Mr H-CSDN博客

原创漏洞利用之WAF绕过

命令执行WAF绕过1.通配符符号含义？匹配单个字符如果匹配多个字符，就需要多个?连用**代表任意数量的字符[ ]代表一定有一个在括号内的字符(非任意字符)。例如 [abcd] 代表一定有一个字符，可能是 a, b, c, d 这四个任何一个利用通配符执行以下命令：ls -l使用通配符/?in/?s -l读取/etc/passwd：/???/??t /??c/p???w?有时候WAF不允许使用太多的?号/?in/cat /?tc/p?sswd

2020-09-07 11:31:05 992

翻译 TCP/IP协议

TCP原理TCP每发送一个报文段，就启动一个定时器，如果在定时器超时之后还没有收到ACK确认，就重传该报文。如图所示，数据包由A的缓冲区发往B，B在收到数据包以后，回发一个ACK确认包给A，之后A将该数据包从缓冲区释放。因此，该数据包会一直缓存在A的缓冲区，直到一个ACK确认为止。TCP/IP工作层TCP/IP工作在第4层，（传输层）在TCP/IP协议簇中，有两个不同的传输协议：TCP（传输控制协议）和UDP（用户数据报协议），它们分别承载不同的应用。TCP协议提供可靠的服务，UDP协议提供不可靠

2020-08-31 16:32:05 314

原创攻防世界-Web_python_template_injection详解

Web_python_template_injection在做这道题之前如果大家不懂可以先看一看这篇文章：从零学习flask模板注入基础知识：在Jinja2模板引擎中，{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量，还可以执行一些简单的表达式。1.判断有无模板注入payloadhttp://220.249.52.133:53362/{{7+7}}查看全局变量http://220.249.52.133:53362/{{config}}基础知识：文件包含：是通过python

2020-08-12 09:55:37 6577 1

原创攻防世界-Web高手进阶详解

Web高手进阶详解点击题目即可查看点击题目即可查看点击题目即可查看点击题目即可查看001 baby_web002 Training-WWW-Robots003 Web_php_unserialize004 php_rce005 Web_php_include006 supersqli007 ics-06008 warmup009 NewsCenter010 NaNNaNNaNNaN-Batman011 PHP2012 unserialize3013 upl

2020-08-11 23:33:18 961

原创攻防世界-ics-06详解

ics-06题目场景：云平台报表中心收集了设备管理基础服务的数据，但是数据被删除了，只有一处留下了入侵者的痕迹。进入题目后有点吓人，这么多，点啊点发现只有一处可以进入进入报表中心选择时间发现怎么点都没反应，看到上面有id改变id大小发现有变化，根据题目提示只有一处数据（这里是进行id爆破有点搞笑我是想不到）BP抓包爆破：抓包送到爆破模块设置变量设置payload爆破：flag：cyberpeace{7b7a2f215460b0ab1294179bf1b1499a}...

2020-08-11 23:11:34 10623 5

原创攻防世界-supersqli详解

supersqli查看是否存在SQL注入1' and 1=1 #用二分法查看列数（有两列）1' order by 2 #使用联合查询发现做了SQL注入黑名单禁止出现以下关键字

2020-08-11 22:53:14 5915 3

原创攻防世界-upload1

upload1根据题目这是一道文件上传题当上传一个php文件时提示只能上传图片，并且无法点击提交按钮，这应该是前端对文件类型进行了过滤查看源代码：发现一个调用了一个check（）函数检测文件类型我们把这个函数删除如下：刷新页面发下新可以上传了：用菜刀或者中国蚁剑连接：（注意菜刀可以连接但是无法查看flag我也不知道为啥）flag：$flag="cyberpeace{097e36244c66c690c16373cffd177aff}菜刀，但是无法查看但是无法查看...

2020-08-11 17:41:56 559 1

原创攻防世界-unserialize3详解

unserialize3查看源代码：class xctf{public $flag = '111';public function __wakeup(){exit('bad requests');}?code=这是一个利用反序列字符串来进行绕过的题，根据提示我们要构造code参数，但是需要绕过wakeup函数**__wakeup()**是PHP的一个魔法函数，在进行unserialize反序列化的时候，首先查看有无该函数有的话就会先执行他绕过：可以通过增加对象的属性个数来进行绕过

2020-08-11 16:40:16 5212 2

原创攻防世界-Web_php_include详解

Web_php_include源代码：<?phpshow_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);}include($page);?>分析：strstr()：定义和用法：搜索字符串在另一个字符串中是否存在，如果是，返回字符串及剩余部分，否则返回

2020-08-11 12:19:22 8026 4

原创攻防世界-PHP2详解

PHP2进入后神门也没有查看源代码也没根据提示我们进行后台扫描发现phps（这里phps是我自己加入字典里的，记住就好，主要是告诉大家一个方法）发现源代码;查看源代码：<?phpif("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "admin"){ echo "&

