问题,它所以说这个题目啊稍微有点问题吧,但是啊但是不影响,因为他的就是这个题目。
他的思路就是这样子嘛对吧,然后其实我其实我挺好奇,就是啊这个老陈仔好不老臣子吧,就是你的你说的通过这个呃公钥来去尝试的话,其实我没有明白,你为什么去想到使用公钥来去尝试。
就是说这里的话啊,你通过公钥的话,你是啊你的一个思路是什么呢,啊就是你去使用什么样子的一个方法,去建一个利用的话,你首先你要有一个前提,你要能够去就说你能够去啊去使用到这样。
能够去实现这样子的一个方法对吧,而我们其实通过前面的一个思路对吧,前面的一个做法,我们通过这样子的一个啊,通过他的一个呃端口服务的一个,信息的一个探测的话,就是我也发现这样子的,就说这这些端口的话。
他是没有说能够去啊写我们的一个s s渠道,然的话如果说你能够知道这样子的,就你已经知道了,他的这个structo这个框架对吧,能够去执行命令,能够去执行命令,当然的话你就可以去写嘛。
他的话如果你能执行命令的话,直接弹一个shell啊,其实雪公要的话更加更加稳定一点,但是的话你写公钥的话,你是无法去直接的,就说你在公网的话,你是无法直接的去访问到内网的这个服务的,明白我意思吗。
就是说我们需要它就啊,我因为我们我们是无法直接去从公网访问到啊,这个阵营的一个内网的,就比如说你一个企业,你你无法是,你是无法从,就说不通过一些通道来直接去访问到内网的。
而我们在这里的话是因为使用了这样子的,就是说利用了这个sf漏洞,然后的话能够去啊访问到内网的这样子的,一些服务,然后的话对内网的这这些服务发起攻击,然后一般的一般的话一个一个思路的话。
不会不会是说去正向的去连接,去迎接我们的这种需要,而是通过反弹shell就说通过啊内网的这种服务,他能够去访问公网的话,通过他就是说让内网的一个服务,来主动的去迎接我们在公网上面的一个小。
也就是反弹一个shell到我们的一个公网服务上面。
好的,这样的话就是第一个题目嗯,我把二八全点了,那第二个题目的话就是这个网站源码获取系统,就这一个的话就是这个页面,然后这个题目的话啊,我的锅就是我的问题,就这个题目的话。
我之前啊我弄上去了之后没有去测试,没有测试它它的一个就是它的一个功能,能不能能不能去使用这个这个题目的话,是我今天试了一下,是有问题的,我也我也没,我也没花太多时间去那个,就我试了一下的话是有问题的。
然后的话这个题目的话是大家没做出来,那也没关系啊,就主要的是理解思路,这里这样的话我主要就是介绍思路,介绍思路,以及就是啊介绍啊如何去利用那些方法,在这里的话,我们同样就是呃,我们同样的话就是。
首先的话就测试它能够可以去使用的这种,url的一个协议对吧,就是跟前面的话也是类似的一个方法,在这些常见的这种题,然后发现能够去使用dict协议对吧,能够去使用这种dx协议的话。
那么我们就去探索了一个端口嘛,存放的一个端口,然后探测完之后的话,通过bp的一个爆破,爆破的话能够发现他就是嗯开放的多,开放的端口,有这样子的一些端口,就是有八零啊,还有3306,还有6379。
然后访问801端口之后的话,其实就是这里的一个首页啊,我们来访问一下,80880端口发完之后的话,其实它就是当前的一个就是这里的一个页面,就是它的一个源码,然后的话就是呃3306。
330的话也也是一个数据库,然后我们主要的话就是看这里就是6379,6379的话就是我们常见的一个radio,然后常见的,然后这一个瑞典式的话,就是碰到release的话。
大家首先可以去想去尝试去使用这种,去使用radius的一个未授权,然后因为我们前面也介绍了对吧,就是radior的一个未授权的话,未授权访问的话,我们是能够去get sh好,get shell的话。
这里的一个ladies get shell的话,有以下的这样子的一些就是啊利用的一些方法,就是能够去反弹一个shell,我这句话主要就是介绍这些方法吧,因为这个题目的话是我试的话是有问题的。
