Webug4.0靶场通关笔记21- 第26关URL不安全跳转

最新推荐文章于 2025-05-09 20:17:30 发布
最新推荐文章于 2025-05-09 20:17:30 发布
阅读量706 收藏 7
点赞数 27
分类专栏: webug靶场 文章标签: web安全 webug靶场 URL跳转漏洞 URL重定向漏洞 URL不安全跳转
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/128138462
版权

目录

一、URL不安全跳转

1、渗透原理

2、发生场景

二、URL跳转渗透实战

1、打开靶场26关

2、代码审计

3、元素修改渗透

4、手动修改URL地址渗透

三、防御方法

本文通过《webug4靶场第26关 URL不安全跳转》来进行URL重定向攻击渗透实战。

一、URL不安全跳转

1、渗透原理

攻击者通过传入的URL参数,网站未进行检查或过滤不严,导致跳转到恶意网站

URL重定向不安全跳转(URL任意跳转)通常是由于网站信任了用户的输入导致恶意攻击,利用url重定向主要用来钓鱼,比如URL跳转中最常见的跳转在登陆口,支付口,也就是一旦登陆将会跳转任意自己构造的网站,如果设置成自己的url则会造成钓鱼,浅析危害。

  • 正常情况下,Web 应用程序会根据用户的操作或业务逻辑,将用户重定向到合法的目标 URL。例如,用户登录成功后,系统会将用户重定向到其个人主页。
  • 然而,当存在 URL 重定向漏_洞时,攻击者可以通过修改重定向参数的值,将用户重定向到攻击者指定的任意 URL。这可能是一个钓鱼网站,用于骗取用户的敏感信息,如用户名、密码、银行卡号等;也可能是一个包含恶意软件的网站,用于感染用户的设备;或者是用于执行其他类型的攻击,如跨站脚本攻击(XSS)等。

2、发生场景

(1) 登陆跳转是最常见的跳转类型,认证完后会跳转,所以在登陆的时候建议多观察url参数
(2) 用户分享、收藏内容过后,会跳转
(3) 跨站点认证、授权后,会跳转
(4) 站内点击其它网址链接时,会跳转
(5) 在一些用户交互页面也会出现跳转,如请填写对客服评价,评价成功跳转主页,填写问卷,等等业务,注意观察url。
(6) 业务完成后跳转这可以归结为一类跳转,比如修改密码,修改完成后跳转登陆页面,绑定银行卡,绑定成功后返回银行卡充值等页面,或者说给定一个链接办理VIP,但是你需要认证身份才能访问这个业务,这个时候通常会给定一个链接,认证之后跳转到刚刚要办理VIP的页面。

二、URL跳转渗透实战

1、打开靶场26关

注意网站的右上角,接下来点击此处

http://192.168.71.1/webug4/control/more/url_redirect.php

点击红框处,如下所示弹出baidu网址

接下来点击百度

http://192.168.71.1/webug4/control/more/url_redirect.php?url=https://www.baidu.com

此时跳到百度网址

2、代码审计

如下所示传入的参数为URL,并执行header("Location: {$url}");操作,这里并未对url进行过滤。

<?php


require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}

if (isset($_GET["url"])) {
    if (!empty($_GET["url"])) {
        $url = $_GET['url'];
        header("Location: {$url}");
    }
}
require_once TPMELATE."/url_redirect.html";

