渗透测试【一】：渗透测试常见问题

1、问题清单

渗透测试碰到的问题清单汇总

序号	漏洞名称	危险等级
1	点击劫持	低危
2	用户枚举	低危
3	Springboot未授权访问	高危
4	Swagger未授权访问	中危
5	Host头注入	中危
6	任意文件上传	高危
7	敏感路径泄露	低危
8	跨域资源共享	中危
9	Spring Cloud Gateway RCE	高危
10	Content-Security-Policy 头缺失漏洞	中危
11	内网IP信息泄露	低危
12	Nacos身份认证绕过漏洞	高危
13	Nacos未授权-cve-2021-29441漏洞	高危

2、问题现象及解决办法

2.1、点击劫持

• 现象：通过点击劫持payload进行检测，看是否可以在页面上覆盖标签。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/login

    <!DOCTYPE html>
    <html>
    <head>
    <meta charset="utf-8">
    <title>劫持测试</title>
    </head>
    <body>
    	<iframe src="http://xxx.xxx.xxx.xxx:8080/login" width="500" height="500" frameborder="10" ></iframe>
    </body>
    </html>
    

• 漏洞危害：攻击者利用该漏洞精心构造web页面引诱客户端增删改查自己的系统信息，点击劫持技术如果结合其他漏洞进行攻击，将突破某些安全措施，实现更大范围的攻击。
  • 安全建议：
    • 1、添加X-Frame-Options机制或使用FrameBusting代码。
• 处理：
  • 修改nginx配置文件，在http部分添加【add_header X-Frame-Options sameorigin always;】

2.2、用户枚举

• 现象：攻击者可以通过Burp爆破模块或者web弱口令爆破脚本实施爆破，从而得出用户名密码，完成系统登陆。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/auth/login
    • 1、提示用户名存在，密码错误
    • 2、提示用户名不存在
• 漏洞危害：
  攻击者可以通过尝试登陆网页回复信息判断用户名/账户是否存在，如果网页回复信息如下：
  • • 客户端请求：输入“有效的用户名/错误的密码”-“服务器回答：“密码不正确”
  • • 客户端请求：输入“错误的用户名/错误的密码”-“服务器回答：“用户名不存在”
    通过上述答复，攻击者就能知道第一次请求的是一个有效的用户名，利用该漏洞枚举有效用户列表，通过暴力破解、社工等方式对有效用户进行攻击。
  • 安全建议：在系统登录认证失败时，服务器回复内容统一使用“用户名或密码错误”，而不是直接返回“用户不存在”，“密码错误”等信息。
• 处理：
  • 统一返回用户名或密码错误

2.3、Springboot未授权访问

• 现象：攻击者可以通过Springboot未授权界面获取敏感信息从而进行渗透，特别是heapdump文件，下载以后利用解密工具可获取数据库账户密码等敏感信息。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/actuator/
• 漏洞危害：可以获取敏感信息进行深入渗透。
  • 安全建议：建议对该页面进行访问权限设置。
• 处理：
  • 网关中关闭未授权的url

2.4、Swagger未授权访问

• 现象：攻击者可以通过Swagger未授权访问页面获取敏感信息从而深入渗透。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/v2/api-docs
  • 利用Springboot插件进行扫描，成功获取Springboot未授权页面URL
• 漏洞危害：可以获取敏感信息进行深入渗透。
  • 安全建议：建议对该页面进行访问权限设置。
• 处理：
  • 网关中关闭未授权的url

2.5、Host头注入

• 现象：攻击者通过伪造HTTP请求的Host头信息，来欺骗服务器，让服务器误以为请求来自攻击者指定的合法网站，从而达到攻击的目的。

  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/auth/login
    • 存在Host头注入漏洞（通过修改host头为X.X.X.X，仍然正常回显）
    • 

