文档中的块级元素
83 | 文档中的内联元素
84 | ```
85 |
86 | ### 无序列表
87 |
88 | ```markup
89 | -
90 |
- 项目 91 |
- 项目 92 |
-
99 |
- 第一项 100 |
- 第二项 101 |
-
108 |
- 项目 1 109 |
- 描述项目 1 110 |
- 项目 2 111 |
- 描述项目 2 112 |
| 表格标题 | 121 |表格标题 | 122 |
|---|---|
| 表格数据 | 125 |表格数据 | 126 |
| 插件名称(Chrome) | 功能 |
|---|---|
| Charset | 网页编码修改 |
| FeHelper | JS/JSON/代码美化... |
| HackBar | 编码解码/发包测试 |
| Proxyverse | 端口代理 |
| ScanAnnotation | F12 快速显示页面注释内容 |
| Shodan | IP识别 |
| Wappalyzer | 指纹识别 |
| Web Scraper | 浏览器爬虫 |
| Modify Header Value | 修改请求头 |
| X-Forwarded-For Header | XFF头 |
| Hack-Tools | 集成各种反弹shell、sql、xss、msf命令... |
| FindSomething | JS接口获取、链接提取 |
| Penetration Testing Kit | 抓包测试、加解密、 |
| Authenticator | 绑定二次认证码 |
| SourceDetector-dist | 自动发现.map文件 |
| SingleFile | 网页克隆 |
提供了 25 个在线破解和 25 个离线破解接口,支持 48 种算法破解
515 | • https://github.com/L-codes/pwcrack-framework [密码破解框架]
516 |
517 | 常见设备
518 | • https://github.com/7hang/Fuzz_dic
519 | • https://github.com/Sab0tag3d/Network_password [cisco]
520 |
521 | 国外通用大字典
522 | • https://github.com/Stardustsky/SaiDict
523 | • https://github.com/danielmiessler/SecLists
524 |
525 | 自己收集整理的端口,子域,账号密码,其他杂七杂八字典,用于自己使用。贴近实战
526 | • https://github.com/TheKingOfDuck/fuzzDicts [Web Pentesting Fuzz 字典]
527 | • https://github.com/r35tart/RW_Password [此项目提取收集到强盗的密码中符合条件的弱密码]
528 | • https://github.com/ffffffff0x/AboutSecurity [用于渗透测试和红队基础设施建设的 payload 和 bypass 字典]
529 | • https://github.com/cwkiller/Pentest_Dic
530 | • https://github.com/gh0stkey/Web-Fuzzing-Box [Web Fuzzing Box]
531 | • https://github.com/random-robbie/bruteforce-lists [目录/api/脚本...]
532 | • https://github.com/k8gege/PasswordDic
533 | • https://github.com/3had0w/Fuzzing-Dicts
534 | • https://github.com/j3ers3/PassList
535 | • https://github.com/fuzz-security/SuperWordlist [基于实战沉淀下的各种弱口令字典]
536 | • https://github.com/Daveqqq/weak-passwords-top200 [各国密码top200]
537 | • https://github.com/t43Wiu6/blackJack-Dicts [参考十余个项目整理的目录和文件字典]
538 | • https://github.com/f0ng/JavaFileDict [Java应用的一些配置文件/路径字典 ]
539 | • https://github.com/w2n1ck/phone_dict [一个开发测试常用的特殊手机号字典]
540 | • https://github.com/rootphantomer/Blasting_dictionary [a5源码网源码目录字典]
541 | • https://github.com/SexyBeast233/SecDictionary [手机号字典]
542 | • https://github.com/Bo0oM/fuzz.txt [高危敏感目录fuzz-长期维护]
543 | • https://wordlists.assetnote.io/ [Assetnote Wordlists-国外整理字典]
544 |
545 | somd5的字典
546 | • https://www.somd5.com/download/dict/
547 | SoMD5-Monthly-statistics/ 16-Jul-2020 14:47 -
548 | crack-software/ 16-Jul-2020 14:47 -
549 | china-all-hanzi.zip 16-Jul-2020 14:47 52K
550 | china-gb3500.zip 16-Jul-2020 14:47 10K
551 | china-xingshi.zip 16-Jul-2020 14:47 3006
552 | domain_suffix.zip 16-Jul-2020 14:47 26K
