qq_55202378的博客

是证书的原因，目前的解决方法是将URL中的https改为http。连用时，数据包中的post字段将会当做php代码执行。后面接着的数据会被当做php代码执行。

查看源代码：base64编码特征：大小写+数字，偶尔最后几位是=。登录界面，先测一下是不是存在SQL注入漏洞SQL注入常见的测试方法就是：再用sqlmap去跑数据库里的内容：（这里直接跑数据包）看到函数，这一题应该是与文件包含有关。是包含GET传参中url参数的值，那么可以考虑php伪协议中的input协议和data协议。关于php://input和data://text/plain，简单来说：故，poc：

一般开发者会通过Nginx代理识别访问端IP限制对接口的访问，尝试使用。服务端一般使用Referer请求头识别访问来源。请求头包含了当前请求页面的来源页面的地址，基于扩展名，用于绕过403受限制的目录。等标头绕过Web服务器的限制。标头绕过Web服务器的限制。

这个漏洞其实可以说是CVE-2021-29442的更深层次利用，在上文中我们分析了，Derby未授权SQL注入利用的是/derby这个路由，但是限制了语句必须为select开头的即查询语句，而仅仅是查询语句就无法RCE。：nacos带有一个嵌入式的小型数据库derby，而在版本<=1.4.0的默认配置部署nacos的情况下，它无需认证即可被访问，并执行任意sql查询，导致敏感信息泄露。简单来说就是将远程服务器上的jar包导入数据库，就可以动态调用类中的static方法），也就是所谓组合拳RCE。

JBoss是一个基于J2EE的开发源代码的应用服务器，一般与Tomcat或Jetty绑定使用。默认端口：8080、9990。

最近在做vulhub漏洞复现，本来有备用docker镜像的，没想到G了，只能配置vpn进行pull镜像。

后门端口，直接执行系统命令。注意：10021端口上ftp的后门端口为16200。添加完后，根据icon，可以看出这是一个python打包成的exe程序。看wp是由web.zip文件的，但是这里没有，所以搞不定了。下载提供的flag.zip和wordlist.txt，使用。：在vsftpd 2.3.4版本中，在登录输入用户名时输入。的返回包，可以拿到包含flag的txt文件。九阴真经上卷找不到，似乎被删了，只有下卷。类似于笑脸的符号，会导致服务处理开启。flag在whalwl数据库中。

发现一个SOAP服务。在SOAP中，简单来说，wsdl是一个接口文档，用来说明接口干什么；soap则是传输协议。在登录的时候，服务器会返回一个admin参数，来指示该用户是不是admin用户。登录的时候，会发现当前用户的admin参数变为了true，可以打开。看到api接口中出现linux命令后，可以尝试执行linux命令。可以看到这是一个用于用户名查询的API接口。，就可以访问到刚刚创建的note。在注册的时候给一个admin参数。时，会跳转，这里应该是做了鉴权。：就是可以通过对象进行访问。

NTLM Hash是微软为了提高安全性的同时保证兼容性而设计的散列加密算法，NTLM Hash是基于MD4加密算法进行加密的。个人版从以后，服务器版从以后，windows操作系统的认证方式均为NTLM Hash。windows操作系统通常使用两种方法对用户的明文密码进行加密处理，一部分为LM-Hash，另一部分为NTLM-Hash。为了解决LM加密和身份验证方案中固有的安全弱点，微软于1993年在Windows NT 3.1中引入NTLM协议。

(Server-Side Request Forgery：服务器端请求伪造) 是一种由攻击者构造形成的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）

抓个包，可以看到cookie部分使用JWT（Json Web Token）。先用base64将JWT进行解密，修改为admin，再用base64进行加密。再访问这里使用了HS256加密方式，方法：alg字段改为，sub改为，对每一段分别用base64进行加密，然后用拼接起来，注意最后一个点不能少。都可以用jwt-cracker进行爆破，获取密匙。或者用脚本跑。web 349——非对称加密算法RS256私钥泄漏根据提示，大致意思就是访问，服务器会使用RS256算法私钥加密一段字符串作为cookie

前者恒为真，如果and前面的语句有内容，则正常输出；后者恒为假，如果and前面的语句有内容，也不会输出。故，可以通过他们俩来判断SQL注入类型。查看页面源代码，发现一个js文件。访问该文件，会发现一个查询接口。一种方法是抓取数据包，让sqlmap跑数据包；不知道为啥这里%0c没有被过滤。的时候，需要使前面一条语句错误。伪造referer。这一关开始使用sqlmap。进行报错注入的时候，需要对。(+的url编码)替换。指定 sqlmap 以。参数指定要测试的网址，

跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执行，从而达到恶意攻击用户的特殊目的。

我的理解是：靶机的shell标准输入、输出、错误输出都与127.0.0.1:4444的输出建立了TCP连接，也就是说靶机shell所有的输出信息都会显示到监听127.0.0.1:4444的shell中，唯独没有解决从127.0.0.1:4444向靶机发送命令。文件中，每个用户的密码都是用一个特定的哈希函数加密的。查看当前系统的自动任务后，一方面可以定位定时脚本的位置，然后将shell写到定时脚本中，实现提权；时本来就是root权限，预先加载共享库shell.so时，也是以root用户的权限去加载的。

