读书笔记
Source
Edit
History

note_JAVA代码审计-入门篇

第1章 初识JAVA代码审计

第2章 代码审计环境搭建

  1. 使用环境:JAVA JDK、Docker、Vulhub、IntelliJ IDEA(远程调试)、VMware、Maven

第3章 代码审计辅助工具简介

  1. 代码编辑器:Sublime、IDEA、Eclipse
  2. 测试工具:Burp Suite、SwitchyOmega、Max HackerBar、Postman、Postwoman、Tamper Data、Ysoserial、Marshalsec、MySQL监视工具、Beyond Compare
  3. 反编译工具:JD-GUI、FernFLower、CFR、IntelliJ IDEA
  4. JAVA代码静态扫描工具:Fortify、VCG、FindBugs与FindSecBugs插件、SpotBugs
  5. 公开漏洞查找平台:CVE、NVD、CNVD、CNNVD

Java EE基础知识

Java EE

Java EE常用核心技术

  1. Java 数据库连接 (JDBC):用于规范客户端程序如何访问数据库的应用程序接口。
  2. Java 命名和目录接口(JNDI):Java的一个目录服务应用程序界面(API),将服务名称和对象关联起来,从而使开发可以用名称来访问对象。
  3. 企业级JavaBean(EJB):用来构筑企业级应用的、在服务端可被管理的组件。
  4. 远程方法调用(RMI):是Java的一组用户开发分布式应用程序的API,增强Java开发分布式应用的能力。
  5. Servlet:是使用Java编写的服务端程序,狭义的Servlet指Java语言实现的一个接口,广义上指任何实现该Servlet接口的类。主要功能在于交互式地浏览和修改数据,生成动态内容。
  6. JSP(JavaServer Pages):一种动态网页技术标准,部署在网络服务器上,可以相应用户端发送的请求,并根据请求内容动态生成HTML、XML或其他格式文档的Web网页,返回给请求者。
  7. 可扩展标记语言(XML):是被设计用于传输和存储数据的语言。
  8. Java消息服务(Java Message Service, JMS)是一个Java平台中关于面向消息中间件(MOM)的API,用于在两个应用程序之间或分布式系统中发生消息,进行异步通信。

Java EE 分层模型

  1. Domain Object(领域对象)层:由一系列POJO(Plain Old Java Object)组成,这些对象是该系统的Domain Object,通常包含各自所需实现的业务逻辑方法。
  2. DAO(Data Access Object, 数据访问对象)层:由一系列DAO组件组成,实现对数据库创建、查询、更新、删除等操作。
  3. Service(业务逻辑)层:由一系列控制器组成,用于拦截用户请求,并调用业务逻辑组件的业务逻辑方法处理用户请求,根据处理结果向不同View组件转发。
  4. View(表现)层:由一系列页面及视图组件组成,负责收集用户请求,并显示处理后的结果。

MVC

MVC,即为Model View Controller,三个核心部件,独自处理各自的任务。这种分离思想应用在代码审计中,以抓住关键问题。

Java MVC

  1. Model:表示携带数据的对象或Java POJO,即使模型内的数据改变,它也具有逻辑来更新控制器。
  2. Controller:表示逻辑控制,它对模型和视图都有作用,控制数据流进入模型对象,并在数据更改时更新视图,是视图和模型的中间层。
  3. View:表示模型包含的数据的可视化层。
    工作流程:控制层接收用户请求,决定调用哪个模型,模型处理用户请求并返回数据,最后由视图层将数据转化呈现给用户。MVC模式使视图层和业务层分离,比如修改View层代码时,不用重新编译Model和Controller代码。

Java MVC框架

  1. Struts1
  2. Struts2
  3. Spring MVC
  4. JSF
  5. Tapestry

Servlet

读书笔记
Source
Edit
History

代码审计 企业级web代码安全结构

苦于代码审计能力偏弱,调研一番发现这本书或许有所帮助。

第一部分 代码审计前的准备

代码审计环境搭建

  1. wamp/wnmp: WAMP(Windows下的Apache+Mysql/MariaDB+Perl/PHP/Python),WNMP(Windows下的Nginx+Mysql+PHP)
  2. lamp/lnmp:将上述环境安装在Linux中。

