Hey 不可思议的十三亿分之一

记一次奇妙的证书站逻辑漏洞挖掘 昨晚在床上躺着想到 之前和朋友说开学之前一定要挖到某大学的漏洞报送证书 开学就剩三天了，还是没进展 ，然后开始emo反思，突然想到了一句话：渗透的本质就是信息收集 确实我信息收集只会用fofa 鹰图等网络空间测绘去搜 之前在网上安装 ARL灯塔,水泽等 因为对Liunx系统不熟 就一直报错 然后放弃 第二天睡醒就开始在kali上装ARL灯塔信息收集工具。 经历了九九八十一难装了docker各种报错 然后摸索解决 终于装好了 跟着网上的教程加强了子域名，指纹，端口等字典 然后就开扫 果然扫出了很多我之前没收集到的站点 先挖了两个站点 没挖到什么东西 最后这个站点吸引到了我的注意 是一个收费平台 但是他的登陆框有这么多的按钮 我就怀疑可能会有逻辑漏洞 先测试注册 看看能不能注册一个账号 随便填了一些信息 最后响应包返回false 把响应包改成 true 前端显示注册成功 但是还是登陆不了 注册点不行 试试重置密码 需要提供学工号 直接一手Google hack语法 成功收集到了工号 果然信息收集才是王道 google 语法搜索不到的话 ...

某学校网站getshell拿到网站 先用dirmap进行一波目录扫描 成功扫到了几个上传点 这个上传点 利用%00截断可以成功上传asp一句话 但是不返回路径 找了n个h还是无果 无法利用 ┭┮﹏┭┮ 果断放弃 看看下一个 先上传一个xls文件 看看有无路径返回 wc 直接返回路径 白费几个小时（下次一定要先测试完上传点都没路径再找） 进行访问 看看是不是完整路径 what？ 还不是完整路径 访问不到 但是路径这么全 应该是在网站的下一级目录 去awvs扫一下看一下网站结构 这么多二级目录 本来是想锻炼一下动手能力 写个python脚本跑一下 但是当时心急想吃热豆腐 就找可能的目录名试了试 运气很好只试了四个 完整路径就知道了^^ 是在二级目录xxxxcx里面 完整路径 http://xxxxx.com/xxxxcx/cha_wye/data/folder/1234567.xls ok 可以上传asp一句话了 刚开始我就想着直接用工具生成的免杀webshell 但是这个网站的服务器不解析execute 不知道为什么 然后在网上找了个eval的免杀一句话 ...

WriteUp_easy_sql 堆叠注入 强网杯2019题目描述随便注过程 ：打开后界面如下 查看源码发现sqlmap是没有灵魂的 作者肯定是要让我们手工注入的 不尝试工具了 注入点很清楚 加入单引号试错 提示sql语法错误 1error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at 尝试联合注入 1/?inject=1' and1=2 union select database(),user() # 发现有过滤关键字 1return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); 尝试大小写绕过 套娃绕过 sql注释绕过 url编码绕过 空字节都失 ...

二次注入：二次注入是指已存储（数据库、文件）的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。二次注入是sql注入的一种，但是比普通sql注入利用更加困难，利用门槛更高（大部分市在白盒测试中进行代码审计发现并利用的）。普通注入数据直接进入到 SQL 查询中，而二次注入则是输入数据经处理后存储，取出后，再次进入到 SQL 查询。 原理：在第一次进行数据库插入数据的时候，仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义，在后端代码中可能会被转义，但在存入数据库时还是原来的数据，数据中一般带有单引号和＃号，然后下次使用在拼凑SQL中，所以就形成了二次注入 过程：插入1‘#转义成1\’#不能注入，但是保存在数据库时变成了原来的1’#利用1’#进行注入,这里利用时要求取出数据时不转义 演示：这里我们使用sqli-labs的第24关为例 使用万能密码 admin‘# 失败 进行代码审计 重要代码如下 12345678910111213141516> function sqllogin(){>& ...

sql注入知识复习ASP+Access由于Access数据库特性导致这个SQL注入是需要借助字典去猜解表名和列名的，那么就会出现表名或列名猜解不到，可以自定义社工字典或采用偏移注入！ 偏移注入 MYSQL有回显闭合符号 ：通过报错信息来看符号闭合 例如（）‘%$变量%’ “ “ ‘’ 宽字节报错1 %df ‘ 猜字段数 (默认不闭合)1?id=1 order by x --+ 查看回显字段1?id=1 and 1=2 union select 1,2,3,...,x --+ 爆数据库1?id=1 and 1=2 union select 1,database(),3,...,x --+ 显示数据库名 version() 显示数据库版本号 找漏洞 user ()获取用户信息 爆表名1?id=1 and 1=2 union select 1,concat(table_name),3 from information_schema.tables where table_schema='数据库名'--+ 爆列名1?id= ...

