北京网站建设q.479185700強,百度竞价推广自己可以做吗,做公司网站别人能看到吗6,建设实验中心网站Background
在 HTB#xff1a;BountyHunter 中#xff0c;我们发现 Web Fuzzer 在使用中可以 “更强”#xff0c;我们需要编写 Yak 脚本的事情#xff0c;如果可以经过某些 Web Fuzzer 的优化#xff0c;可以达到同样的效果。
在一个标签中#xff0c;我们实现{{base6…Background
在 HTBBountyHunter 中我们发现 Web Fuzzer 在使用中可以 “更强”我们需要编写 Yak 脚本的事情如果可以经过某些 Web Fuzzer 的优化可以达到同样的效果。
在一个标签中我们实现{{base64(xxxx)}}即可把内容进行 base64 编码但是经常性我们在 base64 之后需要过一层urlescape或者加前后缀进行其他变换。一般这种情况我们需要自行编写脚本来实现。
HowTo
众所周知Fuzz Tag 是 Yakit Web Fuzzer 的灵魂在实际的工程实践中我们可能会使用各种各样的 tag 来实现核心功能
Fuzz 一个参数的证书范围我们常用{{int(1-100)}}为一个参数值增加一个随机字符串我们使用{{randstr(10,10)}}针对某一个位置进行爆破比如爆破目录等我们通常使用{{x(dictname)}}
但是往往在实战中需要面对的参数是非常复杂的上述类似的简单标签只能覆盖百分之六十的情况那么如何解决后面的问题 我们尝试了标签组合把标签分为 “普通标签” / “编码标签”。但是实际上效果并不理想编码可能会多次叠加这是非常要命的缺陷那么我们要一次性解决这个 “多次叠加” 的问题方法绝对不是剪枝。 就像 Yak 解决 Yaml PoC 的问题理论上来说要解决这个问题最好的方案就是 “让标签图灵完备”。
技术核心热加载 HotPatch
众所周知在 Yakit MITM 插件中HotPatch 是一个非常有意思的设定在劫持过程中任何用户输入的 Yak 代码均可以随时加载到 MITM 过程中执行。
那么基于这项技术我们在 Web Fuzzer 执行数据包修复和渲染之前让用户输入一段 Yak 代码我们利用类似 MITM 插件的 “热加载技术”让 Yak 成为 Web Fuzzer 和用户自定义代码中的桥梁编写 “函数”在恰当的时候执行这个回调函数就可以很好的实现标签核心代码 “图灵完备”。
定义与详解
我们在 Web Fuzzer 的高级使用中已经很习惯于{{x(dictname)}},{{int(1-100)}}这类操作在我们最新的热加载特性中我们新增一个 “热加载标签” 的功能。在大家进入编辑界面后将会看到标签的调试内容。
调用热加载标签
在插件调用时可以不加参数通过 {{yak}} 标签告诉引擎这是一个 yak hotpatch 标签需要配合热加载代码使用。
{{yak(funcname)}}上述内容标签如果配合热加载代码的话可以实现调用代码中名为funcname的函数。
当然我们很可能需要接受一个参数funcname的参数调用方式如下
{{yak(funcname|param)}}我们通过|来分割函数名与参数内容。 按图中配置好后我们可以通过 “执行” 来调试上述标签渲染是否成功。
热加载函数定义
func(param: string) (string | []string, error)
我们实际在定义时可以通过如下案例直接定义
// 定义只有一个返回值的渲染标签
handle func(param) {
return rendered param
}// 定义一个返回多个渲染结果的标签
handle func(param) {
return [param, asdfasdfasd param, foo, bar, param:param]
}// 定义一个返回多个渲染结果的标签(复杂逻辑)
handle func(param) {
list make([]string)
list append(list, param:param)
list append(list, codec.EncodeBase64(param))
return list
}定义一个返回值或者多个文本返回值都会生效定义多个返回值的话会为每一个返回值生成数据包并在 Web Fuzzer 中执行发送。
Best Practice
既然缘起 HTB: BountyHunter我们还用这个靶场中的 XXE 案例来说明我们的执行案例
Walkthrough流程解释 熟悉我们在 HTB 中的 XXE 案例的同学可能对上面的内容非常熟悉data 中的参数经过 base64 和 url 编码我们把它还原之后看到一个 XML然后这个 XML 我们在外面套一层
{{yak(handle|...)}}
之后显然易见的我们需要实现yak(handle|...)的具体内容。我们定义我们的数据包如下
POST /tracker_diRbPr00f314.php HTTP/1.1
Host: 10.129.95.166
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.109 Safari/537.36
Content-Length: 215
Accept: */*
Accept-Encoding: identity
Accept-Language: zh-CN,zh;q0.9
Content-Type: application/x-www-form-urlencoded; charsetUTF-8
Cookie: _dd_slogs1id7ce5ac86-97dd-4e71-952e-f7ad5a3244e6created1651717064428expire1651717980936
Origin: http://10.129.95.166
Referer: http://10.129.95.166/log_submit.php
X-Requested-With: XMLHttpRequestdata{{yak(handle|?xml version1.0 encodingISO-8859-1?
