剑胆琴心

简介2013年4月15日Expression Language Injection词条在OWASP上被创建，而这个词的最早出现可以追溯到2012年12月的《Remote-Code-with-Expression-Language-Injection》一文，在这个paper中第一次提到了这个名词。 常用的表达式语言JSP—JSTL_EL基础EL表达式(表达式语言)是一种在JSP中内置的语言(也就是说所有的Java Web服务都必然会支持这种表达式。但是由于各家对其实现的不同，也导致某些漏洞可以在一些Java Web服务中成功利用，而在有的服务中则是无法利用)，可以用作用户访问页面的上下文以及不同作用域的对象，取得对象属性值或者执行简单的运算和判断操作：获取数据、执行运算、获取Web开发常用对象、调用Java方法。 JSP四大作用域： page：只在一个页面保存数据[javax.servlet.jsp.PageCotent] request：只在一个请求中保存数据[java.servlet.httpServletRequest] session：在一次会话中保存数据，仅供单个用户使用[j ...

简介ssti（Server-SIde Template Injection，服务端模板注入），模板引擎支持使用静态模板文件，在运行时HTML页面中的实际值替换为变量/占位符，从而让HTML的开发变得更容易。 ssti主要为python的一些框架 jinja2 mako tornado django，PHP框架smarty twig，java框架jade velocity freeMarker XMLTemplate Smarty4j 等等使用了渲染函数时，由于代码不规范或信任了用户输入而导致了服务端模板注入，模板渲染其实并没有漏洞，主要是程序员对代码不规范不严谨造成了模板注入漏洞，造成模板可控。 Flask的Jinja2 CTF赛题中以python下的SSTI居多 Flask是一个使用Python编写的轻量级web应用框架，其WSGI工具箱采用Werkzeug，模板引擎则使用Jinja2。 基本语法，使用`{{}}`如下： <h1>Hello, {{user.name}}!</h1> #### **漏洞成 ...

简介SQL注入攻击是黑客利用SQL注入对数据库进行攻击的常用手段之一。攻击者通过浏览器或其他客户端将恶意SQL语句插入到网站参数中，网站应用程序未经过滤，便将SQL语句带入数据库执行。SQL注入过程如图所示。 分类按类型：1.数字型输入的参数x为整型的时候，通常sql语句是这样的 select * from users where id =x 这种类型可以使用经典的and 1=1 和 and 1=2来判断 原因：当输入and 1=1时，后台会执行sql语句是 select * from users where id =x and 1=1； 没有语法显示错误且，返回正常 当输入and 1=2时，后台会执行sql语句是 select * from users where id =1 and 1=2; 没有语法错误且，返回错误 我们在使用假设：如果是字符型注入的话，我们输入的语句应该会出现这样的状况 select * from users where id ='1 and 1=1'; select * from users where id ='1 ...

反序列化序列化：把对象转换为字符串 存到硬盘中(可以以特定的格式在进程中跨平台、安全的进行通信) –>实际场景会存到数据库中(redis等键值对类型的数据库) 反序列化：用到的时候，再把字符串反序列化为对象使用 漏洞原理序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码。 PHP反序列化漏洞触发条件： 以下三者缺一不可 unserialize函数的变量可控 php文件中存在可利用的类 类中有魔术方法 魔术方法__construct() #当一个对象创建时被调用__destruct() #当一个对象销毁时被调用__toString() #当一个对象被当作一个字符串使用__sleep() #在对象在被序列化之前运行__wakeup #将在序列化之后立即被调用__call() #在对象上下文中调用不可访问的方法时触发__callStatic() # 在静态上下文中调用不可访问的方法时触发__get() # 用于从不可访问的属性读取数据_ ...

漏洞描述Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 影响范围经测试，目前最新版本（Grafana v8.2.6）仍存在漏洞。 漏洞成因主要是插件原因，查看代码是插件目录直接和requestedFile进行合并，没有进行过滤 参考这篇文章：https://mp.weixin.qq.com/s/dqJ3F_fStlj78S0qhQ3Ggw 漏洞复现FOFA 查询app="Grafana" && country="CN" && body="v8." 在fofa上面找的一个ip进行测试，只需要简单抓包，将路径改掉，就可以读取文件内容： Fuzz些插件列表/public/plugins/alertGroups/../../../../../../../../etc/passwd/public/plu ...

