渗透专题丨web Top10 漏洞简述(2)

这篇具有很好参考价值的文章主要介绍了渗透专题丨web Top10 漏洞简述(2)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

文件包含漏洞

1、漏洞简述

程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名校验不严,从而操作了预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。这是因为程序开发时候会把重复使用的函数写到归档在一起,用到哪个函数就可以直接进行调用,而为了代码更灵活,包含的文件会被设置为变量动态调用,这里就容易造成文件包含漏洞。

2、利用方法

$html='';
if(isset($_GET['submit']) && $_GET['filename']!=nul1){
($filename=$ GET[filename"];
include"include/$filename";

因为对于$_GET['filename']没有任何过滤,直接代入到include中,如果包含这个文件,并成功引用,就会造成文件包含漏洞。

3、伪协议

file:// — 访问本地文件系统

http:// — 访问 HTTP(s) 网址

ftp:// — 访问 FTP(s) URLs

php:// — 访问各个输入/输出流(I/O streams)

zlib:// — 压缩流

data:// — 数据(RFC 2397)

glob:// — 查找匹配的文件路径模式

phar:// — PHP 归档

ssh2:// — Secure Shell 2

rar:// — RAR

ogg:// — 音频流

expect:// — 处理交互式的流

php.ini参数

allow_url_fopen:默认值是 ON。允许 url 里的封装协议访问文件;

allow_url_include:默认值是 OFF。不允许包含 url 里的封装协议包含文件;

渗透专题丨web Top10 漏洞简述(2)

 

4、常用路径

包含日志文件 getshell:

/usr/local/apache2/logs/access_log

/logs/access_log

/etc/httpd/logs/access_log

/var/log/httpd/access_log

读取网站配置文件:

dedecms 数据库配置文件 data/common.inc.php,

discuz 全局配置文件 config/config_global.php,

phpcms 配置文件 caches/configs/database.php

phpwind 配置文件 conf/database.php

wordpress 配置文件 wp-config.php

windows:

C:/boot.ini//

C:/Windows/System32/inetsrv/MetaBase.xml//IIS 配置文件

C:/Windows/repairsam//存储系统初次安装的密码

C:/Program Files/mysql/my.ini//Mysql 配置

C:/Program Files/mysql/data/mysql/user.MYD//Mysql root

C:/Windows/php.ini//php 配置信息

C:/Windows/my.ini//Mysql 配置信息

linux:

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_ras.keystore

/root/.ssh/known_hosts

/etc/passwd

/etc/shadow

/etc/my.cnf

/etc/httpd/conf/httpd.conf

/root/.bash_history

/root/.mysql_history

/proc/self/fd/fd[0-9]*(文件标识符)

/proc/mounts

/porc/config.gz

5、漏洞预防

• 设置 allow_url_include 为 Off

• 路径限制:限制被包含的文件只能在某一文件内,一定要禁止目录跳转字符,如:"../";

• 包含文件验证:验证被包含的文件是否是白名单中的一员;

• 尽量不要使用动态包含,可以在需要包含的页面固定写好,如:include('head.php')

• 严格判断包含中的参数是否外部可控,因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制。

命令执行漏洞

1、简述

程序开发需要去调用一些外部程序,当应用需要调用一些外部程序时就会用到一些执行系统命令的函数。应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行漏洞。

2、危害

• 反弹shell

• 控制服务器

• 控制网站

3、命令执行漏洞攻击

• ; 命令按照顺序(从左到右)被执行,并且可以用分号进行分隔。当有一条命令执行失败时,不会中断其它命令的执行。例如:ping -c 1 127.0.0.1;whoami

• | 通过管理符 可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命令。例如:ping -c 1 127.0.0.1|whoami

• & 命令按照顺序(从左到右)被执行,跟分号作用一样;此符号作用是后台任务符号使 shell 在后台执行该任务,这样用户就可以立即得到一个提示符并继续其他工作,例如:ping -c 4 127.0.0.1&cat /etc/passwd&

• && 前后的命令的执行存在逻辑与关系,只有【&&】前面的命令执行成功后,它后面的命令才被执行,例如:ping -c 4 127.0.0.1&&whoami

• || 前后命令的执行存在逻辑或关系,只有【||】前面的命令执行失败后,它后面的命令才被执行;例如:ping -c ||whoami

• “ ` ”(反引号) 当一个命令被解析时,它首先会执行反引号之间的操作。例如执行 echols -a将会首先执行 ls 并捕获其输出信息。然后再将它传递给 echo,并将 ls 的输出结果打印在屏幕上,这被称为命令替换例如:echo(反引号)whoami(反引号)

• $ 这是命令替换的不同符号。当反引号被过滤或编码时,可能会更有效。

           ping -c 4 127.0.0.1 $(whoami)