2020-08-11 11:35:47 9157 1

原创攻防世界-NaNNaNNaNNaN-Batman详解

NaNNaNNaNNaN-Batman进入题目发现是一个附件，用记事本打开发现实jsp写的，但是有点乱，改名为.html访问：整理源代码： function $(){ var e=document.getElementById("c").value; //正则表达式 if(e.length==16) //输入为16位 if(e.match(/^be0f23/)!=null) if(e.match(/233ac/)!=null)

2020-08-11 10:15:32 1171

原创攻防世界-NewsCenter详解

NewsCenter进入后我们发现有一个搜索框进行新闻搜索我们尝试有无sql注入我们输入1’ and 1=1 #判断有无sql注入发现有查看列数1’ order by 3 #联合查询 1’ union select 1,2,3 #查表：1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() #查字段：1’ union

2020-08-11 09:58:38 5308

原创攻防世界-warmup详解

warmup进入题目后只有一个图片，我们查看源代码，发现源码信息;查看source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) //check函数检查传入的page是否在白名单里 { $whitelist = ["source"=>"source.php","

2020-08-11 09:42:06 6562 1

原创攻防世界-php_rce详解

php_rce进入后发现是一个php框架，根据题目php-rce远程命令执行，我们百度一下这个版本有什么漏洞

2020-08-10 23:23:37 10252 2

原创攻防世界-Web_php_unserialize详解

Web_php_unserialize源码：<?php class Demo { //定义一个类 private $file = 'index.php'; //变量属性 public function __construct($file) { //类方法 $this->file = $file; } function __destruct() { echo @highlight_file(

2020-08-10 22:53:17 4200 2

原创攻防世界-Training-WWW-Robots详解

Training-WWW-Robots根据题目robots.txtflag：cyberpeace{e9c0801e3ed84033430148b6b40252ff}

2020-08-10 21:44:29 1690

原创攻防世界-baby_web详解

baby_web题目描述：想想初始页面是哪个根据提示我们尝试/index.php页面：发现网页直接跳转到1.php我们尝试抓包分析抓包：（index.php）点 Foward放过当跳转到1.php时放到repeater模块发现flag但是隐藏了falg：flag{very_baby_web}...

2020-08-10 21:35:05 8488

原创 DVWA-Javascript详解

前端攻击（JavaScript Attacks）低级进入靶场后点击提提交，发现phrase错误根据提示我们输入success，提示说token不对查看源代码：发现phrase表示我们输入的内容，然后计算输入的token值document.getElementById("token").value = md5(rot13(phrase));，写入token，但是为啥写入success也报token错误？<?php$page[ 'body' ] .= <<<EOF&lt

2020-08-06 18:08:51 1830

原创 DVWA-CSP Bypass详解

CSP Bypass靶场练习CSP简介CSP全称是: Content-Security-Policy, 内容安全策略。是指HTTP返回报文头中的标签,浏览器会根据标签中的内容，判断哪些资源可以加载或执行。主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时，主要采用函数过滤转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度，开发人员明确告诉客户端，哪些外部资源可以加载和执行。开发者只需要提供配置，实现和执行全部由浏览器完

2020-08-06 09:24:46 1045

原创 DVWA-Insecure CAPTCHA靶场

逻辑漏洞准备环境：多数DVWA不安全验证这个模块报错，需要修改配置，需要添加如下配置：配置文件位置：$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';注意：服务器将改密操作分成了两步，第一步检查用户输入的验证码，验证通过后，

2020-08-03 23:22:45 403

原创常见漏洞原理及修复方式

漏洞原理及防护Burte Force（暴力破解）在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。防御：1.是否要求用户设置复杂的密码；2.是否每次认证都使用安全的验证码（想想你买火车票时输的验证码～）或者手机otp；3.是否对尝试登录的行为进行判断和限制（如：连续5次错误登录，进行账号锁定或IP地址锁定等）；4.是否采用了双因素认证；XS

2020-08-03 17:42:28 4109 3

原创皮卡丘靶场-越权

越权如果使用A用户的权限去操作B用户的数据，A的权限小于B的权限，如果能够成功操作，则称之为越权操作。越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。一般越权漏洞容易出现在权限页面（需要登录的页面）增、删、改、查的的地方，当用户对权限页面内的信息进行这些操作时，后台需要对对当前用户的权限进行校验，看其是否具备操作的权限，从而给出响应，而如果校验的规则过于简单则容易出现越权漏洞。 **因此，在在权限管理中应该遵守：**1.使用最小权限原则对用户进行赋权;2.使用合理（严格）的权限