由于时间和篇幅，只做浅析，往后时间充裕了再细细研究 简介XSS（cross site scripting）跨站脚本为了不与网页中层叠样式表（css）混淆，故命名为xss。黑客将恶意代码嵌入网页中，当客户网文网页的时候，网页中的脚本会自动执行，从而达成黑客攻击的目的。 分类1.反射型xss非持久化，一般需要欺骗客户去点击构造好的链接才能触发代码。 2.存储型XSS他会存储到数据库中，这种xss漏洞危害极大，因为它可以长久的保存在网页中，每个浏览过此网页的用户都会中招，很多xss蠕虫的爆发都是基于持久型xss，一般在留言板，评论区类位置容易出现此漏洞。但存储型XSS不用考虑绕过浏览器的过滤问题，屏蔽性也要好很多。 3.DOM型XSS全称Document Object Model，使用DOM可以使程序和脚本能够动态访问更新文档的内容，结构及样式。DOM型XSS是一种特殊类型的反射型XSS，基于DOM文档对象模型的一种漏洞。 挖掘XSS可以插在哪里？ 用户输入作为script标签内容 //<script>标签：script是最有直接的xss攻击载荷，脚本标记可以应用外部的j ...

简介上传漏洞顾名思义，就是攻击者上传了一个可执行文件如木马，病毒，恶意脚本，WebShell等到服务器执行，并最终获得网站控制权限的高危漏洞。 危害：能够直接获取到Web权限，后续操作还不好说么 上传技巧&绕过upload-lab结合upload-labs关卡的文章 我前面也写了个通关的文章； 另一篇wp：https://github.com/LandGrey/upload-labs-writeup 编辑器类上传漏洞百度Ueditor controller.ashx?action=catchimage fckeditor查看版本 /fckeditor/editor/dialog/fck_about.html/FCKeditor/_whatsnew.html Kindeditor上传页面 kindeditorlasp/upload_json.aspkindeditorlasp.net/upload_json.ashxkindeditorljsp/upload_json.jspkindeditor/php/upload_json.php ewebeditor … ...

漏洞简介URL跳转：目前很多Web应用因为业务需要，需要与内部的其他服务或者第三方的服务进行交互，这样就需要重定向的功能，由当前网页跳转到第三方网页。 比如Java中可通过Header的重定向功能实现url的跳转 response.sendRedirect(request.getParameter("url")); 使用的时候就是： http://www.test.com?url=http://www.xxx.com URL跳转漏洞：也叫URL重定向漏洞。由于服务端未对传入的跳转url变量进行检查和控制，可导致恶意用户构造一个恶意地址，诱导用户跳转到恶意网站。因为是从用户可信站点跳转出去的，用户会比较信任该站点，所以其常用于用于钓鱼攻击，通过跳转到恶意网站欺骗用户输入用户名和密码来盗取用户信息，或欺骗用户进行金钱交易；还可以造成xss漏洞。 例子： <?php$url=$_GET['url'];header("Location: $url");?> 恶意用户可以提交:http://www.aaa.com ...

原理指应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，Java中可以执行系统命令的函数有Runtime.getRuntime.exec()，PrpcessBuilder.start()(第一个是jdk1.5前。第二个是jdk1.5后)。当用户能控制这些函数的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。 利用条件 应用调用执行系统命令的函数 将用户输入作为系统命令的参数拼接到了命令行中 没有对用户输入进行过滤或过滤不严 危害 继承Web服务程序的权限去执行系统命令或读写文件 反弹shell 控制整个网站甚至服务器 进一步内网渗透 等等（都能执行系统命令了，危害肯定超级大了） 常见连接符 符号 含义 | 前面命令输出结果作为后面命令的输入内容 || 前面命令执行失败时才执行后面的命令（具有短路效果，左边是true，右边不执行） & 前面命令执行后继续执行后面的命令（无论左边是false还是true，右边都执行） ...

XMLXML全称“可扩展标记语言”（extensible markup language），XML是一种用于存储和传输数据的语言。与HTML一样，XML使用标签和数据的树状结构。但不同的是，XML不使用预定义标记，因此可以为标记指定描述数据的名称。由于json的出现，xml的受欢迎程度大大下降。 XML文档结构包括：XML声明+DTD文档类型定义+文档元素，例如： 其中是根元素，所有XML文档必须包含一个根元素，根元素是所有其他元素的父元素。 DTDDTD（document type definition）文档类型定义用于定义XML文档的结构，它作为xml文件的一部分位于XML声明和文档元素之间，比如： <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE message[<!ELEMENT message (receiver, sender, heder, msg)>]> 它就定义了 XML 的根元素必须是message，根元素下面有一些子元素，所以 XML必须像 ...