RPO攻击技术浅析

最新推荐文章于 2023-03-03 23:08:38 发布
最新推荐文章于 2023-03-03 23:08:38 发布
阅读量549 收藏
点赞数 1
原文链接:https://mp.weixin.qq.com/s?__biz=MzUxOTYzMzU0NQ==&mid=2247483692&idx=1&sn=ecd853bb5cb3e654a08c5214a1b951a2&chksm=f9f7eecace8067dc155346e5204f6eae0df9890af60777234e249021d577226c6989e73a107b&scene=21#wechat_redirect
版权

1.什么是RPO攻击?

RPO(Relative Path Overwrite)相对路径覆盖,是一种新型攻击技术,最早由GarethHeyes在其发表的文章中提出。主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的。

就目前来看此攻击方法依赖于浏览器和网络服务器的反应,基于服务器的Web缓存技术和配置差异,以及服务器和客户端浏览器的解析差异,利用前端代码中加载的css/js的相对路径来加载其他文件,最终浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。

背景分析

在分析RPO攻击技术之前,首先我们得先了解几个关于服务器和客户端浏览器在解析和识别上的差异性基础知识。

第一个差异化:

在apache和Nginx环境下,正常情况访问如下:

在这里插入图片描述

然后在Apache中将/编码为%2f后,服务器无法识别url,返回404,但是在Nginx中将/编码为%2f后,服务器可以识别编码后的url,返回200:
在这里插入图片描述

可见不同web服务器对url的识别是不一样的。

第二个差异化:

在Nginx中,编码后的url服务器可以正常识别,也就是说服务器在加载文件时会解码后找到具体文件返回返回客户端。

但是在客户端识别url时是不会解码的,正常情况下解码%2f解码后应该加载的是rpo/xxx/…/x.js,最后也就是rpo/x.js文件;而这里加载的是/x.js,所以浏览器是没有解码%2f的。
在这里插入图片描述

实际上通过测试,客户端浏览器在加载相对路径文件时是以最后一个/为相对目录加载具体资源文件的。

3.实战解析

第一个场景:加载任意目录下静态资源文件

我们看看下面一个测试环境:

/rpo/111/1.php文件中通过相对路径加载了上层目录既/rpo/x.js和/rpo/x.sss文件。

在这里插入图片描述

然后有一个/rpo/222/x.js文件,x.js文件中内容为alert(1)

在这里插入图片描述

问题:

如果/rpo/222/x.js文件中的内容是我们可控的,但是有过滤不能写入

有没有办法使1.php加载到其他目录的静态资源文件,比如这里让1.php加载到/rpo/222/x.js文件,这样就可以直接执行js代码了。

比如我们输入如下url:

/rpo/222/2.php%2f..%2f..%2f111/1.php

服务器端识别为:

/rpo/222/2.php/../../111/1.php实际上也就是/rpo/111/1.php

客户端识别为:

/rpo/222/2.php%2f..%2f..%2f111/1.php,把2.php%2f..%2f..%2f111当成一个目录,然后在加载静态资源文件时,比如这里加载../x.js时,就会跳转到上一级目录222目录下,最后加载的静态文件为/rpo/222/x.js

此时成功加载到了其他目录下的文件。

在这里插入图片描述

加载静态css文件也是一样的原理,比如这里我们加载/rpo/222/x.css文件,使返回的内容变成红色。

第二个场景:将返回内容按静态文件解析

在很多使用了url_rewrite的php开发框架以及python web框架中,经常使用相对路径来加载静态资源文件,而且url都有一个特征:

比如/rpo/user/id/1,这里表示使用参数为id,值为1的内容访问user接口;

比如/rpo/user.php/name/tester,这里表示使用参数name,内容为tester的内容访问user.php文件等。

那么下面我们看看,如果在这些情况下,使用相对路径加载静态资源文件会有什么问题发生呢?

现在有如下环境:

我们可以提交内容,然后内容会显示到当前页面,而且使用相对路径加载静态文件style.css和script.js文件,这两个文件原本内容为空,此时我们访问:

http://127.0.0.1:8888/RPO_HACK/user/2

在这里插入图片描述

这里表示使用2作为参数请求user接口,此时加载静态文件为:

http://127.0.0.1:8888/RPO_HACK/user/style.css

http://127.0.0.1:8888/RPO_HACK/user/script.js

然后我们提交一段css内容:

{} * {color:red;}

当我们访问:http://127.0.0.1:8888/RPO_HACK/user/2/xxx时:

