取自 NU1L 战队的《从零到一的 ctfer 成长之路》

# web 安全的相关概念

1.POC

POC,Proof ofConcept ,中文意思是 “ 观点证明 ”。这个短语会在漏洞报告中使用,漏洞报告中的 POC 则是 一段说明或者一个攻击的样 例,使得读者能够确认这个漏洞是真实存在的。
2.EXP

EXP ,Exploit,中文意思是 “ 漏洞利用 ”。意思是一段对漏洞 如何利用的详细说明或者一个演示的漏洞攻击代码 ,可以使得读者完全了解漏洞的机理以及利用的方法。
3.VUL

VUL ,Vulnerability 的缩写,泛指 漏洞

4.payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的 ShellCode 中的主要功能代码

5.shellcode(可提权代码) 对于一个漏洞来说,ShellCode 就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个 ShellCode 中包含你需要的 Payload 来做一些事情

6.CVE 漏洞编号

CVE 的英文全称是 “Common Vulnerabilities & Exposures” 公共漏洞和暴露,例如 CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞,如果有 CVE 名称,你就可以快速地在任何其它 CVE 兼容的数据库中找到相应修补的信息,解决安全问题。

可以在 https://cve.mitre.org/ 网站根据漏洞的 CVE 编号搜索该漏洞的介绍。

也可以在中文社区 http://www.scap.org.cn/ 上搜索关于漏洞的介绍

5.0DAY 漏洞和 0DAY 攻击

在计算机领域中,零日漏洞或零时差漏洞(英语:Zero-dayexploit)通常是指还没有补丁的安全漏洞,而零日攻击或零时差攻击(英语:Zero-dayattack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
零日漏洞及其利用代码不仅对犯罪黑客而言,具有极高的利用价值,一些国家间谍和网军部队,例如美国国家安全局和美国网战司令部也非常重视这些信息 [1]。据路透社报告称美国政府是零日漏洞黑市的最大买家

# 信息收集

# [信息收集之 CMS 指纹识别]

# 1. 指纹识别

# 1.1 了解 CMS 指纹识别

CMS:快速搭建网站的内容管理系统

Web 应用框架:快速二次开发的 Web 应用框架,例如网站,小程序

# 1.2 指纹的特性

  • 唯一性
  • 终身不变性
  • 方便性

# 1.3 指纹识别的方式

  • 云悉在线 https://www.yunsee.cn/

  • WhatWeb https://whatweb.net/ http://whatweb.bugscaner.com/look

  • 插件 Wappalyzer: https://www.wappalyzer.com

  • 脚本:

    CMSeek:

    kali下安装:
        git clone https://github.com/Tuhinshubhra/CMSeeK
        cd CMSeeK
        pip/pip3 install -r requirements.txt
    	
    	python3 cmseek.py -u 目标    //使用
    	
    	python3 cmseek.py –update   //检查更新
    

    Webfinger: https://github.com/se55i0n/Webfinger

# 2. WAF

专针对 Web 应用攻击的防护产品

# Awesome-WAF 项目 :

https://github.com/0xInfection/Awesome-WAF

# 检测脚本 wafw00f :

https://github.com/EnableSecurity/wafw00f

kali下安装wafw00f
	git clone https://github.com/EnableSecurity/wafw00f
	cd wafw00f
	python setup.py install
	

# 3. CDN

CDN: 内容分发网络

基本思路是 尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快,更稳定

改善网络加载时间,减少服务器负载,降低成本,提高网络安全行

# CDN 检测

  • 国内在线 CDN 云观测 http://cdn.chinaz.com
  • 国外在线 CDNplanet https://www.cdnplanet.com
  • 脚本探测:xcdn https://github.com/3xp10it/xcdn
kali下安装xcdn
	 git clone https://github.com/3xp10it/xcdn

# 4. 常见的寻找真实 IP 的方法:

  • 超级 ping:http://ping.chinaz.com/
  • 历史解析:
    • 微步在线:https://x.threatbook.cn/
    • 历史 Whois:https://www.benmi.com/whoishistory/
    • 历史托管:https://toolbar.netcraft.com/site_report?url=
  • 内部邮箱源:对方发送邮件,查看邮件来源 IP
  • 二级域名:寻找子域名,找到未绑定 CDN 站点。
  • 手机 App:使用 Brup 抓取收集 App 数据包
  • 微信公众号:使用 Brup 抓取微信公众号数据包
  • 国外 ping:
    • ping.gehttp://www.ping.pe
    • 海外测速:http://tool.chinaz.com/speedworld/
  • 网络空间搜索引擎:fofa:https://fofa.so