3、元素修改渗透

在第27关靶场后,点击主页右上角后进入如下页面。此时鼠标放到页面中间的百度处,右键鼠标选择元素,如下所示在查看器中可以看到href的url地址

如下所示,此时URL的信息为

<a href="?url=https://www.baidu.com">百度</a>

将其修改为腾讯,并将网址url改为https://www.qq.com,如下所示

​<a href="?url=https://www.qq.com">腾讯</a>

修改后页面如下所示

 此时点击腾讯,跳到了qq的腾讯主页

4、手动修改URL地址渗透

任意修改url可以造成url跳转:如www.qq.com

192.168.71.1/webug4/control/more/url_redirect.php?url=https://www.qq.com

如下所示跳转成功

三、防御方法

  • 严格验证目标 URL:在进行重定向之前,对目标 URL 进行严格的验证,确保其属于合法的域名和路径范围。可以使用白名单机制,只允许重定向到预先定义好的合法 URL 列表中地址。
  • 对重定向参数进行编码和过滤:对重定向参数进行编码,防止攻击者通过修改参数值来注入恶意 URL。同时,对参数进行过滤,去除任何可能包含恶意代码或非法字符的内容。
  • 避免使用用户可控的重定向:尽量减少使用用户可以直接控制的重定向功能。如果必须使用,要对用户输入进行严格的限制和验证,避免用户输入任意的 URL。
  • 实施安全的重定向策略:采用安全的重定向方式,如使用服务器端的重定向函数,而不是通过客户端的 JavaScript 进行重定向。这样可以减少攻击者利用客户端脚本进行攻击的可能性。
  • 进行安全测试:在应用程序的开发和测试阶段,进行全面的安全测试,包括对 URL 重定向功能的测试,以发现和修复潜在的漏_洞。
Webug4.0靶场通关笔记(第八天)--------22-26
Yasso的博客
02-26 646
一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转 一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转
Webug4.0靶场通关笔记(第六天)--------14-16(链接注入、任意文件下载、mysql配置文件下载)
Yasso的博客
02-24 545
目录 一、链接注入 二、任意文件下载 三、mysql配置文件下载 一、链接注入 这道题没有flag,打开靶场 跟前几道XSS有点类似 “链接注入”是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。 “链接注入”漏洞是用户输入清理充分的结果,清理结果会在稍后的站点响应中返回给用户。攻击者能够将危险字符注入响应.
Webug4.0靶场通关笔记10- 第14链接注入
mooyuan的网络安全博客
05-03 1093
本文通过《webug靶场第14 链接注入》来进行渗透实战。
Webug4.0靶场通关笔记08- 第11万能密码登录(SQL注入漏洞
mooyuan的网络安全博客
05-01 1134
攻击者通过输入特殊的密码,如' OR '1'='1',可以使 SQL 语句的条件永远为真,从而绕过验证,以任意用户的身份登录系统。为了防止 SQL 注入和万能密码攻击,开发人员应该对用户输入进行严格的验证和过滤,使用参数化查询或存储过程来避免将用户输入直接嵌入到 SQL 语句中,同时对数据库的权限进行合理的设置,限制用户对敏感数据的访问。:直接将POST['username']和P​OST['username']和_POST['password']拼接到SQL语句中。
Webug4.0靶场通关笔记23- 第28远程命令执行漏洞(CVE-2018-20062)
最新发布
mooyuan的网络安全博客
05-09 401
ThinkPHP是一个快速、兼容而且简单的轻量级国产 PHP开发框架 ,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,使用面向对象的开发结构和 MVC模式 ,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式。由于thinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,攻击者构造指定的请求,可以直接getshell。本卡使用docker环境的webug,打开第28后如下所示。
webug4.0靶场通关笔记
qq_47289634的博客
07-13 2199
这里我试了空格或者“.”绕过,::$DATA绕过,双后缀名绕过,%00截断但是都可以,这里可以使用生僻字进行绕过,比如这个 龘(dá),在repeater里面将文件名改为 shell.php龘.jpg,发现上传成功,这是因为他无法对这个字进行编码,所以后面的信息全部被过滤掉了。所谓越权就是用普通用户拥有管理员用户的权限,比如user的id=1,管理员的id=0,通过抓包修改这个参数,就可以达到越权的目的。打开靶场地址,把id参数改为-1,发现跟1比起来,内容缩短了一些,回显一样。