• win 命令链接符 | & || && 同上

4、命令执行漏洞防御

• 不执行外部的应用程序或命令,尽量使用自定义函数或函数库实现外部应用程序或命令的功能。在执行 system、eval 等命令执行功能的函数前,要确认参数内容。

• 使用 escapeshellarg 函数处理相关参数,escapeshellarg 函数会将用户引起参数或命令结束的字符进行转义,如单引号“’”会被转义为“’”,双引号“"”会被转义为“"”,分号“;”会被转义为“;”,这样 escapeshellarg 会将参数内容限制在一对单引号或双引号里面,转义参数中包括的单引号或双引号,使其无法对当前执行进行截断,实现防范命令注入攻击的目的。

• 使用 safe_mode_exec_dir 执行可执行的文件路径将 php.ini 文件中的 safe_mode 设置为 On,然后将允许执行的文件放入一个目录,并使用safe_mode_exec_dir 指定这个可执行的文件路径。这样,在需要执行相应的外部程序时,程序必须在safe_mode_exec_dir 指定的目录中才会允许执行,否则执行将失败。

代码执行漏洞

1、漏洞简述

当程序在调用一些字符串转化为代码的函数时,没有考虑用户是否能控制这个字符串,将造成漏洞。

2、常见函数

• PHP :eval()、assert()、preg_replace()

• python :eval

3、漏洞代码示例

3.1、动态代码执行漏洞


function m_print(){
echo 'hello world';
}
$_GET['a']($_GET['b']);
?>

3.2、eval代码执行漏洞


$data = isset($_GET['data'])?$_GET['data']:'这是一个 eval 漏洞页面';
@eval($ret = $data);
echo $ret;#把字符串当做代码执行
?>

3.3、正则代码执行漏洞


$data = $_GET['data'];
preg_replace('/(.*)<\/data>/e','$ret = "\\1";',$data);
?>


请输入



{${phpinfo()}}

注释:preg_replace 使用了 /e 模式,导致可以代码执行

4、代码执行防御方法

• 使用 json 保存数组,当读取时就不需要使用 eval

• 对于必须使用 eval 的地方,一定严格处理用户数据(白名单、黑名单)

• 字符串使用单引号包括可控代码,插入前使用 addslashes 转义(addslashes、魔数引号、htmlspecialchars、 htmlentities、mysql_real_escape_string)

• 不要使用 preg_replace 的 e 修饰符,使用 preg_replace_callback()替换(preg_replace_callback())

• 若必须使用 preg_replace 的 e 修饰符,则必用单引号包裹正则匹配出的对象(preg_replace+正则)

CSRF漏洞

1、简述

CSRF 定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者session riding,通常缩写为 CSRF , 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。

2、漏洞攻击原理

用户打开浏览器,访问登陆受信任的 A 网站,在用户信息通过验证后,服务器会返回一个 cookie 给浏览器,用户登陆网站 A 成功,可以正常发送请求到网站 A,随后用户未退出网站 A,在同一浏览器中,打开一个危险网站 B,而网站 B 收到用户请求后,返回一些恶意代码,并发出请求要求访问网站 A,浏览器收到这些恶意代码以后,在用户不知情的情况下,利用 cookie 信息,向网站 A 发送恶意请求,网站,最后A 会根据 cookie 信息以用户的权限去处理该请求,导致来自网站 B 的恶意代码被执行。

3、受攻击途径

• 受害者登录网站a后,没有退出的情况下,访问了网站 b

• 在存在漏洞的网站,挖掘 xss 漏洞,自动调用这 poc.html

4、漏洞防御

• 增加 Token 验证

• 不要在客户端保存敏感信息;退出、关闭浏览器时的会话过期机制,设置会话过机制,比如 15 分钟无操作,则自动登录超时

• 敏感信息的修改时需要身份进行二次认证,比如修改账号密码,需要判断旧 密码敏感信息的修改使用 POST,而不是 GET通过 HTTP 头部中的 REFERER 来限制原页面

• 增加验证码

JSONP漏洞

1、简述

Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP )呢?这是因为同源策略,同源策略,它是由 Netscape 提出的一个著名的安全策略,现在所有支持 JavaScript 的浏览器都会使用这个策略。传入 callback 值会在结果里面直接返回。因此,如果该参数过滤不严格。可以随便输入:callback 值为:alert('1');parseResponse 字符串,返回结果会打印个 alert 窗口,然后也会正常执行。攻击者模拟用户向有漏洞的服务器发送 JSONP 请求,然后就获取到了用户的某些信息,再将这些信息发送到攻击者可控的服务。