# 5. CDN 漏洞案例:

  • CloudFlare 防护下的破绽:https://www.freebuf.com/articles/web/41533.html

都是通过寻找对方未绑定 CDN 站点进行突破,从而找到真实站点。

# 补充

# 在线知识

  • 绿盟 http://www.nsfocus.net/index.php?act=sec_bug
  • 乌云知识库 https://wooyun.kieran.top/#!/
  • 安全知识库 http://www.aisec.cn/secinfo/index.php

# 在线工具

  • 重大历史漏洞在线检测 http://0day.websaas.com.cn
  • 历史 IP 查询 http://site.ip138.com
  • 历史 IP 查询 https://webiplookup.com

# 公开漏洞

  • 乌云 https://wooyun.website
  • SRC
    • hackerone https://hackerone.com/hacktivity
    • 同城艺龙 SRC https://sec.ly.com/bugs
    • PHITHON 的公开漏洞 https://bugs.leavesongs.com

# 漏洞数据库

  • 中文 CVE http://cve.scap.org.cn
  • exp 库 http://www.expku.com
  • 洞悉漏洞 https://seebug.org

# googlehack 语法

intext:关键字
搜索网页正文中含有这些关键字的网页。

intitle:关键字
搜索网页标题中含有这些关键字的网页。

cache:关键字
搜索含有关键字内容的 cache。

define:关键字
搜索关键字的定义。

filetype:文件名。后缀名
搜索特定的文件。

info:关键字
搜索指定站点的一些基本信息。

inurl:关键字
搜索含有关键字的 URL 地址。

(示例:"inurl:php?id=" 意为 搜索网站 url 中包括了 "php?id=" 关键字的网站,寻找可能含有 sql 注入的网页)

(注:"inurl:" 后不能接空格,应直接接关键词)

(inurl 在搜索资源的功能上十分的强大,目前 filetype: 用法 google 无法使用)

(示例:"inurl:"say something"mp3" 可搜索到 say something 的 mp3 文件)

例:inurl:.edu.cn

link:关键字
查找与关键字做了链接的 URL 地址。

site:域名
返回域名中所有的 URL 地址。

related:URL
搜索与指定 URL 相关的页面。

# 目录扫描脚本 dirsearch

python dirsearch.py -u 网址 -e php

-u 指定网址

-e 指定网站语言

-w 指定字典

-r 递归目录(跑出目录后,继续跑目录下面的目录)

注意扫描 /.index.php.swp, index.php~ 等备份文件

扫描的记录会生成到文件中

根据需要扩充字典,

注意以下文件

www.zip 网站备份源码

readme.md

robots.txt

.swp

.swo

.swn

# 子域名爆破工具 layer

# 指纹识别

wappalyzer,火狐插件

# git 泄露

​ githack 注意要在 python2 下环境运行

p GitHacker.py http://XXXXXXXXXXX/.git/

# sql 注入基础

# mysql

user () 返回当前数据库连接使用的用户;

database () 返回当前数据库连接使用的数据库;

version () 返回当前数据库的版本;

concat-ws () 函数可以将这些函数进行组合使用并显示出来。concat 函数中,将其中的参数直接连接起来产生新的字符串。而在 concat_ws 函数中,第一个参数是用于作为分隔符将后面各个参数的内容分隔开来再进行相应的连接产生新的字符串。

concat_ws(char(32,58,32),user(),database(),version())

information_schema.tables
table_schema: 记录数据库名;
table_name: 记录数据表名;

group_concat ([DISTINCT] 要连接的字段 [Order BY 排序字段 ASC/DESC] [Separator ‘分隔符’] )

# sql 的注释

# 使用 #

  • 有时发现执行的 sql 语句中没有 #
  • 原因是 url 中 # 号是用来指导浏览器动作的(例如锚点),对服务器端完全无用。
    所以,HTTP 请求中不包括 #
  • 将 #号改成 url 的编码 %23 就可以了

# 使用 -- 和使用 --+

  • 这里发现+号在语句中变成了空格。
    用来和后面的单引号分隔开,将后面的语句注释。
  • 了解原理后便知道了 -- 无法使用的原因,是因为 -- 与后面的单引号连接在一起,无法形成有效的 mysql 语句。
  • 在 mysql 中使用这个语句分析原因,输入后回车显示分号没有闭合
  • 所以在注入时我们除了使用 --+ 外,也可以使用 --' 来完成 sql 注入语句

http://p2.qhimg.com/t0179a5120e122c8876.png

img

# MySQL 创建数据表

创建 MySQL 数据表需要以下信息:

  • 表名
  • 表字段名
  • 定义每个表字段

# 语法

以下为创建 MySQL 数据表的 SQL 通用语法:

CREATE TABLE table_name (column_name column_type);