就是一直都写不进去,好啊,大家要做的话,其实可以去那个就是我们实验室,就是那个绿dise,就是s25 攻击内网radio的那个实验,去建一个尝试好,这样的话我首先就是我们首先来看一下第一种。
第一种的话就是我们通过写入这样子的s h k,也就是我们昨天的昨天的那个呃,那个weblogic的那个s s f对吧,那个的话啊我们通过探测的话,通过端口探测的话,发现他内网是开放的,有这样的一个啊。
开放了一个6379的一个端口啊,这一个6379的一个端口的话,正好是radio,那我们可以通过他的一个cf的一个注入是吧,来去发送我们这样子的一个呃,就像我们的一个radios服务。
发送我们的这样子的一个啊脚本,发送我们的一个payload来去写入我们的一个s曲,s区的一个key啊,这个key的话它的一个生成啊,其实昨天也讲了,大家有没有去尝试啊,这有没有自己去尝试。
去生成这样子的一个s h key,以及啊就通过明密登录对吧,这些的话是比较呃,常见的一些就是知识点啊,然后的话呃,首先的话我们想要去利用这样子的一个,写入hp的一个方法,我们需要生成这样子的一个t。
这个key的话其实就是一个公钥,这个公钥的话,我们需要把它写入到我们啊。
要攻击的那个服务器的一个呃,这个目录,有一个点取的一个隐藏目录,然后要把它写到这个authorize的kiss,这样子的一个目录,下面,这个目录的话,里面的话就存储在我们的这样子的一个公钥。
然后我们把它写进去之后的话,我们就能够在我们的就是啊含有私钥,就是说还有私钥的这个工这个服务器上面,来去敏密的去登录哦。
我们写入公钥的这样子的一个机器,当然在这里的话也是同样的,就是说,也是就是说同样的,就是我们在这里写入进去的话,写入到它的一个内网之后的话,其实呃就是我们无法去直接去进行一个访问的。
然后这一个这里的一个写入hp的二次,针对于那些在公网上面的这种radio,这种radio的一个未授权这种漏洞对吧,我们可以通过写入这个key,写入到它公网的服务器上面,然后的话我们再去啊。
再去通过我们的一个呃私钥所在的一个服务器,去连接这一个啊,目标的这个服务器也就不需要去密,不需要去使用到密码来去进行一个登录,然后后面的话呃就是,一个脚本就说我们去对这样子的一个radio。
是未授权攻击的一个脚本,其实这个脚本的话跟我们前面讲的那个radio,是未授权的这一个呃,写入电池任务的这个脚本其实是类似的,它这个圆它的一个原理是一样的,就是我们在这里的话,我们把这个key对吧。
把这个key把它写到这个key text文件,然后我们把它放到这个tap目录,或者说其他目录,我们通过cat cat的话就是反问,就是啊,就是读取这个文件里面的一个内容嘛对吧。
然后的话我们把这个读取的一个文件内容,作为这里的一个输入,这里的一个输入的话就是通过radio啊,就是通过radios客户端去连接指定的一个啊,release的一个服务器,好的话。
把它那个啊值就是添加一个这样子的一个key,唯一的,然后值为我们在这里写啊,写入的这一个s h p的一个值,添加这样子的一个啊key,然后的话再去好,通过radio去的一个config的一个设置。
来把我们的这个值写入到这里的一个root。s,取得一个目录下面的这个authorize,key的一个文件里面,我们知道这样子的一个脚本的话,我们回想一下,就是我们上节课讲那个电写电池任务的时候,对吧。
我们需我们想要去,好像我们的这样子的一个video服务器,发送我们的这种,数据的话我们需要对这些数据做一个处理,然后这里处理的话,我们首先需要获就是获取到他的这样子的,一个发送的一个数据。
其实这个数据的话,就这一个数据的话其实都比较类似,就比如说我在这里的话,我在这里是使用了这样子的一个脚本对吧,所以呢一个这样子的脚本去获取share对吧,然后我通过啊这个socket来获取到它的。
一个传递的,这这里的一串数据是这样子的对吧。