• 漏洞危害：攻击者通过伪造HTTP请求的Host头信息，来欺骗服务器，让服务器误以为请求来自攻击者指定的合法网站，从而达到攻击的目的。。

  • 安全建议：
    1、更新注入检查规则
    需要对网站服务器进行漏洞检测，及时更新注入检查规则。可以使用安全扫描工具对网站的防护技术进行评估，在发现风险之后及时补全，并对Web应用程序代码进行深入分析。平时需要及时关注最新的漏洞信息，将反黑客技术应用到实际工作中。
    2、禁止空主机头请求
    检测到攻击者用这种方式开始攻击您的服务器，处理的方法之一是在 Web 服务器级别拒绝所有空主机名请求。当处理空主机头的请求时，Web 服务器就可以完成了根据请求内容进行针对性验证。
    3、采用反向代理
    采用具有 Web 特征的反向代理，这种方法能够限制入侵者使用受感染的 HTTP 包伪造主机名连接到前端Web服务。反向代理可以识别非正常HTTP流量，并将其纠正为正常HTTP流量。
    4、集中化实行访问控制
    使用集中化访问控制造成的巨大的风险是不太可能避免的。使用集中化客户端访问控制方案显然可以大大减少 Web 服务器要像递归扫描，缓存或服务器负载平衡器等组件 proxy（代理服务器），这些操作通常只能在特殊的条件下完成。
    5、安装合适的安全工具和软件
    最重要的是，必须安装合适的安全工具和软件来完善安全机制，以保证服务器的稳定性和安全性，免受 host 主机头攻击的危害。安装web应用防火墙、网络防火墙、安全漏洞扫描、入侵检测等安全工具和软件，对系统进行全面的安全检测，及时发现潜在的风险。

• 处理：nginx.conf增加如下内容

# host头注入漏洞修复 start
if ($http_Host !~* "(xxx.xxx.xxx.xx1:8080|xxx.xxx.xxx.xx2:8080)")
 {
 	return 403;
 }
 # host头注入漏洞修复 end

2.6、任意文件上传

• 现象：攻击者可以文件上传接口，构造恶意shell完成木马文件上传，从而完成对服务器的控制。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/auth/login
• 漏洞危害：攻击者可以文件上传接口，构造恶意shell完成木马文件上传，从而完成对服务器的控制。
  • 安全建议：
    1)服务器端将文件上传目录直接设置为不可执行。
    2)文件类型检查：建议使用白名单方式（比黑名单更可靠），并结合MIME Type、后缀检查等方式（文件类型做白名单限制）。此外对于图片的处理可以使用压缩函数或resize函数，处理图片的同时破坏其包含的HTML代码。
    3)使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件。
    4)单独设置文件服务器的域名。
    5)验证文件内容，使用正则匹配恶意代码（过滤恶意代码各种绕过方式，如大小写、BASE64编码）限制上传。
    6)修复服务器可能存在的解析漏洞。
    7)严格限制可以修改服务器配置的文件上传如：.htaccess。
    8)隐藏上传文件路径。
    9)升级Web Server。
    10)及时修复Web上传代码。
    11)不能有本地文件包含漏洞。
    12)注意0x00截断攻击（PHP更新到最新版本）
• 处理：后台校验文件类型。

2.7、敏感路径泄露

• 现象：攻击者可以通过上传任意文件，从而获取上传根目录路径，进而进行深入渗透。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/auth/login
• 漏洞危害：攻击者精心构造报错页面，通过详细报错信息提取敏感数据包内容，从而有针对性的进行利用。例如报错页面泄露系统信息，中间件版本为攻击者提供更多的攻击途径和方法，攻击者利用报错页面泄露的敏感文件物理路径，执行文件包含、读取任意文件等。
  • 安全建议：
    1、编码时增加异常处理模块。
    2、错误及异常的统一收集并处理，禁止直接抛出详细报错信息。
    举例：关闭PHP页面中的错误提示：
    如果有修改php.ini的权限，则在php.ini中找到display_errors
    设置display_errors=On开启PHP错误提示
    设置display_errors=Off关闭PHP错误提示
    如果没有修改php.ini的权限，可以在php页面中增加如下代码
    //关闭PHP错误提示
    ini_set(“display_errors”, “Off”);
    //开启PHP错误提示
    ini_set(“display_errors”, “On”);
    3、报错页面隐藏服务器、中间件指纹信息。
• 处理：后台返回信息隐藏敏感路径相关信息