UDF：user define fucntion，在mysql中，允许用户创建自定义函数，这些函数可以在SQL查询语句中使用，通过使用UDF，用户可以对数据库执行自定义操作。：生成位置无关代码，PIC（Position independent code），这种代码可以在内存中的任何位置执行，简单查看该EXP，在利用过程中，需要登陆到mysql数据库，新建表，在表中插入编译好的共享库，gcc编译的时候，不指定相关参数，直接接源文件，可能会有各种各样的报错。：仅仅编译源代码，不进行链接，通常生成.o文件。

提权方法取决于系统的配置，主要分析内核版本、已安装的应用、支持的编程语言和其他用户的凭据。

Web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数时攻击者可控的，并且参数带入数据库查询，攻击者可以通关构造不同的SQL语句来实现对数据库的任意操作。说明php开启魔术引号，如果输入的数据有单引号（’）、双引号（”）、反斜线（\）与 NULL（NULL 字符）等字符都会被加上反斜线。A网页设置的 Cookie，B网页不能打开，除非这两个网页同源。特点：时间型盲注页面没有明显的回显，只能根据页面刷新时间的长短来去判断构造语句是否正确。场景：应用于无数据回显，无报错，布尔型盲注失效后。

不要相等即可，注意GET传参时也要做修改。这里就是使用GET传输，username赋值为。变量进行反序列化，因此只需要GET传输的变量。以上一题相比，其实就是反序列化的类中的变量。，注意需要对user的值进行URL编码。，password也1赋值为。相等，且反序列化后的。

这里对c参数的过滤比较严谨，可以考虑将代码写到其他参数中。调用其他代码执行函数，如。也可以使用反撇号代替。

这里不知道的文件路径，可以考虑使用尝试执行php语句，获取文件路径。可能读取不了文件，这时候试试。linux 命令是倒序读取文件，也就是从最后一行往前读取文件。数据流封装器，以传递相应格式的数据。通常可以用来执行PHP代码。用法：架设外网服务器，使用远程包含自己服务器上的后门文件，即可获取webshell。php伪协议总结：首先，根据php特性，无法迭代过滤，只过滤一次。此处，如果用替换，可以直接使用双写进行绕过。架设外网服务器，使用远程包含自己服务器上的后门文件，即可获取webshell。既

另外，intval()函数如果$base为0，则$var中存在字母的话遇到字母就停止读取，传入4476a会将后面的a丢弃，比较前面的.

当vim异常退出时，都会生成一个用于备份缓冲区内容的swp临时文件，来记录了用户在非正常关闭vim编辑器之前未能及时保存的修改，用于文件恢复。一个非常重要得到文件，通常情况下，主要用于指定搜索引擎蜘蛛spider在网站里的抓取范围，用于声明蜘蛛不可以抓取哪些网站资源及可以抓取哪些网站资源。可以看到用户名和加密后的密码，加密方式使用的是AES，然后代码中也给了加密模式、填充方式、密钥和偏移量。，本想上传文件，发现无法上传，但是文件空间就可以看到网站本地的目录。，当然也可以使用其他的目录扫描工具。

之外，php还会在每个目录下扫描INI文件，从被执行的PHP文件所在目录开始一直上升到web根目录（$_SERVER[‘DOCUMENT_ROOT’]所指定）。的组件库，url代表上传接口，accept代表允许上传的文件类型，exts代表允许上传的文件后缀。风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。，上传一个png的webshell，再使用burp抓包更改文件后缀名，再访问上传的webshell。

SVN（subversion）是一个开放源代码的版本控制系统，通过采用分支管理系统的高效管理，简而言之就用用于多个人共同开发同一个项目，实现的共享资源，实现最终集中式的管理。在使用 SVN 管理本地代码过程中，使用功能来更新代码时，项目目录下会自动生成隐藏的.svn文件夹，其中包含重要的源代码信息；造成SVN源代码漏洞的主要原因是管理员操作不规范，在发布代码时未使用导出功能，而是直接复制代码文件夹到WEB服务器上，导致.svn利用其中包含的用于版本信息追踪的。

目录，但是这个方法不仅需要获取进程的pid编号，且在fork、daemon等情况下pid还会变化（属实有点太懂，fork是创建进程，daemon是守护进程，合起来就不知道具体啥情况了，哈哈😅😅😅）。fd目录里面包含当前进程打开的每一个文件的描述符，这些文件描述符是指向实际文件的一个符号链接，即每个通过这个进程打开的文件都会显示在这里。exe是一个指向启动当前进程的可执行文件（完整路径）的符号链接，通过exe文件，我们可以获取指定进程的可执行文件的完整路径。目录，还有一些以数字命令的目录，它们是进程目录。

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。由于python一切皆对象的特性，函数本质上也是对象，也存在类中的一些内置方法和内置属性，所以我们可以执行接下来的操作。是类中的一个内置属性，值是该实例的对应的类。

burp 雷电4

sqli-lab SQL注入

upload-labs 文件上传靶场通关

web漏洞

web源码 脚本语言

vmware 桥接 NAT

网络安全基本知识

wireshark

sql注入 报错注入

联合注入

docker mysql