1.某商城最新CMS从0day审计到漏洞利用
2.2023最新版超详细Sqlmap安装保姆级教程，源码SQL注入使用指南，源码收藏这一篇就够了
3.DVWA实战篇12分钟学会 SQL 注入攻击实战
4.拿站的源码步骤分几步
5.第79篇：记一次Oracle注入漏洞提权的艰难过程
6.6款较流行的开源漏洞扫描工具推荐及特点分析

某商城最新CMS从0day审计到漏洞利用

       吃个早餐，开始了新的源码一天。朋友分享了最新的源码商城CMS给我，我决定帮忙审计，源码金牌源码台子并分享这次经历。源码

       首先，源码我部署了网站源码并查看了前台和后台页面。源码接着，源码使用工具进行了初步审计。源码我了解到，源码尽管多入口CMS有时工具难以发现漏洞，源码工具仍能提供半辅助作用。源码

       我分析了item.php中拼接参数的源码部分，使用Sublime Text3打开进行研究。在SQL语句中，发现id值直接拼接，随后分析了Req()、Qry()、Qra()函数，发现它们没有过滤。

       我进一步查看require引入的common.php文件，发现Qry和Qrc函数为正常数据库操作，而Req函数只是一种接受参数的方式。但函数内有Rpl函数，它进行了字符串替换，替换了加号、空格等字符。

       在SQL语句中，$n通过"."进行拼接，无需单引号或双引号闭合。我构造了payload进行注入尝试，发现可以成功绕过Rpl函数。

       为了验证，我使用了SQLMAP工具并找到了一个空格替换为/**/的tamper。通过运行sqlmap构造参数，我成功找到了数据库test2中的xxx_admin表及其字段Nm和Np的内容。

       最后，我总结了这次审计的经验，强调了使用过滤方法，如PDO预编译，来修复漏洞的重要性。文章源于微信公众号（米瑞尔信息安全），由作者啊giao撰写。

最新版超详细Sqlmap安装保姆级教程，连线游戏源码制作SQL注入使用指南，收藏这一篇就够了

       sqlmap 是一个用于 SQL 注入的自动化工具，支持多种数据库，如 MySQL、Oracle、Access 等。它具备多种独特功能，例如数据库指纹识别、枚举、数据提取、访问目标文件系统，甚至在获取完全权限时执行任意命令。sqlmap 跨平台且易于使用，是 SQL 注入领域的强大工具。

       安装 sqlmap 需要先安装 git：

       apt-get install git

       然后克隆 sqlmap 代码库：

       git clone git://github.com/sqlmapproject/sqlmap.git

       测试 sqlmap 是否正常工作，前提需要安装 Python 2：

       apt install python2

       cd 到 sqlmap 目录：

       cd sqlmap/

       运行 sqlmap 命令并查看帮助手册：

       ./sqlmap.py -h

       检测 SQL 注入：

       1. 手动判断是否存在漏洞。对动态网页进行安全审计，通过接受动态用户提供的 GET、POST、Cookie 参数值、User-Agent 请求头。构造 url1 和 url2，如果 url1 访问结果与原始网页一致，url2 不一致，表示存在 SQL 注入。

