05 2020 档案
摘要:拿到题目,是个这, 我们来一波代码审计 1 <?php 2 class Demo { 3 private $file = 'index.php'; 4 public function __construct($file) { 5 $this->file = $file; //构造函数,对类的变量进行
阅读全文
摘要:跳过_wakeup()魔法函数__wakeup(): 将在序列化之后立即被调用漏洞原理: 当反序列化字符串中,表示属性个数的值大于其真实值,则跳过__wakeup()执行 对于该题,先可以看到类xctf中有flag变量,并调用了__wakeup(),则考虑实例化xctf类并将其变量序列化。并猜测意图
阅读全文
摘要:先来了解一下关于session的一些基础知识 什么是session?在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在
阅读全文
摘要:0x00 前言 最近也是在复习之前学过的内容,感觉对PHP反序列化的理解更加深了,所以在此总结一下 0x01 serialize()函数 “所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存
阅读全文
摘要:利用: 1. 利用慢查询日志写入webshell 2. phpMyAdmin的setup目录暴露一些隐私信息 3. 通过phpMyAdmin修改php的ini配置文件,可以进行远程命令执行 4. 可以用来反弹shell 0x00 简介 phpMyAdmin 大家很熟悉了,很多服务器都会默认安全,用来
阅读全文
摘要:1.将数据库,表,导出到本机在命令行中转到mysql的bin目录下输入命令:mysqldump -u root -p sqltest > D:\data.txt然后再输入密码 然后就会成功导出到D:盘目录下 2.导出到其他主机上(必须开启mysql外链,注意:攻击机和目标机都要开启mysql外链)在
阅读全文
摘要:MySQL外部访问 mysql 默认是禁止远程连接的,你在安装mysql的系统行运行mysql -u root -p 后进入mysql 输入如下: mysql>use mysql; mysql>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED
阅读全文
摘要:查询语句:select * from mysql.user where user='root'\G;user是用户名 <privileges>是一个用逗号分隔的你想要赋予的MySQL用户权限的列表。你可以指定的权限可以分为三种类型:数据库/数据表/数据列权限:Alter: 修改已存在的数据表(例如增
阅读全文
摘要:【1】@@datadir 函数作用:返回数据库的存储目录构造SQL语句 select @@datadir;ps:@@basedir返回mysql的根目录【2】@@version_compile_os 函数作用:查看服务器的操作系统SQL语句:select @@version_compile_os;【
阅读全文
摘要:0x00 写数据的前提 1,在mysql的配置文件 my.ini 中,secure_file_priv="c:/wamp64/tmp" 被注释 或者 `secure_file_priv 配置的位置是web目录。2,未开启全局gpc。(php5.329之后就没有magic_quotes_gpc) 0x
阅读全文
摘要:一、常规导入shell的操作 创建数据表导出shell CREATE TABLE `mysql`.`shadow9` (`content` TEXT NOT NULL ); INSERT INTO `mysql`.`shadow9` (`content` ) VALUES (‘<?php @eval
阅读全文
摘要:在某些情况下,当我们进入了一个网站的phpMyAdmin时,想通过select into outfile来写shell,但是通常都会报错。 这是因为在mysql 5.6.34版本以后 secure_file_priv的值默认为NULL。并且无法用sql语句对其进行修改,只能够通过以下方式修改 日志利
阅读全文
摘要:关于MySQL的启动项提权,听其名知其意。就是将一段 VBS脚本导入到 C:\Documents and Settings\All Users\「开始」菜单\程序\启动 下,如果管理员重启了服务器,那么就会自动调用该脚本,并执行其中的用户添加及提权命令! 这里有两种思路: 1. 如果 C:\Docu
阅读全文
摘要:mof提权原理 关于 mof 提权的原理其实很简单,就是利用了 c:/windows/system32/wbem/mof/ 目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行。下面简单演示下 mof 提权的过程! MOF提权的条件
阅读全文
摘要:0x00 介绍 本篇我们来讲无webshell时利用udf进行提权 0x01 前提 1. 必须是root权限(主要是得创建和抛弃自定义函数) 2. secure_file_priv=(未写路径) 3. 将udf.dll文件上传到MySQL的plugin目录下(这里以MySQL>=5.1为例) 0x0
阅读全文
摘要:什么是udf提权? MySQL提供了一个让使用者自行添加新的函数的功能,这种用户自行扩展函数的功能就叫udf。 它的提权原理也非常简单!即是利用了root 高权限,创建带有调用cmd的函数的udf.dll动态链接库!这样一来我们就可以利用 system权限进行提权操作了! 当我们拿到webshell
阅读全文
摘要:0x00 xss漏洞简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法, 那么很可能就存在XSS漏洞。 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的
阅读全文