PHP_INI_*常量的定义

  1. PHP_INI_USER:该配置选项可在用户的PHP脚本或Win注册表中设置。
  2. PHP_INI_PERDIR:该配置选项可在php.ini. .htaccess或httpd.conf中设置。
  3. PHP_INI_SYSTEM:该配置选项可在任何地方设置。
  4. PHP_INI_ALL:该配置选项可在任何地方设置。
  5. php.ini only:该配置选项可仅可在php.ini中配置。

会影响PHP脚本安全的配置列表及核心配置选项

  1. register_globals(全局变量注册开关):该选项在on的情况下,会将用户GET/POST等方式提交上来的参数注册成全局变量并初始化值为参数对应的值,使提交参数可以直接在脚本中使用。register_globals在PHP版本小于等于4.2.3时设置为PHP_INI_ALL,从PHP5.3.0起被废弃,在PHP5.4.0中被移除。
    代码实例:(实验环境php5.2.17,在php.ini中添加register_globals = On) 
    1
    2
    3
    4
    <?php
    if($user=='admin'){
      echo 'true';
    }
  2. allow_url_include(是否允许包含远程文件):在该配置为on的情况下,可以直接包含远程文件,当存在include($var)且$var可控的情况下,可以直接控制$var变量来执行PHP代码。allow_url_include在PHP5.2.0后默认设置为off,配置范围为PHP_INI_ALL。与之类似的配置有allow_url_fopen,配置是否允许打开远程文件,但安全隐患没有前者大。
    代码实例:(实验环境php5.2.17,payload:a=http://127.0.0.1:80/test/info.txt ,info.txt内容为<?php phpinfo();?>) 
    1
    2
    <?php
    include $_GET['a'];
  3. magic_quotes_gpc(魔术引号自动过滤):该参数在不存在编码或其他特殊绕过的情况下,可以使很多漏洞无法利用。当该参数被开启时(选项设置为on),会自动在GET、POST、COOKIE变量中的单引号(‘)、双引号(“)、反斜杠(\)及空字符(NULL)的前面加上反斜杠(\),但在PHP5中magic_quotes_gps并不会过滤$_SERVER变量,导致很多类似client-ip、referer一类的漏洞能够利用。PHP5.3之后不推荐使用该参数,PHP5.4之后被取消。在PHP版本小于4.2.3时,配置范围是PHP_INI_ALL;在PHP版本大于4.2.3时,是PHP_INI_PERDIR。
    代码实例:(测试?a=1’) 
    1
    2
    <?php
    echo $_GET['a'];
  4. magic_quotes_runtime(魔术引号自动过滤):过滤方式同样为加反斜杠,但和magic_quotes_gpc的处理对象不一样。magic_quotes_runtime只对从数据库或文件中获取的数据进行过滤,magic_quotes_runtime在PHP5.4之后被取消,配置范围是PHP_INI_ALL。但该参数仅对部分函数有作用,某些情况下可以被绕过。
    代码实例: 
    1
    2
    3
    4
    5
    6
    #1.txt
    1'2"3\4

