#SPF郵件偽造漏洞

windows命令: nslookup -type=txt xxx.com

linux命令: dig -t txt huawei.com

發(fā)現(xiàn)spf最后面跟著~all，代表有漏洞，利用swaks可以偽造郵件發(fā)到自己郵箱測(cè)試。163可行

#sourcemap文件泄露漏洞

油猴腳本：sourcemap-searcher、burp hae插件

在F12控制臺(tái)輸入sms()，下載下來，使用nodejs反編譯

reverse-sourcemap --output-dir . 2.11aef028.chunk.js.map

#DNS域傳送漏洞：

域傳送是DNS備份服務(wù)器從主服務(wù)器拷貝數(shù)據(jù)、若DNS服務(wù)器配置不當(dāng)，未驗(yàn)證身份，導(dǎo)致攻擊者可以獲取某個(gè)域所有DNS記錄，造成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)泄露。

1) nslookup #進(jìn)入交互式shell

2) server dns.xx.yy.zz #設(shè)定查詢將要使用的DNS服務(wù)器

3) ls xx.yy.zz #列出某個(gè)域中的所有域名

4) exit #退出

#業(yè)務(wù)邏輯漏洞：

由于程序不嚴(yán)謹(jǐn)，導(dǎo)致一些邏輯處理不正?；蛱幚礤e(cuò)誤。大致包括：繞過功能限制、遍歷、越權(quán)、弱口令、信息泄露、任意用戶密碼重置、競(jìng)爭(zhēng)性問題等，存在支付安全、驗(yàn)證碼安全。

1.突破功能限制，如一個(gè)訂單用一個(gè)優(yōu)惠券，當(dāng)日最大交易額，嘗試重放或條件競(jìng)爭(zhēng)，驗(yàn)證碼能多次使用或萬能0000驗(yàn)證碼甚至?xí)祷仳?yàn)證碼

2.繞過權(quán)限驗(yàn)證（越權(quán)），找到鑒權(quán)參數(shù)，嘗試換成其他鑒權(quán)參數(shù)，或者替換cookie，更換某些參數(shù)，例如view_controller改成edit_controller、在用戶注銷后再注冊(cè)相同用戶名發(fā)現(xiàn)擁有原來用戶權(quán)限、構(gòu)造數(shù)組繞過第一個(gè)元素校驗(yàn)，user[0]=1&user[1]=2...

3.支付安全相關(guān)：數(shù)字溢出、精度問題、負(fù)數(shù)、修改參數(shù)、支付接口、條件競(jìng)爭(zhēng)、重放攻擊。重放攻擊由于多線程訪問同一共享代碼，未使用鎖操作。

#JWT漏洞(jsonwebtoken)：

token的一種實(shí)現(xiàn)方式，以json形式，服務(wù)器返回token，每次請(qǐng)求將JWT攜帶作身份認(rèn)證，JWT分為header,payload,簽名，前兩段用base64，存放著alg簽名用的算法(hs256)以及typ令牌類型(JWT)。某些時(shí)候可以通過修改paload中身份信息，造成越權(quán)，或更改header中alg算法為none，丟棄第三段簽名，服務(wù)器不做簽名認(rèn)證。

#提權(quán)

##mysql udf提權(quán)：(userdefined function用戶自定義函數(shù))

利用條件：1.知道數(shù)據(jù)庫用戶密碼；2.mysql可以遠(yuǎn)程登錄；3.mysql有寫入文件權(quán)利(即secure_file_priv值為空，5.5之前默認(rèn)為空，之后為Null)

需要上傳udf提權(quán)的動(dòng)態(tài)鏈接庫(.dll文件，可以通過msf或者sqlmap獲取)，5.1版本之前要放在C:windowssystem32，5.1后放在mysql目錄下的lib/plugin，也可以show variables like "%plugin%";查詢，create function cmdshell return string soname "udf.dll"創(chuàng)建cmdshell函數(shù)，之后只需要select cmdshell('xxx')執(zhí)行任意命令。參考：https://blog.csdn.net/weixin_45945976/article/details/121679711

##dirtycow臟牛漏洞(linux提權(quán)):

cow就是copy on write，競(jìng)爭(zhēng)條件型漏洞，可拿root權(quán)限

##令牌竊取提權(quán)(windows):

令牌是用戶登錄后，生成accessToken在執(zhí)行進(jìn)程時(shí)會(huì)使用，能訪問到什么資源取決于拿著誰的令牌。msf可以根據(jù)進(jìn)程pid號(hào)竊取令牌，達(dá)到提權(quán)。命令steal_token [pid]。

##at提權(quán)：

at是windowsXP內(nèi)置計(jì)劃任務(wù)命令，默認(rèn)以system權(quán)限運(yùn)行，通過“at 時(shí)間 /interactive cmd”命令在指定時(shí)間后開啟interactive交互模式。windows7已經(jīng)取消at命令。

#SQL注入：

##mysql常見函數(shù)及變量：user(),database(),version(),@@datadir數(shù)據(jù)庫路徑，@@hostname主機(jī)名，@@versuib_compile_os操作系統(tǒng)，basedir安裝路徑

##報(bào)錯(cuò)注入：https://blog.csdn.net/qq_38265674/article/details/112385897

1.extractvalue()是對(duì)XML進(jìn)行查詢數(shù)據(jù)，用法是extractvalue(XML_document,Xpath_string)，第二個(gè)字段可以放入想查詢的語句，例如extractvalue(1,database())，同理updatexml()也是如此，語句為"select * from ctf_test where user='1' and 1=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1);"擁有三個(gè)數(shù)值，用來替換值。

2.floor報(bào)錯(cuò)，語法是select count(*),concat(database(),floor(rand(0)*2)) as x from users group by x; 原理是rand隨機(jī)數(shù)，floor向下取整，group by與rand()使用時(shí)，如果臨時(shí)表中沒有該主鍵，則在插入前rand()會(huì)再計(jì)算一次，然后再由group by將計(jì)算出來的主鍵直接插入到臨時(shí)表格中，導(dǎo)致主鍵重復(fù)報(bào)錯(cuò)

3.exp報(bào)錯(cuò)，exp(x)是取e得x次方，當(dāng)輸入值大于709會(huì)報(bào)錯(cuò)，在值前面加上"~"取反符，構(gòu)造語句是"select exp(~(select*from(select table_name from information_schema.tables where table_schema=database() limit 0,1)x));"一定要使用嵌套

4.pow()報(bào)錯(cuò)，與exp()同為數(shù)據(jù)溢出報(bào)錯(cuò)，pow(x,y)計(jì)算x的y次方，可通過報(bào)錯(cuò)來進(jìn)行盲注。

#LDAP注入：

https://blog.csdn.net/m0_52923241/article/details/120384154

#XSS漏洞語句：

審核編輯 黃宇