以下例子中我们将在 RUNOOB 数据库中创建数据表 runoob_tbl:

CREATE TABLE IF NOT EXISTS `runoob_tbl`(
   `runoob_id` INT UNSIGNED AUTO_INCREMENT,
   `runoob_title` VARCHAR(100) NOT NULL,
   `runoob_author` VARCHAR(40) NOT NULL,
   `submission_date` DATE,
   PRIMARY KEY ( `runoob_id` )
)ENGINE=InnoDB DEFAULT CHARSET=utf8;

实例解析:

  • 如果你不想字段为 NULL 可以设置字段的属性为 NOT NULL, 在操作数据库时如果输入该字段的数据为 NULL ,就会报错。
  • AUTO_INCREMENT 定义列为自增的属性,一般用于主键,数值会自动加 1。
  • PRIMARY KEY 关键字用于定义列为主键。 您可以使用多列来定义主键,列间以逗号分隔。
  • ENGINE 设置存储引擎,CHARSET 设置编码

# MySQL 查询数据

MySQL 数据库使用 SQL SELECT 语句来查询数据。

你可以通过 mysql> 命令提示窗口中在数据库中查询数据,或者通过 PHP 脚本来查询数据。

# select 语法

以下为在 MySQL 数据库中查询数据通用的 SELECT 语法:

SELECT column_name,column_name
FROM table_name
[WHERE Clause]
[LIMIT N][ OFFSET M]
  • 查询语句中你可以使用一个或者多个表,表之间使用逗号 (,) 分割,并使用 WHERE 语句来设定查询条件。
  • SELECT 命令可以读取一条或者多条记录。
  • 你可以使用星号(*)来代替其他字段,SELECT 语句会返回表的所有字段数据
  • 你可以使用 WHERE 语句来包含任何条件。
  • 你可以使用 LIMIT 属性来设定返回的记录数。
  • 你可以通过 OFFSET 指定 SELECT 语句开始查询的数据偏移量。默认情况下偏移量为 0。

select * from runoob_tbl; 例如 * 返回数据表 runoob_tbl 的所有记录

我们知道从 MySQL 表中使用 SQL SELECT 语句来读取数据。

如需有条件地从表中选取数据,可将 WHERE 子句添加到 SELECT 语句中。

以下是 SQL SELECT 语句使用 WHERE 子句从数据表中读取数据的通用语法:

SELECT field1, field2,...fieldN FROM table_name1, table_name2...
[WHERE condition1 [AND [OR]] condition2.....
  • 查询语句中你可以使用一个或者多个表,表之间使用逗号,分割,并使用 WHERE 语句来设定查询条件。
  • 你可以在 WHERE 子句中指定任何条件。
  • 你可以使用 AND 或者 OR 指定一个或多个条件。
  • WHERE 子句也可以运用于 SQL 的 DELETE 或者 UPDATE 命令。
  • WHERE 子句类似于程序语言中的 if 条件,根据 MySQL 表中的字段值来读取指定的数据。

以下为操作符列表,可用于 WHERE 子句中。

MySQL 的 WHERE 子句的字符串比较是不区分大小写的。 你可以使用 BINARY 关键字来设定 WHERE 子句的字符串比较是区分大小写的。

# LIKE 子句

我们知道在 MySQL 中使用 SQL SELECT 命令来读取数据, 同时我们可以在 SELECT 语句中使用 WHERE 子句来获取指定的记录。

WHERE 子句中可以使用等号 = 来设定获取数据的条件,如 "runoob_author = 'RUNOOB.COM'"。

但是有时候我们需要获取 runoob_author 字段含有 "COM" 字符的所有记录,这时我们就需要在 WHERE 子句中使用 SQL LIKE 子句。

SQL LIKE 子句中使用百分号 % 字符来表示任意字符,类似于 UNIX 或正则表达式中的星号 *。

如果没有使用百分号 %, LIKE 子句与等号 = 的效果是一样的。

以下是 SQL SELECT 语句使用 LIKE 子句从数据表中读取数据的通用语法:

SELECT field1, field2,...fieldN 
FROM table_name
WHERE field1 LIKE condition1 [AND [OR]] filed2 = 'somevalue'
  • 你可以在 WHERE 子句中指定任何条件。
  • 你可以在 WHERE 子句中使用 LIKE 子句。
  • 你可以使用 LIKE 子句代替等号 =。
  • LIKE 通常与 % 一同使用,类似于一个元字符的搜索。
  • 你可以使用 AND 或者 OR 指定一个或多个条件。
  • 你可以在 DELETE 或 UPDATE 命令中使用 WHERE...LIKE 子句来指定条件。