    <?php
    ini_set("magic_quotes_runtime","1");
    echo file_get_contents("1.txt");
  5. magic_quotes_sybase(魔术引号自动过滤):用于自动过滤特殊字符,当设置为on时,会覆盖magic_quotes_gpc=on的配置(使gpc=on失效)。与gpc的共同点是处理对象一致(GET、POST、Cookie),但该参数仅转义空字符以及把单引号变成双引号,使用率比gpc低。配置范围为PHP_INI_ALL,在PHP5.4.0中移除。(代码实例与gpc相同)
  6. safe_mode(安全模式):是PHP内嵌的一种安全机制,配置范围为PHP_INI_SYSTEM,PHP5.4之后被取消(取消原因是,PHP开发者认为在PHP语言机制上试图解决安全问题是一件不合适的事情,虽然safe_mode在一定程度上对共享主机有效,但同时也带来了不少误报,与其在PHP上解决权限安全问题,不如使用linux默认的权限限制机制或其它层级的解决办法)。该参数效果为,所有文件操作函数都会受到限制,非文件所有者不能对该文件进行操作(如include()),如果有一些脚本文件放在非Web服务启动用户所有的目录下,需要利用include等函数进行加载,可以使用safe_mode_include_dir来配置可包含的路径。此外,通过函数popen()、system()以及exec()等函数执行命令或程序会提示错误,如果需要使用外部脚本,可以集中存放,然后用safe_node_exec_dir来指向存放目录。
    代码实例: 
    1
    2
    # echo `whoami`; 执行命令失败的回显提示
    Warning: shell_exec() [function, shell_exec]: Cannot execute using backquotes in Safe Mode ...
  7. open_basedir(PHP可访问目录):用于限制PHP只能访问哪些目录,通常只需要设置Web文件目录即可,如果需要加载外部脚本,也需要把所在路径加入该指令中,多个目录以分号分割。需要注意,指定限制实际上是前缀而不是目录名,如配置open_basedir=/www/a,那么/www/a和/www/ab都可以访问,所以为了避免该现象发生,需要用斜线结束路径名,如/www/a/。当参数激活,执行脚本访问其它文件时都需要验证文件路径,所以会影响执行效率。该指令配置范围在PHP<5.2.3时是PHP_INI_SYSTEM,在PHP>=5.2.3时是PHP_INI_ALL。
  8. disable_functions(禁用函数):使用该指令来禁止敏感函数的使用,使用本指令时,需把dl()函数也添加进禁用列表,否则攻击者可以利用dl()函数价值自定义的PHP扩展突破该指令的限制。指令范围为php.ini,配置禁用函数时使用逗号分割函数名。
  9. display_errors和error_reporting错误显示:display_errors用于表明是否显示PHP脚本内部错误,生产环境中建议关闭,在开启时,可以通过设置error_reporting来设置错误显示的级别。配置范围均为PHP_INI_ALL。

审计辅助与漏洞验证工具

代码编辑器

  1. Notepad++
  2. UltraEdit(文件对比)
  3. Zend Studio(PHP集成开发环境)

代码审计工具

  1. Seay源代码审计系统
  2. RIPS

漏洞验证辅助

  1. Burp
  2. 浏览器扩展:Hackbar, Firebug, Live HTTP Headers, Modify
  3. 编码转换及加解密工具:Seay代码审计系统自带的编码功能,Burp自带的decoder,超级加解密转换工具
  4. 正则调试工具:Seay自带的正则调试功能,灵者正则调试
  5. SQL执行监控工具:Seay mysql监控

漏洞发现与防范

通用代码审计思路

敏感函数回溯参数过程

根据敏感函数来逆向追踪参数的传递过程,使用较多,因为大多数漏洞都是由于函数使用不当造成的。非函数使用不当的漏洞,如SQL注入,也有一些特征,如Select、Incert等,结合From和Where等关键字判断是否为一条SQL语句,通过对字符串的识别分析,就能判断该SQL语句参数有没有使用单引号过滤,或者根据经验判断。如HTTP头里面的HTTP_CLIENT_IP和HTTP_X_FORWORDFOR等获取到的IP地址常直接拼接到SQL语句中,且由于它们是存在于$_SERVER变量中不受GPC的影响,那么就可以查找这两个参数关键字快速寻找漏洞。
该方法的优点是定向挖掘、高效、高质量,缺点是对整体框架了解不够深入,定位利用点会花费时间,另外无法覆盖逻辑漏洞。

通读全文代码

在企业中做自身产品代码审计时,我们需要了解整个应用的业务逻辑以获取更多漏洞。
通读全文代码时,首先要看程序的大体代码结构,如主目录有哪些文件,模块目录有哪些文件,插件目录有哪些文件,还要注意文件大小、创建时间。根据文件命名可大致了解该程序实现哪些功能,核心文件是哪些。
在看程序目录结构时,要特别注意以下几个文件:

  1. 函数集文件,通常命名中包含functions或者common等关键字,这些文件内是一些公共函数,提供给其它文件统一调用,所以大多数文件会在文件头包含其它文件。寻找这些文件的一个技巧就是打开index.php或一些功能性文件,在头部一般都能找到。
  2. 配置文件,通常命名中包含config关键字,包括Web程序运行必须的功能性配置选项及数据库等配置信息,从该文件中可以了解程序的小部分功能,另外看这个文件时注意观察配置文件中参数值是用单引号还是双引号,如果是双引号,则很可能存在代码执行漏洞。(如利用PHP可变变量($$a)的特性执行代码,ref:https://www.cnblogs.com/Cl0ud/p/12336834.html)
  3. 安全过滤文件,该文件关系到挖掘到的可疑点能否利用,通常命名中有filter、safe、check等关键字。这类文件主要作用是针对参数进行过滤,比较常见的是针对SQL注入和XSS过滤,还有文件路径、执行的系统命令的参数,其它相对少见。而目前大多数应用会在程序入口循环对所有参数使用addslashes()进行过滤。
  4. index文件,是一个程序的入口文件,通过阅读该文件可大致了解整个程序的架构、运行流程、包含的文件,以及核心文件有哪些。而不同的目录的index文件也有不同的实现方式,最好先将核心目录的index文件都简单读一遍。
    学习代码审计前期建议先下载一些小应用来读,积累经验后,再去读开源框架。

