03 2024 档案
摘要:如果已经获得本地管理员账号或是域管理员账号,那么下一个目标通常是域控制器,对于渗透测试人员来说,光荣与荣耀的那一刻就是成功从域控制器提取所有的哈希值。但即使是拥有管理员权限,也无法读取域控制器中存储的c:\Windows\NTDS\ntds.dit文件,因为活动目录始终访问这个文件,所有文件被禁止读
阅读全文
摘要:在微软Active Directory(活动目录)中,所有的数据都被保存在ntds.dit中, NTDS.DIT是一个二进制文件, 它存在于域控制器中的 %SystemRoot%\ntds\NTDS.DIT。ntds.dit包括但不限于Username、Hash、Group、GPP、OU等活动目录相
阅读全文
摘要:SQL注入漏洞修复建议 常用的SQL注入漏洞的修复方法有两种。 1.过滤危险字符 多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。例如,80sec的防注入代码如下: functionCheckSql($db_str
阅读全文
摘要:XFF注入攻击 XFF注入攻击的测试地址在本书第2章。 X-Forwarded-For简称XFF头,它代表客户端真实的IP地址,通过修改X-Forwarded-For的值可以伪造客户端IP地址,在请求头中将X-Forwarded-For设置为127.0.0.1,然后访问该URL,页面返回正常,如图4
阅读全文
摘要:Base64注入攻击 Base64注入攻击的测试地址在本书第2章。 从URL中可以看出,参数ID经过Base64编码(“%3d”是“=”的URL编码格式),解码后发现ID为1,尝试加上一个单引号并一起转成Base64编码,如图4-64所示。 图4-64 当访问id=1'编码后的网址时(/4.3/ba
阅读全文
摘要:Cookie注入攻击 Cookie注入攻击的测试地址在本书第2章。 发现URL中没有GET参数,但是页面返回正常,使用Burp Suite抓取数据包,发现Cookie中存在id=1的参数,如图4-61所示。 图4-61 修改Cookie中的id=1为id=1',再次访问该URL,发现页面返回错误。接
阅读全文
摘要:宽字节注入攻击 宽字节注入攻击的测试地址在本书第2章。 访问id=1',页面的返回结果如图4-51所示,程序并没有报错,反而多了一个转义符(反斜杠)。 图4-51 从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的。当传入id=1'时,传入的单引号又被转义符(反斜杠)转义,导致参数ID
阅读全文
摘要:二次注入攻击 二次注入攻击的测试地址在本书第2章。 double1.php页面的功能是添加用户。 第一步,输入用户名test'和密码123456,如图4-45所示,单击“send”按钮提交。 图4-45 页面返回链接/4.3/double2.php?id=4,是添加的新用户个人信息的页面,访问该链接
阅读全文
摘要:堆叠查询注入攻击 堆叠查询注入攻击的测试地址在本书第2章。 堆叠查询可以执行多条语句,多语句之间以分号隔开。堆叠查询注入就是利用这个特点,在第二个SQL语句中构造自己要执行的语句。首先访问id=1',页面返回MySQL错误,再访问id=1'%23,页面返回正常结果。这里可以使用Boolean注入、时
阅读全文
摘要:时间注入攻击 时间注入攻击的测试地址在本书第2章。 访问该网址时,页面返回yes;在网址的后面加上一个单引号,即可再次访问,最后页面返回no。这个结果与Boolean注入非常相似,本节将介绍遇到这种情况时的另外一种注入方法——时间注入。它与Boolean注入的不同之处在于,时间注入是利用sleep(
阅读全文