# union 子句

UNION 语句:用于将不同表中相同列中查询的数据展示出来;(不包括重复数据)

UNION ALL 语句:用于将不同表中相同列中查询的数据展示出来;(包括重复数据)

使用形式如下:

SELECT 列名称 FROM 表名称 UNION SELECT 列名称 FROM 表名称 ORDER BY 列名称;
SELECT 列名称 FROM 表名称 UNION ALL SELECT 列名称 FROM 表名称 ORDER BY 列名称;

# ORDER BY 子句

以下是 SQL SELECT 语句使用 ORDER BY 子句将查询数据排序后再返回数据:

SELECT field1, field2,...fieldN FROM table_name1, table_name2...
ORDER BY field1 [ASC [DESC][默认 ASC]], [field2...] [ASC [DESC][默认 ASC]]
  • 你可以使用任何字段来作为排序的条件,从而返回排序后的查询结果。
  • 你可以设定多个字段来排序。
  • 你可以使用 ASC 或 DESC 关键字来设置查询结果是按升序或降序排列。 默认情况下,它是按升序排列。
  • 你可以添加 WHERE...LIKE 子句来设置条件。

# 其他 sql 函数

# 一、万能密码

原验证登陆语句:

SELECT * FROM admin WHERE Username= '".$username."' AND Password= '".md5($password)."'

输入 1′ or 1=1 or ‘1’=’1# 万能密码语句变为:

SELECT * FROM admin WHERE Username='1' OR 1=1 OR '1'='1' AND Password='EDFKGMZDFSDFDSFRRQWERRFGGG'

逻辑运算的优先顺序是 NOT>OR>AND

因为 1=1 恒为真所以并且注释掉了后面的语句,导致密码无论是啥都可以登录

# 二、数字型注入

可以对传入表达式进行计算 来判断是否为数字型注入

后端语句为

$res=mysqli_query($conn,"select title,content from wp_news where id=".$_GET['id'])

构造 ?id=1 union select user,pwd from wp_user limit 1,1 limit 是指取查询结果第一条记录的后一条记录,或者使用 id=-1

# 爆库名

mysql 的数据库 information_schema,他是系统数据库,安装完就有,记录是当前数据库的数据库,表,列,
用户权限等信息, 常用的几个表

SCHEMATA 表:储存 mysql 所有数据库的基本信息,包括数据库名,编码类型路径等,show databases 的结果取之此表。

TABLES 表:储存 mysql 中的表信息,(当然也有数据库名这一列,这样才能找到哪个数据库有哪些表嘛)包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等。show tables from schemaname 的结果取之此表

COLUMNS 表:提供了表中的列信息,(当然也有数据库名和表名称这两列)详细表述了某张表的所有列以及每个列的信息,包括该列是那个表中的第几列,列的数据类型,列的编码类型,列的权限,列的注释等。是 show columns from schemaname.tablename 的结果取之此表。
?id=-1'union select 1,group_concat(schema_name),3 from information_schema.schemata--+

# 1. 通过 information_schema 爆表名

select 1 返回 1

id=-1 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()

# 2. 爆字段

id=-1 union select 1,group_conact(column_name)from information_schema.columns where table_name='wp_user'

# 3. 爆用户密码

?id=1 union select user,pwd from wp_user limit 1,1

# 三、字符型注入

后端语句 get 输入处若被包裹了单引号或者双引号

判断方法利用 mysql 的强制类型转化例如 id=1a 转化为 id=1 有页面回显则说明为字符型注入

则构造方法为 id=1'--+ 或者 id=1'# 加号在 url 中会被编码为空格

接下来的操作就与数字型操作一样

# 四、无回显的注入

# 布尔盲注(页面的回显有两种情况时)

布尔盲注通过页面的回显来判断 0 或者 1

例如 a 为被猜测的数据 id=1’and 'a'<'n'

用二分法来缩小范围,就能够很快猜出字符

多字符的情况

利用, substring mid substr 函数等 来截取数据的中的一位再用单字符的清况来继续判断

例如?id=1'and mid((select concat(user,0x7e,pwd) from wp_user,1,1))=a 来猜测用户名和密码

# 时间盲注(页面无回显)

# 报错注入

常见的利用函数有: exp()、floor()+rand()、updatexml()、extractvalue()

如: select * from users where username=$username (and | or) updatexml(1,concat(0x7e,(select user()),0x7e),1)

' or updatexml(1,concat('~',database()),1) #

# 实战环节利用安装 sqli-lab 修炼

# [第一章 web 入门] SQL 注入 - 1

order by 4 之后无回显,所以判断有三个字段

image-20210517221033080

image-20210517222403286

id=3 时发现 tips

image-20210517223345387

更新于 阅读次数