前端登陆绕过渗透过程 1. 开始1.1 梭哈站点首页看到登录框首先测试一下有没有sql注入，一个1'啪就打进去，提示用户名错误，寄。既然提示用户名错误了那就爆破用户名吧。用户名和密码随便输，抓一个数据包。点击登录后bp竟然没有任何数据包，立马来精神了。bp没有数据包有两种情况：一个是bp出故障了、另一个就是站点靠前端校验没有与后端交互，所以没有数据包产生。我可以肯定我的bp不可能出问题的，所以哈哈哈哈哈哈。1.2 梭哈是一种智慧直接F12大法全局搜索admin字样。喜滋滋账户和密码这不就来了嘛，后台我来了哈哈哈。屮，好家伙用户名对了密码不对是吧。现在bp里有数据包了，看一下数据包里的内容。看到result字样相信在座的各位大佬都坐不住了吧。重新拦截登录的数据包，直接把"result":"false"改成"result":"true"成功登录到后台。2. 分析2.1 完整代码ok现在让我看看他具体的代码是怎么判断，让我看看你是怎么秀的。先看看完整代码：IndexComponent.prototype.goLogin = function() { var t = this; if ("" == this.userName || "" == this.passWord) return void (this.toast = "用户名或密码不能为空!"); if ("adminxhsty" != this.userName) return void (this.toast = "用户名错误!"); var n = { code: this.userName, username: encode(this.userName, "thinkgem,jeesite,com"), password: encode(this.passWord, "thinkgem,jeesite,com") }; $(".loading").show(), this.indexService.goLogin(n).then(function(n) { $(".loading").hide(), "true" == n.result ? (t.isLogin = !1, t.onVoted_changelogin.emit(!t.isLogin), sessionStorage.setItem("sessionid", n.sessionid)) : t.toast = n.message }) }2.2 分析逻辑首先定义了一个goLogin方法，var t = this;将当前对象保存在变量t中，这样在后面的异步回调中可以访问该对象的属性和方法。IndexComponent.prototype.goLogin = function() { var t = this;这段代码首先检查用户名和密码是否为空。如果是空的，则返回：用户名或密码不能为空!。如果用户名不是"adminxhsty"，则返回：用户名错误!。 if ("" == this.userName || "" == this.passWord) return void (this.toast = "用户名或密码不能为空!"); if ("adminxhsty" != this.userName) return void (this.toast = "用户名错误!");如果通过了验证，接下来准备一个包含登录信息的对象n：code：使用输入的用户名。username和password：通过encode函数编码输入的用户名和密码，使用了特定的加密参数"thinkgem,jeesite,com"。 var n = { code: this.userName, username: encode(this.userName, "thinkgem,jeesite,com"), password: encode(this.passWord, "thinkgem,jeesite,com") };接下来，显示页面中的加载动画。然后调用this.indexService.goLogin(n)方法，传递准备好的登录信息n，这个方法返回一个Promise对象。当登录请求完成时，执行接下来的动作：根据返回的数据n中的result字段判断登录是否成功。如果n.result是字符串"true"，则表示登录成功。如果n.result是字符串"false"，则显示相应的错误消息。 $(".loading").show(), this.indexService.goLogin(n).then(function(n) { $(".loading").hide(), "true" == n.result ? (t.isLogin = !1, t.onVoted_changelogin.emit(!t.isLogin), sessionStorage.setItem("sessionid", n.sessionid)) : t.toast = n.message })

kali开启ssh服务 1. 教程开始输入命令修改sshd_config文件（root用户下操作）vim /etc/ssh/sshd_config开启行号:set number找到第32行、37行的注释取消，并把no改为yes重启ssh服务/etc/init.d/ssh restart查看kali地址ifconfig连接工具配置好相关信息即可连接到kali

