web常見漏洞與挖掘技巧

WEB常見漏洞與挖掘技巧研究廣東動易網(wǎng)絡(luò)——吳建亮Jannock@wooyun目錄WEB常見漏洞及案例分析WEB常見漏洞挖掘技巧新型WEB防火墻可行性分析Q/AWEB常見漏洞及案例分析SQL注入XSS/CSRF文件上傳任意文件下載越權(quán)問題其它SQL注入產(chǎn)生SQL注入的主要原因是SQL語句的拼接近一個月，我在烏云上提交的SQL注入類型具體可以看一下：SQL注入是最常見，所以也是我在烏云上提交得最多的一種漏洞。而這些注入漏洞中，大局部是完全沒有平安意識〔防注意識〕而造成的。只有少數(shù)才是因為編碼過濾或比較隱蔽而造成的注入。從另一個角度來說，目前大家對SQL注入還是不夠重視，或者是開發(fā)人員對SQL注入的了解還不夠深刻。案例：經(jīng)典的萬能密碼網(wǎng)站萬能密碼相信大家都不陌生。但有沒有想到這萬能密碼會出現(xiàn)在某平安公司的內(nèi)部網(wǎng)站上？不過平安公司不重視平安，出現(xiàn)低級的平安漏洞，在烏云上也不見少數(shù)。第一次發(fā)現(xiàn)時，直接是用戶名：admin’or‘’=‘密碼：任意進入后臺。報告給官方后，官方的處理方式是直接加一個防火墻了事?！策@種情況在烏云遇到過幾次，可能是不太重視的原因?！撤雷⑴c繞過從來就是一對天敵，一個通用的防火墻很難針對任何一處都做到平安，只想跟廠商說一句，防注，參數(shù)化難道真那么難？代碼過濾一下比加一道防火墻困難么？繞過技巧：在firebug下，把用戶名的input改成textarea，為繞過輸入特殊字符作準(zhǔn)備其實就是回車?yán)@過防火墻規(guī)那么的檢測再次成功進入后臺。。SQL注入關(guān)鍵字參數(shù)化查詢過濾(白名單)編碼(繞過防注、過濾)MySQL寬字節(jié)(繞過addshalshes)二次注入(任何輸入都是有害)容錯處理(暴錯注入)最小權(quán)限〔目前，非常多root，見烏云〕XSS/CSRF跨站腳本、跨站請求偽造造成的危害不可少看實戰(zhàn)中大局部無法突破的往往都是從XSS開始，XSS會給你帶來不少驚喜。案例：跨站腳本拿下某團購網(wǎng)跨站腳本拿下某團購網(wǎng)某次授權(quán)檢測一團購網(wǎng)，就是那種十分簡單的團購網(wǎng)站，前臺功能不多，根本都是靜態(tài)或者是偽靜態(tài)，無從入手。然后看到有一個鏈接到論壇的一個團購心得版塊，于是想到，能不能XSS呢。于是在論壇發(fā)一個貼，帶上跨站腳本。數(shù)分鐘過后，腳本返回了某管理員的cookie信息，后臺路徑居然也記錄在cookie那里去了，這就是跨站腳本帶來的驚喜。后面就順利了，直接欺騙進入后臺，掃描后臺可以拿SHELL的地方，直接獲得SHELLXSS/CSRF關(guān)鍵字編碼〔不需要支持HTML的地方編碼輸出〕過濾〔過濾有危害的腳本〕HttpOnly(防止cookie被盜取)防CSRF常用方法Token〔生成表單同時生成token，提交時驗證token〕驗證碼〔重要操作可以參加〕檢查referer文件上傳常見案例情況1〕無防范〔直接任意文件上傳〕2〕客戶端檢查3〕效勞端只檢查MIME4〕效勞端保存原文件名5〕效勞端保存路徑由客戶端傳送6〕上傳檢查邏輯錯