漏洞挖掘

两种漏洞挖掘的相同点都是 -> 对此功能的决定性参数进行分析 越权漏洞测的是决定使用功能的身份的参数 逻辑漏洞测的是决定功能效果的参数 比如一个文章编辑功能 找越权漏洞可以看他的id是不是决定参数，通过修改id判断能不能修改其他文章。这就是伪装成其他人的身份操作了 逻辑漏洞可以看这个编辑功能能不能修改作者之类的 不过不管怎样，只要关注功能和相关参数既可。不用太过关注如何分类。 来源： https://www.cnblogs.com/junmoxiao/p/12117203.html

Metasploit用户接口 msfconsole Armitage: KaliGUI启动；armitage命令启动 Metasploit功能程序 msfvenom 集成了载荷生成器、载荷编码器、空指令生成器的功能 查看详细指令选项：msfvenom-h 服务器消息块协议扫描 msf>useauxiliary/scanner/smb/smb_version 搜寻配置不当的MicrosoftSQLServer msf>useauxiliary/scanner/mssql/mssql_ping SSH服务器扫描 msf>useauxiliary/scanner/ssh/ssh_version FTP扫描 msf>useauxiliary/scanner/ftp/ftp_version，发现ftp服务器 msf>useauxiliary/scanner/ftp/anonymous，检查是否允许匿名登录 简单网管协议扫描 msf>useauxiliary/scanner/snmp/snmp_login 渗透攻击基础 msf>showexploits msf>showauxiliary msf>showoptions msf>showpayloads msf>showtargets info set和unset setg和unsetg save 你的第一次渗透攻击 操作机：KaliLinux

0x00 背景 文件上传漏洞是一种威胁极大的漏洞，如果存在该漏洞，黑客一般会上传一个可执行文件至服务器，如木马，通过这个文件来获取服务器的一定权限。如果对这种攻击方式防范不严，我们会受到极大的损失。本文以代码审计的形式研究文件上传漏洞的原理、挖掘形式、防御方案及缺陷。 0x01 文件上传漏洞的产生原理 文件上传漏洞是由程序解析了黑客上传的恶意程序产生的，我们以DVWA的low级别源码为例学习一下文件上传漏洞的产生原理： 1 <?php 2 3 if( isset( $_POST[ 'Upload' ] ) ) { 4 // Where are we going to be writing to? 5 $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 6 $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 7 8 // Can we move the file to the upload folder? 9 if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 10 // No 11 echo '<pre>Your image was

本文作者：wasrehpic 0×00 前言 本题算是一道较为综合的渗透题，要求对两个服务器系统进行渗透，第一个是基于齐博 CMS 的信息资讯平台 http:www.test.ichunqiu，第二个是基于 Discuz! 的论坛社区 http:bbs.test.ichunqiu。 这两个 CMS 同样能在网上找到许多漏洞，常用作 渗透测试 的练习靶机。根据提示，第 1 题要求找到咨询平台的管理员账号密码；第 2 题需要登录服务器后台，并插入木马，再用 中国菜刀 连接，继而找到在管理员桌面上的 flag 文件；第 3 题要求在论坛社区的数据库中找到 admin 账户的 salt 值。 题目链接： https://www.ichunqiu.com/battalion?t=2&r=54399 解题链接： https://www.ichunqiu.com/vm/50629/1 0×01 获取 www.test.ichunqiu 后台登录密码 利用 SQL 报错注入是获取管理员账号密码的常见方法。在浏览器搜索齐博 CMS 的可利用漏洞，其中发现了一个 SQL 报错注入漏洞，在 /member/special.php 中的 $TB_pre 变量未初始化，未作过滤，且直接与代码进行拼接，注入发生后可在报错信息中看到管理员的账号密码。详情可参考： 齐博CMS整站系统SQL注入 下面打开