       2. 使用 sqlmap 自动检测漏洞。检测语法为：sqlmap.py -u 目标 url。

       3. 寻找 SQL 注入实例，通过百度搜索特定字符串并测试 URL。

       进行数据库操作：

       列数据库信息：--dbs

       获取当前使用的数据库：--current-db

       获取当前用户：--current-user

       列出 SQL Server 所有用户：--users

       列出数据库账户与密码：--passwords

       指定数据库列出所有表：-D 数据库名 --tables

       指定数据库表列出所有字段：-D 数据库名 -T 表名 --columns

       导出指定字段的数据：-D 数据库名 -T 表名 -C 字段名 --dump

       指定范围导出数据：-D 数据库名 -T 表名 -C 字段名 --start 行数 --stop 行数 --dump

       SQLMAP 实用技巧：

       绕过 WAF 注入：修改 sqlmap 源代码文件，使用特定的绕过方法。

       URL 重写测试：使用特殊字符进行注入测试。

       列举并破解密码哈希：sqlmap 列举用户并尝试破解密码。

       获取数据个数：使用 --count 参数。

       网站漏洞爬取：使用 --batch --crawl 参数。

       预估时间注入：使用 --eta 参数。

       使用 hex 避免编码问题：使用 --hex 参数。

       模拟手机环境：使用 --mobile 参数。

       智能判断测试：使用 --batch --smart 参数。

       结合 burpsuite 使用：使用 -r 参数读取抓包文件。

       自动填写表单注入：自动化表单填写功能。

       读取文件：使用 --file 参数读取特定文件。

       延时注入：使用 --technique 参数。

       结合 burpsuite 进行 post 注入：通过配置 burpsuite 代理拦截请求。

       cookies 注入：通过 --cookies 参数进行 cookies 注入。webrtc+流程+源码

       MySQL 提权：连接数据库后，利用 sqlmap 上传特定插件。

       执行命令：特定权限下可执行命令。

       通过以上步骤和技巧，可以全面掌握 sqlmap 的使用方法，有效进行 SQL 注入测试和数据库操作。

DVWA实战篇分钟学会 SQL 注入攻击实战

       SQL注入是一种通过操纵Web应用的查询语句来执行恶意SQL命令的攻击手段。它利用应用程序中安全漏洞，能获取或修改数据库内容。SQL注入主要分为普通注入和盲注，前者通过页面显示数据逐步获取信息，后者则需猜测SQL语句的正确性。类型上，根据注入数据类型，分为数字型和字符型；提交参数方式有GET和POST等。

       在低级别SQL注入实战中，通过手工注入发现DVWA网站存在漏洞。首先，在安全级别为Low的页面中，通过GET方式注入，观察报错信息判断数据库类型，然后逐步利用'字符和#符号进行测试，确定字符型注入，进一步通过联合查询获取表名、字段名和敏感信息。自动化工具SQLMap可以协助探测数据库和表信息，甚至解密密码。

       在Medium级别，通过POST方式注入，需要借助工具如Burpsuite绕过防注入机制。使用HEX编码绕过mysql_real_escape_string函数，成功获取字段名和密码。

       在High级别，页面结构复杂，但通过分析源码和尝试注入，仍然能发现字符型注入，并进行类似低级别的操作。Impossible级别则采用PDO技术，几乎消除了SQL注入的可能性。

拿站的步骤分几步

       下面我就把我拿站的步骤给说一下。

        第一：找后台。利用所知道的所有知识找后台。工具，猜目录。等等 （工具：啊D 明小子 萝卜 清凉的aac源码输出无声目录扫描软件 ）

        第二：后台找到了那么就社工下，看看能不能利用弱口令或者万能进去。进去就好说了直接拿SHELL。但是若口令不行只有其他办法了。

        第三：找SQL注射点。GOOGLE语法 sqlmap 手工 WVS 等等，都可以帮大家找 。

        第四：没有注射，旁注。 明小子就有这个功能。还有就是www.bing.com 这个网站，ip.wen.la

        都是找旁注不错的方法。

        第五：没旁注 ，那就得看服务器了 ，开启了什么端口。比如 什么的。这些端口大家懂的。FTP是有办法爆破的。

        第六：敏感端口没有开启。那就返回来继续观察网站。看下网站的设计。有什么网站是和这个网站是一样的。可以拿下那个网站下载下源码查看下有什么漏洞。

        总结：据我所知一般的网站都是有XSS漏洞的。虽然没多少权限，但是多数前台权限还是有的。

        最后说下要学习渗透的步骤。这个只是我自己的想法。

        各种工具利用----了解各种数据库（access mysql mssql ）-----手工学习（更容易了解网站原理）----做笔记（把自己拿站的笔记记下，拿复杂的站会有用的。）暂时就说这么多了。

第篇：记一次Oracle注入漏洞提权的艰难过程

       大家好，我是ABC_。我近期遇到了一个Oracle注入漏洞，是搜索型的盲注漏洞，只能通过折半法一个字符一个字符的猜解数据。经过判断，发现这是DBA权限的注入点。接下来，我将分享如何通过这个注入点获取操作系统的权限，并且分享了在技术研究过程中遇到的问题和解决方法。

