Zer0 Sec团队内部靶场WP

• 单引号报错，经典报错注入

• 123'/1/user/'  注出user

• 尝试直接xp_cmdshell命令执行

• 发现存在过滤，打算fuzz查看过滤哪些参数

• AES 加解密

• 抓包发现参数加密

• 查看js,很基础的加解密

• bp爆破热加载加解密

• 过滤参数（GPT直接拉了一个脚本）

• 过滤参数：

• 1'/1/@@version/'

• 1'/1/db_name()/'    拿到数据库

• 123'/1/user/'  注出用户名

• 获取列名

• 注了半天本菜狗实在不能直接注出username和password

• 琢磨了一个有点邪教的方式（结果他跟我说靶场写错了，不小心禁用了OR ）

• 首先考虑这里是登录点，无非就是去数据库对应的表对比账户密码的值，这里用户名存在注入，说明直接将参数拼接在查询语句了。

• 模拟一下

• select * from 用户表 where username ='用户名' AND password ='密码' username = username and passwd = 123456

• 那就直接拼接让username=username，那么只要密码正确即登录成功。

• 不存在的列名也会通过报错出现提示

• 如：'+use123+' 这里可以猜测爆破用户名的列

• 获取密码：'+username+' 这里直接爆破密码，密码正确即登录成功，有几个密码就有几个用户名

• 获取用户名

• 这里拿到两个密码，逆推用户名

• 回到这里，两种方式，一种直接爆破用户名，一种报错注出用户名，毕竟是SQL注入靶场，用报错来。

• select * from 用户表 where username ='用户名' AND password ='密码'

• '+username/1+' 这里与获取密码的原理一样，给了正确的密码，数据库去寻找对应密码的账户去除1，字符串不能运算，报错出用户名

• 密码为1的用户名使用'+username/1+'却直接登录成功了

• 说明密码为1的用户名是一个数值，我直接就是一个爆破！结果 1/1

• 利用NTFS流::$DATA绕过

• 在Windows中如果文件名+::$DATA会把::$DATA之后的数据当成文件流处理，不会检测后缀名，且保持::$DATA之前的文件名，他的目的就是不检查后缀名

• 例如：phpinfo.php::$DATAWindows会自动去掉末尾的::$DATA变成phpinfo.php

• 注：这是NTFS文件系统具有的特性，FAT32文件系统无法利用

• 上传.user.ini文件绕过

• 头像上传处先上传一个php马的png

• http://xxxxxx/include.php?page=about.php

• 简单构造：http://xxxxxx/include.php?page=../uploads/076w.png

• 上马有个360哦，自己想办法搞个免杀马吧，我就不提供了

• 查看版本

• 就用mssql bypass 360那篇文章就好了，我就直接展示了

先狗头保命[旺柴]

1号讲师：Syst1m

（拍桌狂笑.jpg）这不就是那位把HW当自家后花园溜达的「红蓝双修の人间凶器」Syst1m师傅吗？战绩直接跪了——防守方第一、攻击方前十、单兵打穿三甲医院... 怕不是自带「漏洞透视眼」+「免杀外挂」？

【硬核实力拆解】

1. 渗透打点の「祖传手艺」

1. 免杀の「魔法攻击」

1. 防守方の「上帝视角」

【实战成果の含金量】

• 2023成渝护网防守方第一：带队刚翻40+重点系统，把供应链攻击和钓鱼路径堵得连蚊子都飞不进

• 单兵打穿三甲医院：靠一个弱口令从挂号系统直捣核心数据库，医院信息科至今没想明白咋被偷家

• 电力/运营商HW前十：这行业防护比ATM机还硬，能杀进前十的怕是掌握0day批发技能？

划重点：想偷师建议速冲B站搜 "Syst1m丶"，视频保不齐哪天就被网警叔叔盯上（手动狗头）（小声：据说报名他课程还送《HW攻防黑话词典》，学会后骂甲方都显得专业）🔥

2号讲师：Juneha

• 2024 360SRC年榜第二

• 2022-2023两年360SRC榜一

• EDUSRC核心白帽子

• 部分竞赛排名

部分已有课程

• b站有部分公开内容，https://space.bilibili.com/66074656?spm_id_from=333.1007.0.0