摘要:什么是可变变量? 在PHP中有一个其他类型的变量,“可变变量”。可变变量是一种PHP独特的变量,他允许动态改变一个变量的名称。 可变变量的工作原理 这个特性的工作原理是用一个变量的值作为另一个变量的名称。例如,我们可以设置$str的值:$name = 'str';于是,我们就可以用 name 取代$
阅读全文
摘要:宽字节注入和二次urldecode注入同属于编码注入 PHP中常用过滤函数如addslashes()、mysql_real_escape_string()、mysql_escape_string()或者使用魔术引号GPC开关来防止注入,原理都是给单引号(’)、双引号(”)、反斜杠(\)和NULL等特
阅读全文
摘要:0x00 前言 最近在干代码审计,于是就把之前学习的CTF题目中有关变量覆盖的题目结合下进一步研究。 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_reque
阅读全文
摘要:对于Redis中bind的正确的理解是:bind:是绑定本机的IP地址,(准确的是:本机的网卡对应的IP地址,每一个网卡都有一个IP地址),而不是redis允许来自其他计算机的IP地址。如果指定了bind,则说明只允许来自指定网卡的Redis请求。如果没有指定,就说明可以接受来自任意一个网卡的Red
阅读全文
摘要:0x00 前言 在mysql中,用于转义的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。首先,宽字节注入与HTML页面编码是无关的,笔者曾经看到<
阅读全文
摘要:0x00 靶场介绍 bwapp是一款非常好用的漏洞演示平台,包含有100多个漏洞。开源的php应用后台Mysql数据库。 0x01 安装 BWAPP有两种安装方式,一种是单独安装,需部署在Apache+PHP+Mysql环境下;一种是虚拟机导入,下载后直接用VMWare打开即可。 下面分别介绍两种方
阅读全文
摘要:0x00 前言 xxe-lab是一个一个包含php,java,python,C#等各种语言版本的XXE漏洞Demo这里附上下载链接https://github.com/c0ny1/xxe-lab我们用php来演示 注意:这里我们要求php版本为5.2,5.3,5.4,因为他们的libxml版本为2.
阅读全文
摘要:0x00 create_function()简介 适用范围:PHP 4> = 4.0.1,PHP 5,PHP 7 功能:根据传递的参数创建匿名函数,并为其返回唯一名称。 语法: 1 create_function(string $args,string $code) 2 string $args 声
阅读全文
摘要:redis客户端在向服务端传输数据用到的是RESP协议 客户端向Redis服务器发送一个仅由Bulk Strings组成的RESP Arrays。 Redis服务器回复发送任何有效RESP数据类型作为回复的客户端。 Bulk Strings用于表示长度最大为512 MB的单个二进制安全字符串 我们要
阅读全文
摘要:0x00 内容简介 01 PHP代码执行函数 02 包含函数 03 命令执行函数 04 文件操作函数 05 特殊函数 0x01 PHP代码执行函数 1. eval 2. assert 3. preg_replace 主要是/e修正符使preg_replace()将replacement参数当做PHP
阅读全文
摘要:kali在2020版的更新中,好多小伙伴登不进root账号,这里来教大家怎样改root账户的密码 1.当我们打开虚拟机看到这个界面的时候,按e进入编辑模式 2.在编辑模式中,"quite splash"后面输rw single init=/bin/bash命令(记住,在splash后面加空格再输入给
阅读全文
摘要:代码在不同的环境下执行的结果也会大有不同,可能就因为一个配置问题,导致一个非常高危的漏洞能够利用;也可能你已经找到的一个漏洞就因为你的配置问题,导致你鼓捣很久都无法构造成功的漏洞利用代码。然而,在不同的PHP版本中配置指令也有不一样的地方,新版可能会增加或者删除部分指令,改变指令默认设置或者固定设置
阅读全文
摘要:0×00 介绍现在越来越多主要的web程序被发现和报告存在XXE(XML External Entity attack)漏洞,比如说facebook、paypal等等。 举个例子,我们扫一眼这些网站最近奖励的漏洞,充分证实了前面的说法。尽管XXE漏洞已经存在了很多年,但是它从来没有获得它应得的关注度
阅读全文
摘要:0x00 引言 当SSRF打内网reids时,若gopher协议用不了,我们也可以用其他协议 0x01 dict协议一、定义:词典网络协议,在RFC 2009中进行描述。它的目标是超越Webster protocol,并允许客户端在使用过程中访问更多字典。Dict服务器和客户机使用TCP端口2628
阅读全文
摘要:1、什么是gopher协议?2、如何使用gopher协议反弹shell?3、在SSRF中如何使用gopher协议反弹shell? 一、什么是gopher协议?定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet
阅读全文
摘要:0x00 redis基础 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,
阅读全文
摘要:curl是个什么东西?简单地说就是,curl是一个库,能让你通过URL和许多不同种的服务器进行勾搭、搭讪和深入交流,并且还支持许多协议。并且人家还说了curl可以支持https认证、http post、ftp上传、代理、cookies、简单口令认证等等功能啦。说了那么多其实没什么感觉吧,在应用中才有
阅读全文
摘要:0x00 思考 1、什么是SSRF漏洞?2、SSRF漏洞的利用方式3、SSRF漏洞绕过4、SSRF漏洞加固 0x01 什么是SSRF漏洞 定义:SSRF漏洞,中文全称为服务端请求伪造漏洞,是一种由攻击者构造一定的利用代码导致服务端发起漏洞利用请求的安全漏洞。一般情况下,SSRF攻击的应用是无法通过外
阅读全文