       在解决这个问题时，我进行了两方面的优化来加快SQL注入的速度。首先，我在search=%语句中加入了存在结果很少的搜索值，比如将search=%，盯庄跟庄源码只显示出一条搜索结果，这样可以减少数据库的检索量和HTTP返回的数据包大小，从而加快SQL注入的速度。其次，我修改了SQLmap的默认个线程限制，这需要修改SQLmap的源码，这里就不详细解释了。

       在Oracle注入提权的语句方面，我注意到很多文章给出的语句通常分为三个步骤，其中第二步就是赋予当前Oracle账号相关的JAVA权限。然而，这个语句包含了大量的单引号和左右尖括号，有时候会被转义掉导致注入失败，而且这个语句异常复杂，容易出错。因此，我使用了一个简单的语句替代，效果更佳。这个语句的格式是BEGIN开头，然后end;结尾，代表一个PL/SQL语句块，如下所示：select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ''grant javasyspriv to test''; end;') from dual。

       我使用了SQLmap的--sql-shell命令将上述语句执行，但是最后执行的命令没有成功。在处理这种情况时，我通常有两种可能：一是执行命令被拦截，二是Java代码没有执行成功。因此，我使用了如下SQL语句进行判断，结果返回0，说明函数没有添加成功。经过一系列测试，我发现是SQLmap的SQL-shell下功能下，上述复杂的SQL语句根本没执行成功。

       为了更方便地执行Oracle的复杂SQL语句，我将SQL注入语句进行了修改，通过and (插入SQL语句) is not null的方式，可以在左右括号中插入各种Oracle的SQL语句。然而，这种方法也遇到了WAF拦截的问题。为了解决这个问题，我使用了Oracle特有的编码方式，将SQL语句成功执行。再次执行查询LinuxUtil是否存在的SQL语句，发现返回count()不为0，说明Java代码成功添加执行。然而，LinuxUtil命令依然无法执行，我怀疑是Java权限没有添加成功。我执行了查询当前用户权限的语句，发现当前用户具有CONNECT、RESOURCE、JAVASYSPRIV权限，说明Java相关权限确实是添加成功了。然而，为什么还是无法调用LinuxUtil命令呢？我重新搭建了测试环境，使用Navicat执行Oracle提权语句后，发现报了权限错误。

       在查阅大量国外文章后，我发现判断当前用户是否有Java权限，需要查询session_roles表。该表用于显示当前会话中的角色信息，必须session_roles中有JAVASYSPRIV权限才行。我尝试断开Oracle当前账号的连接，重新连接之后，session_roles表中就有相应权限了。然而，我们是在SQL注入点，无法断开重连，那么如何使Java权限立即生效呢？国外文章给出了几种方法，但执行后仍然无法解决问题。

       在等待第二天后，惊奇地发现session_roles中存在JAVASYSPRIV角色了，我也不清楚原因，但此时可以通过select LinuxExecHanshu('whoami') from dual执行命令。然而，盲注过程太麻烦，我选择结合SQLmap的SQL-shell终端来盲注入，因为该SQL语句比较简短，SQLmap的SQL-shell模式猜解是完全无压力的。最终，我们成功获取了系统权限。

       总结来说，这个dbms_xmlquery.newcontext函数在高版本的Oracle数据库中已经不能提权成功，甚至不能使用，需要使用其他方法进行提权。在本地搭建的Oracle环境中，大多数情况下可以直接提权成功，但极少数情况下需要断开重连，具体原因不明。如果文章中有错误，欢迎批评指正。后续，我将继续分享Oracle提权的其他方法，敬请期待。

6款较流行的开源漏洞扫描工具推荐及特点分析

       漏洞扫描是网络安全的重要一环，未修复的漏洞是网络犯罪分子的攻击目标。企业数据安全事件往往源于已知漏洞，尽管有补丁，仍可能无法及时发现和修复。开源漏洞扫描工具因其开放源代码特性、社区支持和更新频度，在组织中广泛应用。本文推荐并分析了6款流行的开源漏洞扫描工具。

       1. **Nmap**：一款自动化安全测试工具，适用于各种操作系统，快速扫描大型网络，检测开放端口、服务、操作系统版本等信息。功能全面，易于上手，且拥有庞大的用户群。

       主要特点：快速端口查询、基于协议的扫描、广泛的功能和工具、持续增长的检测脚本库、兼容所有开放端口的设备。

       不足：无正式客户支持，需一定经验或编程能力。

       2. **OpenVAS**：提供全面渗透测试能力，支持未经身份验证的测试、目标扫描和Web漏洞扫描，源自Nessus，现为Tenable的商业化产品。更新频繁，免费版本功能全面。