在这里插入图片描述

这里表示我们使用2/xxx作为参数访问user接口,返回的内容和使用参数2访问返回的内容相同。

但是浏览器客户端认为2是目录,然后加载的静态文件为:

http://127.0.0.1:8888/RPO_HACK/user/2/style.css

http://127.0.0.1:8888/RPO_HACK/user/2/script.js

所以此时加载静态文件返回的内容也是同使用参数2访问时返回内容相同,但是此时浏览器认为这里加载的是样式文件和脚本文件,从而将返回内容解析为css或者js,所以我们提交的css内容:{} * {color:red;} 成功解析为css,将页面渲染成红色。

TIPS1:

这里用到了CSS解析器的一个特性:浏览器在解析CSS样式时,会忽略非法的部分,直到找到正确的开始然后进行解析一直到结束。所以我们上面植入CSS代码,欺骗CSS解析器忽略之前不合法的语法内容,从而加载我们注入的CSS内容,最终页面变成渲染后的红色。

当然这里除了可以使用CSS样式之外,还可以输入payload为CSS XSS向量,例如:

#header{ background:url(javascript:alert('1'));}

{}*{x:expression(alert(1))}
bylfsj
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【例2514】rpo sketch RPO草图
王牌飞行员_里海的博客
06-25 411
rpo sketch RPO草图》这是一个NX二次开发官方小例子,下面是代码和解析。相较于混乱、未经验证的代码,官方案例能够确保开发者获得准确的开发方法,这些官方示例代码经过严格测试,能够正确地反映出NX软件的功能和API使用方式,有助于开发者系统地掌握NX二次开发技能,提高开发质量和效率。本专栏订阅后是永久阅读的。欢迎一起学习NX二次开发案例,逐步积累宝贵的经验,早日成为行业专家。
理解 RPO 攻击
weixin_30482383的博客
07-23 388
原理 RPO攻击又名为相对路径覆盖攻击。主要被利用于xss攻击之中。简单的理解该攻击原理,假设现在有2个目录分别为aaa目录和bbb目录,利用浏览器与服务器对特殊构造的url的解析差异,让获取了aaa目录下的文件的浏览器误以为自己在bbb目录。当aaa下的文件出现了相对路径的文件引用的时候,浏览器会去读取bbb目录下的该文件,从而造成了漏洞的产生。比如,当在aaa目录下读取的html代...
rpo攻击
weixin_30593443的博客
04-05 185
0 什么是RPO攻击RPO(Relative Path Overwrite相对路径覆盖,是一种新型攻击技术,最早由Gareth Heyes在其发表的文章中提出。主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的。 就目前来看此攻击方法依赖于浏览器和网络服务器的反应,基于服务器的Web缓存技术和...
RPO技巧拓展】————4、RPO
Fly_鹏程万里
01-31 517
相对VS绝对 RPO相对路径覆盖)是一种通过覆盖目标文件来利用相对URL的技术。要理解该技术,我们必须首先研究相对URL和绝对URL之间的差异。绝对URL基本上是目标地址的完整URL,包括协议和域名,而相对URL不指定域或协议,并使用现有目标来确定协议和域。 绝对网址:https://hackvertor.co.uk/public 相对URL:public / somedirectory ...
RPO攻击方式的探究
Sea_Sand息禅
07-25 864
什么是RPORPO (Relative Path Overwrite)相对路径覆盖,作为一种相对新型的攻击方式,由 Gareth Heyes在2014年首次提出,利用的是nginx服务器、配置错误的Apache服务器和浏览器之间对URL解析出现的差异,并借助文件中包含的相对路径的css或者js造成跨目录读取css或者js,甚至可以将本身不是css或者js的页面当做css或者js解析,从而触发x...
从Share your mind到RPO 攻击
Sp4rkW的博客
03-28 764
前言 强网杯初赛已经告一段落,大佬们的wp也逐渐放出,这篇博客就从强网杯初赛web的Share your mind这题来探讨一下RPO 攻击~ 前置链接: 题目名称:Share your mind 第二届强网杯Web Writeup by @l3m0n ROP is what? RPO(Relative Path Overwrite)相对路径覆盖,是一种新型攻击技术,最早由Gareth...
数据容灾系统及相关技术 RTO和RPO.doc
06-13
数据容灾系统及相关技术 RTO和RPO
等保四级标准 rpo.pdf
07-12
这一级别的保护要求不仅涵盖了技术和管理两个核心维度,而且还细化到了物理和环境安全、网络和通信安全、设备和计算安全等多个模块。这些模块的设立旨在确保全方位、多层次的安全防护。 在技术层面,等保四级标准...
rpo rto mysql_【重点】RTO和RPO详解
weixin_36387104的博客
01-21 1125
容灾与备份之间是之间关系容灾与备份之间是之间关系1.容灾和备份的目的不同容灾系统的目的在于保证系统数据和服务的“在线性”,即当系统发生故障时,仍然能够正常地向网络系统提供数据和服务,以使系统不致停顿。而备份技术的目的与此并不相同,备份是“将在线数据转移成离线数据的过程”,其目的在于应付系统数据中的逻辑错误和历史数据保存。所以,在各种容错技术非常丰富的今天,备份系统仍然是不可替代的。2.备份是基石备...
猎头公司介绍材料 人力资源服务(猎头、RPO、人力资源咨询)