Webug4.0靶场通关笔记07- 第9反射XSS和第10存储XSS
mooyuan的网络安全博客
05-01 928
本系列为通过《Webug4.0靶场通关笔记》的渗透集合,本文为反射型和存储型XSS漏洞卡的渗透部分,通过对XSS卡源码的代码审计找到漏洞的真实原因,讲解XSS漏洞的原理并进行渗透实践。
Webug4.0靶场通关笔记20- 第25越权查看admin
mooyuan的网络安全博客
05-07 1235
本文通过《webug4靶场第25 越权查看admin》来进行越权攻击渗透实战。本卡虽然题目是越权查看admin也就是垂直越权,实际上也存在水平越权。
Webug4.0通关笔记01-01 显错注入
mooyuan的网络安全博客
04-22 1026
SQL注入主要分析几个内容(1)闭合方式是什么?webug靶场的第01卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是普通的字符型GET注入,使用union法即可注入成功(3)是否过滤了键字?很明显通过源码,iwebsec的第01卡过滤没有进行任何过滤了解了如上信息就可以针对性使用union查询法进行SQL绕过渗透,使用sqlmap工具渗透更是事半功倍,以上就是今天要讲的webug靶场01注入内容,初学者建议按部就班先使用手动注入练习,再进行sqlmap渗透。t=P1C7。
pikachu靶场通关笔记(一)
m0_60716947的博客
10-16 961
换句话说,攻击者可以在同一个会话下,在获得第一个验证码后,后面再主动触发验证码生成页面,并且一直使用第一个验证码就可循环进行后面的表单操作,从而绕过了验证码的屏障作用,对登录进行暴力猜解。上面他就会弹窗,最后的>是为了闭合这个a标签。这里我们抓包,账号密码随便输,但是验证码要输对,放到重放模块,但是要拦截请求闭,这是为了防止页面刷新导致服务器那边的验证码更新。这样点击后就会跳转到xss(get) 那题的页面,并会弹出1的弹窗,如果你有自己的xss平台的话就可以打cookie了,详情可见。
xss靶场通关笔记
weixin_55843787的博客
03-10 6705
xss靶场通关技巧笔记
xss-labs 通关笔记
Ewige的博客
06-30 588
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
网络安全之浅析Java反序列化题目
anquan2233的博客
04-30 1713
这段时间做了几道Java反序列化题目,发现很多题目都是类似的,并且可以通过一些非预期gadget打进去,就打算总结一下常见的题目类型以及各种解法,并提炼出一般性的思维方法。多做题,发现这些题目其实都是有规律的,先发现入口点和限制,再根据已知依赖打gadget,本质上还是要多见多积累。
T-INNOWARE闪耀GISEC GLOBAL 2025:AI Agents引领网络安全运维新纪元
weixin_43735236的博客
05-09 271
其AI驱动的安全运维解决方案仅获得中东、非洲等地客户的高度认可,更向全球市场展现了中国企业在网络安全领域的前沿探索,为"中国智造"出海树立了新的标杆。展会期间,"中国展团"专区格外引人注目,包括T-INNOWARE在内的多家中国网络安全领军企业集中展示了人工智能、大数据分析、云安全等领域的创新成果,彰显了中国网络安全产业的蓬勃发展和国际竞争力。在这场国际舞台上,T-INNOWARE作为中国网络安全企业出海的杰出代表,解决方案,并凭借前沿的AI技术与行业洞察,成为这场中东及非洲最大网络安全盛会的焦点之一。
第十六周蓝桥杯2025网络安全赛道
ALe0721的博客
04-26 2598
因为只会web,其他方向都没碰过,所以只出了4道。
打造网络安全堡垒,企业如何应对DDoS、CC、XSS和ARP攻击
BEST_yundun的博客
05-09 700
安全防护
基于EFISH-SCB-RK3576工控机/SAIL-RK3576核心板的网络安全防火墙技术方案‌(国产化替代J1900的全栈技术解析)
05-05 789
‌三大技术突破,在性能指标(加密吞吐量提升8倍)、安全水位(威胁拦截率提升300%)及国产化程度(100%自主指令集)上全面超越J1900方案。其硬件级Bypass实现电信级可靠性(99.9999%可用性)、单设备承载200万并发会话5的能力,为网络安全防火墙提供了高性能、高智能的国产化替代选择,助力键信息基础设施摆脱x86架构束缚,构建自主可控的网络安全防护体系。典型功耗15W(性能/W比J1900高8倍)万并发会话(新建连接率50万/秒)最大50万并发,新建连接率8万/秒。功耗,机架密度受限8。
主机漏洞扫描:如何保障网络安全及扫描原理与类型介绍?
aiyuntest的博客
05-05 483