誤簡單找了一下烏云上的一些案例效勞端只檢查MIMEHDwiki文件上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞客戶端檢查對36氪的一次滲透測試支付寶某頻道任意文件上傳漏洞騰訊某分站任意文件上傳漏洞效勞端保存路徑由客戶端傳送騰訊某分站任意文件上傳漏洞江民病毒上報分站真能上傳〔病毒〕上傳檢查邏輯錯誤再暴用友ICC網(wǎng)站客服系統(tǒng)任意文件上傳漏洞文件上傳關(guān)鍵字效勞端文件后輟白名單文件名注意“;”(IIS6解釋漏洞)文件名注意多“.”(某些apache版本解釋漏洞，如x.php.jpg)保存路徑注意“.asp”目錄〔IIS6解釋漏洞〕截斷(常見于asp)在開發(fā)中，由于比較多的情況是上傳文件后輟由客戶來配置，為了防配置錯誤或后臺拿Shell等情況，所以很多時候為了平安問題，隱藏文件真實路徑，這樣即使上傳了可執(zhí)行的腳本類型，但找不到真實的上傳路徑，也是徒勞無功。但這樣往往又會引起“任意文件下載”漏洞。任意文件下載以讀取方式輸出文件內(nèi)容，有可能存在任意文件下載漏洞。常見的情況有兩種1〕直接傳路徑2〕數(shù)據(jù)庫儲存路徑直接傳路徑型任意文件下載案例騰訊某子站文件包含后續(xù)引發(fā)任意文件下載騰訊某子站任意文件下載://tap.3g.qq:8080/picview?b=idpic&filename=../../../.../../../../../../etc/passwd%00.png淘寶網(wǎng)招聘頻道任意文件下載etc/passwd%00&genFileName=132000301eba4605f4c82b137babd890ed1c40593.zip數(shù)據(jù)庫儲存路徑型任意文件下載案例支付寶某子站任意文件下載漏洞任意文件下載關(guān)鍵字注意“..”字符(確保操作是在指定目錄下，防止轉(zhuǎn)跳到別的目錄)文件類型〔確保下載的文件類型正確〕路徑截斷〔常見于jsp，asp〕越權(quán)問題越權(quán)操作一般是查看，修改或刪除別人的信息，當(dāng)然還有其它更大的危害，常見于后臺的情況比較多。前臺一般越權(quán)問題常見于信息泄漏，如訂單數(shù)據(jù)泄漏等，開發(fā)中比較常見的平安問題。烏云越權(quán)案例:通過修改地址中的ID，越權(quán)操作別人的信息凡客誠品訂單泄漏漏洞搜狐招聘查看任意用戶簡歷丁香人才任意簡歷查看越權(quán)京東商城我的投訴查看信息越權(quán)起點中文網(wǎng)網(wǎng)絡(luò)收藏夾越權(quán)越權(quán)問題關(guān)鍵字信息ID+用戶ID〔查看，修改，刪除等操作，必須帶上用戶ID，檢查用戶是否有這個權(quán)限操作〕如想了解更多開發(fā)中要注意的平安問題，可以下載《動易平安開發(fā)手冊》基于.NET2.0的網(wǎng)站系統(tǒng)開發(fā)注意到的平安問題。下載地址：WEB常見漏洞挖掘技巧白盒測試(代碼審計)黑盒測試(功能測試、GoogleHacker、工具掃描)基于漏洞庫的漏洞挖掘經(jīng)過前面對WEB常見漏洞的分析，我們可以總結(jié)一下漏洞挖掘的一些技巧。白盒測試常用工具1、源代碼閱讀/搜索工具

