我觉得我们可以在这个地方执行命令,刚刚的提示说flag在root下,我们可以让他重定向输入到flag.txt中 ? ?...看到url就是ssrf 于是就开始访问这个提示得到如下的信息 ? 我又输入了一些同一网段的Ip地址,看到回显都不相同,于是写了一个将同一网段的ip都进行了内网探测,本人菜,脚本将就看看吧!...=421:#没有回显的网页长度为421 print url 运行后可以看到有6个ip有不同的回显. ? 在172.238.202.11处的到信息 ?...得到的提示是端口信息,我第一次写的脚本傻不拉几的去跑所有的端口,发现跑了好久就只是,80和6379两个端口,为了让脚本进行的更加简洁,我第二次优化脚本的时候就选了一些可能会出现漏洞的端口号。...=421: print url 跑出来是有80和6379端口有回显信息。 ? 访问了6379端口之后看到回显 ?
唯一美中不足的是,因为题目是在一套环境下,为了防止从第一关的注入点注出第十关的 flag,所以都限制了函数和一些关键字,导致无法使用正常的注入流程来爆出表名、列名,不过题目提示已经说的比较清楚了,稍微动下脑子就能猜到...摸索一阵之后想起之前遇到的一道 ctf 题,在传递参数 usr 的时候,传递数组进去。即 usr[]=123; 就产生了报错 ?...题目过滤了 mid/substring/substr,由过滤了逗号,这样的话就没办法盲注了~(至少我没办法了) 所以现在两个输入框中进行一般的 SQL 测试,发现 username 处填写正常语句时总是回显用户不存在...(实战环境一般会加盐之后在加密储存) union select 1,2,3,4,5,6,7,……,n#测试 测出来总共是两列,之后再测试的时候回显就是 登录失败而不是用户名不存在了,这是个好兆头。...第八题 经测试之后发现这是 updata 中的注入,且更新数据后,新的数据会出现在默认输入框中,updata 相关知识,后面的会覆盖掉前面的。
)#&password=123 image.png 登录成功后看到一个命令执行界面,尝试ls image.png 第一种解法:输入123,回显如下: image.png 尝试用”|”来绕过 输入:123...|ls没有回显 采用写入文件二次返回的方法查看结果 123|ls ../../...../>test 但是依然没有回显 回到起点,输入1试试看: image.png 可以看到在最下面有grep命令,再想到hint的命令执行,故可以直接来查询flag,一步步尝试: 先输入ls 可以看到并没有执行命令...用Burp Suite抓包一下。发送到Repeater image.png image.png 随便输入一些字符串,测试一下回显。...我们可以发现 当我们随便输入一个用户名“lsr”时, 回显用户名不存在,但并没有对密码进行检验。 当我们输入用户名“admin”时,回显密码错误,则说明 是先查找匹配用户名,如果存在,再验证密码。
有的时候 web 开发者仅对用户输入进行了转义,而没注意一些整形参数的处理,在这种情况下就可以直接注入了。...Error-basedSQLi 中文为 “报错型 SQL 注入”,攻击者不能直接从页面得到他们的查询语句的执行结果,但通过一些特殊的方法却可以回显出来,带有一点盲注的味道。...floor(rand()*2))a from mysql.user group by a)b) Blind SQLi ( Inferential SQLi ) 盲注也叫逻辑推理注入,在这里,攻击者不能得到数据库错误的回显信息...,也不能得到查询结果的回显信息,但可以通过其他信息来进行逻辑推理从而获取数据。...在 sqli-labs 的 24 关中,我们在在注册一个用户名为 'admin' or '1'='1 之后,使用该用户登录,并修改该用户的密码为 123,可以发现,用户 admin 的密码被修改为 123
POST注入的高危点: 登录框&查询框&等各种和数据库有交互的Submit ”超全局的“意味着它们在一个脚本的全部作用域中都是可用的,例如: $_REQUEST (获取GET/POST/COOKIE...2.HEAD告诉网站来访者的一些信息,任何一个访问他都记录,HEAD 只记录用户。...用户登录的时候所记录(User-Agent IP Rrefer) 记录(插入语句/存入) 查询语句 insert(没有回显) 联合查询不能用了 查询必须有结果才有意义 联合查询:没有输出结果就没有法用...(必须要有回显) 回显: 1.盲注 2.外带(dns注入) 3.报错注入(让数据执行失败,然后抛出错误) 数据库的报错是和数据库有关,因为开发习惯这么写。...,username 和password这两个字段被过滤掉了,没有回显,所以使用不了联合查询。
2021.2.9 好久没有玩LOL了,今天晚上在无限火力模式大杀四方的时候,朋友突然发来一道CTF题,正好好久没做CTF了,拿来练练手。...,正当我纠结难道是我没有见过的加密时,随意删除了几个字符,页面回显变得不一样了!...从回显看出,这里有一个标标准准的sql数字型注入,于是常规手段验证一下猜想。 1 or 1=1#,正准备用编码替换时,发现刚刚爆出来的编码表中,并没有空格的编码!...想到可以利用/**/注释符进行绕过,将语句构造为1/**/or/**/1=1# 再将该语句进行编码转换,手动对照着转换了几个发现实在难受,眼睛都快看花了,于是改了一下刚刚爆破的脚本,只要输入语句,然后自动对着编码表替换即可...下面是我自己写的tamper,其实也就是上面的编码转换脚本。 #!