索引 一. 背景 二：社工找到突破口 三：任意文件下载到数据库权限 四：撞库获取同cms 源码 五：碰撞密码得到获取到目标站权限 六：账号密码规则猜测与引申 一：背景 本次渗透主要目的为获取目标站的webshell,目标站环境为win2008+aspx+mssql+不开源程序，我们手里拥有一个低权限的账号，只能操作自己的数据，没有操作别人数据的权限，其目标是为了获得别人数据的权限； 本次渗透持续3周，期间遇到不少坑，写下来做技术交流。 目标站中，开放80,3389端口 ，源码为知，权限低，怎么拿到高权限呢？ 有以下几种 思路 ： 1.搞定目标站管理员常用密码，碰撞密码进3389获取权限 具体一点就是搞目标站其他的二级域名，来获取密码撞库 优点：有效 缺点：渗透需要的时间长，不同的二级域名可能分为不同的管理员管理，密码习惯可能会不一样， 2.搞定目标站管理员邮箱，重置域名权限，更改dns解析到我们的肉鸡服务器，在肉鸡服务器上进行 流量监听 ，获取到管理员的后台密码 缺点：需要大数据支持，手上没有任何客户端的0day,打不到对方权限，裤子也查不到别人密码，虽然高大上，然并卵 3.搞定目标站cms的源码，渗透用这个cms的其他公司，获取源码后进行代码审计，找到通用漏洞，然后进目标站 思路规划 ：一个低权限的账号》任意文件下载web.config》 连接sql服务器》xp

XSS跨站脚本攻击：两种情况。一种通过外部输入然后直接在浏览器端触发，即反射型XSS；还有一种则是先把利用代码保存在数据库或文件中，当web程序读取利用代码并输出在页面上时触发漏洞，即存储型XSS。DOM型XSS是一种特殊的反射型XSS。 危害：前端页面能做的事它都能做。（不仅仅盗取cookie、修改页面等） 1、 挖掘经验 XSS挖掘的关键在于寻找有没有被过滤的参数，且这些参数传入到输出函数。 常用输出函数：print、print_r、echo、printf、sprintf、die、var_dump、var_export，所以只要寻找带有变量的这些函数即可。 XSS漏洞挖掘受浏览器影响比较大，最重要的还要掌握各种浏览器容错、编码等特性和数据协议。 常出现场景：文章发表、评论、留言、注册资料的地方、修改资料的地方等； 2、 反射型XSS 黑盒测试时：只需要将尖括号、单双引号等提交到web服务器，检查返回的html页面里面有没有保留原来的特殊字符即可判断； 白盒测试时：只需寻找带有参数的输出函数，然后根据输出函数对输出的内容回溯输入参数，观察有没有过滤； 例如： 代码中：oauth_signature 参数未经任何过滤，直接输出，则可以直接用GET方式注入代码。 3、 存储型XSS 就是需要先把利用代码保存在例如数据库或文件中，当web

php核心配置 register_globals 全局变量注册开关 设置为on时，把GET/POST的变量注册成全局变量 PHP 5.4.0中移除 allow_url_include 包含远程文件 设置为on时，可包含远程文件 PHP 5.2后默认为off allow_url_fopen　 打开远程文件 magic_quotes_gpc 魔术引号自动过滤 设置为on时，自动在GET/POST/COOKIE变量中',",\,NULL的前面加上\ PHP5不会过滤$_SERVER变量，PHP5.4以后移除 magic_quotes_runtime 魔术引号自动过滤 与mq_gpc的区别：mq_runtime只过滤从数据库/文件中获取的数据 PHP5.4以后移除 magic_quotes_sybase 魔术引号自动过滤 会覆盖掉_gpc；仅仅转义NULL和把'替换成" PHP5.4以后移除 safe_mode 安全模式 联动配置指令有很多；...... PHP5.4以后移除 open_basedir PHP可访问目录 用;分割多个目录，且以前缀而非目录划分 PHP5.2.3以后范围时PHP_INI_ALL disable_functions 禁用函数 如果使用此指令，切记把dl()函数也加入到禁用列表 display_errors/error_reporting 错误显示 d

