1.漏洞的顺序按版本号排,从低版本到高版本 2.关于迅睿CMS的版本切换,可以通过以下方式,后面每个漏洞不再赘述: 1.安装并配置好php与web中间件,注意该cms的低版本需要php的低版本 2.clone该cms的官方开源地址https://gitee.com/dayrui/xunruicms 3.通过搜索commit信息里的版本号,回退到指定的版本 在PhpStorm里,右键指定的commit版本,选择"Reset Current Branch to Here" ...

前言 SQL注入并不是很精通，通过实战绕过WAF来进行加强SQL注入能力，希望对正在学习的师傅能有一丝帮助。 安装 安装前言 我是本地搭建的环境进行测试的 环境是windows11+phpstudy2018+sqli-labs phpstudy的安装我不再复述，这里简单说一下安全狗插件和安全狗的安装。 过程 在安装安全狗之前，一定要先做好安装apache2.4这一项，否则可能要浪费半个下午的时间来整(受害者本人自述了属于是)，因为在提前安装好这个后，再安装安全狗，就会出现如下图所示的情况，这时候就很容易进行配置了 而如果你后安...

0x01 废话 有时候mssql注入会碰到-os-shell执行不了命令的情况，有可能是因为权限不够不能开启xp_cmdshell，还有可能就是杀软拦截了 常见的只有360会拦截，如果被拦截了就是下面这样的 0x02 拦截原因 这里用上x64dbg在CreateProcessA和CreateProcessW打上断点，MSSQL调用的CreateProcessW 可以看到xp_cmdshell是直接使用cmd /c来执行命令的，这拦截的原因和之前的php很相似，不过这里没有php那么高的操作空间 ...

前言 Smarty 模板是基于 PHP 开发的模板，我们可以利用 Smarty 实现程序逻辑与页面显示（HTML/CSS）代码分离的功能。 模板引擎中花哨的功能导致了模板注入的出现，也就是SSTI。但是在谈及 SSTI 的时候，大家往往还是会去重点关注 python 语言下的 flask 模板，而一些其他语言、其他模板的相关资料反而非常稀缺，这里也是根据红明谷杯的一道题目发现的，我系统学习了 Smarty 的模板注入并进行了总结。 前置 文档 https://www.smarty.net/about_smarty 在模板注入中，我们所利...

前言 代码审计总要遇到命令执行或者说RCE，打CTF的过程中难免不会碰见，毕竟PHP是世界上最好的语言，总结一下 命令执行函数 E.g.1  <?php   error_reporting(0);   show_source(__FILE__);   $a = "$_GET[c]";   $b = "$_GET[d]";   $array[0] =$b;   $c&nbs...

1.apache apache文件多后缀名解析漏洞 与其说这是一个漏洞，不如说这是一个特性，很多程序员不知道这种特性，所以会写出有问题的代码。 特性：多后缀名(全版本都有这个特性） apache在解析一个文件的后缀名时，是从右往左解析后缀名的，如果右边的后缀名不认识，就会继续向左识别，直到识别到一个认识的后缀名，但是万一都不认识呢?都不认识的话默认情况下是plain/text处理。那么apache是怎么知道哪个后缀名它是认识的呢?答案是认识的后缀名们都被记录到一个叫mime.types的文件中了。这个文件呢,Windows放在conf文件夹里，linux放在/etc/mime.t...

0x00 前言 补充一下Web Service以及SOAP型这块资料。 0x01 Web Service基础 Web Service简介 Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序，可使用开放的XML（标准通用标记语言下的一个子集）标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的交互操作的应用程序。 Web Service技术， 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件， 就可相互交换数据或集成。依据Web Service规范实施的应用之间， 无论它...

概述 距离tp5 rce漏洞公开已经过去两年多，但是在实战中仍然可以遇到很多thinkphp的框架，关于thinkphp的白盒分析文章和rce payload网上已经一抓一大把，所以本文主要以黑白盒结合的形式谈谈如何在黑盒下对tp网站进行测试。 tp5的渗透要点 （最最常规payload一把梭.哈的情况就不讨论了） 以下渗透思路以5.0.*列举 开启debug下的数据库连接 tp5.0.*在debug模式下如果在数据交互点构造如sql注入、空参数等方式使数据库查询等出错，在一定情况下可能导致数据库账号密码直接显示出来。（报错信息太细了不...