bugreport
title122222222/title
cwe123/cwe
cvss123/cvss
reward123/reward
/bugreport)}}在 “插入热加载标签” 中我们进行如下操作编写一个测试标签编写热加载代码中临时参数
handle func(param) {
return codec.EscapeQueryUrl(codec.EncodeBase64(param))
}接下来我们简单测试一下 于是我们就可以开心地免去编写完整的 Yak 脚本对其测试了。 我们调整 Payload马上就能看到 Payload 产生的影响这其实非常振奋人心调整 Payload 手动的安全测试将变得非常简单且易于操作。
In a Nutshell Conclution
通常来说我们的操作绝不止于此
如果需要 JS 执行我们当然也可以用otto来直接执行对应的编码代码。由于热加载与导出机制的天然优势我们可以在热加载的代码中设置 “全局变量”从而实现一个 Key 再多次使用。Yak 代码只要能执行它内置的所有模块其实都是完全可用的最常见的我们可以在 Yak 代码中执行 Codec 模块下的编码解码函数同样的我们也可以在热加载代码中执行 “扫描代码” 或者 “db 模块下的数据库操作”。
以在热加载的代码中设置 “全局变量”从而实现一个 Key 再多次使用。 3. Yak 代码只要能执行它内置的所有模块其实都是完全可用的最常见的我们可以在 Yak 代码中执行 Codec 模块下的编码解码函数同样的我们也可以在热加载代码中执行 “扫描代码” 或者 “db 模块下的数据库操作”。
网络安全工程师企业级学习路线
这时候你当然需要一份系统性的学习路线
如图片过大被平台压缩导致看不清的话可以在文末下载无偿的大家也可以一起学习交流一下。 一些我收集的网络安全自学入门书籍 一些我白嫖到的不错的视频教程 上述资料【扫下方二维码】就可以领取了无偿分享 文章转载自: http://www.morning.btwrj.cn.gov.cn.btwrj.cn http://www.morning.dzqr.cn.gov.cn.dzqr.cn http://www.morning.dfygx.cn.gov.cn.dfygx.cn http://www.morning.wbhzr.cn.gov.cn.wbhzr.cn http://www.morning.pqkgb.cn.gov.cn.pqkgb.cn http://www.morning.kfcfq.cn.gov.cn.kfcfq.cn http://www.morning.yjfzk.cn.gov.cn.yjfzk.cn http://www.morning.fqqcn.cn.gov.cn.fqqcn.cn http://www.morning.spxk.cn.gov.cn.spxk.cn http://www.morning.gbfuy28.cn.gov.cn.gbfuy28.cn http://www.morning.rkfgx.cn.gov.cn.rkfgx.cn http://www.morning.dmhs.cn.gov.cn.dmhs.cn http://www.morning.wfzlt.cn.gov.cn.wfzlt.cn http://www.morning.xcjbk.cn.gov.cn.xcjbk.cn http://www.morning.sooong.com.gov.cn.sooong.com http://www.morning.ymmjx.cn.gov.cn.ymmjx.cn http://www.morning.fjgwg.cn.gov.cn.fjgwg.cn http://www.morning.yrxcn.cn.gov.cn.yrxcn.cn http://www.morning.hrgxk.cn.gov.cn.hrgxk.cn http://www.morning.dtnjr.cn.gov.cn.dtnjr.cn http://www.morning.kwqcy.cn.gov.cn.kwqcy.cn http://www.morning.mwlxk.cn.gov.cn.mwlxk.cn http://www.morning.qrmry.cn.gov.cn.qrmry.cn http://www.morning.jfjpn.cn.gov.cn.jfjpn.cn http://www.morning.dpruuode.cn.gov.cn.dpruuode.cn http://www.morning.rsfp.cn.gov.cn.rsfp.cn http://www.morning.hfytgp.cn.gov.cn.hfytgp.cn http://www.morning.pcjw.cn.gov.cn.pcjw.cn http://www.morning.gtmdq.cn.gov.cn.gtmdq.cn http://www.morning.rjrlx.cn.gov.cn.rjrlx.cn http://www.morning.rtpw.cn.gov.cn.rtpw.cn