主机漏洞扫描:如何保障网络安全及扫描原理与类型介绍?主机漏洞扫描是保障网络安全键办法,它能对主机展开全面检测,借助这种检测能及时找出潜在的安全风险,从而避免遭受黑客攻击。下面会为你具体介绍主机漏洞扫描的有事项。主动扫描会主动给目标主机发送数据包,通过这种方式来探测漏洞,这种方式效率比较高,但是容易被发现。
网络安全自动化:找准边界才能筑牢安全防线
weixin_43172311的博客
05-05 1279
机器负责"体力活":扫描、监控、重复性操作人类专注"脑力活":策略制定、异常判断、键决策就像机场安检,金属探测器自动报警,但开箱检查必须由安检员完成。找准自动化边界,才能既提升效率又守住安全底线。推荐更多阅读内容信创时代:分布式数据库备份的5大生死局与破解之道警惕!勒索软件攻击肆虐,企业该如何应对2024网络安全回顾与2025展望:守护数字世界的新征程无密码认证:告别记密码烦恼,未来登录可以多简单当AI学会自己“长脑子”:自进化系统的网络安全风险指南。
webug4.0靶场通关越权修改密码
03-20
### Web 安全靶场 Webug 4.0 中越权修改密码的解决方案 在 Web 应用程序的安全测试中,“越权访问”是一种常见的漏洞,指的是未经授权的用户能够执行超出其权限范围的操作。对于 Webug 4.0 靶场中的越权修改密码场景,以下是详细的分析与解决方法。 #### 背景描述 在 Webug 4.0 的设计中,存在一种典型的越权行为模式:攻击者可以通过篡改 HTTP 请求参数(如 `id` 字段),从而冒充其他用户的身份并修改目标用户的密码[^4]。这种漏洞通常源于应用程序未对操作对象的有效性和当前登录用户的权限进行严格验证。 --- #### 技术原理剖析 越权漏洞的核心原因在于服务器端缺乏有效的身份校验机制。具体表现为以下几点: 1. **请求参数未经验证** 当前用户发送的请求可能携带了非法的目标用户 ID 参数(例如 `id=0` 表示管理员)。如果服务端仅依赖前端传递的数据而未进一步确认该数据的真实性,则可能导致越权。 2. **缺少细粒度授权控制** 如果应用未能区分同角色之间的权限边界,就容易让低权限用户获得高权限功能的使用权。 3. **会话管理当** 即使实现了基于会话的身份认证,但如果会话状态没有绑定到具体的资源访问上下文中,也可能引发类似的越权问题。 --- #### 解决方案实现 针对上述问题,可以从以下几个方面入手来修复此漏洞: ##### 1. 强化后端逻辑校验 每次接收到涉及敏感操作(如更改密码)的请求时,应强制核对该操作是否由合法主体发起。这可通过比较当前已登录账户的信息与待处理记录所属实体的一致性完成。例如,在 PHP 或 Python 后端代码中加入如下片段以确保只有本人能重置自己的密码: ```php <?php // 假设 $_SESSION['user_id'] 存储着当前登录者的唯一标识符 if ($_POST['target_user_id'] != $_SESSION['user_id']) { die('Access Denied'); // 若两者符则拒绝继续运行后续脚本 } ?> ``` 或者采用更现代化的语言框架编写类似防护措施: ```python from flask import session, request, abort def change_password(): target_user_id = int(request.form.get('target_user_id')) current_user_id = session.get('user_id') if target_user_id != current_user_id: abort(403) # 返回HTTP Forbidden响应码表示无权访问 # 正常业务流程... ``` 以上两段伪代码均体现了只允许用户对自己账号实施特定变更的原则。 ##### 2. 实施严格的 RBAC (Role-Based Access Control) 引入基于角色的访问控制系统有助于细化各类人员所能触及的功能模块及其内部细节。通过预先定义好的策略组合判定谁可以在何时何地做什么事情,进而减少因疏忽造成的安全隐患。 例如,在 MySQL 数据库表结构层面增加字段用于标记每条记录联的角色类别,并据此调整查询语句条件部分的内容以便筛选出符合条件的结果集之前先过滤掉符合要求的部分。 ##### 3. 利用 CSRF Token 提升安全性 为了防止恶意站点诱导受害者提交伪造跨站请求(CSRF),建议结合随机生成且难以预测的一次性令牌(Token)一同嵌入至 HTML 表单之中并与对应 Session 绑定起来共同参与最终判断过程。这样即使黑客截获到了原始 POST 请求也无法轻易复制粘贴成功模拟真实交互动作。 --- #### 总结说明 综上所述,要彻底杜绝此类越权现象的发生除了加强开发阶段的设计考量之外还需要持续注最新威胁情报动态及时修补发现的新缺陷。同时也要提醒广大开发者时刻牢记安全第一的理念贯穿整个软件开发生命周期始终。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值