而且,如果我们稍微展开一下: 留意,我们有一些我们可以访问的方法,即"then"和"catch" 此外,我们可以传我们喜欢的东西到resolve和reject中。...我打赌你看到过下面的这种链式方法: const a = 'Some awesome string'; const b = a.toUpperCase().replace('ST', '').toLowerCase...我在codepen上编写了一个示例函数,用于模拟你可能使用的API。它提供了两种访问结果的选项。一,你可以提供回调功能,在其中访问用户或提示错误。...为了方便查看,我把作者的codepen上的代码复制了下来,如下: const users = [ { id: '123', name: 'John Smith', posts...我们将拒绝promise,除非结果是“恰到好处”,在这种情况下我们将解决promise。在任何一种情况下,我们都会传递一些值到resolve和reject。
在命令行里输入listeners进入监听 ? info 查看需要设置的选项 ?...由于篇幅原因,info下的具体信息就不在此罗列,里面的信息还是非常关键的 设置当前监听的名字,并用execute执行 ? 生成载荷 main命令回到主菜单 ?...(此时我的HIPS弹出一个拦截,说powershell要联网)就返回一个agent。而那个cmd一闪而过。这就相当于得到一个MSF会话了 ?...选择Jdrops进入会话,进入终端输入help查看可以使用的命令 ? 3. 目标简单探索 在这里输入的命令如果不是这里面的命令的话,我们的命令会被解析为windows命令执行,并给回显。...但是这里要注意了,每次写完一道命令敲下回车以后,不要感觉是没有回显,要稍等一下才会回显出来 agents 和 back 这两个命令在我们现在的情况来看是差不多的;back 是返回上级,而我们的上级是agents
而且,如果我们稍微展开一下: image.png 留意,我们有一些我们可以访问的方法,即"then"和"catch" 此外,我们可以传我们喜欢的东西到resolve和reject中。...我打赌你看到过下面的这种链式方法: const a = 'Some awesome string'; const b = a.toUpperCase().replace('ST', '').toLowerCase...我在codepen上编写了一个示例函数,用于模拟你可能使用的API。它提供了两种访问结果的选项。一,你可以提供回调功能,在其中访问用户或提示错误。...为了方便查看,我把作者的codepen上的代码复制了下来,如下: const users = [ { id: '123', name: 'John Smith', posts...我们将拒绝promise,除非结果是“恰到好处”,在这种情况下我们将解决promise。在任何一种情况下,我们都会传递一些值到resolve和reject。
的默认值为0,这种情况下内置账户Administrator 进行远程连接时会直接得到具有管理员凭证的令牌,而非 Administrator 的本地管理员账户进行远程连接(比如 ipc 连接、wmi 连接...,因为在某些条件下,at 执行完任务后,任务信息没有删除(需要手动删除),用at命令查不到任务信息,但是用 schtasks 却能看到任务信息,任务名是At加一个数字(eg : At2)。...@#123QWE cmd 在远程系统上以 system 权限执行单条命令,有时回显只有一行,原因尚不清楚。 psexec \\192.168.17.138 -u Administrator -p !...start test 删除服务 sc \\192.168.17.138 delete test 总结 当工具没有回显(at、wmic、sc、schtasks)的时候可以将命令执行结果重定向到文件,然后使用...经测试,at、schtasks、psexec、wmic、wmiexec 和 sc 均支持 hash 注入后使用,在没有明文密码的情况下,可以 hash 注入后运行命令(去除命令中的用户名、密码参数)实现远程执行
但不幸的是,出现漏洞的情况时有发生,尤其是开发人员在使用默认配置的场景下。在此,我们先来了解一下XML和ZIP格式可以导致漏洞的“特性”。...,我会得到以下确认页面: 这里,我首先测试的是XSS漏洞。...Burp Collaborator实例中并没有返回任何回显,刚开始我想着是不是XXE漏洞被拦截阻断了。...幸运的是,我用外部实体构造了读取本地文件的以下XML,其中的/etc/hosts命令竟然在确认页面中成功回显了: <!...spaceraccooon=ls方式去访问Webshell,没任何东西回显……,页面和https://vulnapp.com/sitemap一样。
