微信0day实例—XXE实体注入 【ladybird】
打开靶场地址,查看代码:可以看到,要执行的代码也就4行,下面是 webchatCallbackupapiTest 这个类的定义。既然代码执行了该类的 responseMsg() 函数, 那就来看看该函数的实现:可以看到,该函数回去读取post请求数据,并将post请求数据通过 simplexml_load_string() 函数转换为XML有关的对象,其中,也没有禁止xml数据中使用外部实体(例如
上传内容验证 【ladybird】
查看源码:可以看到,这里是通过读取上传文件的头两个字节来判断文件类型的,所以这里就只能上传图片马了。制作图片马:然后上传,查看图片元素:OK,上传成功。PS:由于上传后文件名的后缀即其所判断的图片类型的后缀,而且这里也不存在文件包含或者其他什么漏洞,所以无法用菜刀进行进一步的利用。
HTTP HEAD MIME验证 【ladybird】
查看源码:可以发现只是对HTTP请求包的Content-Type的值进行了判断并以此过滤上传的文件类型。上传一句话木马,使用BurpSuite修改Content-Type为image/jpeg:上传后查看图片元素:用菜刀连接:在第2关的目录找到flag文件:
非法字符截断上传 — 空格 %0A 点 【ladybird】
查看源码:可以看到,对上传文件的后缀使用了白名单限制,图片路径是保存路径、随机数、时间戳和文件后缀拼接而成。上传一张正常的图片,查看图片元素:再上传一次,这次用BurpSuite修改一下保存路径,利用%00进行文件截断:上传后,访问 http://120.203.13.75:8125/upload/ 发现成功绕过,而此时 lb942.php 中的内容即所上传的 xjwtj.pn
非法字符截断上传 — Windows NTFS ADS流 【ladybird】
这道题利用的是Windows下NTFS文件系统的一个特性,即NTFS文件系统的存储数据流的一个属性 $DATA。当我们访问 a.asp::$DATA 时,就是请求 a.asp 本身的数据,如果a.asp 还包含了其他的数据流,比如 a.asp:lake2.asp,请求 a.asp:lake2.asp::$DATA,则是请求a.asp中的流数据lake2.asp的流数据内容。查看代码:可以看到,这里
CGI解析漏洞 【ladybird】
这道题利用的是CGI的一个解析漏洞: -> 当 x_pathinfo 开启时,会导致下面的问题: 比如,访问 www.victim.com/evil.jpg/1.php 时,evil.jpg 会被当做ph
IIS6.0解析漏洞(三) 【ladybird】
IIS6.0 有以下文件解析漏洞: (1) 在文件夹为 asp, asa 内的所有文件都会被当成asp脚本进行解析; (2) 文件名如:xxx.asp;yyy.jpg 的文件,会忽略分号后面的后缀,将该文件当成asp脚本进行解析; (3) asa、cer、cdx 也会被当成asp
IIS6.0解析漏洞(二) 【ladybird】
IIS6.0 有以下文件解析漏洞: (1) 在文件夹为 asp, asa 内的所有文件都会被当成asp脚本进行解析; (2) 文件名如:xxx.asp;yyy.jpg 的文件,会忽略分号后面的后缀,将该文件当成asp脚本进行解析; (3) asa、cer、cdx 也会被当成asp
IIS6.0解析漏洞(一) 【ladybird】
IIS6.0 有以下文件解析漏洞: (1) 在文件夹为 asp, asa 内的所有文件都会被当成asp脚本进行解析; (2) 文件名如:xxx.asp;yyy.jpg 的文件,会忽略分号后面的后缀,将该文件当成asp脚本进行解析 (3) asa、cer、cdx 也会被当成asp脚
SQL注入—Post注入 Rank 1-3 【ladybird】
-------------------------------------Rank 1 --------------------------------------------------------------------先在Username中输入1,点登录,页面回显如下:然后在Username中输入1',点登录,再看回显,看是否存在注入:可看到存在注入,且从错误提示信息中可以看到,数