1、简述xss漏洞原理和分类及依据XSS跨站脚本攻击是一种将恶意脚本注入到被信任网站的攻击方式。其原理是攻击者在web应用中插入可执行的恶意脚本通常为JavaScript当其他用户访问该页面时浏览器会执行这些脚本从而导致攻击者能够窃取用户敏感信息、劫持用户会话或进行其他恶意操作。XSS漏洞主要分为三类分类依据是恶意脚本的存储和执行方式反射型XSS原理/依据恶意脚本作为请求的一部分通常通过URL参数发送给服务器服务器“反射”回包含此脚本的响应页面。关键在于恶意代码不存储在服务器上每次攻击都需要诱骗用户点击一个特制的链接。存储型XSS原理/依据恶意脚本被永久存储在服务器上如数据库、评论、用户资料。当其他用户访问受影响的页面时服务器会从存储中取出恶意脚本并返回给用户的浏览器执行。关键在于攻击具有持久性所有访问页面的用户都可能受影响。DOM型XSS原理/依据漏洞存在于客户端的JavaScript代码中而非服务器端。恶意脚本通过修改页面的DOM文档对象模型环境在客户端执行。整个攻击过程不涉及服务器响应内容的改变。关键在于攻击的根源在于前端脚本对用户输入的不安全处理。2、安装BlueLotus和beef-xss平台对xss漏洞进行利用github安装BlueLotus_XSSReceiverphp安装然后访问install.php页面修改密码等初始化工作然后提交、登录在添加js过程中 他会出现下面这个提示原来是我忘记填写文件名了然后点击新增复制即可修改dvwa靶场安全等级为low之后因为name框限制输入字数 F12修改一下会显示会显示xss面板接收到消息要确保网络通 因为是访问网站然后返回信息xss盲打还是之前生成的payload放在pikachu用cookie editor把xss.com获取的信息填进去即可或者用burp匹配替换确认之后 重新在burp浏览器中访问后台页面就能登陆但是一个小问题是admin_login.php页面不行 得是admin.php页面beef平台对xss漏洞的利用按照文档命令安装web UI是登陆在kali上的beef可视化界面HOOK是js payload 需要把IP改成攻击机的IPsubmit之后 复制长链接 找网站改成短链接 然后在靶机上访问这个短链接https://goo.su/9vq1GPt3、复习文件上传漏洞之前端校验绕过服务器后端绕过技巧禁用js同理 禁用的话就可以直接上传php一句话木马服务器后端绕过黑名单绕过特殊可解析后缀许多 Web 服务器配置也会将以下扩展名识别为 PHP 脚本并执行其中 的代码。.phtml- 传统PHPHTML混合文件.phps- PHP源代码文件.php5- PHP5特定脚本.pht- 较少见但可解析.php4, .php3, .php7, .phar等利用方法直接将文件后缀改为.phtml等绕过黑名单。其他变种大小写绕过黑名单未统一大小写.PHp .PhP .pHp .pHP点绕过Windows系统中会自动去除文件名最后的点 shell.php. ← 有点空格绕过Windows系统中会自动去除文件名最后的空格.htaccess绕过.htaccess 文件是Apache服务器的一个配置文件相当于一个“小管理员”。把它放在哪个文件夹它就能管理那个文件夹的规则。比如它可以规定“这个文件夹里的.jpg文件都当.php文件来执行”。假设防御方用黑名单禁止上传.php文件。攻击者不直接上传.php木马而是上传一个规则文件.htaccess。这个规则文件里写了一条命令“以后所有叫a.jpg的文件都给我当成PHP脚本来运行”接着攻击者再上传一个真正的木马文件但把它命名为a.jpg。当有人访问http://网站地址/upload/a.jpg时Apache服务器会先看.htaccess文件发现规则说“a.jpg要当php执行”于是就把图片里的PHP代码执行了。:$DATA绕过在Windows中,如果文件名::DATA会把::DATA之后的数据当成文件流处理,不会检测后缀名 shell.php::$DATA双写后缀绕过黑名单将危险后缀替换为空 原理shell.pphphp → 替换php为空 → shell.php配合解析漏洞绕过以.p hp. .为例的验证过程首先系统发现最后有一个点这时会把它去掉又发现有一个空格也会 把它去掉这时还有一个点也就是.php. 由于系统只验证一次所以不会再去掉剩下的点这时就可以 上传成功。