xiaodisec day017

简介: 学习了PHP框架,重点讨论了ThinkPHP、Yii和Laravel。ThinkPHP5的URL结构为域名/.php/模块/控制器/方法。MVC模式用于框架开发。注意3.x版本的地址格式。讨论了命名空间和SQL注入,框架能提供内部过滤。审计了多个使用ThinkPHP的CMS,如EyouCMS、Fastadmin等,并提到了ZoomEye和Seebug作为搜索漏洞的工具。通过黑盒测试和报错信息可识别框架版本,如Fastadmin和YFCMF。还提到了ThinkPHP的rec漏洞及修复方法。

day 17

主要内容:

php 框架

  • thinkPHP
  • yii
  • laravel

使用 fofa 搜索 thinkphp

市面上 thinkphp5 版本较多

url 结构

域名/.php(文件名)/index(目录)/index(函数名)
    模块名-控制器名-方法名

index 目录在 application 中
index 目录下有 controller 目录(模块),模块中放控制器(php 文件)
控制器中写方法(class)

写法:
?s=写法

MVC 框架 开发??
3.*版本的地址
1705841574792

namespace
1705841875155

常规 php 数据库操作写法有 sql 注入
使用框架写法可实现内部过滤

代码审计

使用 thinkPhp 的 CMS
#实例-CMS 源码-EyouCMS&Fastadmin&YFCMF
AdminLTE 后台管理系统
layui 后台管理系统
thinkcmf
H-ui.admin 后台管理系统
tpshop
FsatAdmin
eyoucms
LarryCMS 后台管理系统
tpadmin 后台管理系统
snake 后台管理系统
ThinkSNS
DolphinPHP 后台管理系统
WeMall 商城系统
CLTPHP
齐博 CMS
DSMALL
YFCMF
HisiPHP 后台管理系统
Tplay 后台管理系统
lyadmin 后台管理系统
haoid 后台管理系统
搜索漏洞库
kunyu ZoomEye Seebug

根据框架版本找漏洞

黑盒测试可通过,报错信息,返回数据包 看到框架版本

fastadmin 框架
易优快速后台
YFCMF 框架

thinkphp rec 漏洞

漏洞修复:将框架中的代码修改对应的代码

相关文章
|
6月前
|
安全 中间件 应用服务中间件
xiaodisec day032
`#day32` 讲解了文件上传漏洞,重点在绕过过滤策略,如使用`.user.ini`避开点号过滤。讨论了利用解析漏洞,将数字IP转换为字符串。网站的图片裁剪功能被利用来隐藏后门,因JPEG与PNG处理差异,形成二次渲染。手动插入木马困难,推荐脚本自动化。在线靶场演示不稳定,但CTF目标是理解概念而非单纯解题。`.htaccess`涉及Apache解析配置,不适用于Nginx。结合包含漏洞,中间件解析漏洞是关键。若过滤严格,可通过变量赋值拼接木马实现免杀。
|
6月前
|
SQL 开发框架 关系型数据库
xiaodisec day024
本文介绍了SQL注入的相关知识,包括Access和MySQL数据库的注入。漏洞源于特定变量和函数,可通过网址参数或抓包发现。注入语句位置与字段相关。工具流程包括猜测数据库类型,如ASP配Access,然后通过ORDER BY和UNION查询列数。在Access中尝试偏移注入,MySQL中可能涉及文件读写和跨库查询。判断是否为root用户可用`user()`函数,MySQL5.0以上可查information_schema数据库获取详情。示例网址:`https://www.crfbehavioralhealthcare.org/researchDetails.php?id=MS==`。
|
6月前
|
SQL JSON PHP
xiaodisec day027
本文档介绍了SQL注入的不同类型,包括数字型、字符型、搜索型、编码型和加密型,强调了在注入时对数据格式和闭包的考虑。提到了SQLMap工具的进阶使用,如利用tamper目录中的base64encode.py进行编码注入。同时,讨论了宽字符绕过技巧,如利用中文字符来避免PHP的addslash函数对攻击的阻止。
|
6月前
|
Java 中间件 测试技术
xiaodisec day023
Day23 Python 知识讲解聚焦于`pyc`反编译和`SSTI`(模板注入)。`pyc`是跨平台的编译结果,常在CTF中出现。`SSTI`发生在Web应用,当错误处理不当,允许注入代码执行,404页面可能是切入点。实战中判断SSTI和建站语言(如Python)需观察回显和使用工具如fofa。黑盒测试SSTI颇具挑战。
|
6月前
|
JavaScript 安全 前端开发
xiaodisec day22
探索前端安全:JavaScript中的变量与函数暴露可能引发命令执行风险。利用Wappalyzer等工具检测JS使用,寻找如`/static/js/app.js`等线索。Node.js框架安全学习,借助Vulhub漏洞环境(GitHub可得)与Docker进行安全测试。
|
6月前
|
SQL 关系型数据库 MySQL
xiaodisec day025
了解 SQL 注入攻击,关注 MySQL、MSSQL 和 PostgreSQL 的高权限注入。利用 `loadfile` 和 `outfile` 函数在 MySQL 中读写文件,常见目标包括配置文件。获取路径方法包括报错显示、phpinfo 和字典攻击。注意 `secure-file-priv` 配置限制,但在某些环境下可突破。开启慢日志记录,植入后门,通过 PHP 执行。实战中,观察地址和输入框判断注入点,根据报错信息推测数据库类型。若无回显,尝试猜测注入点。
|
6月前
|
开发框架 安全 Java
xiaodisec day031
`#day31` 文件上传漏洞探讨:涉及 CMS 中的文件上传,通常需配合抓包工具。绕过前台验证和 MIME 验证(如变造 `content-type`),利用大小写或.php伪装上传。当.php被过滤时,可试用短标签`<= 'php代码'>`。若过滤括号,则可能无法构造有效payload。文件头过滤常用于防止非正常文件上传,而.user.ini文件能包含后门代码实现命令执行。同时,修改`user-agent`为PHP木马以尝试通过日志记录通道触发。总结:上传漏洞利用策略多变,关键在于识别并绕过安全防护措施。
|
6月前
|
SQL 监控 Java
xiaodisec day028
Day 28探讨了SQL注入,关注点在于提交方式的注入。PHP、Spring Boot和Flask中的GET、POST、COOKIE数据提交都可能引发安全问题。后端处理数据时,如记录IP、根据UA显示页面或文件上传可能导致SQL注入。使用sqlmap工具进行黑盒测试,通过修改数据包或指定POST数据来探测注入点。实战中,CMS系统记录IP访问可能产生注入风险,可以利用工具如Seay代码审计系统进行监控和检查。
|
6月前
|
SQL 缓存 NoSQL
xiaodisec day026
`day26`探讨了Oracle与MongoDB的SQL注入,强调手动注入技巧。尽管`sqlmap`工具不支持NoSQL,它提供了一些选项,如清除缓存(--purge)、查看当前数据库(--current-db)和数据转储(--dump)。通过-r参数可以利用保存在TXT文件中的数据包进行测试,文件内星号(*)标记注入点,例如`username=admin*`。Metasploit Framework(MSF)未详述。
|
6月前
|
SQL 数据库
xiaodisec day029
在Day 29的学习中,聚焦SQL注入的查询方式,特别是盲注技术。当查询结果不直接回显时,需采用不同策略。盲注包括逻辑判断和基于延时、报错的判断。通过逻辑判断,如使用`left()`函数猜测数据库名。基于延时的方法利用`sleep()`函数观察响应时间变化。报错注入依赖服务器错误信息的回显。实际操作中,可利用工具进行检测,因为手动注入在某些场景下效率较低。