文章简介 这篇文章使用红日渗透靶场（一）来进行练习对内网不出网机器的渗透，在这里感谢师傅们提供了现成的靶场环境，供我们小白来进行学习和练习。这个靶场设计的比较简单，但是通过这个靶场环境，采用多种手段进行渗透，可以使自己在没有那么多授权的真实环境条件下，通过靶场提高自己的技术。 配置网络 在VM虚拟机中按照下边的网络拓扑进行配置网络。网络拓扑图如下： win7具有双网卡，其中外网ip是192.168.8.133，内网网段是52。三台机器彼此互通，但是win server 2008和win2003不通外网。用我mac作为攻击机，来对这个靶场环境进行渗透测试。 ...

记录一下tp5.0.24,感觉此站应该是阉割版，按理来说tp5.0.24应该没有rce的。 网站是非法站点，不用担心未授权。 还是先报错一手，发现是5.0.24的，当时想应该没有希望了，但是还是抱着试一试的心态，用exp打一打 _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 然后发现打动了，哈哈哈哈。disable_function倒是挺多的 心里有一些小激动，然后想的是直接用exp拿下 s=file_put_contents('axgg.php','<...

前言 对于调试 php 项目可以说是很熟悉了，网络上的文章也有很多。前段时间朋友询问我，是否清楚 php 远程调试。远程调试只在 java 项目上操作过，也是按照网上的文章照猫画虎，对于 php 的远程调试自然不是很清楚。前段时间又很忙，没有时间去操作，后来朋友跟我说他弄好了。我想，在学习方面，我岂能落于人后。对于 linux 的相关操作也不是很熟悉，所以我决定在 ubuntu 虚拟机上安装一个 DVWA 的 php 项目环境，同时在本地...

一、漏洞简介 二、漏洞影响 三、复现过程 漏洞分析 首先安装Emlog的相册的插件 安装之后可以在目录：emlog\src\content\plugins\kl_album下找到所有的安装文件： 之后我们分析Kl-album_ajax_do.php文件 <?php /** * kl_album_ajax_do.php * design by KLLER */ require_once('../../../init.php'); $DB = MySql::getInstance(); $...

一、漏洞简介 二、漏洞影响 三、复现过程 代码分析 安装漏洞 其实一般代码审计都是从安装文件开始审计，一般安装脚本主要存在如下漏洞： 无验证功能，任意重装覆盖 表单不做过滤写入config.php导致getshell $_GET['step']跳过限制步骤 漏洞文件：install.php 首先我们直奔第一个点能否任意重装，我们可以看到必须常量DEL_INSTALLER为1的时候才会触发删除install.php,那么我们追踪DEL_INSTALLER看看 这里可以看到DEL_INSTALLER默认值就是...

一、漏洞简介 二、漏洞影响 Emlog<=6.0 三、复现过程 备份数据库到本地： 修改数据库文件，将备份的数据库文件进行修改，在最后一段添加上自己构造的SQL语句： 这一段sql语句主要功能是：首先判断是否存在emlog_shell数据表，如果存在则删除该表，之后创建一个新的emlog数据表，之后再向该表中添加信息（这里可以填入一句话木马），之后使用select.....  into  outfile  ....将数据表中的表项内容读入到一个shell.php的PHP文件...

一、漏洞简介 Emlog博客系统默认后台登陆地址为http://域名/admin/login.php而后台登陆时，错误情况下，验证码未刷新，导致可暴力破解登陆管理员账号低危漏洞，但是在emlog5.3.1和6.0测试版本均存在 ... 二、漏洞影响 emlog5.3.1和6.0 三、复现过程 访问 http://0-sec.org:81/admin/ 已知管理员用户名为：admin（可在前端文章页寻找作者用户名） image 登陆后台 随便输入admin a...

一、漏洞简介 二、漏洞影响 Emlog 6.0 三、复现过程 Uploadify SWF XSS Emlog使用了 uploadify.swf 的方式上传文件，文件路径 /include/lib/js/uploadify/uploadify.swf payload http://www.0-sec.org/include/lib/js/uploadify/uploadify.swf?uploadifyID=00%22%29%29;}catch%28e%29{alert%281%29;}//%28%22&movieName=...