根据功能点定向审计

先简单黑盒测试一下,再通过发现的容易出问题的功能去阅读该功能点的源码,提高审计速度。

  1. 文件上传功能:任意上传、SQL注入
  2. 文件管理功能:任意文件操作、XSS漏洞
  3. 登录认证功能:任意用户登录
  4. 找回密码功能:验证码爆破、验证凭证算法

漏洞挖掘与防范(基础篇)

SQL注入

挖掘经验

常出现在登录页面、获取HTTP头(user-agent/client-ip等)、订单处理等业务相对复杂的地方,登录页面注入大多出现在HTTP头的client-ip和x-forward-for,用于记录登录IP地址。另外在订单系统内,由于订单涉及购物车等多个交互,经常会发生二次注入,通读代码时可着重关注这几个地方。

  1. 普通注入:指最容易利用的SQL注入漏洞,有int型和string型,在string型注入中需要使用单或双引号闭合。数据库操作存在一些关键字,如select from、mysql_connect、mysql_query、mysql_fetch_row等,查询方式还有update、incert、delete,只需要在白盒审计中查找这些关键字即可定向挖掘SQL注入。
  2. 编码注入:程序在进行一些操作前经常会进行编码处理,而做编码处理的函数可能会存在问题。通过输入转码函数不兼容的特殊字符,即可导致输出字符变成有害数据,在SQL注入里,最常见的编码注入是MySQL宽字节以及urldecode/rawurldecode函数导致的。
    • 宽字节注入:使用PHP连接MySQL的时候,当设置set character_set_client=gbk时会导致一个编码转换的注入问题,当存在该漏洞时,注入参数里带入%df%27,即可把程序中过滤的\(%5c)吃掉。而通常都不是直接设置set character_set_client=gbk,而是设置SET NAMES ‘gbk’,同样存在漏洞。官方建议是使用mysql_set_charset来设置编码,只要在后面合理的使用mysql_real_escape_string还是可以解决该漏洞的。对宽字节注入的挖掘方法比较简单,搜索SET NAMEScharacter_set_client=gbkmysql_set_charset('gbk')。该漏洞的解决方法如以下三种,比较推荐一和三:
      • 在执行查询前先执行SET NAMES 'gbk', character_set_client=binary
      • 使用mysql_set_charset(‘gbk’)设置编码,然后使用mysql_real_escape_string()过滤。
      • 使用pdo方式,在PHP5.3.6及以下版本中需要设置setAttribute(PDO::ATTR_EMULATE_PREPARES,false);,来禁用prepared statements的仿真效果。
    • 二次urlencode注入:只要字符被进行转换就有可能产生漏洞。现在的Web程序大多会进行参数过滤,通常使用addslashes()、mysql_real_escape_string()、mysql_escape_string()函数或者开启GPC的方式来防止注入,也就是给单引号、双引号、反斜杠(\)和NULL加上反斜杠转义。如果某处使用了urldecode或者rawurldecode函数,则会导致二次加码生成单引号而引发注入。该漏洞可以通过搜索urldecode和rawurldecode函数来挖掘。
漏洞防范
  1. gpc/runtime魔术引号:通常数据污染有两种方式,一种是应用被动接收参数,另一种是主动获取参数。利用magic_quotes_gpc和magic_quotes_runtime可以防止部分SQL注入(对int型注入没有太大作用)
  2. 过滤函数和类:有两种使用场景,一种是程序入口统一过滤,框架程序使用这种方式比较多,另一种是在程序进行SQL语句运行前使用,除了PHP内置的一些过滤单引号等函数外,还有一些开源类过滤union、select等关键字。
    • addslashes函数:过滤单引号、双引号、反斜杠以及空字符NULL,大多被用在程序入口,判断如果没有开启GPC则使用该函数进行过滤。不过它的参数必须是string类,所以可能会存在通过数组绕过的漏洞。
    • mysql_[real_]escape_string函数:这两个函数都是对字符串进行过滤,只存在于大于PHP4.03的版本,[\x00]、[\n]、[\r]、[\]、[']、["]、[\xla]会受到影响。两个函数唯一不一样的地方在于mysql_real_escape_string接受的是一个连接句柄并根据当前字符集转移字符串,推荐使用。
    • intval等字符转换:上述方式在int类型注入时效果不会,比如可以通过报错或盲注等方式来绕过,这时候就要用到intval函数了。intval的作用是将变量转换成int类型,这里举例intval是要表达一种利用参数类型白名单的方式来防止漏洞,对应的还有很多如floatval等。
  3. PDO prepare预编译:通过预编译的方式来处理数据库查询。当PHP版本<5.3.6时,使用PHP本地模拟prepare再把完整的SQL语句发送给MySQL服务器,且使用set names ‘gbk’时,仍然存在宽字节SQL注入,因为PHP和MySQL编码不一致。正确的写法应该是使用ATTR_EMULATE_PREPARES来禁用PHP本地模拟prepare。

