小白干活笔记，大神轻喷:P
update 2017-9-21

涉及的知识面整理（部分）

• web服务器
• web框架
• web后端语言
• 协议

web服务器

|--服务器配置
|  |--IIS服务器
|  |  |--配置WebDAV权限不当 参考链接--http://www.webkaka.com/tutorial/iis/2017/033019/
|  |  |--IIS短文件名暴力猜解漏洞 参考链接--http://www.lijiejie.com/iis-win8-3-shortname-brute/
|  |--Apache服务器
|  |  |--.htaccess文件配置 可用于写webshell
|  |--Nginx服务器
|  |  |--Nginx开启autoindex配置不规范导致目录遍历 参考链接--http://netsecurity.51cto.com/art/201212/371578.htm
|  |  |--Http Header被覆盖导致CSP失效 参考链接--https://www.leavesongs.com/PENETRATION/nginx-insecure-configuration.html
|  |  |--配置跳转导致CRLF注入 参考链接--https://www.leavesongs.com/PENETRATION/nginx-insecure-configuration.html
|--服务器漏洞
|  |--IIS服务器
|  |  |--IIS6.0解析漏洞 参考链接--http://www.vidun.com/VwInfoMonitorHelp/pack_for_iis_parser.htm
|  |  |--IIS7.0 IIS7.5畸形解析 webshell.jpg/.php
|  |--Apache服务器
|  |  |--解析漏洞 webshell.php.rar 参考链接http://www.cnblogs.com/milantgh/p/5116955.html
|  |--Nginx服务器
|  |  |--Nginx <8.03 空字节代码执行漏洞 webshell.jpg%00.php
|  |  |--Nginx <8.03 畸形解析漏洞 webshell.jpg/.php
|  |--Tomcat服务器

web框架

|--开发框架
|  |--底层sql防护
|  |  |--ThinkPHP<3.1.3 parseSql函数未做过滤
|  |  |--phpcmsV9 safe_replace函数过滤逻辑有误
|  |--业务流程导致注入
|  |  |--Wordpress<4.2.3 untrash文章时造成的SQL注入漏洞
|  |  |--Joolma3.2-3.4.4 com_contenthistory模块存在注入
|  |  |--Joomla 3.7.0 com_fields模块存在注入
|  |--插件漏洞
|  |  |--wordpress插件漏洞 扫描工具wpscan
|  |  |--Discuz!插件漏洞 扫描工具dzscan
|  |  |--struts2插件漏洞
|  |  |  |--基于Jakarta plugin的s2-045
|  |  |  |--REST插件的s2-052
|  |  |  |--Convention插件的CVE-2016-6795
|  |--eval等处过滤不严导致任意代码执行
|  |  |--wordpress<=4.6.1任意代码执行
|  |--反序列
|  |  |--Joomla 1.5 to 3.4全版本rce
|  |  |--fastjson<=1.2.24 反序列化rce
|  |--缓存
|  |  |--ThinkPHP3.2.3-5.0.10缓存函数设计缺陷导致Getshell
|  |  |--WordPress缓存插件WP-Super-Cache存在xss
|  |--文件上传
|  |  |--phpcmsv9 任意文件上传
|  |  |--Discuz!NT <=3.9 tools/ajax.aspx 文件上传漏洞
|  |  |--Joolma3.1.4 任意文件上传
|  |--密码重置
|  |  |--phpcms设计缺陷可重置前台任意用户密码
|  |  |--wordpress 未经授权的密码重置 CVE-2017-8295
|  |--xss

web后端语言(java、python的开发一般都建立在框架之上)

|--php
|  |--php弱类型
|  |  |--'==' 在进行比较的时候，会先将字符串类型转化成相同
|  |  |--array_search is_array函数比较时采用了'=='
|  |  |--strcmp漏洞绕过 php版本小于5.3
|  |--php://伪协议
|  |  |--配合本地文件包含 https://lorexxar.cn/2016/09/14/php-wei/
|  |  |--php://input，配合file_get_contents
|  |--php数组
|  |  |--php数组的下标只是索引，没有顺序 pwnhub公开赛3 
|  |--变量覆盖
|  |  |--全局变量覆盖 开启register_global=ON
|  |  |--extract()变量覆盖
|  |  |--遍历时采用$$形式导致遍历覆盖
|  |  |--parse_str($_SERVER['QUERY_STRING'])导致变量覆盖，可配合文件包含
|  |--序列化
|  |  |--反序列化绕过__wakeup函数 CVE-2016-7124
|  |  |--序列化与反序列化使用不同的处理器伪造任意数据 jarvisoj-phpinfo
|  |  |--PHP < 5.6.30 GMP unserialize() https://gist.github.com/allyshka/14559b28993b3daec63e90335f1a7ad3
|  |--php拓展
|  |  |--xdebug远程调试 https://ricterz.me/posts/Xdebug%3A%20A%20Tiny%20Attack%20Surface
|  |  |--imagick拓展 CVE-2016-3714
|  |  |--gd库拓展 上传webshell http://www.freebuf.com/articles/web/54086.html
|  |--php文件包含

协议

|--Aria2
|  |--任意文件写入 https://ricterz.me/posts/Hacking%20Aria2%20RPC%20Daemon
|  |--ssrf https://ricterz.me/posts/Hacking%20Aria2%20RPC%20Daemon
|--file://
|  |--ssrf 读取本地文件
|  |--phantomjs ajax请求本地文件
|--gopher://
|  |--ssrf
|  |  |--攻击内网Redis
|  |  |--攻击FastCGI
|  |  |--模拟POST GET请求攻击内网服务
|--OpenSSL
|  |--心脏滴血
|  |--DROWN攻击