Labs

最近又一个文生视频AI火了。 话不多说，直接上效果！ 若不说是AI生成的，或许很多朋友都会误以为是《小黄人》又出预告片了吧~ 而且这一次，文生视频不再是短短的几秒钟，是直接可以出广告片的那种了。 例如一段有关Pizza的广告是这样的： 画面充斥着警笛、救护等素，结果主人公却是个Pizza，这脑洞也是 ......

INFINI Labs 产品又更新啦~，包括 Easysearch v1.3.0、Gateway v1.16.0、Console v1.4.0、Agent v0.5.1。本次产品更新了许多实用新特性，其中 Easysearch 增加了 kNN 搜索模块，通过相似度判断来根据查询向量查找 K 个邻近的 ......

 INFINI Labs 产品重量级更新！！！本次更新了很多亮点功能，如 Easysearch 新增跨集群复制 ( ......

第一题 直接查看源码 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!") ......

第四十一题 判断为数字型注入，如果使用union注入很快可以，但这里可以使用堆叠查询注入 也是跟上一题一样的。 id=1;insert into users(id,username,password) value (21,'sd','bd')--+d 第四十二题 是一个post型传参 再passwo ......

原来29、30、31真正的题目并不是上章写的，这个我们留到最后再议 第32题 发现对所有特殊字符都进行了转义 理论上来说这道题是不能注入的，因为怎么也闭合不了 但是查看源码发现使用的是gbk编码 这就导致可以考虑宽字节注入，因为\的url编码为%5c 如果在前面加上另一个url编码就可能导致%5c跟 ......

第27题 发现对select和union都进行了顾虑 select双写也进行了过滤 但是三写没有过滤哈哈（颇有种赖皮的感觉） 刚学到一手可以用%00绕过注释符过滤。 ?id='uunionnion(sseselectlectelect(1),(database()),(1));%00 http:// ......

第24题 这道题是一个二次注入，二次注入一般用于白盒测试，也就是需要看源代码寻找漏洞 我们来看创建新用户的代码： 可以看到先对username和pass进行了转义之后插入用户表。这就导致了二次注入的漏洞， 因为经过转义的信息插入之后变成我们想要的信息，到时候可以利用这些信息进行sql注入。 从上面的 ......

第20题 输入用户名密码发现是这样的页面 抓包看看，尝试cookie注入： admin' and extractvalue(1,concat(0x7e,database()))# 其他好做了。 第21题 抓包是这样： 看看这uname什么成分？ 可以看到是对admin先进行了base64编码，然后对 ......

第11题 打开是这种页面 随便输入一个账号密码，查看传参为post方式 这个题有点奇怪，hackbar不能点运行，点了会说form.submit is not a function ：不知道大家有没有遇到这种情况 我们查看源码： 应该是name="submit"冲突了 使用burp suite抓包： ......

LESS-11 POST提交注入 一般的登录情况都是采用的post提交数据、通过抓包获取到登录信息 枚举数据库字段 查出回显字段 ......

LESS—5 查看源代码得到 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 采用的是 ' ' 闭合，若直接使用/?id=1 and 1=1，则在sql语句中是 $sql="SELECT * FROM users WHERE id='id=1 ......

第五关 没有查询信息，盲注，妥妥的 ?id=1'报错 ?id=1'-- -不报错：闭合方式为' 接下来就是一个字母一个字母试了 首先判断库名的长度:?id=1' and length(database())=8-- -正确输出，长度为8 接下来爆出库名为security 爆出库名爆表名：?id=1' ......

INFINI Labs 产品更新啦~，本次产品版本更新包括 Gateway v1.14.0、Console v1.2.0、Easysearch v1.1.1 等，其中 Console 在上一版基础上做了很多优化改进以及新增了一些特性，如新增数据比对校验功能、数据看板模块新增了表格组件、图表组件支持下 ......