文件包含原理什么是文件包含文件包含就是为了将写好的代码功能更好的重复使用，用文件包含函数，将写好的功能代码直接引入到另一个代码页中，这样另一个代码页就不需要在写一遍重复的功能性代码。什么是动态包含在使用文件包含的时候，为了更灵活的包含文件，将文件包含的名字处设置为变量，而这个变量是通过GET方式来获取的值，这样既可通过前端所输入的文件名进行包含对应的文件。远程包含和本地包含本地文件包含就是通过浏览器包含web服务器上的文件，这种漏洞是因为浏览器包含文件时没有进行严格的过滤允许遍历目录的字符注入浏览器并执行。 远程文件包含就是允许攻击者包含一个远程的文件,一般是在远程服务器上预先设置好的脚本。 此漏洞是因为浏览器对用户的输入没有进行检查，导致不同程度的信息泄露、拒绝服务攻击 甚至在目标服务器上执行代码。 本地文件包含与远程文件有着相同的原理，但前者只能包含服务器上存在的文件，而后者可以包含远程服务器上的文件。 原理如动态包含所说，如果为了方便，采取动态包含的方式，那么恶意用户就有可能通过将值改变为恶意的文件，这样就会让后端执行恶意的文件。 若恶意用户构造文件名为本地的敏感信息，而后端并没 ...

简便获取超级管理员权限思路awvs目录扫描扫到一个添加新用户页面 打开发现可以进行注册用户 注册登陆后发现只是普通用户权限 只能进行一些普通操作 注册功能抓个包看看 前面都是一些参数我们的注册信息而oskey&purview就是权限参数 oskey=super&purview=99999 发包即可获得超级管理员权限 登陆后台 虽然响应包提示302 但是我们去后台登陆发现已经成功注册了一个超级管理员账号了 是这个网站后台的最高权限甚至可以录取学生 已经提交给相关漏洞平台 –hacker ekk00

XSS跨站xss跨站的原理指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行处理或处理不严，则浏览器就会直接执行用户注入的脚本 自己话：前提要网站会接收输入或者接收输入后输出,将接收的数据进行页面显示，数据一旦是js代码，就会被执行调用js，实现xss攻击 xss跨站的分类反射型XSS一次性构造利用 储存型XSS（持续型）攻击代码存储在数据库中的持久性xss攻击（如之前的qq空间日志） dom型XSS接收输出均在前端js实现 构造在html代码中 小众型mXSS(突变型XSS)https://xz.aliyun.com/t/6413 UXSS（通用型xss）针对浏览器 利用浏览器或者浏览器扩展漏洞来制造产生XSS漏洞 eg：2021edge浏览器翻译插件产生的uxss漏洞 pdf XSS 上传后直链触发1、创建PDF，加入动作JS 2、通过文件上传获取直链 3、直链地址访问后被触发 Flash XS ...

敏感信息泄露 HAE 上传xss uploadlmg.action >> uploadFile.action 多抓包多修改 修改本地时间 校验本地时间 会员体验 查看网络请求包 post空包 写参数 查看响应包 越权 修改参数id 多尝试 删参数 拼接参数 &userid=1 等等 黑盒多去尝试 文件上传 fuzz js 报错 ../ 图片链接 js找资产不会 js找敏感越权路径可以试试webpacker fuzzer spring autorize 小蓝本 data.爱站 hunter 水泽 urlfinder open muitiple urls 登陆绕过 弱口令 js接口 逻辑 未授权 xiasql apikey turbo inturder 并发漏洞 shopping cart

html {overflow-x: initial !important;}:root { --bg-color:#ffffff; --text-color:#333333; --select-text-bg-color:#B5D6FC; --select-text-font-color:auto; --monospace:"Lucida Console",Consolas,"Courier",monospace; --title-bar-height:20px; } .mac-os-11 { --title-bar-height:28px; } html { font-size: 14px; background-color: var(--bg-color); color: var(--text-color); font-family: "Helvetica Neue", Helvetica, Arial, sans-serif; -webkit-font-smoothing: antialiased; } body { margin: 0px; padding: 0px; ...