然后的话,我们可以把我们这里获取到ak。
把它给抠下来,抠下来之后的话,其实。
与我们前面来做一个对比吧,前面的是,这个,这个,我们呢前面的这一个做一个对比。
其实可以发现的话,其实前面的这样子的一些内容的话,其实啊类似的,然后主要它的一个不同的话,就是在这里的一个啊你执行的一个命令,也就是这里的一部分,可以看到我们前面写这个电使用的话,就是在这里嘛对吧。
我们的一个啊定时任务的一个脚本,就是写入了这里,然后的话把它就是通过set嘛,通过set设set了,就是添加了这样子的一个啊,t唯一的这样子的一个啊进,然后有了这一个镜的话,我们再添加了这样子的一个值。
就是一个电视任务的一个脚本对吧,然后上面的话其实就是我们添加了这样子的,一个镜为一,然后值为我们的这样子的一个啊,s h key的一个啊脚本,然后它还有的一个不同的话,就是我们这里的。
我们这里config sert的这样的一个目录,就电池任务呢它的一个目录是这里吗,是这样子的,就是set d dr就是set目录嘛,然后再写s h k的话,就是这个目录嘛对吧。
其实都是类似的这样子的一些数据。
好的话我们针对这样的一个数据的话,我们要处理。
我们要就是要把它呃进行一个处理,把它转化成我们能够直接去使用go for协议,使用这样子go for协议去进行一个发送,所以的话我们需要对它这个转换,而转换的话。
其实就是呃这里的话有一个脚本,就不用脚本也可以啊,我们的一个他的一个转化的一个规则,其实就是我这话给大家说一下,就以上面的这一个为例,上面这里的话,其实呃开头的话也是有这样子的一个,就是时间嘛对吧。
就是说它的一个请求请求了一个时间,好的话,我们获取到的话就是这样子的一串值嘛,我们首先第一个规则的话就是,把这里的有这种开头的,就是有这种方向就大于小于开头的,把它给删掉,就是把它给去掉。
然后还有的话就是像这种加k加k的这一行,把它给去掉,就像这种,这种多余的这种数据就没有用的一个数据,就是一些时间,还有这种返回的这种命令,执行成功之后的这种这种值把它给去掉。
去掉之后的话就是像这样子的一串,然后大家要注意的话,就是别就是别弄错了,就一般的话就是呃前面的话我们也说了,就是五条命令吗,它返回的话就有五个ok要把这五个ok都给删掉,然后的话呃前面的话就是。
两条转换规则,然后第三条的话就是把这个杠啊,这干拉的话其实就是我们的一个呃换行嘛,好不回车嘛,好我们需要把这个杠杆把它给转化成,就是我们这里是换行吗,好吧,这里是回车嘛,黑车的话。
然后我们需要把它转化成一个啊,就是换行回车回车,换行就杠啊,杠n这种好的话,需要把它转化成我们的一个basin,和一个u2 的一个兵嘛,也就是百分之,0%d 0%a。
这个的话就是我们的一个回车换行这个url编码,然后我们需要把这个杠杆全都给它替换掉,也就这些,全都给它替换成0%,d 0%,a,好听完之后的话就是像这样子的一串数据对吧。
然后的话我们需要把就是多余的这种换行,把它给删掉,就把它给画,换成一句话。
然后在这里的话就是其实就是我们的一个po的。
然后这里的一个po的话,我们直接可以通过我们的一个go for协议,直接去进行一个发送,然后go for的话啊,这样的话再提一下,就是go for的话,我们前面的话是写我们的一个ip以及端口嘛。
也就是我们服务的一个ip以及端口,然后后面的话有一个竖形啊,就是下划线,就注意是杠下划线,下划线后面的话是接我们的,就是要传递的这个数据,也就是我们要发送的这样子的。
这样子的一个payload,比如这一串值就是我们这里得到的这一串值。
然后的话我们直接通过高f协议区,进行一个发送。
也是这就是我们构造了一个po的,诶,不对啊。
这样子才是一句话一句话好的话,我们就可以通过这里去进行一个发送,然后其实前提的话,因为其实我们在去进行这一步之前,其实我们需要对我们的这种go for协,去进行一个测试对吧。