XSS漏洞

挖掘经验

挖掘XSS漏洞关键在于寻找没有被过滤的参数,且这些参数传入至输出函数。常用输出函数列表如下:print、print_r、echo、printf、sprintf、die、var_dump、var_export,寻找带有变量的这些函数即可。另外在代码审计中,浏览器环境对XSS漏洞利用影响非常大。通读代码时可多关注各处设置资料、文章发表、留言等富文本区域,这种地方存在的XSS通常是存储型的。

反射型 XSS

直接通过外部输入在浏览器端输出触发,该种漏洞比较容易通过扫描器黑盒审计发现。白盒审计中,只需要寻找带有参数的输出参数,根据输出参数对输出内容回溯输入参数,观察有没有经过过滤。

存储型XSS

把利用代码保存在数据库或文件中,当Web程序读取利用代码并输出在页面上时执行利用代码。比反射型容易利用,较为隐蔽且不用考虑绕过浏览器过滤。挖掘时也是需要寻找未过滤的输入点和未过滤的输出函数(可能完全不在同一个业务流中),可以根据当前代码功能去猜,或追寻数据有在哪里被操作,使用表名、字段名去代码里搜索。

漏洞防范
  1. 特殊字符HTML实体转码。
  2. 标签事件属性黑白名单。

CSRF漏洞

挖掘经验

主要用于越权操作,所以漏洞会出现在有权限控制的地方。黑盒挖洞可以先搭建环境,打开几个有非静态操作的页面,抓包看看有没有token,没有token就不带referer直接请求该页面,返回数据一样的话,可能存在CSRF漏洞。白盒审计,通读代码时看看被大量引用的基础文件(核心文件)、你比较关心的功能点代码内有没有验证token和referer相关的代码,或者直接搜索token关键字。

漏洞防范
  1. 增加token/referer验证避免img标签请求的水坑攻击。
  2. 增加验证码。(比较麻烦,更适用于敏感操作页面)

漏洞挖掘与防范(进阶篇)

文件操作漏洞

文件包含漏洞

文件包涵函数有include()、include_once()(前两个在包含文件时即使遇到错误,下面的代码仍然执行)、require()、require_once()(这两个在包含文件时遇到错误会报错退出程序)。

挖掘经验

文件包含漏洞大多出现在模块加载、模板加载以及cache调用的地方。在挖掘漏洞时可以跟踪程序运行流程,看模块加载包含的文件是否可控等,另一个是直接搜索上文四个函数来回溯寻找可控变量。一般该类漏洞都是本地文件包含,大多需要截断。

本地文件包含

本地文件包含(local file include,LFI),大多出现在模块加载、模板加载和cache调用,有多种利用方式,如上传一个允许上传的文件格式的文件再包含以执行代码,包含PHP上传的临时文件,在请求URL或ua里面加入要执行的代码,WebServer记录到日志后再包含WebServer的日志,还有像Linux下可以包含/proc/self/environ文件。

