i春秋視頻學習記錄
web狗生存之道 講師:y4ngshu
日常滲透測試(筆記)
1.信息收集
2.登陸後臺----->getshell
3.Getshell失敗----->轉換思路------>挖掘其它漏洞(sql注入等)------>列庫收集用戶信息
4.拿到用戶密碼------>撞郵箱-------->郵箱拿到關鍵信息----------->拿到vpn
5.通過vpn去訪問文件服務器------->寫腳本getshell
CTF學習
1.xss打後臺----->403---------->ajax抓取頁面迴轉出來--------->sql注入—>getting
2.Bypass Waf來注入 (%00,||,seselectlect 等等 ),國內web常見題型
3.代碼審計 花式雜耍php的各種特性(反序列化、弱類型)
4.文件上傳 花式Bypass上傳(.php111 .inc .phpt)
5.各種當前熱點漏洞
掃描路徑----> phpinfo() ------> php7 -------php7 opcache ---->查看文檔 -----> 花式繞坑 ------> Getshell
6.社會工程學(常用密碼)
7.各種Web漏洞夾雜
8.具有內網環境真實滲透場景
記大佬的滲透測試記錄
1.對目標進行信息採集
2.主站拿不下來,決定拿二級域名
3.排查二級域名
4.根據二級域名的名字選擇upload edit等等具有操作功能的站點入手
5.存在svn漏洞的話,嘗試通過wc、db的形式,利用sqlite將源碼還原出來
6.審計源代碼,快速定位代碼,全文搜索exec、upload,include等等這些危險操作
7.到一個exec命令執行,發現管理員權限
8.回溯代碼,定位管理員登錄功能,審計出cookie算法可以破解
9.僞造cookie反彈shell,上去後發現很多站點在上面,權限不夠
10.查看版本
11.利用之前ctf中的一個一句話提權成功,然後大殺四方。
1.常規的進行信息蒐集踩點工作
2.猜解用戶名密碼(組合了網站的域名和電話號)
3.登錄後臺,測試文件上傳功能,上傳文件中只要含有<?php>就進行上傳
4.腦洞一開,<script language = "php'> 成功getshell
web狗如何在CTF-web中的套路中實現反套路
講師:三十、僞賽棍
題目類型
1.SQL注入
2.XSS
3.代碼審計
4.文件上傳
5.php特性
6.後臺登陸類
7.加密解密
8.其他腦洞、猜謎、和其它結合
SQL注入
1.簡單注入
‘、and 1=1、or 1=1、xor 1=1
2.寬字節注入
GBK字符集編碼,過濾繞過
3.花式繞mysql
intervalue(),數字注入
4.繞關鍵詞檢測攔截
重複性(selselectect)
5.MongoDB注入
nosql注入(nosqlmap)
6.http頭部注入
x-for-ward注入、IP地址注入、refer注入
7.二次注入
插入注入,另一個頁面注入
SQL注入工具
1.burpsuit
2.Hackbar
3.Sqlmap
4.Nosqlmap
SQL解題思路
簡單:用sqlmap跑
判斷注入點,是否是Http頭注入?是否在圖片出注入?等
判斷注入類型
利用報錯信息注入
嘗試各種繞過過濾方法
查找是否是通過的某模塊存在的注入漏洞
延時注入(對待盲注)
SQL注入技巧
sql-mod="STRICT_TRANS_TABLES"(默認未開啓)
插入數據截斷,插入“admin X”繞過或越權訪問
注意二次注入
isg2015 web350 username從session中直接帶入查詢,利用數據庫字段長度
截斷,\被gpc後爲\\,但是被截斷了只剩下一個\,引發注入。
如果猜解不出數據庫的字段,搜索後臺,查看源代碼,源代碼登錄時的表單中的字
段一班和1數據庫的字段名相同
繞過安全狗
se%lect
針對asp+access,首先來挖掘一下數據庫的特性。
1.代替空格:%09、%0A、%0C、#0D
2.可以截斷後面語句註釋符:%00,%16,%22,%27
3.當%09、%0A、%0A、%0C、%0D超過一定長度後,安全狗防禦失效。
4.UserAgent:BaiduSpider
magic_quotes_gpc=On的情況下,提交的參數中如果帶有引號’,就會被自動轉
義爲\',使很多注入攻擊無效
XSS
簡單:存儲型XSS盲打管理員後臺
各種瀏覽器auditor繞過
富文本過濾黑白名單繞過
CSP繞過
Flash xss
AngularJS客戶端模板XSS
.....
XSS注入工具
Burpsuit
HackBar
Xss平臺
swf decomplier
flasm
doswf(swf加密)
Crypt Flow (swf加密)
......
XSS解題思路
簡單XSS,直接利用XSS平臺盲打管理員cookie
過濾標籤,嘗試各種繞過方法
存在安全策略csp等,嘗試相應的繞過方法
逆向.swf文件,審計源碼,構造XSS payload
......
