通常bypass的思路如下 1. 攻击后端组件,寻找存在命令注入的.web 应用常用的后端组件,如,ImageMagick 的魔图漏洞.bash 的破壳漏洞 2. 寻找未禁用的漏网函数,常见的执行命令的函数有 system().exec().shell_exec().passthru(),偏僻的 popen().proc_open().pcntl_exec() 3. mod_cgi 模式,尝试修改 .htaccess,调整请求访问路由,绕过 php.ini 中的任何限制 4. 利用环境变量 LD…

bypass disable_function的方法及蚁剑插件bypass-php-function使用 在学习php时,发现有许多函数会对网站或系统造成很大危险隐患,常见的危险函数有: phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块.WEB 环境等信息. 危险等级:中 passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec(). 危险等级:高 exec() 功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等). 危险等级:…

1.使用未被禁用的其他函数 exec,shell_exec,system,popen,proc_open,passthru (python_eval?perl_system ? weevely3 wiki中存在这两个函数) 要求:看看哪个函数没在禁用列表里的 2.pcntl_exec 使用pcntl_exec函数可命令执行 要求:linux系统特有模块,需编译选项中存在--enable-pcntl 3.windows com组件绕过 通过生成的com对象调用wscript.shell或shell…

windows 1.com组件绕过 <?php$command=$_POST['a'];$wsh = new COM('WScript.shell'); // 生成一个COM对象 Shell.Application也能$exec = $wsh->exec("cmd /c".$command); //调用对象方法来执行命令$stdout = $exec->StdOut();$stroutput = $stdout->ReadAll();echo $stroutpu…

LD_PRELOAD 目录 LD_PRELOAD 题目描述 解题过程 简单测试 查看phpinfo 编译动态链接库 写调用代码 题目描述 目标:获取服务器上/flag文件中的 flag.需要了解 Linux LD_PRELOAD 环境变量. LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库.这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数.通过这个环境变量,我们可以在主程序和…

目录 0 前言 1 Java高版本JNDI绕过的源代码分析 1.1 思路一的源码分析 1.2 思路二的源码分析 2 基于本地工厂类的利用方法 2.1 org.apache.naming.factory.BeanFactory 2.1.1 javax.el.ELProcessor.eval 2.1.2 groovy.lang.GroovyClassLoader.parseClass(String text) 2.1.3 javax.management.loading.MLet 探测类是否存在 2…

补坑+1. 有预留的后门,并且给了phpinfo,因此可以从phpinfo中先搜集一波信息: 这里禁用了很多命令执行的函数,所以应该要bypass_disablefunction,先读一下flag在哪,但是这里有openbase_dir限制,因此能够还必须绕过它,这里system默认忽略openbase_dir,所以要是能执行system就好了,那么此时就利用后门直接上传so,exp: 先利用后门上传so文件 import requests url = "http://localhost:888…

搭建简单的sql注入环境 在test数据库中创建sqltest表,插入字段数据 编写存在注入的php文件 <?php $id = $_REQUEST['uid']; echo "您当前执行的sql语句为:" ; echo "select * from sqltest where id=" . $id . "<br/>"; echo "<hr>"; $mysqli = new mysqli('127…

最近看到一篇bypas csp的记录复现学习下 配置csp 这里直接设置html头达到配置csp的效果. Content-Security-Policy: script-src 'self' 'unsafe-inline' 创建html,加载js,代码如下, <meta charset="utf-8" http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-inl…

这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章<Stageless Beacon 生成流程分析><Beacon C2Profile 解析><Beacon 上线协议分析>中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进…

如之前描述的 pg3复杂了许多 先来看看都要hook哪些点 1.hook dpc和定时器分发器,防止seh路线触发pg KiTimerListExpire,KiRetireDpcList 看一下hook点 hook的就是call的位置. 这里有两种方案:一种是直接jmp + 64bit addr,显然有同步问题,需要暂停所有cpu然后把irql提升到HIGH_LEVEL去操作. 另一种是 call 32bit 跳板 addr,如下图,操作8byte符合原子操作 e8 xxxxxxxx是32位转移…

编码方式过wafurl编码,针对特殊情况可以两次URL编码十六进制编码,针对某些数据,如特殊字符,特殊字符串等unicode编码,使用两个字节编码一个字符,高位不足使用0填充单引号:%u0027.%u02b9.%u02bc.%u02c8.%u2032.%uff07.%c0%27.%c0%a7.%e0%80%a7空格:%u0020.%uff00.%c0%20.%c0%a0.%e0%80%a0左括号:%u0028.%uff08.%c0%28.%c0%a8.%e0%80%a8右括号:%u0029.%u…

