#SPF郵件偽造漏洞

windows命令: nslookup -type=txt xxx.com

linux命令: dig -t txt huawei.com

發現spf最后面跟著~all，代表有漏洞，利用swaks可以偽造郵件發到自己郵箱測試。163可行

#sourcemap文件泄露漏洞

油猴腳本：sourcemap-searcher、burp hae插件

在F12控制臺輸入sms()，下載下來，使用nodejs反編譯

reverse-sourcemap --output-dir . 2.11aef028.chunk.js.map

#DNS域傳送漏洞：

域傳送是DNS備份服務器從主服務器拷貝數據、若DNS服務器配置不當，未驗證身份，導致攻擊者可以獲取某個域所有DNS記錄，造成網絡拓撲結構泄露。

1) nslookup #進入交互式shell

2) server dns.xx.yy.zz #設定查詢將要使用的DNS服務器

3) ls xx.yy.zz #列出某個域中的所有域名

4) exit #退出

#業務邏輯漏洞：

由于程序不嚴謹，導致一些邏輯處理不正常或處理錯誤。大致包括：繞過功能限制、遍歷、越權、弱口令、信息泄露、任意用戶密碼重置、競爭性問題等，存在支付安全、驗證碼安全。

1.突破功能限制，如一個訂單用一個優惠券，當日最大交易額，嘗試重放或條件競爭，驗證碼能多次使用或萬能0000驗證碼甚至會返回驗證碼

2.繞過權限驗證（越權），找到鑒權參數，嘗試換成其他鑒權參數，或者替換cookie，更換某些參數，例如view_controller改成edit_controller、在用戶注銷后再注冊相同用戶名發現擁有原來用戶權限、構造數組繞過第一個元素校驗，user[0]=1&user[1]=2...

3.支付安全相關：數字溢出、精度問題、負數、修改參數、支付接口、條件競爭、重放攻擊。重放攻擊由于多線程訪問同一共享代碼，未使用鎖操作。

#JWT漏洞(jsonwebtoken)：

token的一種實現方式，以json形式，服務器返回token，每次請求將JWT攜帶作身份認證，JWT分為header,payload,簽名，前兩段用base64，存放著alg簽名用的算法(hs256)以及typ令牌類型(JWT)。某些時候可以通過修改paload中身份信息，造成越權，或更改header中alg算法為none，丟棄第三段簽名，服務器不做簽名認證。

#提權

##mysql udf提權：(userdefined function用戶自定義函數)

利用條件：1.知道數據庫用戶密碼；2.mysql可以遠程登錄；3.mysql有寫入文件權利(即secure_file_priv值為空，5.5之前默認為空，之后為Null)

需要上傳udf提權的動態鏈接庫(.dll文件，可以通過msf或者sqlmap獲取)，5.1版本之前要放在C:windowssystem32，5.1后放在mysql目錄下的lib/plugin，也可以show variables like "%plugin%";查詢，create function cmdshell return string soname "udf.dll"創建cmdshell函數，之后只需要select cmdshell('xxx')執行任意命令。參考：https://blog.csdn.net/weixin_45945976/article/details/121679711

##dirtycow臟牛漏洞(linux提權):

cow就是copy on write，競爭條件型漏洞，可拿root權限

##令牌竊取提權(windows):

令牌是用戶登錄后，生成accessToken在執行進程時會使用，能訪問到什么資源取決于拿著誰的令牌。msf可以根據進程pid號竊取令牌，達到提權。命令steal_token [pid]。

##at提權：

at是windowsXP內置計劃任務命令，默認以system權限運行，通過“at 時間 /interactive cmd”命令在指定時間后開啟interactive交互模式。windows7已經取消at命令。

#SQL注入：

##mysql常見函數及變量：user(),database(),version(),@@datadir數據庫路徑，@@hostname主機名，@@versuib_compile_os操作系統，basedir安裝路徑

##報錯注入：https://blog.csdn.net/qq_38265674/article/details/112385897

1.extractvalue()是對XML進行查詢數據，用法是extractvalue(XML_document,Xpath_string)，第二個字段可以放入想查詢的語句，例如extractvalue(1,database())，同理updatexml()也是如此，語句為"select * from ctf_test where user='1' and 1=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1);"擁有三個數值，用來替換值。

2.floor報錯，語法是select count(*),concat(database(),floor(rand(0)*2)) as x from users group by x; 原理是rand隨機數，floor向下取整，group by與rand()使用時，如果臨時表中沒有該主鍵，則在插入前rand()會再計算一次，然后再由group by將計算出來的主鍵直接插入到臨時表格中，導致主鍵重復報錯

3.exp報錯，exp(x)是取e得x次方，當輸入值大于709會報錯，在值前面加上"~"取反符，構造語句是"select exp(~(select*from(select table_name from information_schema.tables where table_schema=database() limit 0,1)x));"一定要使用嵌套

4.pow()報錯，與exp()同為數據溢出報錯，pow(x,y)計算x的y次方，可通過報錯來進行盲注。

#LDAP注入：

https://blog.csdn.net/m0_52923241/article/details/120384154

#XSS漏洞語句：

審核編輯 黃宇