你首先需要测试它是否能够去支持,我们的这这种协议,对啊,如果他不支不支持这种go f协议的话,那么我们我们就无法去进行一个,通过go for协议去发起我们的攻击,所以的话我们前期的话就是你能够啊。
证实能够去测试出来。
它是能够去支持这样一个go或协议的,然后我们直接去进一个发送,那么这里的话是有问题的,我是在一个就是做了一个多,是有做了这样子的一个多,这就是它的一个源码,然后的话呃,然后这里的话是没有写进去的。
这个题目这个题目的话有点问题,我这句话之前没有去进行一个测试,然后其实这里的话一个key都没有写进去,也就是我们的这里的,就发送的这个数据,没有到我们的这个radio服务器这里。
我,然后这个题目的话我们主要讲思路吧,前面的他就是通过这个radio所写,我们的一个s h p,就是我们如何去构造这样子的一个payload,就构造构造这种通过go for协议去进行和发送的。
这种配置的,然后的话就写定时任务的话,其实也是一样的嘛,也是一样的,呃其实这种的话讲一个其他的都类似,然后的话就是这一个,瑞典是未授权写入web share,像我们也可以通过瑞典所谓授权。
就是像我们的一个web根目录,直接写入我们的这样子的一个一句话码,对我们可以直接直接通过写入,因为它本身就能够去向我们那个服务端,就是release,他未授权,他本来就能够向我们的一个服务器。
写入一个文件嘛对吧,那么我们也可以直接写入我们的一个一句话,木马嘛,然后他写了一个一句话木马的话,其实嗯其实也是类似的,就写就是比如说像这样子的一个脚本,然后的话它就把它的一个就是。
把我们的这里的这个内容对吧,同样的就是呃就像在这里嘛把它存一个文件嘛,存一个文件之后的话,我们把它就是写入到啊任意的一个镜,然后把它的一个值的话,就设为我们这里的啊一个一句话码的一个内容。
然后的话就是通过这样子的一个脚本对吧,来去就是得到这样子的一个数据,其实我们也可以就是说直接直接更改它的,这样子的一个数据,就把这里把这里的一个内容把它给改掉,改成我们的一句话嘛。
然后的话相应的这里的一个这里的一个字符,这里的一个字符数,我们同样的需要做一个更改,然后字符数的一个计算的话,其实就是这里的一个数值,然后这里的话总共是有400 410,最后的话再就是给大家一个脚本吧。
就这这里的一个有一个别人写的一个脚本,就这个脚本的话就省略了,就是这里的这样子的一些步骤,就前面的这种获取这种的,然后去进行一个你手动的,去生成这种配套的一个步骤,这脚本的话就直接通过呃执行这一个脚本。
就能够生成对应的这种payload,和,通过这一个,deploit这个参数,然后这样的话它是支持有这种mysql啊,还有first cg i radio和sumtp啊,这个dbs还有其他的这种呃。
其他的这种服务,他都能够去用这样的一个脚本去生成这样子的,就去生成能够使用这种好,不能够去使用go for协议去发送的这种pload,然后我们这里的话是使用radio吗,radious好。
这样的话他会让你选这样子的一个,就是啊你想要的一个shell,可能第一个的话就是反弹shell,反弹shell的话,其实它就是一个写入一个定时任务来反弹shell。
然后还有的话就是写入一个菲律宾的一个web shell,我们可以,然后这里的话就是输入你反弹需要的一个ip嘛,也就是我们呃就那个bash shell,那个bash就是dv tcp。
然后后面我们要反弹的一个i p,后面的话默认就行了,然后它就会生成这样子的一个啊,能够去使用go for协议,去好发送的这样子一个payload,而我们只需要去在我们的一个,我们这里输入的这个ip。
这个公网ip的这个服务器上面,今天一个1234的一个端口,然后的话我们通过go for协议,发送这里的一个字符串好吧,发送这样的一个配偶的就能够反弹一个shell回来,就是从它的一个配偶的。
其实我们也能够就大概能看出来,它就是啊跟我们的一个写定时任务是一样的,然后他的一个反弹的一个呃代码号。