开始尝试的很多方式都没有回显,所以放弃了,后来看到writeup才明白,表中的结构大概是 ‘文件名’,’uid’,’uid’ 而uid返回的都是数字,所以如果没有在对应的位置的话的确不会出现回显,当然如果强行返回数字...get flag WEB 150 easysql (显错注入 花式bypass) 题目登陆后是这样的 发现注册时候加入“后,修改密码报错 一下子了然了,是显错注入,过滤rand @ ` 空格...则想办法获取网站路径,网站路径报错没有回显,那就要额外的方法了。...自然想到了csrf,csrf过滤了一些内容,不断调试,构造payload,得到http://a@127.0.0.1.xip.io:80此类的构造,也就是要有xxx@,xip.io:端口,这样才能绕过过滤...然后通过csrf扫描端口和路径,得到8080端口,payload是这样的http://abc@127.0.0.1.xip.io:8080/index.php 得到里面的部署提示,实际网站部署在he1m4n6a
汤神把它分为了三种类型:一种是回显注入,一种是报错注入,一种是盲注。 ? (1) 回显注入 利用注入漏洞可以改变页面返回数据,则称之为回显注入。...(3) 盲注 盲注和回显注入以及报错注入不一样,我们没有办法通过页面数据看到它的区别。可以通过两种方式实现盲注——布尔盲注和时间盲注。...(1) 反射型 下图是专门训练一些WEB漏洞的练习页面,我们可以输入自己的名字,输入之后会把我们的名字显示出来。...例如我们输入了一个“张三”,这个时候弹出来了一个“123”,在那边显示了一个张三,但是script标签没有出来,因为这个标签被执行了。 ? ?...比如说接受参数会做一些过滤,把一些字符转义一下,但是转义之后依然会存在着XSS的情况,比如说下图中,我们上面输入的可以看到这行代码规律,把这个大括号、小括号以及双页号进行转移,按理说转移之后它应该不会再作为它的标签存在
在基本没有开发经验的前提下,目前只对 MVC 有一点很浅显的了解后我打算啃下这块硬骨头,并且这也是我第一个较完整的审计复现的一个 CMS,前前后后用了接近 3 天的时间才差不多搞懂触发的流程,对我来说可以说是非常艰难了...模块的deny()方法中渲染模板文件时,对用户输入的参数进行渲染,且没有正确处理,导致可绕过一些过滤,从而造成反射性 XSS。...但我想说的是,做审计这是必须要懂的,而我也在一步步去了解。...传到这里发现 URI 没有变化,说明在前面的处理可能没有命中,所以前面的赋值流程我就省略了 在加载 Module 时解析 URL 调用路由类中的setParamsByPathInfo方法使用explode...我认为没有什么解决不了的问题,缺的就是耐心和时间。文中可能有很多错误,写出来的目的还是希望能给初入代码审计的小伙伴一个思路。最后希望各位做安全的小伙伴在成功的道路上能够越走越远!
唯一的车票软件 大家好,我是小义。2024年除夕才能放假,相信这几天很多人都在抢回家的票,网上很多的抢票软件其实最后都是走的12306,没有其他便捷途径,只不过是可以预约自动抢票。...以北京西到深圳北的G81车次高铁为例,列车依次经过:北京西->石家庄->鹤壁东->郑州东->驻马店西->武汉->长沙南->衡阳东->广州南->深圳北,共有10个站,3种座位(商务、一等、二等,暂不考虑无座情况...继续优化模型 截至目前12306也没有公开公布技术方案,以上讨论的库存模型也只是小义查了相关资料之后得出的猜想,那么刚才的库存模型有没有优化的点呢?...,筛出所有冲突的票之后得先看每个原子区间是否有空闲的座位号,然后再考虑座位的连贯性,所以c在AC段坐在座位1上,等到CD段的时候换回座位2了。...,剔除了座位类型,售票渠道,站点票数分配比例等各种因素之后,其实库存模型还是没有想象中的那么简单。
这一个页面是动态生成的,我把这个页面的html源码复制下来到本地分析,发现除了user 验证码和comment外,还有三个隐含的参数也需要提交,id,type,parent_id(当然也可以先直接抓个包分析一下...这里经过多次尝试在burp中不改变请求包中的验证码的值多次提交过去,能够得到code:0的回显的,也就是这里这个验证码验证是可以被绕过的!直接提交一次之后不变就可以了。...可以看到有几个地方是在插入了数据之后又回显出来的, content,uname,date_add和ip 所以这里我们可以选择content和uname这两个地方作为数据的回显 insert into appcms_comment...值得注意的是,我们上面的插入是在id=1这个页面,如果我们希望在id=2这个页面插入数据并看到回显的话,我们要做相应的修改,这里的appcms_comment 表有个id字段,我们要把对应的值改一下就可以了...我们这个js脚本写入的木马的相对路径在 templates/default/muma.php 这里我们可以结合sql注入报错来组合得到完整的路径信息,在client-ip字段加一个单引号就可以报错了 ?