2、漏洞原理

动态添加一个< script >标签,而 script 标签的 src 属性是没有跨域的限制的。由于同源策略的限制,XmlHttpRequest 只允许请求当前源(域名、协议、端口都相同)的资源,如果要进行跨域请求, 我们可以通过使用 html 的 script 标记来进行跨域请求,并在响应中返回要执行的 script 代码,其中可以直接使用 JSON 传递 javascript 对象。考虑这样一种情况,存在两个网站 A 和 B,用户在网站 B 上注册并且填写了自己的用户名,手机号,身份证号等信息,并且网站 B 存在一个 jsonp 接口,用户在访问网站 B 的时候。这个 jsonp 接口会返回用户的暗月内部文档 请勿外出个人信息,并在网站 B 的 html 页面上进行显示。如果网站 B 对此 jsonp 接口的来源验证存在漏洞,那么当用户访问网站 A 时,网站 A 便可以利用此漏洞进行 JSONP 劫持来获取用户的信息。

3、攻击手法

需要用户登录帐号,身份认证还没有被消除的情况下访问攻击者精心设计好的的页面。就会获取 json 数据,把 json 数据发送给攻击者。寻找敏感 json 数据 api 接口,构造恶意的代码。发送给用户,用户访问有恶意的页面,数据会被劫持发送到远程服务器。

4、攻击代码示例


if($_GET['file']){
file_put_contents('json.txt',$_GET['file']);
}
?>
jsonp 劫持代码










 

当用户访问这个页面时,会自动把接口 user.php 的敏感信息发送到远程服务器上,如果获取到信息就会在远程服务器上生成 json.txt。

5、漏洞防御

json 正确的 http 头输出尽量避免跨域的数据传输,对于同域的数据传输使用 xmlhttp 的方式作为数据获取的方式,依赖于 javascript 在浏览器域里的安全性保护数据,如果是跨域的数据传输,必须要对敏感的数据获取做权限认证。文章来源地址https://www.toymoban.com/news/detail-484604.html

到了这里,关于渗透专题丨web Top10 漏洞简述(2)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web漏洞-文件包含漏洞超详细全解(附实例)

    目录 一、导图 二、文件包含漏洞 1.脚本代码 2.原理演示 3.漏洞成因 4.检测方法 5.类型分类 三、本地文件包含漏洞的利用 无限制本地文件包含 有限制本地文件包含 四、远程文件包含漏洞的利用 无限制远程文件包含 有限制远程文件包含 五、协议的玩法 读取文件内容 执行代

    2023年04月25日
    浏览(53)
  • 2022-渗透测试-OWASP TOP10详细讲解

    2024年02月14日
    浏览(48)
  • 信息安全入门——top10漏洞介绍

    随着网络的发展,现在各行各业也都建立起了自己的网络服务,这虽然使得广大的人民群众能更好的认识这家公司,但也会吸引各个攻击者的注意力。 而大多数的企事业单位都会建立属于自己的门户网站或为了便利在服务器上部署各种工具(如“OA”),但岂能料到,正是因

    2023年04月15日
    浏览(42)
  • OWASP TOP 10漏洞分析

    1.注入 - Injection 2.跨站脚本 - (XSS) 3.失效的验证和和会话管理 4.不安全的直接对象访问 5.跨站请求伪造 - (CSRF) 6.不正确的安全设置 7.不安全的加密存储 8.URL访问限制缺失 9.没有足够的传输层防护 10.未验证的重定向和跳转 一、注入-Injection 1、虽然还有其他类型的注入攻击

    2024年02月09日
    浏览(102)
  • Owasp Top10 漏洞解析 之注入

    一、注入漏洞是什么? 注入漏洞,即将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命今或访问数据。 几乎任何数据源都能成为注

    2024年02月04日
    浏览(41)
  • API安全Top 10 漏洞:crAPI漏洞靶场与解题思路

    靶场简介 在 hack 中学习,不要去学习 hack 。 对于想了解 API 安全的同学,最直接的方式就是拿到一个靶场进行实战。正好,crAPI 项目就是 OWASP 推出的 API 安全项目,可以帮助大家了解常见的 API 安全漏洞。 本文将对 crAPI 靶场的相关漏洞以及打靶思路进行简单的介绍,希望对

    2024年01月20日
    浏览(44)
  • 2023_OWASP TOP10_漏洞详情

    OWASP TOP 10 漏洞讲解 1 、 s q l 注入 1、sql注入 1 、 s ql 注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 ​

    2024年02月06日
    浏览(63)
  • 网络安全入门必知的OWASP top 10漏洞详解

    0、OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信

    2024年02月08日
    浏览(40)
  • OWASP TOP 10漏洞的原理 和攻击方式以及防御方法

    OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)组织发布的当前最严重、最普遍的10种Web应用程序安全漏洞。以下是每种漏洞的原理、攻击方式和防御方法。 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 攻击方式:SQL注

    2024年02月07日
    浏览(58)
  • OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    章节目录 回顾2017年和2021年OWASP主流漏洞都有哪些 一、访问控制崩溃 表现形式 防范 二、敏感数据暴露 防范 三、注入 sql注入分类 SQL盲注 SQL注入产生点 SQL注入的思路 盲注测试的思路 防范SQL 四、不安全的设计 产生的原因 业务漏洞的显现体现 五、安全配置不当 风险点 防范

    2024年02月05日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包