文件上傳
類型:
- 00截斷上傳
- multipart/form-data大寫繞過
- 花式文件後綴(.php345 .inc .phtml .phps)
- 各種文件內容檢測
- 各種解析漏洞
ngix-fastcgi - 花式打狗棒法
- 在線編輯器漏洞等
fckeditor - fckeditor 2.0<2.2 允許上傳asa,cer,php2,php4,inc.pwml,pht後綴的文件上傳後它保存的文件直接使用$sFilePath = $sServerDir ,$Filename,而沒有使用$sExtension爲後綴,直接導致在win下上傳文件後面加個 . 來突破
- 文件包含
文件上傳工具
- hackbar
- Burpsuit
- Webshell
- 中國菜刀
- AantSword
文件上傳解題思路
- 簡單文件上傳,查看響應
- 是否只是前端過濾後綴名,文件格式,抓包繞過
- 是否存在截斷上傳漏洞
- 是否對文件頭檢測(圖片馬等)
- 是否對內容進行檢測,嘗試繞過方法
- 是否上傳馬被查殺,免殺
- 是否存在各種解析漏洞
- http頭以兩個CRLF(相當於\r\n\r\n)作爲結尾,\r\n沒有被過濾時,可以利用\r\n作爲url參數截斷http頭,後面跟上注入代碼
- …
練習題:HTCTF-2016 題目14
php特性
- 弱類型
- intval
- strpos和==
- 反序列化+destruct
- \0截斷
- iconv截斷 (%00截斷)
- parse_str函數
- 僞協議(io流操作)
PHP特性-工具
- hackbar
- burpsuit
- 在線調試環境
php特性-解題思路
- 判斷是否存在php種截斷特性
- 查看源碼,判斷是否存在php弱類型問題
- 查看源碼,注意一些特殊函數
eval(),system(),intval() - 構造變量,獲取flag
- 是否存在Http (請求參數污染,加兩個參數的不同情況。)
- 魔法哈希(magic hash)
mad5(‘240610708’) = md5(‘QBKCDZO’) = 0e830400451993494058024219903391 - …
php特性-僞協議
-
php://filter --對本地磁盤文件進行讀寫
http://localhost/test/index.php?file=php://filter/read=convert.base64encode/resource=index.php -
php://input 僞協議 php://input 需要服務器支持,同時要求 “allow_url_include ”屬性設置爲 on
``` <?php @eval(file_get_contents('php://input')) ?> post<?php system('ifconfig');?> ```
-
php://memory 總是吧數據存儲在內存中
-
php://temp會在內存量達到預定義的限制後(默認2M)存入臨時文件
-
…
1.DATA僞協議,分號和逗號有爭議
- data:文本數據
- data:text/plain,文本數據
- data:text/html,HTML代碼
- data:text/css;base64,css代碼
- data:text/javascript;base64,javascript 代碼
- data:image/x-icon;base64,base64編碼的icon圖片數據
- data:image/gif;base64,base64編碼的gif圖片
- data:image/png;base64,base64編碼的png圖片
- data:image/jpeg;base64,base64編碼的jpeg圖片
glob://查找匹配文件路徑模式
後臺登錄類
- 萬能密碼繞過
- 變形萬能密碼繞過
- 社工的方式得到後臺密碼
- 爆破方式得到後臺密碼
- 各種cms後臺登陸繞過
後臺登錄類-工具
- burpsuit
- hackbar
- sqlmap
- 社工庫
- …
後臺登錄類解題思路
- 根據提示,判斷是否是普通的登錄繞過,或是利用社工的方式
- 普通登錄繞過嘗試各種萬能密碼繞過,或通過sql注入漏洞得到賬號密碼,或xss盲打
- 若果是cms系統登陸,查找是否有相應版本的後臺繞過漏洞
- 社工方式(谷歌、百度、社工庫)
- 爆破獲取
- …
加密解密類-考察知識點
- 簡單編碼(多次basecode編碼)
- 密碼題(hash長度擴展、異或、移位加密、各種變形)
- js加解密
- 根據加密源碼寫解密源碼
- …
加解密類-工具
- 各種編碼轉換工具
- Burpsuit
- 瀏覽器控制檯
- …
加解密類-解題思路
- 判斷是編碼還是加密
- 如果是編碼,判斷編碼類型,嘗試解碼或者多次編碼
- 如果是加密,判斷是現有的加密算法,還是字寫得加密算法
- 是否是對稱加密,是否存在密鑰泄露等,獲取密鑰解密
- 根據加密算法,推斷出解密算法
- …
其它類型
-
社工、花式查社工庫、微博、QQ簽名、whois、谷歌
例題:ISG CTF 2014 Web4 火眼金睛
google查找googole天涯社會工庫,即可查找。
http://www.findmima.com -
SSRF,包括花式探測端口,302跳轉、花式協議利用、gophar直接取shell等等
例題:XDCTF2015 Web1 300
本題爲SSRF,進去是一個框框。利用SSRF漏洞,直接嘗試file://index.php,然後就吧index.php的源碼讀到,之後進行代碼審計。
-
協議,花式IP僞造 X-Forwarded-For/X-Client-IP/X-Real/CDN-Src-IP、花式藏FLAG、花式分析數據包
例題:HCTF2014jianshu (400pt)
解題思路:- Html編碼payload用burp改包提交獲得一個ip和審覈鏈接。
xss獲取遠程IP地址 :218.75.123.186
後臺訪問頁面:
http://121.41.37.11:2504/get.php?user=V1ew
X-Forwarded-For 僞造登錄上去沒有flag。
看到提示轉換思路,後面爲sql注入,得到管理員密碼
http://121.41.37.11:25045/get.php?user=A1rB4s1C
加上 X-Forwarded-For :218.75.123.186僞造ip登陸上去。
- Html編碼payload用burp改包提交獲得一個ip和審覈鏈接。
-
XXE 各種XML存在地方(rss/word/流媒體)、各種XXE利用方法(文件讀取)
例題:AliCTF-Quals-2014 Web-300
推薦經典例題:http://lab10.wargame.whitehat.vn/web007