目录
前言
本章节将讲解各种WEB层面上有哪些漏洞类型,具体漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后边我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现、如何利用将是本章节学习的重点内容!
右边漏洞更为重要,左边漏洞实战时可能较少
SOL注入,为求获取数据库。在不同的实际情况下有着不同的目的,需要考量漏洞能否帮助达到目的或者达到某一步骤。漏洞危害需要明确漏洞影响的范围。某些可以获取到
获得网站后台权限
每个漏洞危害不一样,需要明确各能帮助到什么地步
正文:CTF、SRC、红蓝对抗、实战等
1.1. 简要说明以上漏洞危害情况
- CTF:也是差不多的
- SRC:发现网站漏洞即可
- 红蓝对抗:也是差不多的
- 实战:有各自的目的,如获取权限、获取数据,但是发现漏洞不足以实现目的
1.2. 简要说明以上漏洞等级划分
漏洞等级对应着漏洞的重要程度
- 高级:SQL注入、文件上传、文件包含、代码执行、未授权访问
- 中级:反序列化、逻辑安全
- 低级:信息泄露(账密、源码)、XSS跨站、目录遍历、文件读取
1.3. 简要说明以上漏洞重点内容
- CTF:文件上传、SQL注入、反序列化(经常在考)、代码执行
- SRC:都可出现,专属比较多的逻辑安全(开发网站时程序员纰漏多,造成零元购等)
- 红蓝对抗:高危漏洞(主要围绕着权限)。注入、文件上传、文件包含、代码执行。跨站很少,由于条件难以满足
- 实战:可能都有
目的和漏洞挂钩,根据自己的目的专注相应漏洞
1.4. 简要说明以上漏洞形式问题
漏洞越来越少,不代表没有。
知识点没有学好、信息收集不够完整
工具去扫,人工去探。
大部分原因都是人的思路不到位
大佬的经验:知道有哪些地方可能存在哪些漏洞(其他人不知道)
案例演示
靶场环境:pikachu (搭建前记得修改连接数据库的配置文件里的密码)
2.1. SOL注入漏洞-数据库操作危害
- 正常操作页面对应数据库
- 代码上,将网页上收到的关键词直接拼接到使用的数据库命令上,贼鸡危险
- 因此可以通过抓包修改提交的关键词,可达成调用不该出现的数据:
- 该语句在数据库中:
- 网页返回效果:
-
补充
-
UNION 操作符用于合并两个或多个 SELECT 语句的结果集
SQL语句——查询
这个漏洞一旦出现就是高危漏洞,不过真的不判别接受的关键词吗?哪有程序员傻成这样!
2.2. 目录遍历漏洞-源码结构泄露危害
- 目录读取是便利出目录的结构,不一定能读取文件的内容
- 文件读取是读取单一文件的漏洞,不一定能查看到目录的结构
造成两者差异的原因是由于程序员在开发设计时,代码涉及文件读取就有可能出现文件读取的漏洞
-
查看目录
-
一使用目录扫描工具(原理简单,记得更新字典)
二读取主目录index.php,看代码中相关的目录跳转
三php网站读取代码
<?php
function my_dir($dir) {
$files = [];
if(@$handle = opendir($dir)) {
while(($file = readdir($handle)) !== false) {
if($file != ".." && $file != ".") {
if(is_dir($dir . "/" . $file)) { //如果是子文件夹,进行递归
$files[$file] = my_dir($dir . "/" . $file);
} else {
$files[] = $file;
}
}
}
closedir($handle);
}
return $files;
}
echo "<pre>";
$d=$_GET['dir'];
print_r(my_dir($d));
echo "</pre>";
目录遍历需要结合其他功能实现,在读取目录结构后进行下一步攻击,只读取目录结构没有危害
2.3. 文件读取漏洞-源码内容获取危害
说是目录读取,但是这明明读取了文件内容嘛
“http://127.0.0.1/pikachu/vul/dir/dir_list.php?title=jarheads.php”
“http://127.0.0.1/pikachu/vul/dir/dir_list.php?title=truman.php”
基本结构://域名/文件夹/文件?参数名=参数值
-
目的
-
读取文件里的内容
可以借助这个漏洞,显示数据库配置文件的信息
操作,参数值更改为:“…/…/…/test.php”
- 漏洞形成原因
2.4. 文件上传漏洞-WEB权限丢失危害
属于高危漏洞,可能直接上传后门程序,直接影响网站权限(前提有这个漏洞),开发网站时涉及读取文件内容的地方出现读取文件的漏洞
-
目的
- 忽悠过网站,上传可执行文件 漏洞
-
网站只能通过“.jpg”的文件上传,修改脚本文件后缀后网站将脚本文件以图片形式打开,我们想要的是以脚本文件执行
因此骗过网页的上传审核后进行报文上传时,进行抓包修改
操作1:上传改过后缀名的.php文件为网页允许的格式,并抓包修改回后缀
-
不知道迪师傅上传的是什么代码,我这儿只有菜刀的后门文件
操作2,直接用菜刀连接
总之修改后再次访问该文件则以自定的格式执行
burpsuit抓取本地数据包需要在网页上使用本机ip访问
2.5. 文件下载漏洞-补充演示拓展演示
类似于目录遍历漏洞得操作,根据文件下载地址后缀格式(有的需要进行加解密操作),申请下载其他目录的文件。
http://127.0.0.1/pikachu/vul/unsafedownload/execdownload.php?filename=kb.png
http://127.0.0.1/pikachu/vul/unsafedownload/execdownload.php?filename=ns.png
-
以数据库配置文件为例,下载路径为:“…/…/…/inc/config.inc.php”
有些网站上会对网址参数进行加密操作,因此也需要将目的文件的路径的参数进行加密