概述 距离tp5 rce漏洞公开已经过去两年多，但是在实战中仍然可以遇到很多thinkphp的框架，关于thinkphp的白盒分析文章和rce payload网上已经一抓一大把，所以本文主要以黑白盒结合的形式谈谈如何在黑盒下对tp网站进行测试。 tp5的渗透要点 （最最常规payload一把梭.哈的情况就不讨论了） 以下渗透思路以5.0.*列举 开启debug下的数据库连接 tp5.0.*在debug模式下如果在数据交互点构造如sql注入、空参数等方式使数据库查询等出错，在一定情况下可能导致数据库账号密码直接显示出来。（报错信息太细了不...

文章简介 这篇文章使用红日渗透靶场（一）来进行练习对内网不出网机器的渗透，在这里感谢师傅们提供了现成的靶场环境，供我们小白来进行学习和练习。这个靶场设计的比较简单，但是通过这个靶场环境，采用多种手段进行渗透，可以使自己在没有那么多授权的真实环境条件下，通过靶场提高自己的技术。 配置网络 在VM虚拟机中按照下边的网络拓扑进行配置网络。网络拓扑图如下： win7具有双网卡，其中外网ip是192.168.8.133，内网网段是52。三台机器彼此互通，但是win server 2008和win2003不通外网。用我mac作为攻击机，来对这个靶场环境进行渗透测试。 ...

记录一下tp5.0.24,感觉此站应该是阉割版，按理来说tp5.0.24应该没有rce的。 网站是非法站点，不用担心未授权。 还是先报错一手，发现是5.0.24的，当时想应该没有希望了，但是还是抱着试一试的心态，用exp打一打 _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 然后发现打动了，哈哈哈哈。disable_function倒是挺多的 心里有一些小激动，然后想的是直接用exp拿下 s=file_put_contents('axgg.php','<...

前言 对于调试 php 项目可以说是很熟悉了，网络上的文章也有很多。前段时间朋友询问我，是否清楚 php 远程调试。远程调试只在 java 项目上操作过，也是按照网上的文章照猫画虎，对于 php 的远程调试自然不是很清楚。前段时间又很忙，没有时间去操作，后来朋友跟我说他弄好了。我想，在学习方面，我岂能落于人后。对于 linux 的相关操作也不是很熟悉，所以我决定在 ubuntu 虚拟机上安装一个 DVWA 的 php 项目环境，同时在本地...

一、漏洞简介 二、漏洞影响 三、复现过程 漏洞分析 首先安装Emlog的相册的插件 安装之后可以在目录：emlog\src\content\plugins\kl_album下找到所有的安装文件： 之后我们分析Kl-album_ajax_do.php文件 <?php /** * kl_album_ajax_do.php * design by KLLER */ require_once('../../../init.php'); $DB = MySql::getInstance(); $...

一、漏洞简介 二、漏洞影响 三、复现过程 代码分析 安装漏洞 其实一般代码审计都是从安装文件开始审计，一般安装脚本主要存在如下漏洞： 无验证功能，任意重装覆盖 表单不做过滤写入config.php导致getshell $_GET['step']跳过限制步骤 漏洞文件：install.php 首先我们直奔第一个点能否任意重装，我们可以看到必须常量DEL_INSTALLER为1的时候才会触发删除install.php,那么我们追踪DEL_INSTALLER看看 这里可以看到DEL_INSTALLER默认值就是...

一、漏洞简介 二、漏洞影响 Emlog<=6.0 三、复现过程 备份数据库到本地： 修改数据库文件，将备份的数据库文件进行修改，在最后一段添加上自己构造的SQL语句： 这一段sql语句主要功能是：首先判断是否存在emlog_shell数据表，如果存在则删除该表，之后创建一个新的emlog数据表，之后再向该表中添加信息（这里可以填入一句话木马），之后使用select.....  into  outfile  ....将数据表中的表项内容读入到一个shell.php的PHP文件...

一、漏洞简介 Emlog博客系统默认后台登陆地址为http://域名/admin/login.php而后台登陆时，错误情况下，验证码未刷新，导致可暴力破解登陆管理员账号低危漏洞，但是在emlog5.3.1和6.0测试版本均存在 ... 二、漏洞影响 emlog5.3.1和6.0 三、复现过程 访问 http://0-sec.org:81/admin/ 已知管理员用户名为：admin（可在前端文章页寻找作者用户名） image 登陆后台 随便输入admin a...