2.8、跨域资源共享

• 现象：目标存在CORS跨资源共享漏洞，对方管理员在没有退出自己所管理的网站的情况下，点击恶意攻击者已经构造好的恶意网站，攻击者可以修改Origin字段为任意指定的值，实现绕过浏览器同源策略的限制，基于CORS漏洞发起恶意请求，实现对目标资源的恶意跨域访问，并读取服务器的响应结果，从而造成服务器的信息泄露

  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/auth/login
  • 

• 漏洞危害：目标存在CORS跨资源共享漏洞，对方管理员在没有退出自己所管理的网站的情况下，点击恶意攻击者已经构造好的恶意网站，攻击者可以修改Origin字段为任意指定的值，实现绕过浏览器同源策略的限制，基于CORS漏洞发起恶意请求，实现对目标资源的恶意跨域访问，并读取服务器的响应结果，从而造成服务器的信息泄露。

  • 安全建议：
    1、正确配置跨域请求，如果Web资源包含敏感信息，则应在Access-Control-Allow-Origin标头中正确指定来源。
    2、只允许信任的网站。
    3、避免将null列入白名单，避免使用标题Access-Control-Allow-Origin: null。

• 处理：nginx.conf增加如下内容

# cors 跨域漏洞修复 start
set $allow_cors 0;
if ($http_origin)
{
	set $allow_cors 1;
}
if ($http_origin !~* "(xxx.xxx.xxx.xx1|xxx.xxx.xxx.xx2)")
{
  set $allow_cors "${allow_cors}1";
}
if ($allow_cors = "11"){
  return 403;
}
# cors 跨域漏洞修复 end

2.9、Spring Cloud Gateway RCE

• 现象：Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本（包含）以前存在一处SpEL表达式注入漏洞，当攻击者可以访问Actuator API的情况下，将可以利用该漏洞执行任意命令。

  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/actuator/gateway/routes

• 漏洞危害：Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本（包含）以前存在一处SpEL表达式注入漏洞，当攻击者可以访问Actuator API的情况下，将可以利用该漏洞执行任意命令。

  • 安全建议：
    1、更新升级Spring Cloud Gateway版本
    2、在不考虑影响业务的情况下禁用actuator接口

    management.endpoint.gateway.enable=false
    

• 处理：网关关闭actuator接口

2.10、Content-Security-Policy 头缺失漏洞

• 现象：缺少Content-Security-Policy头会增加网站遭受XSS攻击、数据泄露、点击劫持和恶意内容加载等安全风险的可能性。使用该头可以帮助保护网站免受这些攻击和风险。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/auth/login
• 漏洞危害：缺少Content-Security-Policy头会增加网站遭受XSS攻击、数据泄露、点击劫持和恶意内容加载等安全风险的可能性。使用该头可以帮助保护网站免受这些攻击和风险。
• 安全建议：
  1、第一种：修改 nginx 配置文件
  在nginx.conf 配置文件中，增加如下配置内容：

  add_header Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;";
  