就是这里嘛通过代写的那个dv tcp去反弹的,然后其实像这种的话,其实大家如果懂python的话,自己也能够去写的,我们其实可以看一下它的一个代码,就是这个生成radio的一个代码。
它的一个代码其实就是啊主要的话就这两块,就这一块pro的,还有这一块pro的,这两块pro的话,其实就是我们刚刚的那一个一个反弹shell,以及写入一个web shell的一个hero的啊。
其实这里的话我们能够知道啊。
也能够发现,其实跟我们前面这里啊,跟我们前面。
这样子获得的这种是一样的对吧,他也是这样子去进行一个构造的,然后这里的话它是呃获取到了这样子,然后把里面的这样子的一些就是可变的,一些参数值给它做了一些处理,就把它做成了一个变量嘛对吧。
像payload,我们在这里的一个p h p的一个payload啊,这个是返回一个p h p的web share嘛,我们这里的一个payload的话,其实我们是可以去直接去输入自己的一个payload。
好的话,我们输入po的之后的话,他就会把它拼接到这里。
就把它添加到这里来,然后这里的话就是我们这里输入这个payload,它的一个长度嘛。
也就是我们的,这里的一个长度,这样的话是58,也就是这一串的一个长度嘛,然后以及就是我们的一个web的一个目录,这里的一个web目录也是呃,就是每一个web服务器都不一样嘛,对吧,你可以去自定义。
好的话再对他做一些处理,这里处理的话,他把他已经把那个就是多余的这种这种呃,时间什么的,还有这种加ok呀,这种加ok的这种都已经给删除掉了,然后他剩下的只需要去进行一个处理的话,就是像这个干扰对吧。
这尴尬的话我们其实也能够看到它,这里刚刚的话是把把它做了一个替换,它是有把它做一个替换的,那,a代码呢。
他这句话同样的是有把这个杠二给做一个替换。
替换成了我们的那个百分之,我们从它的生成的代码来看,呃这里所以我们可以看一下它,同样的就是可以看一下这里0%d,0%a对吧,然后跟我们呃这里的话其实是一样的。
就0%d 0%a对吧,然后这里的话他是做了一个大写的。
一个就全部都统一了一个大写嘛,它上面的这一个也是类似的,就写入一个电池任务嘛,然后我们这里输入这个ip。
就我们的一个服务端的一个ip端口的话,是写死了一个1234。
这就是他的一个脚本啊,那这种的话大家其实呃你写了之后的话。
其实也可以自己去进行一个书写,就如果懂python的话,还是比较简单的,然后的话呃本节课的一个内容的话,大概就是这些有,然后大家有没有什么疑问呢,有没有什么问题啊,大家有有没有什么疑问。
或者说哪里哪里没有听懂啊,哪里没有懂,都可以提出来,都没有问题吗,都没都没有问题的话,那么,把这个发群里啊,这两个文档我都发群里了,大家可以去,就是可以把它做一个笔记嘛,然后这一个这一个文档的话。
我也发群里了,然后哦本节课的内容就到这里结束了,大家没有问题的话,那我下面的话呃,稍微就是花大家一点时间。
就是打个广告吧。
就我们的这一个web的一个就是web安全,连基础到精通的这个课程的话呃,就课程内容的话,大概的话就就就结束了,就到这里的话,后面的话还有就是一些还有一些内容嘛,就还有三节课,然后我们我和天王学院的话。
就是最近的话又上了一节课,我不上上了一门课程,这门课程的话就是一个渗透测试的一个训练营,然后这门课程的话嗯,大家可以去看一下,这门课程的话大家可以看一下目录啊,现在的话是已经开始在报名了。
就是啊把等这一次的一个web的一个内容,弄完之后的话,我们下一期的话就是嗯,讲这一个渗透测试的一个训练营,给一个内容,主要的一个内容的话,其实就呃大家可以看一下目录吧。
呃,大家可以看一下这个图片,这里的话就是主要我们呃一个基本的一个大纲,就是嗯会讲的一部分的一个内容,就是主要会讲的一些内容,当然它不是所有的一些内容啊,就不知道大家有没有去了解。