等价字符 空格:%20,+,(),%0a,%09,%a0,%0b,%0c,%0d,/**/等 =:like,regexp,liker,<>,! =等 and:&& or:xor &,^,||(and或or可以相互替换,只有两边条件不同) 逗号:盲注中from 1 for 1,联合查询中A join B mysql特性 =,:=,@ mysql中“=”为等于的意思,只有在update set时为赋值的意思 “:=”为复制的意思 在mysql中变量不需要定义,利用@变量名就…

ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-Security-Learning Web-Security-Learning 学习资料01月29日更新: 新收录文章 mysql SSRF To RCE in MySQL MSSQL MSSQL不使用xp_cmdshell执行命令并获取回显的两种方法 postgresql 渗透中利用postgres…

一,基础学习 01.基础学习 [[编码总结]] [[JSON三种数据解析方法]] [[js加密,解密]] [[Internet保留地址和非保留地址.内网和公网.VNC和UltraVN]] 代理 [[SOCKS4.SOCKS5和HTTP代理]] [[Windows - Netch 使用教程]] [[Netch设置端口ip进行转发流量]] [[全能终端神器--MobaXterm]] 通信协议 [[IIOP-百度百科]] 互联网内部对象请求代理协议 二.信息收集 02.信息收集 1.[[信息收集-汇总…

NSURLSession学习笔记(一)简介 一.URL Session的基本概念 1.三种工作模式: 默认会话模式(default):工作模式类似于原来的NSURLConnection,使用的是基于磁盘缓存的持久化策略,使用用户keychain中保存的证书进行认证授权. 瞬时会话模式(ephemeral):该模式不使用磁盘保存任何数据.所有和会话相关的caches,证书,cookies等都被保存在RAM中,因此当程序使会话无效,这些缓存的数据就会被自动清空. 后台会话模式(background)…

PHP safe mode bypass from 4.x to 5.x all. Functions: * mb_send_mail* curl_init* imap_open* mail* ioncube_read_file* posix_getpwuid* error_log* extension_loaded* copy* procopen A php code safe-mode-bypass.php for you: http://img.vul.kr/uploads/2009072…

本文参考http://blog.csdn.net/zdy0_2004/article/details/43896015译文以及原文file:///F:/%E6%9C%BA%E5%99%A8%E5%AD%A6%E4%B9%A0/Recommending%20music%20on%20Spotify%20with%20deep%20learning%20%E2%80%93%20Sander%20Dieleman.html 本文是比利时根特大学(Ghent University)的Reservoir …

open参数O_DIRECT的学习 使用 O_DIRECT 需要注意的地方 posix_memalign详细解释 free:这里好几个方法我都没测试成功,最后还是用posix_memalign 对齐的方法成功执行了,贴上代码 #include <stdio.h> #include <sys/types.h> #include <sys/stat.h> //O_DIRECT #define __USE_GNU 1 #include <fcntl.h> #inc…

关于xss攻击,网上相关的介绍很多,一搜索也是一大堆,这里我就对自己感兴趣的一些内容做个总结. xss简单介绍 成因:xss是将恶意代码(多是JavaScript)插入html代码中. 分类: 1. 反射型 2. 存储型 3. DOM型 1. 什么是反射型? 攻击者构造可执行JavaScript的攻击链接,发送给受害者,多用于获取cookie,因为cookie可以使你伪装成受害者来登录.还可以定向到别的网站,下载病毒链接等等. 2. DOM型xss.反射型xss和存储型xss的区别? 反射型xs…

[Spark-core学习之八] SparkShuffle & Spark内存管理环境 虚拟机:VMware 10 Linux版本:CentOS-6.5-x86_64 客户端:Xshell4 FTP:Xftp4 jdk1.8 scala-2.10.4(依赖jdk1.8) spark-1.6 一.SparkShuffle1. SparkShuffle概念reduceByKey会将上一个RDD中的每一个key对应的所有value聚合成一个value,然后生成一个新的RDD,元素类型是<key,v…