远程文件包含

远程文件包含(remote file include, RFI),需要设置allow_url_include = On,相比于本地包含来说更容易利用,但出现频率不高。

文件包含截断
  1. 使用%00截断,最古老的方法,受限于GPC和addslashes等函数的过滤,另外PHP5.3之后的版本已经全面修复,不能使用该方法了。
  2. 使用多个英文句号.和反斜杠/来阶段,不受GPC限制,但同样在PHP5.3之后被修复。
  3. 远程文件包含时利用问号来伪截断,不受GPC和PHP版本限制,只要能返回代码给包含函数就能执行。在HTTP协议里,访问http://remotehost/i.txt和访问http://remotehost/i.txt?.php 返回的结果是一样的,因为WebServer把问号之后的内容当成请求参数,而txt不在WebServer里解析,参数对访问i.txt返回的内容不影响,实现伪截断。
文件读取(下载)漏洞
挖掘经验

文件读取漏洞比较容易寻找,一种方式是可以先黑盒看功能点对应的文件,再去读文件源码。另一种是搜索文件读取的函数(file_get_contents()、highlight_file()、fopen()、readfile()、fread()、fgetss()、fgets()、parse_ini_file()、show_source()、file()),看有无可直接或间接控制的变量,除了正常读取文件的函数之外,另外一些其他功能的函数也可以用于读取文件,如include()等。

文件上传漏洞
挖掘经验

挖掘简单,上传点常调用同一个上传类,上传函数又只有move_uploaded_file()这一个,所以最快方法就是直接搜索该函数,再去看调用的代码存不存在未限制上传格式或者可以绕过,其中问题较多的是黑名单限制文件格式以及未更改文件名的方式,在未改名的情况下,在Apache利用其向前寻找解析格式和IIS6的分号解析bug都可以执行代码。

  1. 未过滤或本地过滤:共同点是都未在服务器端过滤。
  2. 黑名单扩展名过滤:出现较少,存在限制的扩展名不够全、验证扩展名的方式存在问题可直接绕过或截断。
  3. 文件头、content-type验证绕过:早期出现较多,上传文件时,如果直接上传一个非图片文件会被提示不是图片文件,但只要在文件头里加上GIF89a后上传,则验证通过。这是因为程序用了如getimagesize()函数等。content-type是在http request请求头内,所以可以被攻击者修改,而早期的一些程序只是单纯的验证了这个值。
文件删除漏洞

常出现在有文件管理功能的应用上,原理和文件读取差不多,只不过利用的函数不一样,一般因为删除的文件名可以用../跳转,或者没有限制当前用户权限。

挖掘经验

。挖掘漏洞可以先去找相应的功能点,黑盒测试一下能不能删除某个文件,如果删除不了,再去从执行流程追踪提交的文件名参数的传递过程。如果纯白盒挖,也可以去搜索带有变量参数的unlink(),采取回溯变量的方式。

文件操作漏洞防范
通用文件操作防御
  1. 合理的权限管理。
  2. 以加密等方式替代直接将文件名作为下载参数的操作。
  3. 避免目录跳转,禁止参数中携带../\来跳转目录。
文件上传漏洞防范
  1. 白名单过滤文件扩展名,使用in_array或===来对比扩展名。
  2. 保存上传文件时重命名文件,文件名采用时间戳的拼接随机数的MD5值保存方式md5(time()+rand(1,10000))

代码执行漏洞

挖掘经验

eval()和assert()函数导致的代码执行漏洞大多是因为载入缓存或者模板以及对变量的处理不严格导致。
preg_replace()函数代码执行需要存在/e参数,这个函数原本是用来处理字符串的,因此漏洞出现最多的是在对字符串的处理,比如URL、HTML标签以及文章内容等过滤功能。
call_user_func()和call_user_func_array()函数的功能是调用函数,多用在框架里面动态调用函数,所以一般比较小的程序不常出现该类代码执行。array_map()函数的作用是调用函数并且除第一个参数外其它参数为数组,通常会写死第一个参数,即调用的参数,类似这三个函数功能的函数还有很多。
还有一类非常常见的是动态函数的代码执行,如$_GET($_POST["xx"])