553 | english.zip 16-Jul-2020 14:47 51K
554 | mobile.zip 16-Jul-2020 14:47 724K
555 | name-pinyin-quanpin.zip 16-Jul-2020 14:47 6M
556 | name-pinyin-shouzimu.zip 16-Jul-2020 14:47 34K
557 | top1w.zip 16-Jul-2020 14:47 40K
558 | username-num-top1000.zip 16-Jul-2020 14:47 3156
559 | xingming.zip 16-Jul-2020 14:47 128K
560 | yyyymmdd-1960-2020.zip 16-Jul-2020 14:47 40K
561 | • https://www.somd5.com/somd5top10w.tar.gz
562 |
563 | 中文拼音
564 | • https://github.com/rakjong/top-500-username
565 | • https://github.com/ffffffff0x/name-fuzz [针对目标已知信息的字典生成工具]
566 | • https://github.com/WangYihang/ccupp [基于社会工程学的弱口令密码字典生成工具]
567 | • https://github.com/LandGrey/ChineseMaskReflector [使用掩码生成自定义中文用户名拼音爆破字典]
568 |
569 | 域用户枚举字典
570 | • https://github.com/attackdebris/kerberos_enum_userlists
571 |
572 | 定制化自定义生成
573 | • https://github.com/ffffffff0x/gendict
574 | • https://github.com/Mebus/cupp
575 | • https://github.com/HongLuDianXue/BaiLu-SED-Tool
576 | • https://github.com/bit4woo/passmaker
577 | *-* have not been found
'); 251 | } 252 | } 253 | else 254 | { 255 | echo 'Invalid password
'; 256 | } 257 | } 258 | 复制代码 259 | ``` 260 | 261 | #### move\_uploaded\_file 用\0截断 262 | 263 | 5.4.x<= 5.4.39, 5.5.x<= 5.5.23, 5.6.x <= 5.6.7 264 | 265 | 在高版本(受影响版本中),PHP把长度比较的安全检查逻辑给去掉了,导致了漏洞的发生 266 | 267 | cve:[web.nvd.nist.gov/view/vuln/d…](https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2348) 268 | 269 | `move_uploaded_file($_FILES['x']['tmp_name'],"/tmp/test.php\x00.jpg")` 上传抓包修改name为a.php\0jpg(\0是nul字符),可以看到`$_FILES['xx']['name']`存储的字符串是a.php,不会包含\0截断之后的字符,因此并不影响代码的验证逻辑。 但是如果通过`$_REQUEST`方式获取的,则可能出现扩展名期望值不一致的情况,造成“任意文件上传”。 270 | 271 | #### inclue用?截断 272 | 273 | ```php 274 | 279 | 复制代码 280 | ``` 281 | 282 | 当输入的文件名包含URL时,问号截断则会发生,并且这个利用方式不受PHP版本限制,原因是Web服务其会将问号看成一个请求参数。 283 | 284 | 测试POC:http://127.0.0.1/test/t1.php?name=http://127.0.0.1/test/secret.txt? 则会打开secret.txt中的文件内容。本测试用例在PHP5.5.38版本上测试通过。 285 | 286 | #### 系统长度截断 287 | 288 | 这种方式在PHP5.3以后的版本中都已经得到了修复。 win260个字符,linux下4\*1024=4096字节 289 | 290 | #### mysql长度截断 291 | 292 | mysql内的默认字符长度为255,超过的就没了。 由于mysql的sql\_mode设置为default的时候,即没有开启STRICT\_ALL\_TABLES选项时,MySQL对于插入超长的值只会提示warning 293 | 294 | #### mysql中utf-8截断 295 | 296 | ```php 297 | insert into dvwa.test values (14,concat("admin",0xc1,"abc")) 298 | ``` 299 | 300 | 写入为admin 301 | 302 | ### 弱类型比较 303 | 304 | 原理 305 | 306 | 比较表:[php.net/manual/zh/t…](http://php.net/manual/zh/types.comparisons.php) 307 | 308 | 以下等式会成立 309 | 310 | ```php 311 | '' == 0 == false 312 | '123' == 123 313 | 'abc' == 0 314 | '123a' == 123 315 | '0x01' == 1 316 | '0e123456789' == '0e987654321' 317 | [false] == [0] == [NULL] == [''] 318 | NULL == false == 0 319 | true == 1 320 | 复制代码 321 | ``` 322 | 323 | #### ==、>、<的弱类型比较 324 | 325 | 这里用到了PHP弱类型的一个特性,当一个整形和一个其他类型行比较的时候,会先把其他类型转换成整型再比。 