文章目录
- 知识补充
- CSRF
- SSRF
- xss与csrf结合创建管理员账号
知识补充
NAT:网络地址转换,可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。即通过将一个外部IP地址和端口映射更大的内部IP地址集来转换IP地址。
端口映射:在数据传输结束后,会将端口释放掉,若进行了端口映射,那么公网数据包只要是该映射端口,就会固定发送到对应的私有ip
功能:NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。把内网的私有地址,转化成外网的公有地址。使得内部网络上的(被设置为私有IP地址的)主机可以访问Internet。
TTL = 600秒,意味着 DNS 服务器缓存解析记录 600 秒(十分钟),在这十分钟内更改 DNS 解析的记录值是不会生效的,需要等十分钟后,DNS
服务器缓存更新才可以生效
设置的时间长短对网站有什么影响?
1、TTL值大 = 减少DNS递归查询过程,提升域名解析速度。稳定的网站,其 DNS 的解析记录发生变更的频率比较低。如果 TTL 值比较大, DNS
的解析结果在全国各地 localdns 中的缓存时间很长,这样当用户访问网站时,就无需经过复杂的 DNS 的递归解析过程。通过最近的本地 DNS
返回域名的解析结果,解析速度变快。
2、TTL值小 = 更新速度快。网站在新创阶段,因为需要频繁测试,其 DNS 的解析记录发生变更的频率比较高。如果 TTL 值比较小,解析速度很快就会生效。
CSRF
CSRF的攻击过程两个条件 :
1、目标用户已经登录了网站,能够执行网站的功能。
2、目标用户访问了攻击者构造的URL。
CSRF安全问题黑盒怎么判断 :
1、看验证来源不-修复
2、看凭据有无token–修复
3、看关键操作有无验证-修复
CSRF安全问题白盒怎么审计 :
同黑盒思路一样,代码中分析上述三看
[b占 CSRF
05:Token和非Session参数部分的Cookie做了绑定](https://www.bilibili.com/video/BV1tc411x7fE/?spm_id_from=333.337.search-
card.all.click&vd_source=feda7b4b64bdcc4da7a9d3fc1f949e0b):其中包含bp构造html,绑定的绕过
SSRF
SSRF 是一种攻击者发起的伪造 由服务器端发起请求的一种攻击
SSRF 危害
@ 端口扫描
@ 内网Web应用指纹识别
@ 攻击内网Web 应用
@ 读取本地文件
SSRF常见代码
参考链接
SSRF利用
SSRF信息搜集
file 伪协议
探查服务器所在ip段所有主机,利用burp进行爆破
再次使用 file:///proc/net/arp进行扫描,显示内网存在主机
dict 伪协议
相对于其它伪协议对tcp端口进行扫描的话,dict会更快一些
http 伪协议
http 伪协议 是用来探测内网目录的
假如我们已经扫描到内网主机172.250.250.4我们随机加入一个页面
eg:172.250.250.4/index.php
常用字典,kali中自带的有:/usr/share/wordlists/drib
gopher 伪协议
Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。
在使用get时,可以进行提交,使用post时就不能够传参
使用post时,只能将数据内容提交到ssrf服务器上进行解析,但其不能post到另一台服务器
在使用GET传参时,可以进行构造,如下,直接点击submit提交即可。
还有另一种方式,就是将构造出来的内容进行两次编码。
POST提交,和上面一样,将构造内容进行两次url编码,直接send即可。
SSRF之gopher协议深度解析
content-length一定要与实际长度一致
127.0.0.1 回环绕过
302 重定向绕过ip限制
主要针对私网地址被限制的情况,使用302重定向进行访问。
在公网服务器上创造页面,狗仔重定向代码
eg:php
<?php
header('Location: http://127.0.0.1/flag.php');
使用php -s可以进行监听该端口
DNS重绑定绕过
1,上传之后若是域名,则需要进行DNS解析;
4,在服务端请求时同样需要域名解析
生成域名解析,将两个ip对应同一域名主机。
访问域名网站,获取flag
小迪演示
-案例说明:小迪在登录后台管理自己网站的时候,突然群里给小迪说阿祖又说爱上别人了,随后给我发了个URL链接,小迪直接点了进去,GG!
小迪网站:http://127.0.0.1:8105/
发送URL:http://127.0.0.1:8081/web/add.html
访问这个地址,其实就是管理员添加账号密码的数据包
前提条件:
1.管理员要提前登录(没有登录就没有权限触发)
2.访问了这个地址
3.要知道怎么添加用户,知道添加用户的数据包
利用流程:
1、获取目标的触发数据包
2、利用CSRFTester构造导出
3、诱使受害者访问特定地址触发
那么应该怎么构造数据包呢,这里我们在本地搭建,然后用到工具CSRFtest
运行bat程序,然后把浏览器端口修改为8008
在触发添加数据包的时候,同时在工具中start
会抓取你操作的数据包
在下面选择forms表单,然后把他生成为html格式,放在网站目录:
访问数据包地址:http://127.0.0.1:8081/web/add.html
然后在登录状态去访问http://127.0.0.1:8081/web/add.html
用户被创建成功。但是自己抓的包不能成功。
那么应该怎么防御这种漏洞呢?
CSRF安全问题黑盒怎么判断:
1、看验证来源不(同源策略)-修复
2、看凭据有无token–修复
3、看关键操作有无验证-修复
-CSRF安全问题白盒怎么审计:
同黑盒思路一样,代码中分析上述三看
验证来源:
打开百度,修改图片地址,让他指向xiaodi8.com
当点击图片的时候,抓取数据包,关键字段Referer: https://www.baidu.com/
可以说明这个数据包的来源是从baidu.com中来的。
在自己的博客上添加用户,抓取数据包,可以看到Referer:
http://47.100.167.248/zb_system/admin/member_edit.php?act=MemberNew
这个的来源是自己点进来的,不是从baidu.com中来的。
相当于管理员触发http://127.0.0.1:8081/web/add.html,最后访问了http://127.0.0.1:8105/地址,那么对于http://127.0.0.1:8105/的网站来源是http://127.0.0.1:8081/web/add.html
如果做了同源策源,不是自己网站触发的数据包,就认定为非法来源。这样子就可以起到防御效果。但是这个在数据包中能够修改。
怎么判断有没有同源策略,
点过来的,有同源,能访问
复制点过来的地址,直接访问(如果能访问,没有同源策略,如果不能访问,有同源策略)
看凭据有无token
查看cookie值:看cookie值里面有没有带token,token_21d330cd=c36ce18a6e6d189b137244e7429e954e2a34b53000bce07d6fe72af52488f9fe1646377072;
无token的数据包
xss与csrf结合创建管理员账号
-
管理员账号可以添加用户管理
 -
添加用户为ajest,密码为123456
 -
登录ajest,验证登录情况
 -
登录成功,可以进入后台
 -
删除之后再次验证,无法登录
 -
利用xss,在评论处插入代码构造CSRF
 -
管理员查看到留言后,出发js,此时CSRF构造成功
有效防御
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
1278
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