使用VMware安装kali虚拟机 1. 获取工具https://www.kali.org/get-kali/#kali-installer-images2. 教程开始首先访问下载地址，根据个人需求下载相应版本，我这里下载64位everything版本打开VMware，点击右上角文件-新建虚拟机，选择自定义，然后下一步这里选择默认选项，然后下一步选择稍后安装操作系统，然后下一步操作系统选择linux，版本选择Debian，然后下一步自定义虚拟机名字和安装位置，然后下一步按实际情况配置虚拟机，然后下一步按实际情况配置虚拟机，然后下一步保持默认，然后下一步保持默认，然后下一步保持默认，然后下一步保持默认，然后下一步按实际情况分配空间，选择将虚拟磁盘存储为单个文件，然后下一步保持默认，然后下一步点击完成回到VMware主页，在左侧右击目标，点击设置-CD/DVD-使用ISO映像文件-浏览，选择下载好的kali镜像文件，然后点击确定点击开启此虚拟机选择第一个选项，然后下一步选择中文，然后下一步选择中国，然后下一步选择汉语，然后下一步自定义名字，然后下一步不做调整，直接下一步自定义用户名，然后下一步自定义用户名，然后下一步自定义密码，然后下一步选择第一个，然后下一步选择第一个，然后下一步选择第一个，然后下一步选择第二个，然后下一步选择是，然后下一步默认，然后下一步选择是，然后下一步选择/dev/sda，然后下一步重启进入系统后有时还是英文，这时候需要在root状态下输入dpkg-reconfigure locales接着滑动鼠标拉到底，找到简体中文的语言包：zh_CN.UTF-8 UTF-8选择中文语言包，然后回车设置完成

VMware虚拟机的下载与安装 获取工具产品界面https://www.vmware.com/products/desktop-hypervisor/workstation-and-fusion下载软件https://support.broadcom.com/group/ecx/productdownloads?subfamily=VMware%20Workstation%20Pro激活密钥MC60H-DWHD5-H80U9-6V85M-8280D JU090-6039P-08409-8J0QH-2YR7F 5Y012-8HL8P-0J8U0-032Q6-93KKF下载软件访问官网，点击产品按钮点击产品按钮后往下拉会有两个按钮，两个都可以点，不过建议点击查看所有产品按钮。虽然旁边的按钮可以直达想要的软件但是有时候官网没有这个按钮。点击查看所有产品按钮后在搜索框中搜索Desktop，然后点击右侧搜索到的内容然后点击红框中的按钮进入站点后，登录账号（没有账号可以点击右上角按钮注册）进入站点后，点击右上角按钮，选择第五个按钮向下翻找到VMware Workstation Pro并点击按照图片点击按钮点击下载标志即可下载安装教程双击启动安装程序，点击下一步接受许可证，点击下一步自定义软件安装位置，其他保持默认，点击下一步保持默认，点击下一步保持默认，点击下一步点击安装安装完成，点击许可证，并输入激活密钥，最后点击完成永久激活

非预期文件上传TXT导致存储型XSS奇葩案例 1. 瞎逛1.1 常规测试站点首页。有注册功能，那就注册成为尊贵的用户吧。进入个人中心发现用户的头像处可以上传文件。1.2 分析数据包先上传一个正常图片看看数据包。发现上传头像后站点会有两步操作：第一步对上传的文件进行检验是否为合规文件，第二步对图片进行裁剪，最后把裁剪后的图片设置为头像。在设置头像的数据包中发现图片信息的上半段为二次渲染的标记，下半段为图片信息。知道了逻辑那就直接在第二步中修改文件信息吧。2. 开测2.1 尝试通过插件知道这是一个php的站。上传一个纯代码文件，在第一步中就失败并返回只能上传jpg、jpeg和png格式的文件的提示，难道是对文件头有限制？上传一个正常的图片。通过第一步的检验后，进入第二步裁剪完成后拦截上传头像的数据包，转发到repeater模块把图片名字cropper.jpg改为cropper.php，在图片信息末尾加上恶意代码然后放包。返回的还是只能上传jpg、jpeg和png格式的文件。2.2 迷糊把文件信息改成123456看看效果什么样。能显示啊这是为什么？把文件末尾信息改成123456<?php @eval($_POST['1']);?>123456访问后只保留了两个123456，中间的代码被删除了。头回遇到这种情况啊。3. 存储型XSS3.1 开眼虽然php没法利用了，但是至少还有html。可以弄一个存储XSS保底也还行，传上去访问文件竟然不显示。G，啥都没有。闲的无聊把文件后缀改成txt重新发包。访问目标文件，属实给我开眼了。非预期文件上传TXT导致存储型XSS！闻所未闻，想都不敢想的事啊！