2020-08-03 12:19:46 582

原创 DVWA靶场-文件包含

文件包含低级源码：<?php// The page we wish to display$file = $_GET[ 'page' ];?> 低级什么也没做，直接包含文件:中级查看源代码：<?php// The page we wish to display$file = $_GET[ 'page' ];// Input validation$file = str_replace( array( "http://", "https://" ), ""

2020-07-31 11:55:57 360

原创 DVWA靶场-暴力破解

暴力破解低级因为等级比较低，我们上来直接抓包暴力破解：选择攻击模块分别为变量1,2选择字典，这里是我手工创建了两个简单的账号密码字典load直接导入，直接添加其他方法都行成功中级我们查看一下源代码，对比低级别发现做了限制如下mysqli_real_escape_string()函数：会对特殊符号（\x00，\n，\r，\，‘，“，\x1a）进行转义，作用是抵御了SQL注入sleep( 2 ):这个意思就是如果登录失败的话，就会延迟两秒后才能提交。总结：虽然在Medium级别中

2020-07-31 10:44:30 1290

原创皮卡丘靶场-sql注入详解

皮卡丘靶场-sql注入数字型注入这里为post传参，所以我们需要抓包抓包后发现id，我们一般在后面输入 ’ " \来测试有无注入，发现有sql语句报错，而且没有数字1，这和题目提示的数字型注入一样![在这里插入图片描述](https://img-blog.csdnimg.cn/20200730155448929.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNz

2020-07-31 00:19:22 1696

原创 DC-9入门练习

1. 信息收集1.1nmap扫描nmap -sP 192.168.1.0/24 -oN nmap.sPnmap -A 192.168.1.4 -p 0-65535 -oN nmap.A1.2指纹识别火狐插件wappalyzer查看whatweb 192.168.1.41.3扫描网站目录后台dirb扫描：dirb http://192.168.1.4发现两个御剑扫描后台：1.4访问80发现可能存在sql注入，但是url无参数变化2.爆表2.1burpsuit

2020-07-27 16:57:00 1544 2

原创 DC-8入门练习

1. 信息收集1.查看目标靶机MAC地址2.nmap扫描地址nmap -sP 192.168.1.0/24 -oN nmap.sP3.nmap扫描端口nmap -A 192.168.1.6 -p 0-65535 -oN nmap.A目标开放了80/22端口4.访问80利用火狐自带软件，查看网站信息:开源cms模板drupal 7 容器：apache目标端口发放22端口我们可以进行爆破，但是这种成功率较低。6.寻找SQL注入点点啊点发现了，网页通过nid传参，我们可以判断是

2020-07-24 11:06:45 359

原创 DC-7入门练习

信息收集1.扫描主机查看DC-7的mac地址nmap -sP 192.168.1.0/24 -oN nmap.sP找到目标ip为192.168.1.62.扫描端口nmap -A 192.168.1.6 -p 0-65535 -oN nmap.A开放80，22端口3.收集网站信息whatweb 192.168.1.6使用Drupal 8搭建的网站我们用kali查找有无drupal 8的漏洞最后尝试无果4.访问80根据提示爆破是行不通的重点看首页的footer

2020-07-21 19:37:25 339

原创 DC-6入门练习

信息收集1.nmap扫描扫描网段nmap -sP 192.168.1.0/24 -oN nmap.sP找到目标靶机的ip扫描目标ip开放那些端口：nmap -A 192.168.1.11 -p 1-65535 -oN nmap.A80端口开放访问该地址：发现无法打开，可能是没有dns缓存，我们添加一条记录即可vim /etc/hosts192.168.1.11 wordy2.御剑扫描后台后台地址为：http://wordy/wp-login.php3.使用wpsc

2020-07-20 18:45:47 374

原创 DC-5入门练习

DC-5靶机渗透1. 信息收集1.查看dc-5主机mac地址2. nmap扫描nmap -sP 192.168.1.0/24 -oN nmap.sPnmap -A 192.168.1.6 -p 0-6635 -oN nmap.A发现目标靶机地址为192.168.1.6查看目标主机开放那些端口由于开发80我们登录随便看一看这些网站页面都放在根目录下，我们可以用御剑扫描后台，发现最后一个页面这里可以提交表单，参数（都显示在url里）发现每次刷新网页下面都会变化2.御剑扫描

2020-07-20 11:22:52 546

原创 DC-4入门练习

DC-4靶机渗透

2020-07-17 11:17:47 1895

原创 DC-3入门练习

EXP资源链接：https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g 提取码：0fkw

2020-07-15 16:15:16 649

原创 DC-2 入门练习

*DC-21. 准备工作：创建好DC-2靶机查看网络配置以及MAC地址（为后面扫描找ip准备）![在这里插入图片描述](https://img-blog.csdnimg.cn/20200714153731621.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L01yX2hlbGxvd29yZA==,size_16,color_FFFFFF,t_7

2020-07-14 16:44:19 392

空空如也

空空如也