SQL Server 划水水

在实习的渗透测试项目中,遇到的数据库系统绝大部分是 SQL Server。也算是了解和熟悉 Mssql 的一个重要过程吧。

0x01 基础

常用查询

1
2
3
4
5
6
7
8
9
10
11
12
13
-- 查询所有的数据库名
SELECT name FROM  master..sysdatabases WHERE name NOT IN ( 'master', 'model', 'msdb', 'tempdb', 'northwind','pubs' );
-- 获取某数据库的所有表(假设库名为fooDB)
-- XType='U':表示所有用户表;
-- XType='S':表示所有系统表;
SELECT name FROM fooDB..sysobjects Where xtype='U';
-- 获取某表所有字段名(假设表名为fooTable)
SELECT name FROM SysColumns WHERE id=Object_id('fooTable');
-- 延时注入
SELECT * FROM fooTable WHERE id=1 WAITFOR DELAY '0:0:3';
more >>

read more.. >>

红帽杯2018_Writeup

对于这次红帽杯的题目。。是真的很想吐槽啊。。

0X01 Not Only Wireshark

wireshark打开数据包,右键追踪TCP流,可发现从第15流开始,HTTP请求的路径和参数变为/sqli/example2.php?name=123
写了个脚本正则按顺序抓下来所有name参数的值。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import re
f = open("Not Only Wireshark.pcapng", "rb")
c = f.read().decode('utf8','ignore')
f.close()
x = re.findall(r'example2\.php\?name=([0-9A-Za-z]{0,10})', c)[5:]
x = '5'+''.join(x)[4:] # 开头的1234替换成5
g = open('flag.zip','wb')
for i in range(0, len(x), 2):
    s = chr(int(x[i:i+2], 16)).encode('latin-1')
    g.write(s)
g.close()
more >>

read more.. >>

DDCTF2018_部分Web_wp

只做出了第一题,然后就卡在第二题的Java了。。蛋疼。。
闯关式的比赛。。也挺蛋疼。看不到后面的题目。。
题目开放一年。参考了大佬的writeup,复现了一下其中三题Web。

https://clannad.me/ddctf.md.html
http://sec2hack.com/ctf/ddctf-2018-web-writeup.html

0x01 数据库的秘密

常规sql注入。修改XFF头进入页面,有一个hidden字段author
正常搜索了几波,发现请求时会带上GET参数sigtime
查看了下JS代码可知,time是单纯的秒级时间戳,sig是请求内容拼接上变量key之后sha1的哈希值。(key在HTML源码里)

利用flask转发HTTP数据包。

more >>

read more.. >>

国赛2018_Run_python继承链bypass

python继承链基础

  • __class__ 返回一个实例所属的类
  • __base____bases__ 返回一个类所直接继承的类
  • __subclasses__() 获取一个类的子类list
  • __builtins__ 内置模块,包含了listprint等函数
  • __getattribute__() 通过传入字符串来进行方法的调用
  • __globals__ 返回一个当前空间下能使用的模块,方法和变量的字典。
more >>

read more.. >>

StarCTF2018_SimpleWeb_writeup

如今的Web一点都不纯了:(
多多少少都参杂了一点re和pwn…然而只会做这Web第一题:(
题目给了nodejs的源码。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
var net = require('net');
flag='fake_flag';
var server = net.createServer(function(socket) {
   socket.on('data', (data) => { 
       //m = data.toString().replace(/[\n\r]*$/, '');
       ok = true;
       arr = data.toString().split(' ');
       arr = arr.map(Number);
       if (arr.length != 5) 
           ok = false;
       arr1 = arr.slice(0);
       arr1.sort();
       for (var i=0; i<4; i++)
           if (arr1[i+1] == arr1[i] || arr[i] < 0 || arr1[i+1] > 127)
               ok = false;
       arr2 = []
       for (var i=0; i<4; i++)
           arr2.push(arr1[i] + arr1[i+1]);
       val = 0;
       for (var i=0; i<4; i++)
           val = val * 0x100 + arr2[i];
       if (val != 0x23332333)
           ok = false;
       if (ok)
           socket.write(flag+'\n');
       else
           socket.write('nope\n');
   });
   //socket.write('Echo server\r\n');
   //socket.pipe(socket);
});
HOST = '0.0.0.0'
PORT = 23333
server.listen(PORT, HOST);
more >>

read more.. >>

FineCMS v5.3.0 XSS/CSRF

0x01 版本类型

源码信息:FineCMS v5.3.0 bulid 20180206

问题文件:/finecms/dayrui/libraries/Template.php

漏洞类型:反射型XSS、CSRF

0x02 漏洞详情

FineCMS后台的管理员管理和会员管理的搜索功能,未进行字符编码与过滤而导致反射型XSS。

在搜索框输入"><svg/onload=alert(1)//,点击搜索并deBug跟踪数据。

more >>

read more.. >>

N1CTF2018_Easyphp_WP

划了两天水~

题目叫做easy php,然而感觉并不easy啊:)。。解题步骤主要是源码审计,sql注入,ssrf,文件上传。。

看了下主要有注册,登录,发表签名和心情,删除签名的功能。

注册和登录页面需要提交验证码: substr(md5($input,0,5))==$captcha

getmd5.py
1
2
3
4
5
6
7
8
9
10
11
12
import hashlib, itertools, string
def brute(s):
    for i in range(1,6):
        for x in itertools.product(string.digits + string.ascii_lowercase, repeat=i):
            s1 = ''.join(x)
            if hashlib.md5(s1.encode('utf8')).hexdigest().startswith(s):
                print(s1)
                return
while(1):
    s = input()
    brute(s)
more >>

read more.. >>

浅谈XXE漏洞

XXE(XML External Entity Injection),即XML外部实体注入。漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。

XML与DTD的关系

DTD(Document Type Definition)文档类型定义,一种XML约束模式语言,属于XML文件组成的一部分。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<!--文档声明-->
<?xml version="1.0" encoding="UTF-8"?>
<!--DTD-->
<!DOCTYPE poem [  <!--定义此文档是 poem 类型的文档-->
<!ELEMENT poem (author, title, content)>  <!--定义poem元素有三个子元素-->
<!ELEMENT author (#PCDATA)>  <!--定义author元素为“#PCDATA”类型-->
<!ELEMENT title (#PCDATA)>  <!--定义title元素为“#PCDATA”类型-->
<!ELEMENT content (#PCDATA)>  <!--定义content元素为“#PCDATA”类型-->
]>
<note>
<to>Dave</to>
<from>Tom</from>
<head>Hello</head>
<body>Hello world!</body>
</note>

DTD文档有三种应用形式。

内部DTD文档:

1
<!DOCTYPE 根元素 [定义内容]>

外部DTD文档:

1
<!DOCTYPE 根元素 SYSTEM "DTD文件路径">

内外部DTD文档结合:

1
<!DOCTYPE 根元素 SYSTEM "DTD文件路径" [定义内容]>
more >>

read more.. >>

十类任意密码重置

补天大佬carry_your之前讲解了一个视频,关于任意密码重置的十种姿势。顿时醍醐灌顶,深有感触。放上视频链接https://www.ichunqiu.com/course/59045

0x01 验证码不失效(存在暴力破解可能性)

0x02 验证码直接显示在response中

0x03 验证码未绑定用户

在发送手机号和验证码时,仅对验证码是否正确进行了判断。未对该验证码是否与手机号匹配进行验证。(即在提交手机号和验证码时可更换成他人手机号通过验证。)

more >>

read more.. >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家