最新发布
10-24
猎头服务是专门为寻找和引进中高级管理及专业技术人才而设立的专业服务,主要针对C级高管(如CEO、CIO、COO、CFO等)、VP等高层职位以及关键岗位。猎头公司通过深入的行业及职能解决方案,帮助企业在人才短缺的情况...
RPO技巧拓展】————5、RPO攻击初探
Fly_鹏程万里
01-31 467
RPO(Relative Path Overwrite攻击又称为 攻击,依赖于浏览器和网络服务器的反应,  利用服务器的Web缓存技术和配置差异。 本文中的例子利用css进行攻击,相当于利用页面中相对路径的css进行欺骗,让浏览器将xss代码写进页面中 。 一、 初识RPO攻击 例子 :http://www.google.com/tools/toolbar/buttons/apis/ho...
相对路径覆盖漏洞攻击RPO详解
Cwillchris的博客
09-26 4121
攻击方法依赖于浏览器和服务器的反应,基于服务器的Web缓存技术和配置差异,以及服务器和客户端浏览器的解析差异,利用前端代码中加载的css/js的相对路径来加载其他文件,最终浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。这就是相对路径覆盖攻击, 我们成功用/aaa目录下的b.js覆盖掉了a.html中静态资源b.js的路径.如果我们控制网站根目录下的aaa的目录下面的b.js的内容,写入/aaa/b.js内容如下。输入如下代码,保存退出。
RPO 相对路径覆盖攻击
hl1293348082的专栏
05-31 2115
RPO (Relative Path Overwrite) 相对路径覆盖,最早由 Gareth Heyes 在其发表的文章中提出。主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过引入相对路径来引入其他资源文件,以达到我们的目的。 漏洞成因: RPO 依赖于浏览器和网络服务器的反应,基于服务器的 Web 缓存技术和配置差异,以及服务器和客户端游览器的解析差异,利用前端代码中加载的 css/js 的相对路径来加载其他文件,最终浏览器将服务器返回的不是 css/js 文件
RPO学习
qq_36495104的博客
07-01 685
来源 https://www.freebuf.com/articles/web/166731.html http://blog.nsfocus.net/rpo-attack/ 0X1 什么是RPO RPO(Relative Path Overwrite相对路径覆盖,是一种新型攻击技术,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的 就目前来看此攻击方法依赖于浏览器和网络服务器的反应,基于服务器的Web缓存技
信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
03-03 1057
经过对该部门应用系统漏洞扫描工作开展,发现高风险漏洞0项,中风险漏洞1项,低风险漏洞11项。业务部门对于中高风险漏洞按照专业安全测评公司建议及时修改,修改后我们及时开展二次漏洞扫描工作。确保应用系统漏洞控制在安全法规要求之内,确保信息与数据安全。@漏刻有时。
RPO技巧拓展】————2、Detecting and exploiting path-relative stylesheet import (PRSSI) vulnerabilities
Fly_鹏程万里
01-31 2092
去年年初,Gareth Heyes推出了一种引人入胜的新技术,通过利用路径相对样式表导入来攻击Web应用程序,并将其称为“ 相对路径覆盖 ”。此攻击通过滥用许多常见Web语言和框架的路径处理功能,欺骗浏览器将HTML页面导入为样式表。由于极其宽容的样式表解析,这可以经常用于注入恶意CSS和劫持用户帐户。 这种技术目前非常深奥,因此对于已经接受过专业或众包审计的网站来说,它通常很有效。然而,在...
【漏洞挖掘】——21、RPO漏洞挖掘攻防
Fly_鹏程万里
03-03 3128
Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖,该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段,其主要依赖于服务器和浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件,最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。
XSS:RPO(Relative Path Overwrite攻击
zhangge3663的博客
05-19 340
0x00 具体原理参考: Infinite Security: (Relative Path Overwrite) RPO XSSRPO GadgetsRPO攻击 0x01 RPO攻击首先利用的是通过相对路径引入的CSS,如 <link href="styles.css" rel="stylesheet" type="text/css" /> 当我们在URL最后添加 /%0a{}*{background:red;}/ 的时候会发现页面执行了我们的css代码。 通过这点,
银行核心系统灾备技术详解与实战案例
"本文深入探讨了银行核心系统灾备技术架构,包括灾备的主要术语、数据备份技术、数据复制技术、存储系统容灾技术架构以及商业银行的具体案例。文章旨在揭示在面对IT风险时,如何通过完善的核心系统灾备方案降低操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值