零零博客

验证码绕过一般情况网站或者其它的业务系统在找回密码时都会通过手机号或者邮箱来验证用户身份。但是可悲的是他们在验证的过程中产生了一些逻辑错误。什么错误呢？大概是这样的，用户输入手机号，点击获取验证码，服务端校验手机号是否正确，正确则返回类似errno=0的参数，不正确则返回类似errno=-1的参数，然后客户端通过js判断服务返回的值，如果返回errno=0,那说明手机号正确，调用发送验证码的服务，否则不调用并提示手机号错误或不存在。这里的错误点就在于不应该由服务端返回errno这个参数再由客户端来验证，应该是服务端验证完手机号后直接做出操作，如果手机号正确则直接调用发送验证码的服务，不正确则直接返回手机号不存在之类的提示。以下是一次测试记录，已经进行脱敏，如发现敏感信息，请及时联系删除！找回

一：信息收集端口收集之railgun其实railgun是一个相对综合点的工具，或者说扫描器。一般我是用它来做端口扫描，这款工具也是在做端口扫描的时候接触到的，发现挺不错。到这里肯定有人会问：为什么不用nmap呢？其实主要的原因是因为nmap太慢，而且不到最后nmap不出结果也不能查看令人意外的是，这款工具扫描的结果比nmap还全。这里多说一句，所有的工具都是有误差存在的。就端口扫描来说，时间充裕的话，nmap也是不错的选择，毕竟端口扫描之王还是有一定的道理的。言归正传，railgun的功能除了端口扫描，还有其他的很多，大家自己去探索吧。子域名收集OneForAll他的优点以及其他使用方法等等详细信息建议去github上自己看看，这里放出一些优点吧。注意：需要python3.8以上的环境支持。

1、一般我拿到一个任意文件读取得先判断权限大不大，如果权限够大的话可以直接先把/etc/sadow读下来，权限不够就读/etc/passwd，先把用户确定下来，方便后续操作2、读取各个用户的.bash_history能翻有用的信息，如编辑一些敏感文件3、读取程序配置文件（如数据库连接文件,可以利用数据库写shell）4、读取中间件配置文件（weblogic/tomcat/apache的密码文件、配置文件,确定绝对路径，方便后面读源码）5、读取一些软件的运维配置文件（redis/rsync/ftp/ssh等等程序的数据、配置、文档记录） 6、读取程序源代码，方便后面做代码审计，找突破口7、读取web应用日志文件，中间件的日志文件，其他程序的日志，系统日志等（可以网站后台地址、api接

1.利用文件上传漏洞，找文件上传处想办法上传php文件。一些网站在设置可以允许修改上传的文件类型则直接添加php有时候会还有检测是否为php文件，可以通过文件名变形，大小写，双写等形式绕过，只要是黑名单的都比较好绕过很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况这种情况直接上传一个.hatccess文件覆盖这个，让其失效。或者上传不重命名的话上传../../shell.php传到其他不被限制访问的目录或者找任意文件删除漏洞把.hatccess文件删除2.找文件配置的地方写入php代码，一般都有过滤的，想办法绕过过滤单引号的话可以用注释把上一个的内容注释掉在下一个参数配置注入代码效果如下:$conf_1='xx\';$conf_2='

 首先我们先来了解一下什么是缓存，缓存在什么地方关于缓存由于现在网站应用的复杂性，通常一个首页就会进行大量资源的加载，为了使用户更快的加载网页，几乎都会使用缓存，即将一些常用的静态文件，存储起来，当之后再需要这些静态资源的时候，直接就可以拿出来使用。浏览器缓存就是将缓存文件存储在本地，从而减少重复的请求，服务端缓存就是将缓存文件存储在客户端与服务端之间的CDN或者一些代理服务器中。目前针对Web缓存的攻击方式有很多，以CDN为例，通俗来说，如果CDN会将一些攻击者构造的有害数据或者这些有害数据造成的Web应用异常的响应缓存起来，然后其他用户可以获取，那么将造成用户被攻击，即缓存投毒，如果CDN会将用户的敏感信息缓存起来，然后攻击者可以获取，那么将造成用户数据泄露，即Web缓存欺骗。

在渗透测试前期，信息收集时非常重要的工作，需要对目标的各种信息进行分析，拆分和融合，目的是对目标进行全方位的了解，其中一个直接产出的就是生成账号密码的字典，后续的鱼叉，水抗攻击做好准备。很多时候的成功攻击，甚至都是从一个脆弱密码开始的。。接下来我们进入主题来讲一讲pydictor这款工具地址https://github.com/LandGrey/pydictor/他可以帮助我们快速的生成普通爆破字典、基于网站内容的自定义字典、社会工程学字典等等一系列高级字典还可以使用内置工具，对字典进行安全删除、合并、去重、合并并去重、高频词筛选生成独一无二的高度定制、高效率和复杂字典，生成密码字典的好坏和你的自定义规则、能不能熟练使用pydictor有很大关系兼容性强python2.7版本还是pytho

1：压缩网站后台目录然后再把后台目录删了，需要使用后台时再解压回来2：把网站后台目录放在旁站（绑定不同的域名）3：把网站后台目录放入其它服务器（操作难易根据网站程序复杂程度决定）4：限制网站后台目录访问ip（添加自己ip为白名单，这样就只有自己的ip可以访问啦！）5：网站后台目录名改得较为复杂，例如：admin改成eiwufrsbchjsgyufsjdgfdhf（闲不够复杂可以继续加）6：网站地址动态化，做一个自动化工具，隔段时间修改网站后台地址（此方法仅适用于服务器配置高的）

首先我们如果想要找到它的后台我们就要明确它的后台是否在当前网站目录下一：在当前网站目录下 1：尝试常见后台地址  在根目录下的例如：/admin.php,/manage.php  不在根目录下的例如：/admin,/manage 2：使用工具爆破  百度一些后台常见地址导入查询工具快速扫描，设置http状态码为200则成功  常见的后台扫描工具：御剑，wwwscan，kali，以及其它一些目录扫描工具 3：利用搜索引擎  此方法只针对后台被搜索引擎收录的网站使用site:要找的网站域名＋空格＋intitle:后台  如果没有返回任

作为web渗透中的扛把子工具，我们必须掌握灵活使用它，下面我们来了解一下它的命令吧！netcat-d表示脱离命令窗口，在后台运行，常用于后门建立过程假设监听了一个端口，但是关闭了那个cmd窗口那么nc就不会监听了，加入了-d就会在后台运行-e执行某个程序，常用于后门建立过程(cmd.exe、/bin/bash)-Ggateway设置网关，常用于突破内网限制-gnum路由跳数-isec设置发送每一行数据的时间间隔(以秒计算)-l设置netcat处于监听状太等待连接-L设置netcat处于昕状态等待连接，当客户端端口，服务端依旧回到等待状-n设置netcar只扫描ip不进行DNS解析-ofile设置传输十六进制的数据-pport设置本地监听的端口了-r设置netcat随机化的端口号-

提交一个导致SQL查询无效的利用是会返回一个通用错误页面，而提交正确的SQL时则返回一个内容可被适度控制的页面提交一个导致SQL查询无效的利用时会返回一个通用的错误页面，而提交正确的SQL时则会返回-一个内容不可控的页面提交受损或不正确的SQL既不会产生错误页面，也不以仍和方式影响页面输出