326 | 327 | ```php 328 | ##方法1 329 | ##$a["a1"]="1e8%00"; 330 | ##这里用%00绕过is_numeric,然后1e8可以比1336大,因此最后能$v1=1 331 | ##方法2 332 | ##$a["a1"]=["a"]; 333 | ##使用数组,可以,因为数组恒大于数字或字符串 334 | ##方法3 335 | ##$a["a1"]=1337a; 336 | ##1337a过is_numeric,又由>转成1337与1336比较 337 | 1336)?$v1=1:NULL; 342 | } 343 | var_dump($v1); 344 | 复制代码 345 | ``` 346 | 347 | #### switch 弱类型 348 | 349 | ```php 350 | // 第一种:弱类型,1e==1 351 | // $x1=1e 352 | // 第二种:利用数组名字bypass 353 | // $x1=1[] 354 | // 传入后为string(3) "1[]",但在switch那里为1 355 | if (isset($_GET['x1'])) 356 | { 357 | $x1 = $_GET['x1']; 358 | $x1=="1"?die("ha?"):NULL; 359 | switch ($x1) 360 | { 361 | case 0: 362 | case 1: 363 | $a=1; 364 | break; 365 | } 366 | } 367 | 复制代码 368 | ``` 369 | 370 | #### md5比较(0e相等、数组为Null) 371 | 372 | ```php 373 | md5('240610708') //0e462097431906509019562988736854 374 | md5('QNKCDZO') //0e830400451993494058024219903391 375 | 0e 纯数字这种格式的字符串在判断相等的时候会被认为是科学计数法的数字,先做字符串到数字的转换。 376 | md5('240610708')==md5('QNKCDZO'); //True 377 | md5('240610708')===md5('QNKCDZO'); //False 378 | 379 | 这样的对应数值还有: 380 | var_dump(md5('240610708') == md5('QNKCDZO')); 381 | var_dump(md5('aabg7XSs') == md5('aabC9RqS')); 382 | var_dump(sha1('aaroZmOk') == sha1('aaK1STfY')); 383 | var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m')); 384 | var_dump('0010e2' == '1e3'); 385 | var_dump('0x1234Ab' == '1193131'); 386 | var_dump('0xABCdef' == ' 0xABCdef'); 387 | 复制代码 388 | ``` 389 | 390 | 技巧:找出在某一位置开始是0e的,并包含“XXX”的字符串 391 | 392 | ```php 393 | #方法1 394 | #s1=QNKCDZO&s2=240610708 395 | #方法2 396 | #?s1[]=1&s2[]=2 397 | #利用md5中md5([1,2,3]) == md5([4,5,6]) ==NULL,md5一个list结果为Null 398 | #则可以使:[1] !== [2] && md5([1]) ===md5([2]) 399 | define('FLAG', 'pwnhub{THIS_IS_FLAG}'); 400 | if ($_GET['s1'] != $_GET['s2'] 401 | && md5($_GET['s1']) == md5($_GET['s2'])) { 402 | echo "success, flag:" . FLAG; 403 | } 404 | 复制代码 405 | ##这里没有弱类型,但可以让$r查出来是Null,然后提交md5里放数组得Null,于是Null===Null 406 | $name = addslashes($_POST['name']); 407 | $r = $db->get_row("SELECT `pass` FROM `user` WHERE `name`='{$name}'"); 408 | if ($r['pass'] === md5($_POST['pass'])) { 409 | echo "success"; 410 | } 411 | 复制代码 412 | ``` 413 | 414 | #### json传数据{"key":0} 415 | 416 | PHP将POST的数据全部保存为字符串形式,也就没有办法注入数字类型的数据了而JSON则不一样,JSON本身是一个完整的字符串,经过解析之后可能有字符串,数字,布尔等多种类型。 417 | 418 | ```php 419 | application/x-www-form-urlencoded 420 | multipart/form-data 421 | application/json 422 | application/xml 423 | 复制代码 424 | ``` 425 | 426 | 第一个application/x-www-form-urlencoded,是一般表单形式提交的content-type第二个,是包含文件的表单。第三,四个,分别是json和xml,一般是js当中上传的. 