提权基础 权限划分 Administrators：管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。 Power Users：高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。 Users：普通用户组,这个组的用户无法进行有意或无意的改动。 Guests：来宾组,来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多 Everyone：所有的用户，这个计算机上的所有用户都属于这个组。 ...

0x03:Linux下的权限划分 在Linux系统中，用户是分角色的，角色不同，对应权限不同。用户角色通过UID和GID识别。特别是UID，一个UID是唯一标识一个系统用户的账号。 超级用户（0）：默认是root用户，其UID和GID都是0。root用户在每台Unix和Linux系统中都是唯一且真是存在的，通过它可以登陆系统，操作系统中任何文件执行系统中任何命令，拥有最高管理权限。 普通用户（1~499）：系统中大多数用户都是普通用户，实际中也一般使用普通用户操作，需要权限是用sudo命令提升权限。 虚拟用户（500~65535）：与真实的...

前言  本文章主要是PHP代码审计的一些基础知识，包括函数的用法，漏洞点，偏向基础部分，个人能力有限，部分可能会出现错误或者遗漏，读者可自行补充。 代码执行 # 代码执行是代码审计当中较为严重的漏洞，主要是一些命令执行函数的不适当使用。那么，常见的能够触发这类漏洞的函数有哪些呢？ eval() # 想必大家对eval()函数应该并不陌生，简而言之eval()函数就是将传入的字符串当作 PHP 代码来进行执行。 eval( string $code) : mixed 1 ...

该处泄漏的⽤户名和用户登陆 IP URL格式如下： http://127.0.0.1/admin/index.php?m=admin&c=log&a=table_json&json=get&soso_ok=1&t=user_login_log&page=1&limit=10& <<<<<<< HEAD 直接进行访问即可获得如下数据

简介：¶ 很多网站由于业务需求，会给用户提供一些文件下载的地方，例如一些附件下载的地方，如果此时文件下载是通过路径的方式提供下载，并且路径参数是前端提交数据包到后端的，那么恶意用户就可以修改路径从而下载服务器的一些敏感文件或者网站源码等，对服务器进行进一步的攻击 漏洞原理实例：¶ 某网站附件下载处存在如下链接： http://example.com/download.php?file=/uploadfile/test.pdf 如果这里没有对file参数做严格的过滤，并且在配置文件中限制文件的访问范围，那么用户可以通过修改file参数内容，回溯上级目...

简介：¶ XSS（跨站脚本攻击）攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 漏洞原理实例：¶ 对于用户提交的数据没有，后台或者JS（DOM型）没有做过滤或过滤不完全，将用户输入的信息打印出来，那么用户就可以构造特定的payload来在前...

简介：¶ SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。 漏洞原理实例：¶ 用户提交数据后，后端服务器将用户提交的**数据带入sql语句对数据库进行操作**，如果没有进行过滤，那么用户提交构造好的特殊语句，就可以**对数据库进行非法的操作**，即引发sql注入，例如以下代码（sqli-labs-1） //GET方式获取name为id的值赋值给$id...

近期在学习Linux提权，完成了vulnhub上的42challenge靶场。该靶场在web渗透阶段表现的中规中矩，但在获得shell后的提权过程中，表现很出色。提权题目设计的逻辑严谨（不会出现突然的脑洞让你卡住），注重基础知识的考察，要求的知识面也很广，涉及到密码破解、程序逆向分析、第三方应用提权、进程提权、ssh免密登录、Linux ACL访问控制权限等方面的知识，属于不可多得的精品之作，下面就开始这次靶场实战之旅。 一、主机端口探测 利用命令arp-scan -l来发现靶机，然后看看靶机开放了哪些端口； 在利用nmap的脚本探测下端口可能存在的漏洞； ...

近期在一次演练行动中，对某目标进行了一次渗透测试，期间用到了sqlmap的中转注入技术，还是很有收获的，记录下来和大家共同分享，由于是实战，免不了部分地方是要马赛克的，大家见谅。 免责声明：本文中提到的漏洞利用方法和脚本仅供研究学习使用，请遵守《网络安全法》等相关法律法规。 手工注入 打开网页，拉到最底看到是 感觉历史有点悠久了，应该是有现成的漏洞了。查阅了一波资料，大佬已经给出了SQL注入的地方，开心的手工注入一波； 先看看有多少字段； http://www.xxxxx.com/batch.common.php?action=modelquote&...