一、环境设置

IIS 6.0 默认网站 服务器自身问题

如下界面：

二、测试过程

1、使用burp抓包测试

将GET 改为 OPTIONS，发现几乎所有的HTTP方法都可用，尤其是使用put方法

2、使用IIS PUT Scaner扫描

3、使用isswrite工具写写入一句话

3.1下面出了个问题，写入文件失败：显示未授权

3.2将文件目录权限更改后可成功上传（主要是练习使用）

上传成功

4、使用move方法更改文件后缀

更改刚刚提交的txt位asp，将文件变成可执行的脚本文件。

upload-labs

简介

漏洞环境源码下载

https://github.com/c0ny1/upload-labs

参考

Upload-labs通关手册

配置

一般直接将源码放在  www hdocs wwwroot 网站目录下

文件上传思维导图

文件上传分类

文件上传思路

Google-Hacking

搜索技巧

Google 基本搜索与挖掘技巧

● 保持简单明了的关键词
● 使用最可能出现在要查找的网页上的字词
● 尽量简明扼要地描述要查找的内容
● 选择独特性的描述字词
● 社会公共信息库查询
● 个人信息：人口统计局
● 企业等实体：YellowPage、企业信用信息网
● 网站、域名、IP：whois 等

Python使用入门

Python的优缺点

优点

语法简洁 
高可读性 
开发效率高 
可移植性 
支持自行开发或第三方模块 
可调用C，C++库 
可与Java组建集成

Python的类型与运算-数字

数字类型

整数

在Python 2.x版本中整数分为一般整数和长整数。

>>> 2**63
9223372036854775808L
>>> 2**62-1+2**62
9223372036854775807L

这个是在Python 2.7.15版本的结果。每个版本会有一些不同。

在这个版本中一般整数是64bit的（符号位占1bit）。

当超过64bit，会在后面加L

之前的一些版本 有可能是32bit，这个看具体的版本。

但是在Python 3.x就没有这种区分，整数只有一个类型。

Python安全 Requests学习

简介

开发哲学

Beautiful is better than ugly.(美丽优于丑陋)
Explicit is better than implicit.(直白优于含蓄)
Simple is better than complex.(简单优于复杂)
Complex is better than complicated.(复杂优于繁琐)
Readability counts.(可读性很重要)

Apache2 协议

Requests 协议

功能特性

Requests 完全满足今日 web 的需求。

Keep-Alive & 连接池
国际化域名和 URL
带持久 Cookie 的会话
浏览器式的 SSL 认证
自动内容解码
基本/摘要式的身份认证
优雅的 key/value Cookie
自动解压
Unicode 响应体
HTTP(S) 代理支持
文件分块上传
流下载
连接超时
分块请求
支持 .netrc

Requests 支持 Python 2.6—2.7以及3.3—3.7，而且能在 PyPy 下完美运行。

安装Requests

pip install requests -i https://mirror.aliyun.com/pypi/simple

XSS Base

能够执行js的标签、事件、属性

标签

<script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input>
<select> <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio>

所有的event事件都可以执行js

onload onunload onchange onchange onsubmit onreset onselect onblur onfocus onabort onkeydown onkeypress onkeyup onclick ondbclick onmouseover onmousemove onmouseout onmouseup onforminput onformchange ondrag ondrop

可以执行js的属性

formaction action href xlink:href autofocus src content data

Wargame XSS-alert(1)

0x00 没有任何过滤

server code

function render (input) {
  return '<div>' + input + '</div>'
}

分析

对输入 input没有做任何的过滤，直接在div标签之间输出了

input code

<script>alert(1)</script>

命令注入

介绍

Command Injection，即命令注入，是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。

Vulnerability: File Upload

Intruduce

文件上传漏洞

形成的主因：

由于对上传文件类型未验证或过滤机制不严，导致恶意用户可以上传脚本文件，通过上传文件可达到控制网站权限的目的

危害:

攻击者可获得网站控制权限,查看、修改、删除网站数据,通过提权漏洞可获得主机权限

上传点：

头像、附件、后台新闻编辑等等

利用条件

成功上传木马文件
木马文件能够执行
上传路径可知

上传检查方式

A 客户端javascript 检测(通常为检测文件扩展名)
B 服务端MIME 类型检测(检测Content-Type 内容)
C 服务端目录路径检测(检测跟path 参数相关的内容)
D 服务端文件扩展名检测(检测跟文件extension 相关的内容)
E 服务端文件内容检测(检测内容是否合法或含有恶意代码)

常见上传漏洞

对文件类型无任何验证

可直接上传相应脚本文件

本地javascript扩展名校验

一切在客户端的校验都是伪校验

使用黑名单or白名单

扩展名定义方式对比

上传文件未进行重命名

结合web应用解析漏洞

客户端可控制上传参数

部分敏感上传参数在客户端可控

数据库备份

可通过备份功能修改文件后缀

检测绕过

检测绕过
停止客户端检测脚本
MIME类型检测绕过
黑名单列表绕过
特殊文件名绕过
利用截断
利用解析漏洞
利用.htaccess文件
可修改上传文件

黑名单检测绕过

1. 文件名大小写绕过

用AsP，pHp之类的文件名绕过黑名单检测。

2. 名单列表绕过

用黑名单里没有的名单进行攻击，比如黑名单里面没有asa或者cer之类。

3. 0x00截断绕过

例如：help.asp .jpg(asp后面为0x00)，在判断时，大多函数取后缀名是从后往前取，故能够通过，但是在保存时，却被保存为help.asp。

4. .htaccess文件攻击

配合名单列表绕过，上传一个自定义的.htaccess。