427 | 428 | {"key":"0"} 429 | 430 | 这是一个字符串0,我们需要让他为数字类型,用burp拦截,把两个双引号去掉,变成这样: 431 | 432 | {"key":0} 433 | 434 | #### strcmp漏洞1:返回0 435 | 436 | 适用与5.3之前版本的php 437 | 438 | `int strcmp ( string $str1 , string $str2 )` // 参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。 当这个函数接受到了不符合的类型,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0,所以可以故意让其报错,则返回0,则相等了。 439 | 440 | ```php 441 | ##flag[]=admin 442 | define('FLAG', 'pwnhub{THIS_IS_FLAG}'); 443 | if (strcmp($_GET['flag'], FLAG) == 0) { 444 | echo "success, flag:" . FLAG; 445 | } 446 | 复制代码 447 | ``` 448 | 449 | #### strcmp漏洞2:返回Null 450 | 451 | 修复了上面1的返回0的漏洞,即大于5.3版本后,变成返回NULL。 array和string进行strcmp比较的时候会返回一个null,因为strcmp只会处理字符串参数,如果给个数组的话呢,就会返回NULL。 452 | 453 | ```php 454 | strcmp($c[1],$d) 455 | ``` 456 | 457 | #### strcmp漏洞3: 判断使用的是 == 458 | 459 | 而判断使用的是==,当NULL==0是 bool(true) 460 | 461 | #### in\_array,array\_search 弱类型比较 462 | 463 | 松散比较下,任何string都等于true: 464 | 465 | ```php 466 | // in_array('a', [true, 'b', 'c']) // 返回bool(true),相当于数组里面有字符'a' 467 | // array_search('a', [true, 'b', 'c']) // 返回int(0),相当于找到了字符'a' 468 | // array_search 会使用'ctf'和array中的每个值作比较,这里的比较也是弱比较,所以intval('ctf')==0. 469 | if(is_array(@$a["a2"])){ 470 | if(count($a["a2"])!==5 OR !is_array($a["a2"][0])) die("nope"); 471 | $pos = array_search("ctf", $a["a2"]); 472 | $pos===false?die("nope"):NULL; 473 | foreach($a["a2"] as $key=>$val){ 474 | $val==="ctf"?die("nope"):NULL; 475 | } 476 | $v2=1; 477 | } 478 | 复制代码 479 | ``` 480 | 481 | #### sha1() md5() 报错相等绕过(False === False) 482 | 483 | sha1()函数默认的传入参数类型是字符串型,给它传入数组会出现错误,使sha1()函数返回错误,也就是返回false 484 | 485 | md5()函数如果成功则返回已计算的 MD5 散列,如果失败则返回 FALSE。可通过传入数组,返回错误。 486 | 487 | ```php 488 | ##?name[]=1&password[]=2 489 | ## === 两边都是false则成立 490 | if ($_GET['name'] == $_GET['password']) 491 | echo 'Your password can not be your name!
'; 492 | else if (sha1($_GET['name']) === sha1($_GET['password'])) 493 | die('Flag: '.$flag); 494 | 复制代码 495 | ``` 496 | 497 | #### strpos数组NULL(Null !== False) 498 | 499 | strpos()输入数组出错返回null 500 | 501 | ```php 502 | #既要是纯数字,又要有’#biubiubiu’,strpos()找的是字符串,那么传一个数组给它,strpos()出错返回null,null!==false,所以符合要求. 所以输入nctf[]= 那为什么ereg()也能符合呢?因为ereg()在出错时返回的也是null,null!==false,所以符合要求. 503 | = $one) && ($digit <= $nine) ) ## 1到9不允许,但0允许 537 | { 538 | // Aha, digit not allowed! 539 | return "flase"; 540 | } 541 | } 542 | if($number == $temp) 543 | return $flag; 544 | } 545 | $temp = $_GET['password']; 546 | echo noother_says_correct($temp); 547 | 复制代码 548 | ``` 549 | 550 | ### md5注入带入’or’ 551 | 552 | 原理: 553 | 554 | ```php 555 | md5(string,raw) 556 | raw 可选。规定十六进制或二进制输出格式: 557 | TRUE - 原始 16 字符二进制格式 558 | FALSE - 默认。32 字符十六进制数 559 | 复制代码 560 | ``` 561 | 562 | 当md5函数的第二个参数为True时,编码将以16进制返回,再转换为字符串。而字符串’ffifdyop’的md5加密结果为`'or'