一、漏洞简介 二、漏洞影响 Emlog 6.0 三、复现过程 Uploadify SWF XSS Emlog使用了 uploadify.swf 的方式上传文件，文件路径 /include/lib/js/uploadify/uploadify.swf payload http://www.0-sec.org/include/lib/js/uploadify/uploadify.swf?uploadifyID=00%22%29%29;}catch%28e%29{alert%281%29;}//%28%22&movieName=...

提权基础 权限划分 Administrators：管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。 Power Users：高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。 Users：普通用户组,这个组的用户无法进行有意或无意的改动。 Guests：来宾组,来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多 Everyone：所有的用户，这个计算机上的所有用户都属于这个组。 ...

0x03:Linux下的权限划分 在Linux系统中，用户是分角色的，角色不同，对应权限不同。用户角色通过UID和GID识别。特别是UID，一个UID是唯一标识一个系统用户的账号。 超级用户（0）：默认是root用户，其UID和GID都是0。root用户在每台Unix和Linux系统中都是唯一且真是存在的，通过它可以登陆系统，操作系统中任何文件执行系统中任何命令，拥有最高管理权限。 普通用户（1~499）：系统中大多数用户都是普通用户，实际中也一般使用普通用户操作，需要权限是用sudo命令提升权限。 虚拟用户（500~65535）：与真实的...

前言  本文章主要是PHP代码审计的一些基础知识，包括函数的用法，漏洞点，偏向基础部分，个人能力有限，部分可能会出现错误或者遗漏，读者可自行补充。 代码执行 # 代码执行是代码审计当中较为严重的漏洞，主要是一些命令执行函数的不适当使用。那么，常见的能够触发这类漏洞的函数有哪些呢？ eval() # 想必大家对eval()函数应该并不陌生，简而言之eval()函数就是将传入的字符串当作 PHP 代码来进行执行。 eval( string $code) : mixed 1 ...

该处泄漏的⽤户名和用户登陆 IP URL格式如下： http://127.0.0.1/admin/index.php?m=admin&c=log&a=table_json&json=get&soso_ok=1&t=user_login_log&page=1&limit=10& <<<<<<< HEAD 直接进行访问即可获得如下数据

简介：¶ 很多网站由于业务需求，会给用户提供一些文件下载的地方，例如一些附件下载的地方，如果此时文件下载是通过路径的方式提供下载，并且路径参数是前端提交数据包到后端的，那么恶意用户就可以修改路径从而下载服务器的一些敏感文件或者网站源码等，对服务器进行进一步的攻击 漏洞原理实例：¶ 某网站附件下载处存在如下链接： http://example.com/download.php?file=/uploadfile/test.pdf 如果这里没有对file参数做严格的过滤，并且在配置文件中限制文件的访问范围，那么用户可以通过修改file参数内容，回溯上级目...

简介：¶ XSS（跨站脚本攻击）攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 漏洞原理实例：¶ 对于用户提交的数据没有，后台或者JS（DOM型）没有做过滤或过滤不完全，将用户输入的信息打印出来，那么用户就可以构造特定的payload来在前...

简介：¶ SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。 漏洞原理实例：¶ 用户提交数据后，后端服务器将用户提交的**数据带入sql语句对数据库进行操作**，如果没有进行过滤，那么用户提交构造好的特殊语句，就可以**对数据库进行非法的操作**，即引发sql注入，例如以下代码（sqli-labs-1） //GET方式获取name为id的值赋值给$id...

近期在学习Linux提权，完成了vulnhub上的42challenge靶场。该靶场在web渗透阶段表现的中规中矩，但在获得shell后的提权过程中，表现很出色。提权题目设计的逻辑严谨（不会出现突然的脑洞让你卡住），注重基础知识的考察，要求的知识面也很广，涉及到密码破解、程序逆向分析、第三方应用提权、进程提权、ssh免密登录、Linux ACL访问控制权限等方面的知识，属于不可多得的精品之作，下面就开始这次靶场实战之旅。 一、主机端口探测 利用命令arp-scan -l来发现靶机，然后看看靶机开放了哪些端口； 在利用nmap的脚本探测下端口可能存在的漏洞； ...

近期在一次演练行动中，对某目标进行了一次渗透测试，期间用到了sqlmap的中转注入技术，还是很有收获的，记录下来和大家共同分享，由于是实战，免不了部分地方是要马赛克的，大家见谅。 免责声明：本文中提到的漏洞利用方法和脚本仅供研究学习使用，请遵守《网络安全法》等相关法律法规。 手工注入 打开网页，拉到最底看到是 感觉历史有点悠久了，应该是有现成的漏洞了。查阅了一波资料，大佬已经给出了SQL注入的地方，开心的手工注入一波； 先看看有多少字段； http://www.xxxxx.com/batch.common.php?action=modelquote&...