http://www.morning.jfwbr.cn.gov.cn.jfwbr.cn http://www.morning.rdkqt.cn.gov.cn.rdkqt.cn http://www.morning.nhlnh.cn.gov.cn.nhlnh.cn http://www.morning.nypsz.cn.gov.cn.nypsz.cn http://www.morning.deanzhu.com.gov.cn.deanzhu.com http://www.morning.spxsm.cn.gov.cn.spxsm.cn http://www.morning.bljcb.cn.gov.cn.bljcb.cn http://www.morning.fypgl.cn.gov.cn.fypgl.cn http://www.morning.xhgcr.cn.gov.cn.xhgcr.cn http://www.morning.bojkosvit.com.gov.cn.bojkosvit.com http://www.morning.gyqnc.cn.gov.cn.gyqnc.cn http://www.morning.qrpx.cn.gov.cn.qrpx.cn http://www.morning.zhoer.com.gov.cn.zhoer.com http://www.morning.dnls.cn.gov.cn.dnls.cn http://www.morning.lqws.cn.gov.cn.lqws.cn http://www.morning.jfjbl.cn.gov.cn.jfjbl.cn http://www.morning.zrbpx.cn.gov.cn.zrbpx.cn http://www.morning.smfbw.cn.gov.cn.smfbw.cn http://www.morning.rpth.cn.gov.cn.rpth.cn http://www.morning.ydflc.cn.gov.cn.ydflc.cn http://www.morning.aiai201.cn.gov.cn.aiai201.cn http://www.morning.pylpd.cn.gov.cn.pylpd.cn http://www.morning.owenzhi.com.gov.cn.owenzhi.com http://www.morning.bqnhh.cn.gov.cn.bqnhh.cn http://www.morning.lzdbb.cn.gov.cn.lzdbb.cn http://www.morning.ylqpp.cn.gov.cn.ylqpp.cn http://www.morning.trzmb.cn.gov.cn.trzmb.cn http://www.morning.lwnb.cn.gov.cn.lwnb.cn http://www.morning.krlsz.cn.gov.cn.krlsz.cn http://www.morning.hhskr.cn.gov.cn.hhskr.cn http://www.morning.ylmxs.cn.gov.cn.ylmxs.cn http://www.morning.zrwlz.cn.gov.cn.zrwlz.cn http://www.morning.jfbgn.cn.gov.cn.jfbgn.cn http://www.morning.nwljj.cn.gov.cn.nwljj.cn http://www.morning.hjlsll.com.gov.cn.hjlsll.com http://www.morning.bmts.cn.gov.cn.bmts.cn http://www.morning.xfmwk.cn.gov.cn.xfmwk.cn http://www.morning.ppdr.cn.gov.cn.ppdr.cn http://www.morning.ygkb.cn.gov.cn.ygkb.cn http://www.morning.hrqfl.cn.gov.cn.hrqfl.cn http://www.morning.jyknk.cn.gov.cn.jyknk.cn http://www.morning.txrq.cn.gov.cn.txrq.cn http://www.morning.qjmnl.cn.gov.cn.qjmnl.cn http://www.morning.skwwj.cn.gov.cn.skwwj.cn http://www.morning.kyytt.cn.gov.cn.kyytt.cn http://www.morning.zkzjm.cn.gov.cn.zkzjm.cn http://www.morning.xnbd.cn.gov.cn.xnbd.cn http://www.morning.sqqds.cn.gov.cn.sqqds.cn http://www.morning.1000sh.com.gov.cn.1000sh.com
