#SPF郵件偽造漏洞

windows命令: nslookup -type=txt xxx.com

linux命令: dig -t txt huawei.com

發(fā)現(xiàn)spf最后面跟著~all，代表有漏洞，利用swaks可以偽造郵件發(fā)到自己郵箱測試。163可行

#sourcemap文件泄露漏洞

油猴腳本：sourcemap-searcher、burp hae插件

在F12控制臺輸入sms()，下載下來，使用nodejs反編譯

reverse-sourcemap --output-dir . 2.11aef028.chunk.js.map

#DNS域傳送漏洞：

域傳送是DNS備份服務(wù)器從主服務(wù)器拷貝數(shù)據(jù)、若DNS服務(wù)器配置不當，未驗證身份，導(dǎo)致攻擊者可以獲取某個域所有DNS記錄，造成網(wǎng)絡(luò)拓撲結(jié)構(gòu)泄露。

1) nslookup #進入交互式shell

2) server dns.xx.yy.zz #設(shè)定查詢將要使用的DNS服務(wù)器

3) ls xx.yy.zz #列出某個域中的所有域名

4) exit #退出

#業(yè)務(wù)邏輯漏洞：

由于程序不嚴謹，導(dǎo)致一些邏輯處理不正?；蛱幚礤e誤。大致包括：繞過功能限制、遍歷、越權(quán)、弱口令、信息泄露、任意用戶密碼重置、競爭性問題等，存在支付安全、驗證碼安全。

1.突破功能限制，如一個訂單用一個優(yōu)惠券，當日最大交易額，嘗試重放或條件競爭，驗證碼能多次使用或萬能0000驗證碼甚至?xí)祷仳炞C碼

2.繞過權(quán)限驗證（越權(quán)），找到鑒權(quán)參數(shù)，嘗試換成其他鑒權(quán)參數(shù)，或者替換cookie，更換某些參數(shù)，例如view_controller改成edit_controller、在用戶注銷后再注冊相同用戶名發(fā)現(xiàn)擁有原來用戶權(quán)限、構(gòu)造數(shù)組繞過第一個元素校驗，user[0]=1&user[1]=2...

3.支付安全相關(guān)：數(shù)字溢出、精度問題、負數(shù)、修改參數(shù)、支付接口、條件競爭、重放攻擊。重放攻擊由于多線程訪問同一共享代碼，未使用鎖操作。

#JWT漏洞(jsonwebtoken)：

token的一種實現(xiàn)方式，以json形式，服務(wù)器返回token，每次請求將JWT攜帶作身份認證，JWT分為header,payload,簽名，前兩段用base64，存放著alg簽名用的算法(hs256)以及typ令牌類型(JWT)。某些時候可以通過修改paload中身份信息，造成越權(quán)，或更改header中alg算法為none，丟棄第三段簽名，服務(wù)器不做簽名認證。

#提權(quán)

##mysql udf提權(quán)：(userdefined function用戶自定義函數(shù))

利用條件：1.知道數(shù)據(jù)庫用戶密碼；2.mysql可以遠程登錄；3.mysql有寫入文件權(quán)利(即secure_file_priv值為空，5.5之前默認為空，之后為Null)

需要上傳udf提權(quán)的動態(tài)鏈接庫(.dll文件，可以通過msf或者sqlmap獲取)，5.1版本之前要放在C:windowssystem32，5.1后放在mysql目錄下的lib/plugin，也可以show variables like "%plugin%";查詢，create function cmdshell return string soname "udf.dll"創(chuàng)建cmdshell函數(shù)，之后只需要select cmdshell('xxx')執(zhí)行任意命令。參考：https://blog.csdn.net/weixin_45945976/article/details/121679711

##dirtycow臟牛漏洞(linux提權(quán)):

cow就是copy on write，競爭條件型漏洞，可拿root權(quán)限

##令牌竊取提權(quán)(windows):

令牌是用戶登錄后，生成accessToken在執(zhí)行進程時會使用，能訪問到什么資源取決于拿著誰的令牌。msf可以根據(jù)進程pid號竊取令牌，達到提權(quán)。命令steal_token [pid]。

##at提權(quán)：

at是windowsXP內(nèi)置計劃任務(wù)命令，默認以system權(quán)限運行，通過“at 時間 /interactive cmd”命令在指定時間后開啟interactive交互模式。windows7已經(jīng)取消at命令。

#SQL注入：

##mysql常見函數(shù)及變量：user(),database(),version(),@@datadir數(shù)據(jù)庫路徑，@@hostname主機名，@@versuib_compile_os操作系統(tǒng)，basedir安裝路徑

##報錯注入：https://blog.csdn.net/qq_38265674/article/details/112385897

1.extractvalue()是對XML進行查詢數(shù)據(jù)，用法是extractvalue(XML_document,Xpath_string)，第二個字段可以放入想查詢的語句，例如extractvalue(1,database())，同理updatexml()也是如此，語句為"select * from ctf_test where user='1' and 1=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1);"擁有三個數(shù)值，用來替換值。

2.floor報錯，語法是select count(*),concat(database(),floor(rand(0)*2)) as x from users group by x; 原理是rand隨機數(shù)，floor向下取整，group by與rand()使用時，如果臨時表中沒有該主鍵，則在插入前rand()會再計算一次，然后再由group by將計算出來的主鍵直接插入到臨時表格中，導(dǎo)致主鍵重復(fù)報錯

3.exp報錯，exp(x)是取e得x次方，當輸入值大于709會報錯，在值前面加上"~"取反符，構(gòu)造語句是"select exp(~(select*from(select table_name from information_schema.tables where table_schema=database() limit 0,1)x));"一定要使用嵌套

4.pow()報錯，與exp()同為數(shù)據(jù)溢出報錯，pow(x,y)計算x的y次方，可通過報錯來進行盲注。

#LDAP注入：

https://blog.csdn.net/m0_52923241/article/details/120384154

#XSS漏洞語句：

審核編輯 黃宇