前言 最近没事学习一下 waf 的 bypass , 本文介绍下 bypass 安全狗的笔记.个人感觉 bypass 的总思路(正则匹配型 waf)就是利用各种语法特性来逃避正则(当然要保证语法正确性的前提下) 测试环境: phpstudy + 安全狗Apache版 V4.0. burp + hackvertor 插件 判断注入 判断字符型注入还是数字型 往数字后面加若干个字母,如果结果不变应该是字符型注入,因为 mysql 的弱类型会把 1xxxx 转换成 1 引入逻辑表达式进行判断 利用 M…

20145308 <网络对抗> Web安全基础实践 学习总结 实验内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 基础问题回答 (1)SQL注入攻击原理,如何防御 通过在文本框中输入的字符串与web中事先定义好的SQL语句结合,构成注入攻击的SQL实现攻击 主要还是通过编程时多多实现对输入字符串的合法性检验 (2)XSS攻击的原理,如何防御 通过对网页注入可执行代码,实现攻击 通过网页编程实现对输入内容的过滤 (3)CSRF攻击原理,如何防御 跨站请求伪造,通…

一.前言本文原创作者:vk,本文属i春秋原创奖励计划,未经许可禁止转载!很多人对于XSS的了解不深.一提起来就是:“哦,弹窗的”.”哦,偷cookie的.”骚年,你根本不知道什么是力量.虽然我也不知道,哈哈.好了,不瞎扯了,进入今天的主题:XSS易容术---bypass之编码混淆 二.正文1.总括很多时候,我们的一些关键字被过滤.直接闭合前面payload,插入测试语句<script>alert(/xss/)</script>,是弹不出窗的.原因有很多,过滤方式也有很多,所以绕过的…

目录 Fabric开发环境搭建 更新说明 教程环境及软件版本 Docker 安装Docker 配置用户组 配置Aliyun Docker加速器 安装docker-compose Go 下载源码 安装源码 Node.js && NPM Node.js源码安装 安装Python 安装Fabric范例.源码和Docker镜像 总结 Fabric开发环境搭建 Author:ljo0412@live.com 更新说明 在根据Fabric手册进行学习的过程中,遇到了一个严重的问题,导致无法向下继续,总…

0x00 前言 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影.从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧.这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御. 0x01 环境搭建 360主机卫士官网:http://zhuji.360.cn软件版本:360主机卫士Apache 纪念版测试环境:phpStudy 本地构造SQL注入点: $id=_REQUES…

本文作者:i春秋作家 大哥哥团长 说到Web安全必须要了解Web方面的一些基础知识做为铺垫的去的去学习这门技术,因为不是人人都可以直接先渗透在进行编程等方面学习的.所以为了更好的入门的Web安全必须要先掌握一些基础知识,相比对逆向方面的入门Web安全真的不难,逆向要是想了解一个简单的什么叫jmp esp溢出需要的基础知识不是一点点,如果是计算机专业的还好,不然通过自己去学习真的不是那么简单,不说太多,下面我就给大家推荐一个前期学习知识的路径和资源链接. 首先是我给大家推荐的是前端的html/cs…

前言 对这段时间学习的 linux 内核中的一些简单的利用技术做一个记录,如有差错,请见谅. 相关的文件 https://gitee.com/hac425/kernel_ctf 相关引用已在文中进行了标注,如有遗漏,请提醒. 环境搭建 对于 ctf 中的 pwn 一般都是给一个 linux 内核文件 和一个 busybox 文件系统,然后用 qemu 启动起来.而且我觉得用 qemu 调试时 gdb 的反应比较快,也没有一些奇奇怪怪的问题.所以推荐用 qemu 来调,如果是真实漏洞那 vmwar…

作者:嘶吼吼链接:https://zhuanlan.zhihu.com/p/23473665来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. About: Use odbcconf to load dll Use powershell to get dll exports Use Event Tracing for Windows to log keystrokes from USB keyboards 目录: 1. 介绍为什么通过odbcconf加载dll可以绕过…

1.前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常谈的话题也没什么可写的.很多人一遇到waf就发懵,不知如何是好,能搜到的各种姿势也是然并卵.但是积累姿势的过程也是迭代的,那么就有了此文,用来总结一些学习和培养突破waf的思想.可能总结的并不全,但目的并不是讲那些网上搜来一大把的东西,So…并不会告诉大家现有的姿势,而是突破Waf Bypass思维定势达到独立去挖掘waf的设计缺陷和如何实现自动化的Waf Bypass(这里只讲主流waf的黑盒测试). 2.搞起 当…