汤神把它分为了三种类型:一种是回显注入,一种是报错注入,一种是盲注。 (1) 回显注入 利用注入漏洞可以改变页面返回数据,则称之为回显注入。...(3) 盲注 盲注和回显注入以及报错注入不一样,我们没有办法通过页面数据看到它的区别。可以通过两种方式实现盲注——布尔盲注和时间盲注。...(1) 反射型 下图是专门训练一些WEB漏洞的练习页面,我们可以输入自己的名字,输入之后会把我们的名字显示出来。...例如我们输入了一个“张三”,这个时候弹出来了一个“123”,在那边显示了一个张三,但是script标签没有出来,因为这个标签被执行了。...比如说接受参数会做一些过滤,把一些字符转义一下,但是转义之后依然会存在着XSS的情况,比如说下图中,我们上面输入的可以看到这行代码规律,把这个大括号、小括号以及双页号进行转移,按理说转移之后它应该不会再作为它的标签存在
这被称为隐式到显式转换,并且在语义上没有任何改变–它只是更改了锁的表示。 表锁 与服务器表锁的交互 如前所述,在InnoDB中,大多数锁发生在行的粒度上。...因此,在默认配置下,您会看到一些令人困惑的事情,例: # CONFUSING EXAMPLE, DO NOT COPY&PASTE TO YOUR APPLICATION!...INSERT到con3之后将BEGIN输入到con1所花的时间 因此,用BEGIN隐启动事务可以式地UNLOCK TABLES。...因为行是非锁定选择,所以行也没有被锁定,并且查询在服务器级别得到了保护: mysql> SELECT OBJECT_NAME,LOCK_TYPE,LOCK_STATUS,OWNER_THREAD_ID...关于AUTO_INC锁的简短说明 它们和其他任何东西都不一样。有许多特殊情况的代码和逻辑提高插入大量的行的性能。您可能会认为我在本系列中所写的内容并不一定适用于它们,除非我这样说过。
一些漏洞类型没有直接表明攻击是成功的,就如同此处的SSRF,Payload触发了却不在前端页面显示。这时候使用CEYE平台,通过使用诸如DNS和HTTP之类的带外信道,便可以得到回显信息。...那么这种地方,也是可能存在SSRF的,不过当我们输入ceye.io却发现并没有回显请求,这是因为这种地方一般会对后缀做一个检测,如果不是jpg或者其他图片后缀的话并不会通过,不过好在ceye.io是很强大的...,我们可以随便构造,abcdef.ceye.io/ichunqiu.jpg, 对其进行输入,再去观察有无回显,结果有了: ?...当初在学习这块的时候,以为只要存在这个页面就必有SSRF,结果当然是否定的,在借鉴了大佬的PPT之后,发现一共有如图四种回显状态: ?...,它的强大之处是在于探测到一些信息之后从而进一步的利用,比如获取内网的开放端口信息,主机的信息收集和服务banner信息,攻击内网和本地的应用程序及服务,还有就是利用file协议读取本地文件,就好像上面的那个文件读取漏洞
默认情况下windows判断utf-8格式是通过在文件开头加上三个EF BB BF字节来判断的,但是在Linux中默认是无BOM的所以会报错; 8)脚本权限执行,日志和回显 描述:不加执行权限会导致无法直接执行...,所以再执行脚本前需要对其进行chomd +x test.sh 日志的重要性不必多说能够方便我们回头纠错,在大型的项目里是非常重要的,同时能够在执行时实时回显执行过程,方便用户掌控。...有时候为了提高用户体验,我们会在回显中添加一些特效,比如颜色啊,闪烁啊之类的,具体可以参考ANSI/VT100 Control sequences文章的介绍。...若有用未设置的变量即让脚本退出执行 set -o nounset # 或 set-u 12)新写法新特性-在变量测试的 新写法不是指有多厉害而是指我们可能更希望使用较新引入的一些语法,更多是偏向代码风格的...原因:test.sh是我在windows下编辑然后上传到linux系统里执行的,.sh文件的格式为dos格式,而linux只能执行格式为unix格式的脚本。
领取专属 10元无门槛券
手把手带您无忧上云