代码执行函数
  1. eval和assert函数:用于动态执行函数,所以它们的参数就是PHP代码。
  2. preg_replace函数:对字符串进行正则处理。
  3. 调用函数过滤不严:数十个函数有调用其它函数的功能,如果传入的函数名可控,那么就可以调用意外的函数来执行需要的代码,即存在代码执行漏洞。这些函数有:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    call_user_func()、call_user_func_array()、array_map()、
    usort()、uasort()、uksort()、array_filter()、
    array_reduce()、array_diff_uassoc()、array_diff_ukey()、
    array_udiff()、array_udiff_assoc()、array_udiff_uassoc()、
    array_intersect_assoc()、array_intersect_uassoc、
    array_uintersect()、array_uintersect_assoc()、
    array_uintersect_uassoc()、array_walk()、array_walk_recursive()、
    xml_set_character_data_handler()、xml_set_default_handler()、
    xml_set_element_handler()、xml_set_end_namespace_decl_handler()、
    xml_set_external_entity_ref_handler()、xml_set_notation_decl_handler()、
    xml_set_processing_instruction_handler()、
    xml_set_start_namespace_decl_handler()、
    xml_set_unparsed_entity_decl_handler()、stream_filter_register()、
    set_error_handler()、register_shutdown_function()、register_tick_function()
动态函数执行

由于PHP的特性,PHP函数可以直接由字符串拼接,加大了安全控制的难度。PHP动态函数写法为变量(参数),例如:

1
2
3
<?php
$_GET['a']($_GET['b']);# poc:?a=assert&b=phpinfo()
?>

想要挖掘这种形式的代码执行漏洞,需要找可控的动态函数名。

漏洞防范

采用参数白名单过滤,这里的白名单并不是说完全固定为参数,可以结合正则表达式来进行白名单限制。

命令执行漏洞

代码执行漏洞指的是可以执行PHP脚本代码,而命令执行漏洞指的是可以执行系统或应用指令(如CMD命令或bash命令)的漏洞。PHP的命令执行漏洞主要基于一些函数的参数过滤不严导致,可以执行命令的函数有system()、exec()、shell_exec()、passthru()、pcntl_exec()、popen()、proc_open()这七个函数,另外反引号也可以执行命令,不过实际上这种方式也是调用的shell_exec()函数。PHP命令执行继承了WebServer用户权限,一般该权限都可以向Web目录写文件。

挖掘经验

该漏洞多出现在包含环境包的应用里,一般这类产品会有额外的脚本来协助处理日志及数据库等,web应用会有比较多的点之间使用system()、exec()、shell_exec()、passthru()、pcntl_exec()、popen()、proc_open()等函数执行系统命令来调用这些脚本,可以直接在代码中搜索这几个函数,收获应该会不少。除了这类应用,还有一些调用外部程序的功能也会出命令执行漏洞,由于特征明显,可以直接搜索函数名进行挖掘。

命令执行函数

上述的函数中,sustem()、exec()、shell_exec()、passthru()以及反引号是可以直接传入命令并返回执行结果。
popen()、proc_open()函数不会直接返回执行结果,而是返回一个文件指针。

反引号命令执行

反引号执行命令是调用的shell_exec()函数。

漏洞防范
  1. 使用PHP自带的命令防注入函数,包括escapeshellcmd()(过滤整条命令)和escapeshellarg()(保证传入命令执行函数的参数确实是以字符串参数形式存在,不能被注入)。
  2. 对命令执行函数的参数做白名单限制。(通用修复方法)

漏洞挖掘与防范(深入篇)

变量覆盖漏洞

变量覆盖指的是可以用我们自定义的参数值替换程序原有的变量值,通常需要结合程序的其它功能来实现完整攻击。
该类漏洞大多由函数使用不当导致,常引发漏洞的函数有:extract()函数和parse_str(),import_request_variables()函数则是用于未开启全局变量注册时,调用该函数相当于开启了全局变量注册,在PHP5.4后该函数已经被取消。另外部分应用利用$$的方式注册变量没验证已有变量导致覆盖,这些应用在使用外部传递进来的参数时不是用类似于$_GET['key']这样原始的数组变量,而是把里面的key注册成一个变量$key,注册过程中没有验证该变量是否已经存在,所以会导致变量覆盖。