就是渗透测试的一个基本的一个流程,然后下节课的话那个好,下节课的话应该会也会给大家基本的一个介绍,就是渗透测试的一个基本的一个流程,好的话啊,我们这一个课程的话,就是呃针对这一个渗透测试的一个流程的话。
而是专门设计的一个,就中间它所涉及到的一些知识点的话呃,给大家做一个就是讲解,然后比如说有包括就是我们常常用的一个mad,spm sf,他的一些攻击的一个实战,还有的话就是web漏洞利用的一些集合。
就包括um weblogic strike,two jboss等等的这种,还有三个菲律宾等等的这种漏洞的一个利用,然后其实web的话就是在渗透测试里面的话,web的话是只是就是占了其中的一块。
然后主要的话还有其他的一些,就是像比如说我们的一个,就渗透测试的一个流程,首先在第一步的话就是信息收集嘛对吧,信息收集的话,我们啊,因为我们其实现在的话就是呃,这种进行一个渗透测试的话,它的一些啊目标。
它都是从一个web网站开始的对吧,就比如说你去y s21 ,你也是通过这样子的一个web网站开始,然后的话针对这样子的一个目标,去进行一个信息的一个收集,好进行信息收集的话,就有这样子的一些信息。
比如说域名子域名,ip端口等等的这样的一些信息的一些收集,你在外表外表的话其实也有讲,然后的话呃,在这里的话可能会就是更加全面一点,好的话,我们再去通过相应的一些web的一些漏洞对吧。
通过这样子的一些web漏洞之后的话,得到它的一个web服务器的一个需要,得到这一个需要之后的话,我们还能够去进行,我就说我们得到这样子的一个需要的话,我们还能去干嘛呢,然后下面的话就是对。
针对于我们就得到这样子的一个web shell之后,我们能够去进行的一些操作,也就是我们能够去进一步的一个测试,好进一步测试的话,像在后面的话就有这样子的一些啊,我们针对我们得到这个web share。
就通过这一个啊web服务器的一个web share,来去进行一个内网的一个渗透对吧,因为其实呃在就是我们的一些业务啊,一些业务的话,它会有这样子的一些就是边界区,这一区域的话。
就像比如说我们的一个dm之一的一个区域,这种区域的话啊,一般的这种工企业的这种web服务器,它都会在这个区这个区域的话就是好,它是能够去访问外网的,外网能够去直接访问到,然后的话在内网的话呃。
因为有一些数据,它是需要从内网去进行一个获取的,所以的话他其实也能够去访问到内网的,这样子的一些资源,就比如说我们那个s s f嘛对吧,他同样的呢就是如果它没有,它存在这样子的一个啊漏洞。
能够去允许访问内网的请求,内网的一个资源的话,然后的话我们就能够去通过这样子的一个web shell,来进一步的去攻击内网,然后攻击内网的话,我们怎么去进行一个操作呢,就是他中间涉及到哪些知识点。
对就同样的进行了一个内网渗透的话,它同样也是需要去进行一个信息收集,他信息的一个收集的话,就不是说像这种我们进行一个web渗透的时候的,这种外表的一个域名的这种信息收集了,然后在内网的话。
我们进行的一个信息收集的话,主要就是主机对吧,就在内网的话主要就是一些啊机器嘛,就服务器,还有的话像pc机等等的这种信息的一个收集,然后包括呃主机的一些凭证,凭证的话,就是我们的一些密码信息对吧。
登录信息等等,然后我们通过这样子的一些信息的话,来去进一步的去,就是扩大我们的一个攻击的一个范围,然后这一个这样子的一些操作的话,都是在内网去进行一个操作,然后进行在内网操作的话。
中间的话哦会有涉及到这种像内网反弹shell对吧,我们需要从内网当中如何去反弹一个shell,反弹一个稳定的这种shell反弹到我们的一个外网,然后的话我们直接通过外网能够去直接去啊。
攻击内网的一个机器,因为你毕竟sf像这种sf漏洞的话,它同样的是有局限性的,就他就没有说像直接反弹一个,需要来这样子去容易操作,好的话,还有的话就是像这种内网代理啊,就通过一个socket代理。