哦~原来这几关都是判断闭合方式的， 判断方式：1.?id=1'和?id=1"测试：谁报错跟谁相关 两个都报错：大概率为无闭合 单引号报错双引号不报错：肯定跟单引号有关闭合 测试?id=1'-- -不报错为单引号闭合，报错如果?id=1')-- -不报错为')闭合 双引号报错单引号不报错同理。 2.用 ......

LESS-4 第四关果然不出我所料，是id=("$id")类型的，而且发现输入两次双单引号和一次双引号效果是不一样的，虽然形式看着一样.... 老规矩，先 id=1 id=2 id=1' and 1=1/2。。。 一顿输出都是回显正常，但查询栏目数又不正常，然后又开始乱猜。。。 在输入1"（"是双引 ......

LESS-3 这关有点不同，是因为它在单引号的基础上加了一个括号 还是老规矩，判断类型，当输入id=1和id=2都正常回显，查询栏目数目也是正常的，但爆显示位的时候就无回显 判断存在干扰，输入id=1'康康 注意到这里的单引号，还多了个括号，所以猜测sql语句应该是id=('$id') 那就输入 / ......

LESS-2 和第一关步骤一样，先判断 输入 /?id=1 /?id=2 /?id=1' 输入1,2正常回显但加个单引号报错，说明是数字型，先用order by 判断栏目数量（这里省略），然后再爆显示位 /?id=1 order by xxx /?id=-1 union select 1,2,3 开 ......

LESS—1 第一步：判断是否存在注入点 输入 /?id=1 /?id=2 有数据返回且不同，存在注入 第二步：判断语句是否拼接，且是字符型还是数字型 输入 /id=1 and 1=2 /?id=1' 出现报错，判断是字符型，说明是单引号，闭合则可以用 --+ 来注释掉后面的 ’ 输入 /?id=1 ......

# XSS-labs ## level 1 先查看一下源代码  由此可见并没有任何的过滤措施，直 ......

## level 11 从前端源代码看依然存在隐藏表单 **** 还是先去看源代码 ![imag ......

## level21 先admin:admin登录  由此可见cookie被加密了 可以尝试在每 ......

没有对上传用户名的文件做判断，只对用户输入的文件名做判断 后缀名黑名单 上传文件名用户可控 黑名单用于用户输入文件后缀名进行判断move_uploaded_file() 特性 会忽略文件末尾/.1 建立新文档 输入 <?php phpinfo();?> 命名成PHP文件 有两种模式 一种 末尾加ph ......

这关是尝试在文件后面加点 因为被禁用了很多文件名 但是没有禁用后面加点这一项 那我们就可以进行尝试在文件后面加点经过尝试直接在文件后面加点会被自动删除掉 所以要抓包进行修改上传图片进行抓包查看完成 ......

因为是白盒测试 可以看到前端代码 所以我们知道没有禁用掉字符::$DATA 如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名上传文件进行抓包 修改后缀查看完成 ......

经过查看源码 很多文件格式都被禁掉了提示所以我们要尝试是否是循环验证 循环验证就是没有进行二次验证或者多次验证 只验证了一次 但是加两个点或者加多个空格 这样就只会检测到一次 就只会删除一个 剩下的就可以上传进去上传文件进行抓包 查看完成 ......

上传文件修改后缀文件名 将php修改成pphphp这样就会从前面向后检测 检测到php就会把php 删除掉 这时候没有循环检测或者多次检测 剩下的就还是php 就会上传成功源码提示上传文件 抓包查看完成 ......

%00是url编码，使用GET请求是在url地址中添加，服务器会自动解码，而在post中添加服务器不会将%00解码成空字符此漏洞适用于5.3以下版本发现可以上传文件格式抓包添加php%00抓包完成 ......

上传文件进行抓包上传成功完成 ......

打开靶场发现phpStudy 使用5.3以上版本只允许使用这三种文件格式1 制作图片马 创建一个文件夹里面 准备一张 jpg图片和准备一个一句话木马的php文件 使用notepad++打开图片最后一行添加<?php phpinfo();?>2 打开cmd 使用命令制作图片马输入命令copy 图片位置 ......