2、第二种：通过网页的meta标签
<meta http-equiv=“Content-Security-Policy” content=“style-src ‘self’ ‘unsafe-inline’;script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’ https://webapi.amap.com https://restapi.amap.com https://vdata.amap.com https://appx/web-view.min.js;worker-src blob:”>
该指令说明：允许自身css、js和高德地图api、地图数据。
CSP 指令说明：
default-src : 定义针对所有类型（js/image/css/font/ajax/iframe/多媒体等）资源的默认加载策略，如果某类型资源没有单独定义策略，就使用默认的。
script-src : 定义针对 JavaScript 的加载策略。
style-src : 定义针对样式的加载策略。
worker-src：worker脚本。
img-src : 定义针对图片的加载策略。
font-src : 定义针对字体的加载策略。
media-src : 定义针对多媒体的加载策略，例如:音频标签<audio>和视频标签<video>。
object-src : 定义针对插件的加载策略，例如：<object>、<embed>、<applet>。
child-src : 定义针对框架的加载策略，例如： <frame>,<iframe>。
connect-src : 定义针对 Ajax/WebSocket 等请求的加载策略。不允许的情况下，浏览器会模拟一个状态为400的响应。
sandbox : 定义针对 sandbox 的限制，相当于 <iframe>的sandbox属性。
report-uri : 告诉浏览器如果请求的资源不被策略允许时，往哪个地址提交日志信息。
form-action : 定义针对提交的 form 到特定来源的加载策略。
referrer : 定义针对 referrer 的加载策略。
reflected-xss : 定义针对 XSS 过滤器使用策略。

• 处理：修改nginx配置文件，在http部分添加【Content-Security-Policy “default-src ‘self’ localhost:8080 ‘unsafe-inline’ ‘unsafe-eval’ blob: data: ;”;】

2.11、内网IP信息泄露

• 现象：对攻击者而言，泄露内部 IP 非常有价值，因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案，可以辅助攻击者策划出对内部网络进一步的攻击。比如：攻击者获取边界机shell权限后，利用泄露的内部IP可以刺探企业内网。
  • 漏洞URL：http://xxx.xxx.xxx.xxx:8080/test/druid/basic.json
  • 
• 漏洞危害：对攻击者而言，泄露内部 IP 非常有价值，因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案，可以辅助攻击者策划出对内部网络进一步的攻击。比如：攻击者获取边界机shell权限后，利用泄露的内部IP可以刺探企业内网。
  • 安全建议：
    1、关闭Web 应用程序/服务器中有问题的详细错误消息。
    2、确保内部 IP 信息未留在 HTML/JavaScript 注释中。
    3)、禁止cookie中携带内网IP 。
    4)、限制IP直接访问项目本身。
• 处理：网关关闭druid接口

2.12、Nacos身份认证绕过（QVD-2023-6271）漏洞

• 现象：漏洞原理为开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改，导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果。

• 处理：修改配置文件application.properties

  • application.config,nacos.core.auth.plugin.nacos.token.secret.key=
  • 将默认值修改为自定义key【自定义key要求：原始密钥长度不低于32字符，推荐配置项设置为base64编码的字符串】
  • Linux上对字符串进行base64编码命令
    • echo "SecretKey_FUCK_XXXXXXXX012345678"|base64
  • 自定义key的原始密钥：
    • SecretKey_FUCK_XXXXXXXX012345678
  • Base64编码之后的字符串
    • U2VjcmV0S2V5X0ZVQ0tfWFhYWFhYWFgwMTIzNDU2NzgK
  • 修改后
    • application.config,nacos.core.auth.plugin.nacos.token.secret.key=U2VjcmV0S2V5X0ZVQ0tfWFhYWFhYWFgwMTIzNDU2NzgK

• 特别注意

  • application.conf修改完后不要重启nacos，直接在nacos页面修改一次密码。
  • 如果未修改密码重启nacos，会导致登录户名密码错误。

2.13、Nacos未授权（CVE-2021-29441）漏洞

• 现象：利用上述漏洞添加用户

  • http://xxx.xxx.xxx.xxx:8848/nacos/v1/auth/users?username=crow&password=crow
  • curl -XPOST -d “username=crow&password=crow” “http://xxx.xxx.xxx.xxx:8848/nacos/v1/auth/users”

• 处理：修改配置文件application.properties

  1、 将nacos.core.auth.enabled=false改为true
  2、将nacos.core.auth.enable.userAgentAuthWhite=true 改为false
  3、nacos.core.auth.server.identity.key=自定义的值
    nacos.core.auth.server.identity.value=自定义的值