拿下一个站后总希望自己的后门能够很隐蔽！不让网站管理员或者其他的Hacker发现，网上关于隐藏后门的方法也很多，如加密、包含，解析漏洞、加隐藏系统属性等等，但大部分已经都不实用了，随便找一个查马的程序就能很快的查出来，下面分享我总结的一些经验： 制作免杀webshell 隐藏webshell最主要的就是做免杀，免杀做好了，你可以把webshell放在函数库文件中或者在图片马中，太多地方可以放了，只要查杀工具查不到，你的这个webshell就能存活很长时间，毕竟管理员也没有那么多精力挨个代码去查看。 命令执行的方法 这里使用我们最常用的php的一句话马来给大家做...

本次渗透总流程： 1.从一个web页面发现SQL注入并可以通过注入getshell 2.通过对webshell的提权成功拿下服务器管理员权限 3.通过内网穿透成功连接目标服务器的3389远程桌面服务 4.通过在目标服务器上安装并使用nmap完成信息收集，为接下来横向移动以及拿下域控提供基础 5.通过mimikatz抓取本机管理员明文密码，为下一步域渗透提供条件 本次渗透靶场网络拓扑图： 工具： 蚁剑，烂土豆提权补丁，reGeorge,nmap,mimikatz,Proxifier汉化版 ...

一、环境准备 用网线连接交换机 配置Winodwss攻击机IP为172.16.6.203 攻击机Kali IP为172.16.6.202 主机IP为172.16.6.201 网关为172.16.6.1 子网掩码255.255.255.0 目标IP 172.16.6.10 二、渗透具体流程 总览拓扑图 一开始以为192.168.6.200，一台普通的双网卡主机，没有发现是防火墙，所以10.1.1.0网段的主机拓扑不够清晰，后来老...

前言 在渗透测试时，经常会遇到公开漏洞已经修复、只有一个登录框等情况，这时候如果能拿到代码进行审计一波，往往能打开一扇新的大门。 代码审计(Code Audit) 顾名思义就是通过阅读源代码，从中找出程序源代码中存在的缺陷或安全隐患，提前发现并解决风险，这在甲方的SDL建设中是很重要的一环。而在渗透测试中，可以通过代码审计挖掘程序漏洞，快速利用漏洞进行攻击，达成目标。 审计思路 常见的审计思路有： 1、寻找敏感功能点，通读功能点代码； 优点：精准定向挖掘，利用程度高； 缺点：命名不规范的代码容易被忽略，导致失去先机； ...

最新完善版XSS平台源码 【40多个模块】 【请看完所有的说明再按照步骤操作！】 程序默认管理员账号：admin 程序默认管理员密码：1234567 以上数据安装后可以在【个人设置】处修改，记得修改邮箱，涉及到超级管理后台发信测试。 大家需要修改配置文件：config.php 大家还需要修改：authtest.php   把其中的【替换成你的域名】这几个字替换为你的域名例如：www.baidu.com  即可。注意结尾没有/ 开头也没有http// 大家...

1、简介   服务器 （vps）上安装了iis安全狗 服务器安全狗通常这种服务器都是比较难提权 不仅是漏洞补丁修复得差不多，waf 对于常规的提权方法也是拦截得较多。 aspx大马 被查杀 拦截 不能访问所以要用内部过waf的 暗月过狗刀 基本过一切waf 中国菜刀 一句话 客户端 菜刀发送的包里面包含eval特征会被waf拦截，服务端一句话一般都会拦截。除了做了一些变异。 现在的测试环境 环境是 Microsoft Windows Web Server 2008 R2 WEB环境 php asp aspx ...

面试经验总结 经过我对多个小伙伴的面试过程及结果分析，发现有很多人总喜欢说这个不怎么了解那个不怎么了解，如果你什么都不了解还来面什么试啊，所以切记，在面试过程中如果问到了你不会的技术问题，千万不要说这个不怎么了解，你可以说一些相近的东西，如果什么都想不到就说暂时想不起来了，千万不要表现出你什么都不会的样子，因为这样就算面试官不说什么你也自己先把自己给否掉了，这是很忌讳的。 作为一个技术人自信是基本素质，如果你都觉得自己不行，那你就是不行，你永远都不可能行了。只要你有自信觉得自己可以，那你就是可以，就算这个你不会那你也会逼着自己去学，而且这种学习效率是很高的，你会投入很大的热情与精力，...