前段时间以太坊升级架构，君士坦丁堡的硬分叉一个升级代号，被爆出含有高危的网站漏洞，该漏洞产生的原因是由于开启了新的协议模式eip1283导致的，也是区块链漏洞当中危害较为严重的，可以让一些交易进行重入，一个转账可以导致写入2次，但该漏洞并不是确实的可以进行重入漏洞。以太坊区块链在发现该漏洞之后，紧急的停止了以太坊的硬分叉升级，并与上个星期五召开了内部会议对其漏洞进行修复，延期对以太坊的硬分叉升级。 区块链当中，以太坊属于比较大的虚拟币，位列于比特币，第二。关于该漏洞的详情我们来分析一下，关于这次以太坊的升级大家都可以提议，必须经过内部审核，才会通过提议，在这次的提议当中有个eip1283的升级建议， 以太坊的漏洞就是由他而生。 这个建议主要是对以太坊的操作码进行长久的保存数据以及更好的整理以太坊的交易手续费，便捷，快速，处理过程的逻辑更为人性化，大大节省了成本以及时间，使得该提议被提上了日程，以太坊也进行了采纳，公开与众，攻击者根据公开的一些细节，对其进行漏洞挖掘，才导致了今天发生以太坊漏洞。 区块链重入漏洞在同一个交易当中，1个买家1个卖家进行的合约交易，两种合约互相调用并产生了重复转账的一个漏洞，漏洞产生的根源并没有将转账当成一个事务处理来看待。我们来看一下下图: 我们模拟了一个合约，交易的虚拟币由deposits来存储，然后再推送到splits变量当中去分配这个存储比例

安全服务工程师的自我修养 原创： 安全因果律 安全因果律 11月3日 原版链接: https://mp.weixin.qq.com/s/_6lAx43blXzQhIzGDtM9DQ 第一篇文章，聊一下安全圈里职业体系中的基础-安全服务工程师。之所以说是基础是因为安服具有更广泛的跨分支能力，走技术路线可以上到安全研究，下到威胁情报，中间还可以客串一下售前，再不然就搞搞bug hunter；走管理路线，从项目支撑到咨询，从安全产品到营销体系，只要是跟安全着边的没有跨不到的。 这里也交代一下自己的情况，从业三年多，在某乙方安全厂商做了两年安服，所以也对这个工作有着很多理解和经验之谈。先聊聊技术方面的： 1.渗透测试≠安全服务 长期以来，很多来面试安服的应届生都会被问到“你会不会渗透测试？”，显而易见，渗透测试作为安全服务的基础具有不可替代性，如果连常规的攻击都不懂，怎么去给用户做测试？怎么帮助用户处理应急事件？ 安全服务是一个宽泛的概念，涉及到安全方面的：渗透测试，驻场，应急，打补丁，培训，等级保护，风险评估，HW等等都属于安全服务的范畴。 2.拒绝一把梭 新手安服在测试网站的时候都喜欢上来就开扫描器，有的时候一个项目扫描器比重占到70%~80%，之前有个同事就是在人家表单里面开了sqlmap，填充了一堆脏数据。还有就是有的扫描器可能会有DoS的检测，一不小心就可能给人网站扫挂了

一、漏洞怎么生产的 如果一个应用接受反序列化数据，并且没有对反序列化的对象做限制，就可能导致代码执行。(使用了有安全缺陷的Apache Commons Collections jar包) public static void main (String[] args) { /*under attacker's control*/ File f = new File(args[ 0 ]); try { FileInputStream fis = new FileInputStream(f); ObjectInputStream ois= new ObjectInputStream(fis); /*where vul produce*/ ois.readObject(); } catch (FileNotFoundException e) { e.printStackTrace(); } catch (IOException e) { e.printStackTrace(); } catch (ClassNotFoundException e) { e.printStackTrace(); } } 上面就是类似生产漏洞的代码，但是不是接受远程数据，接受远程导致RCE，原理类似。其实这个漏洞发现隐蔽性挺强的，大神发现也是太牛逼。 二、分析前基础知识 Apache Commons