       主要特点：每日更新威胁信息源、功能全面、多系统扫描、主流社区支持、上下文信息丰富。

       不足：专业门槛高、多任务扫描可能崩溃、高级功能需付费。

       3. **ZAP**：Zed Attack Proxy（ZAP）为渗透测试提供了友好的界面和自动化扫描器，同时也支持手动查找漏洞。具备DAST能力，可模拟用户行为进行漏洞测试。

       主要特点：自动化扫描、手动工具、API和Docker集成、Crash Override奖学金支持、广泛使用。

       不足：部分功能需插件、专业知识要求、误报率较高。

       4. **OSV-Scanner**：由谷歌开发的开源工具，用于静态软件组成分析，检测编程代码安全漏洞，支持多种编程语言，获取大量漏洞信息，支持API和GitHub集成。

       主要特点：支持多种编程语言、大量信息源、API和GitHub集成、JSON存储。

       不足：仅检查开源库漏洞、新工具，未纳入主流认证。

       5. **CloudSploit**：Aqua公司维护的开源云基础设施扫描工具，持续监控云环境，发送实时警报，检查云和容器部署漏洞及常见配置错误。

       主要特点：扫描多云环境、实时警报、API调用、广泛云支持。

       不足：某些功能需付费、需与其他安全工具结合、专注于公有云。

       6. **sqlmap**：专注于数据库漏洞扫描的工具，自动化SQL注入测试，支持多种数据库服务器，具备强大测试引擎，识别多种注入攻击。

       主要特点：DBMS连接测试、命令行操作、多种SQL注入类型支持、密码哈希和破解功能、多种数据库管理系统支持。

       不足：命令行操作、仅针对数据库漏洞、需数据库专业知识。

SQLMap 源码阅读

       本文主要解析了SQLMap的源码阅读流程。首先，我们确认了SQLMap运行的流程图，这有助于我们深入理解源码。在开始SQLMap运行前，程序进行一系列初始化操作，包括环境设置、依赖加载、变量配置等。

       接下来，我们处理URL。通过cmdLineParser()从命令行获取参数，进而通过initOptions(cmdLineOptions)解析这些命令行参数。初始化函数中，通过loadBoundaries()、loadPayloads()、_loadQueries()加载payload，这些函数负责从XML文件中加载边界、payload和查询。在loadBoundaries()中，程序读取data/xml/boundaries.xml文件并解析其中的XML，将结果添加到conf对象的tests属性中。conf对象存储了目标的相关信息以及配置信息。

       在URL处理阶段，程序通过getCurrentThreadData()获取当前线程数据，并调用f(*args, **kwargs)进行处理。这里的逻辑位于/lib/controller/controller.py文件下，主要工作包括打印日志、赋值和添加HTTP Header等，最终到达parseTargetUrl()函数。在该函数中，程序进行URL的剖析与拆解，并将这些内容保存到conf对象的对应属性中，以便后续使用。

       接着，SQLMap会生成注入检测的payload，核心代码位于controller.py文件的行。在setupTargetEnv()函数中，程序调用hashDBRetrieve()函数，根据参数KB_INJECTIONS检索payload。payload生成逻辑在第行，执行SQL语句并使用basePickle进行加密。最终，程序生成payload并进行探测，如果目标返回Connection refused，则返回False。

       在WAF检测部分，当URL处理完毕后，程序进行探测，判断目标是否存在WAF。如果存在WAF，则生成用于fuzz的payload，这个payload基于 view查看域内主机，使用hashdump抓取用户hash值，获取域控IP地址和计算机名。编译并测试zerolgin脚本，将其设置为空密码。配置kali代理，获取域控hash值并登录，关闭防火墙使用pth上线cs，生成tcp监听后jump到域控主机，成功恢复密码并获取hash值。

       项目涉及环境搭建、信息收集、工具利用、手写exp、外网打点、内网穿透、内网渗透、域渗透等全面技术，是一次从外网到内网、再到域控的完整渗透测试演练。尽管靶机未安装杀软，但此过程展示了从外网到内网、再到域控的广泛知识和技能。