白名单绕过MIME类型绕过%00截断:在计算机底层C语言用\0空字符表示一个字符串的结束。读到\0就认为“这个字符串到这里就完了后面的不用看了”。在URL或HTTP协议中\0通常编码为%00。eg: filenameshell.php%00.jpg 在PHP 5.3.4 及以下版本 有效。新版PHP已修复。4、复习文件上传漏洞之服务端内容检查绕过和条件竞争漏洞服务端内容检查是指服务器不仅检查文件的后缀名还要深入检查文件的实际内容验证文件是否真的是它声称的类型。1.文件头检查// 检查文件开头几个字节魔术头// 不同文件类型有特定的起始字节getimagesize()检查PHP内置函数返回图片的真实信息。exif_imagetype()检查exif_imagetype读取一个图像的第一个字节并检查其签名绕过方案1制作图片木马# Windows命令 copy 1.png/b 1.php/b 2.png # 解释 # 1.png 正常图片 # 1.php 木马代码 # 2.png 生成的图片木马原理文件开头保持图片的合法文件头在文件末尾附加PHP木马代码既能通过内容检查又能被执行绕过方案2二次渲染绕过服务器接收图片 → 用程序重新生成新图片 → 保存新图片 → 删除原始图片绕过步骤文档示例用010editor对比原始图片和渲染后的图片找到未被修改的数据块在未修改区域插入木马代码重新上传不同图片类型的处理GIF相对简单在未变区域插入JPG复杂需要脚本插入特定位置PNG最复杂需插入PLTE或IDAT数据块2.条件竞争漏洞一种时间窗口攻击利用程序处理多个请求时的时序问题。漏洞产生原因非原子操作上传、检查、删除是分开的步骤时间窗口步骤之间有延迟可并发访问文件保存期间可以被访问持久化可能木马可以生成不会被删除的新文件上传一句话木马php文件 并用burp抓包发送到Intruder模块攻击很久也没有生成shell.php 也不是百分之百能成功5、安装Upload_Auto_Fuzz插件并熟练使用先下载jypython,然后添加对应路径然后添加Upload_Auto_Fuzz插件对于passion2的网址 发送到intruder模块取消勾选url编码然后开始攻击
网络安全工程师-作业6
1、简述xss漏洞原理和分类及依据XSS跨站脚本攻击是一种将恶意脚本注入到被信任网站的攻击方式。其原理是攻击者在web应用中插入可执行的恶意脚本通常为JavaScript当其他用户访问该页面时浏览器会执行这些脚本从而导致攻击者能够窃取用户敏感信息、劫持用户会话或进行其他恶意操作。XSS漏洞主要分为三类分类依据是恶意脚本的存储和执行方式反射型XSS原理/依据恶意脚本作为请求的一部分通常通过URL参数发送给服务器服务器“反射”回包含此脚本的响应页面。关键在于恶意代码不存储在服务器上每次攻击都需要诱骗用户点击一个特制的链接。存储型XSS原理/依据恶意脚本被永久存储在服务器上如数据库、评论、用户资料。当其他用户访问受影响的页面时服务器会从存储中取出恶意脚本并返回给用户的浏览器执行。关键在于攻击具有持久性所有访问页面的用户都可能受影响。DOM型XSS原理/依据漏洞存在于客户端的JavaScript代码中而非服务器端。恶意脚本通过修改页面的DOM文档对象模型环境在客户端执行。整个攻击过程不涉及服务器响应内容的改变。关键在于攻击的根源在于前端脚本对用户输入的不安全处理。2、安装BlueLotus和beef-xss平台对xss漏洞进行利用github安装BlueLotus_XSSReceiverphp安装然后访问install.php页面修改密码等初始化工作然后提交、登录在添加js过程中 他会出现下面这个提示原来是我忘记填写文件名了然后点击新增复制即可修改dvwa靶场安全等级为low之后因为name框限制输入字数 F12修改一下会显示会显示xss面板接收到消息要确保网络通 因为是访问网站然后返回信息xss盲打还是之前生成的payload放在pikachu用cookie editor把xss.com获取的信息填进去即可或者用burp匹配替换确认之后 重新在burp浏览器中访问后台页面就能登陆但是一个小问题是admin_login.php页面不行 得是admin.php页面beef平台对xss漏洞的利用按照文档命令安装web UI是登陆在kali上的beef可视化界面HOOK是js payload 需要把IP改成攻击机的IPsubmit之后 复制长链接 找网站改成短链接 然后在靶机上访问这个短链接https://goo.su/9vq1GPt3、复习文件上传漏洞之前端校验绕过服务器后端绕过技巧禁用js同理 禁用的话就可以直接上传php一句话木马服务器后端绕过黑名单绕过特殊可解析后缀许多 Web 服务器配置也会将以下扩展名识别为 PHP 脚本并执行其中 的代码。.phtml- 传统PHPHTML混合文件.phps- PHP源代码文件.php5- PHP5特定脚本.pht- 较少见但可解析.php4, .php3, .php7, .phar等利用方法直接将文件后缀改为.phtml等绕过黑名单。