2、WEB測試環(huán)境由于開發(fā).net的關(guān)系，個人習(xí)慣Vs2010在代碼審計方面，很多大牛也發(fā)表過很多相關(guān)的技術(shù)文章，印象中最深刻是那篇《高級PHP應(yīng)用程序漏洞審核技術(shù)》確實能夠快速得找到常見漏洞，不過要找更深層的漏洞，必須了解程序的整體架構(gòu)，每一個小地方都有可能引起平安問題。由于時間關(guān)系，下面主要分享一下，SQL注入審計常用方法SQL注入代碼審計關(guān)鍵字SQL注入1、搜索orderby、in(、like2、深入搜索selectupdatedelete3、注意SQL拼接的地方，進入的變量是否有過濾處理〔如果應(yīng)用程序有統(tǒng)一的變量處理，也可以逆向查找能繞過的變量，如編碼的地方：關(guān)鍵decode、stripcslashes等〕烏云案例

DiscuzX1.5有權(quán)限SQL注入BUG

Discuz!X2SQL注射漏洞案例1、記事狗SQL注入記事狗微博系統(tǒng)是一套創(chuàng)新的互動社區(qū)系統(tǒng)，其以微博為核心，兼有輕博、SNS和BBS特點，既可用來獨立建站也可通過Ucenter與已有網(wǎng)站無縫整合，通過微博評論模塊、關(guān)注轉(zhuǎn)發(fā)機制打通全站的信息流、關(guān)系流，可大幅度提高網(wǎng)站用戶活潑度和參與度，是新時代網(wǎng)站運營不可或缺的系統(tǒng)。同樣，搜索select，注意SQL拼接的地方由于記事狗也加上IDS，但顯然，默認(rèn)規(guī)那么是比較弱，依然可以盲注ajax.php?mod=member&code=sel&province=1andascii(substr((selectpasswordfrommysql.userlimit0,1),1,1))<60案例2、supesite6.x-7.0注入SupeSite是一套擁有獨立的內(nèi)容管理(CMS)功能，并集成了Web2.0社區(qū)個人門戶系統(tǒng)X-Space，擁有強大的聚合功能的社區(qū)門戶系統(tǒng)。SupeSite可以實現(xiàn)對站內(nèi)的論壇(Discuz!)、個人空間(X-Space)信息進行內(nèi)容聚合。任何站長，都可以通過SupeSite，輕松構(gòu)建一個面向Web2.0的社區(qū)門戶。搜索UPDATE，注意進入SQL的參數(shù)viewcomment.php注意參數(shù)rates,直接的SQL語句拼接。從代碼可以看出存在注入，利用：翻開一篇資訊評論的地方提交評論，程序即暴錯，可以利用暴錯注入來獲取想要的數(shù)據(jù)。黑盒測試常用工具1、瀏覽器(Firefox)2、FireBUG+Firecookie3、Google黑盒測試也是前面所介紹的漏洞注意的關(guān)鍵字和經(jīng)驗所形成的條件反響。檢查一個功能是否存在平安問題，通常都是通過非正常方式提交非法參數(shù)，根據(jù)返回的信息來判斷問題是否存在。如注入的地方常常提交“‘”。fireBug是一個很好的工具，可以直觀地編輯HTML元素，繞過客戶客的驗證等，還可以通過查詢網(wǎng)絡(luò)請求，看是否存在Ajax的請求，經(jīng)驗告訴我們，Ajax比較容易出現(xiàn)漏洞。烏云案例：騰訊某頻道root注入案例中就是修改日志時，發(fā)現(xiàn)存在ajax請求，再修改請求中的參數(shù)，發(fā)現(xiàn)了注入的存在。GoogleHacker再說一下GoogleHackerGoogleHacker在百度百科的介紹很多人問我，我的google搜索是不是還有其它技巧，其實也是和上面百科介紹的差不多，也是常用site:xxxxinurl:adminfiletype:phpintitle:管理如搜上傳site:xxxinurl:upload/site:xxxintitle:上傳等不過還有一點百科好似沒有提到，就是當(dāng)有很多結(jié)果時，我想排除一局部搜索結(jié)果。可以用“-”44像搜索：site:qqfiletype:php會有很多微博的，我想排除這些結(jié)果?？梢赃@樣搜:site:qqfiletype:php-t.出來的結(jié)果就沒有了微博的內(nèi)容了?；诼┒磶斓穆┒赐诰蜻@個容易理解，通過對漏洞庫的學(xué)習(xí)和了解，可以挖掘更多同類型的漏洞，像烏云的漏洞庫。烏云案例：支付平安烏云案例：密碼修改

還有ThinkPHP遠(yuǎn)程代碼執(zhí)行Struts2框架遠(yuǎn)程命令執(zhí)行等。。。在這里感謝烏云為互聯(lián)網(wǎng)平安研究者提供一個公益、學(xué)習(xí)、交流和研究的平臺。新型WEB防火墻可行性分析我們再看這個圖，有個問題，對于這樣的大站，在上線之前或者平時，相信也有很多人用各種漏洞掃描工具掃描，為什么工具不能掃描出這種相對明顯的“數(shù)字/字符型”的注入點呢？我們回看這些注入的地方，發(fā)現(xiàn)大局部注入點都是Ajax請求，一般來說，我們了解的漏洞掃描工具都是以爬蟲式的偏列頁面的地址，但對于這種Ajax或者是Javascript觸發(fā)的請求，漏洞掃描工具就顯得無力了。弱點：知道漏洞類型，但不知道有那些請求我們再回看注入案例中的WEB防火墻，簡單的換行就能繞過檢查規(guī)那么？為什么呢？傳統(tǒng)WEB防火墻，只能針對規(guī)那么攔截，即針對參數(shù)中是否存在某些危險關(guān)鍵字，如：selectfrom，unionselect等。但他不知道這個請求是否存在漏洞，什么漏洞？所以存在過慮不完整，存在繞過，更多的是存在誤判，嚴(yán)重影響應(yīng)用程序的使用。弱點：知道請求，但不知道漏洞類型