我们因为企业的一个内网的话,它不是说只有一层的,就一些复杂的一些企业的一个内网的话,它很多层就说一层一层的,而且的话内网的一些呃机器的话,它有些像比如说银行定网等等的这种机器,它是啊就它的一个机器的话。
它是不允许去访问外网的,它是没有外网的,所以说针对这样子的一些,无法去访问外网的一些机器,然后的话它因为又是在内网,我们在外网也是无法直接访问到的,所以的话我们可以通过这样子的一些,内网的一个代理。
也就是socket代理,来建立这样子的一个socket的一个通道,然后的话稳定的去进行一个内网的一个,渗透的一个操作,然后还有就是权限的一个提升,权限提升的话简单来说就是提纯吧对吧,像我们常经常去呃。
得到的这种web的一个权限的话,它就是一个web服务器的一个权限,再比如说阿帕奇还像呃i s等等的这种,它是一个普通的一个权限,然后这些普通权限的话,它的一个操作是有限的。
我们需要通过一些方法来把它提提纯,比如说在那个层面的话,就把它提取提成为我们的一个root权限对吧,因为我们的一个权限越高的话,我们能够去进行的一些操作的话就更多。
然后还有的话就是我们获取到它一个权限对吧,我们想要去持续的去,就是说持续的去对内网的这种机器,进行控制的话,我们就需要对它做一个啊权限的一个持久化,就需要利用一些技术,像比如说呃我们的一些进程注入。
把我们的一个呃,需要把它给注入到我们的一个进程当中,还有通过第二劫持等等的这样子的一些呃方法,来维持我们的一个权限,然后最后的话我们就是大概的这样子,过了这样子一个流程是吧对吧,我们就需要收尾嘛。
收尾的话就是把我们操作一些痕迹啊对吧,因为你在内网去进行操作的话,它其实在这种windows机器定是机器上面,你去操作的话都会有留下这样子的一些记录的,好的话,我们需要对这些记录做一些清除。
就是不让别人发现嘛对吧,然后呃刚刚的话我针对了我们这个课,课程大纲的话,就是大概的给大家就是介绍了一下呃,就是渗透测试,它中间会去涉及到的一些呃内容。
就呃大家可能就是大家可能就是接触的多的话,其实也是就是web相关的一些知识嘛对吧,就可能对于这些呃内网的这些知识的话,了解的不是很多,然后可能对于整个的这种渗透测试流程。
其实啊web安全和渗透测试的一个概念的话,其实也是比较模糊的,就其实你渗透测试里面的话,你也要去用到这样子的一个web,web漏洞的一些攻击方法,因为其实现在的话,这种都是在这个就web二点吗。
二点时代开始嘛,就是我们的这种web应用的话都是越来越多了,就是说一些啊业务什么的,都是通过web web应用去进行一个展示嘛对吧,然后的话其实web的相关的一些攻击漏洞的话。
是我们去进行这个渗透测试的一个路口,就我们通过这种常见的,就说常见的这种存在web漏洞的这种站点,来作为一个啊渗透测试,就是说走向内网的这样子的一个入口点,啊不知道大家有没有就是听懂过呃。
呃就是有没有大概的有一个了解,这样的话我就是大概给大家做一个介绍吧,就详细的一个内容的话,大家可以看一下这里的一个目录,然后呃这里的这里我要就我为什么要说这个呢,就是,我们现在这个课程的话。
就是新现在的话是原价是6588嘛,然后现在的话是有一个1000元的优惠券,然后这里这个的话是呃,针对就是啊没有报我们课程的那些同学,然后现在的话是呃,就是因为大家都是现在就已经有报了。
这一个web安全的一个课程,然后的话在这边这边的话,就我们这边商量了一下的话,呃,就是有专门给大家有这样子的一个优惠,就可以,就是在原来的1000元的一个基础上再减1000元,然后如果大家有兴趣的话。
可以去找班主任去进行一个了解,就是详细的一个详细的一些东西的话,倒可以找班主任去进行一个咨询,我这样的话就是给大家大概的一个介绍,就让大家有了解一下这样子的一个。
我们这里的一个新开的一个课程,好安静啊,大家没有什么问题要问的吗,啊那么呃大家没有问题的话,那么我们这节课就呃,就到这里就结束了,然后呃关于课程相关的一些问题的话,呃,大家可以去找班主任去咨询哦。
那我们本节课的话就到这里结束。