其他变种大小写绕过黑名单未统一大小写.PHp .PhP .pHp .pHP点绕过Windows系统中会自动去除文件名最后的点 shell.php. ← 有点空格绕过Windows系统中会自动去除文件名最后的空格.htaccess绕过.htaccess 文件是Apache服务器的一个配置文件相当于一个“小管理员”。把它放在哪个文件夹它就能管理那个文件夹的规则。比如它可以规定“这个文件夹里的.jpg文件都当.php文件来执行”。假设防御方用黑名单禁止上传.php文件。攻击者不直接上传.php木马而是上传一个规则文件.htaccess。这个规则文件里写了一条命令“以后所有叫a.jpg的文件都给我当成PHP脚本来运行”接着攻击者再上传一个真正的木马文件但把它命名为a.jpg。当有人访问http://网站地址/upload/a.jpg时Apache服务器会先看.htaccess文件发现规则说“a.jpg要当php执行”于是就把图片里的PHP代码执行了。:$DATA绕过在Windows中,如果文件名::DATA会把::DATA之后的数据当成文件流处理,不会检测后缀名 shell.php::$DATA双写后缀绕过黑名单将危险后缀替换为空 原理shell.pphphp → 替换php为空 → shell.php配合解析漏洞绕过以.p hp. .为例的验证过程首先系统发现最后有一个点这时会把它去掉又发现有一个空格也会 把它去掉这时还有一个点也就是.php. 由于系统只验证一次所以不会再去掉剩下的点这时就可以 上传成功。白名单绕过MIME类型绕过%00截断:在计算机底层C语言用\0空字符表示一个字符串的结束。读到\0就认为“这个字符串到这里就完了后面的不用看了”。在URL或HTTP协议中\0通常编码为%00。eg: filenameshell.php%00.jpg 在PHP 5.3.4 及以下版本 有效。新版PHP已修复。4、复习文件上传漏洞之服务端内容检查绕过和条件竞争漏洞服务端内容检查是指服务器不仅检查文件的后缀名还要深入检查文件的实际内容验证文件是否真的是它声称的类型。1.文件头检查// 检查文件开头几个字节魔术头// 不同文件类型有特定的起始字节getimagesize()检查PHP内置函数返回图片的真实信息。exif_imagetype()检查exif_imagetype读取一个图像的第一个字节并检查其签名绕过方案1制作图片木马# Windows命令 copy 1.png/b 1.php/b 2.png # 解释 # 1.png 正常图片 # 1.php 木马代码 # 2.png 生成的图片木马原理文件开头保持图片的合法文件头在文件末尾附加PHP木马代码既能通过内容检查又能被执行绕过方案2二次渲染绕过服务器接收图片 → 用程序重新生成新图片 → 保存新图片 → 删除原始图片绕过步骤文档示例用010editor对比原始图片和渲染后的图片找到未被修改的数据块在未修改区域插入木马代码重新上传不同图片类型的处理GIF相对简单在未变区域插入JPG复杂需要脚本插入特定位置PNG最复杂需插入PLTE或IDAT数据块2.条件竞争漏洞一种时间窗口攻击利用程序处理多个请求时的时序问题。漏洞产生原因非原子操作上传、检查、删除是分开的步骤时间窗口步骤之间有延迟可并发访问文件保存期间可以被访问持久化可能木马可以生成不会被删除的新文件上传一句话木马php文件 并用burp抓包发送到Intruder模块攻击很久也没有生成shell.php 也不是百分之百能成功5、安装Upload_Auto_Fuzz插件并熟练使用先下载jypython,然后添加对应路径然后添加Upload_Auto_Fuzz插件对于passion2的网址 发送到intruder模块取消勾选url编码然后开始攻击