挖掘经验

由于变量覆盖漏洞通常要结合其他功能代码来实现完整攻击,所以挖掘可用的变量覆盖漏洞还要考虑究竟哪些变量可以被覆盖并且后面有被使用。
由函数导致的变量覆盖比较好挖掘,寻找参数带有变量的extract()、parse_str()函数,回溯变量是否可控。import_request_variables()则只需要找没有初始化且操作前没有赋值的变量,就可以大胆的提交该变量作为参数,另外只要写在该函数前的变量,不管是否已经初始化都可以覆盖,不过该函数只在PHP4-4.1.0以及5-5.4.0可用。
关于国内很多程序使用$$符号注册变量会导致变量覆盖,可以直接搜索$$去挖掘,不过建议挖掘前应通读核心文件。

函数使用不当
  1. extract()(最常见):将数组中的键值对注册成变量,函数结构如下: 
    1
    int extract (array &$var_array [, int $extract_type = EXTR_OVERWRITE [, string $prefix = NULL]])
    该函数有3种可能会覆盖已有变量,第一种是第二个参数为EXTR_OVERWRITE,它表示如果有冲突,则覆盖已有变量;第二种是只传入第一个参数,默认为EXTR_OVERWRITE模式;第三种则是第二个参数为EXTR_IF_EXISTS,表示仅在当前符号表中已有同名变量时,覆盖它们的值,其它的都不注册新变量。
  2. parse_str():解析字符串并注册成变量,在注册变量前不会验证当前变量是否已经存在,所以会直接覆盖掉已有变量。该函数有两个参数: 
    1
    void parse_str(string $str [, array &$arr])
    其中$str是必须的,代表要解析注册成变量的字符串,形式为a=1,经过函数后会注册变量$a并赋值1。第二个参数$arr是一个数组,当第二个参数存在时,注册的变量会放在这个数组内,但如果该数组内原先就存在相同的键(key),则会覆盖原有键值。
  3. import_request_variables():作用是把GET、POST、COOKIE的参数注册成变量,用在register_globals被禁止的时候,需要PHP4.1-5.4之间的版本。不过建议不开globals的时候也不要使用该函数,容易造成变量覆盖。
$$变量覆盖

由于双$导致原变量被覆盖,在漏洞代码之前的变量都可以被覆盖。

漏洞防范

最常见漏洞点是做变量注册以及赋值给变量的时候没有验证变量是否存在,所以推荐使用原始的变量数组,如$_GET$_POST,或者在注册变量前一定要验证变量是否存在。

使用原始变量

由于上述变量覆盖漏洞是在进行变量注册时导致,所以要解决变量覆盖的问题,最直接的方法就是不进行变量注册,直接使用原生的$_GET$_POST等数组变量进行操作,如果考虑到程序可读性等原因,需要注册个别变量,可以直接在代码中定义变量,然后再把请求中的值赋值给它。

验证变量存在

如果一定要用前面几种方式注册变量,可以在注册变量前先判断变量是否存在,如使用extract()函数则可以配置第二个参数为EXTR_SKIP。使用parse_str()函数注册变量钱需要自行通过代码判断变量是否存在。不建议使用import_request_variables()注册全局变量,会导致变量不可控。最重要的,自行申明的变量一定要初始化,不然即便注册在执行代码前也能被覆盖。

逻辑处理漏洞

此次指程序在业务逻辑上的漏洞。

挖掘经验

漏洞大多存在于逻辑处理及业务流程中,没有特别明显的关键字用于快速定位,挖掘技巧通常是通读功能点源码,熟悉业务流程,可关注程序是否可重复安装、修改密码处是否可越权修改其它用户密码、找回密码验证码是否可暴力破解以及修改其它用户密码、cookie是否可预测或cookie验证是否可绕过等。

等于与存在判断绕过

判断函数存在漏洞时,可以逃逸判断函数绕过逻辑。常见存在漏洞的判断函数有:

  1. in_array():用于判断一个值是否在某个数组列表里,该函数存在一个问题,比较前会自动做类型转换,实现输入参数并不全等于数组任意值时,也可以实现绕过并注入。
  2. is_numeric():用于判断一个变量是否为数字,检查通过返回true,否则返回false。该函数存在一个问题,当传入参数为hex时则直接通过并返回true,而mysql是可以直接使用hex编码代替字符串名为的。所以这里虽然不能直接注入SQL语句,但存在二次注入和XSS等漏洞隐患,比如当我们提交<script>alert(1)</script>的hex编码时,效果相同。如果程序有其它地方调用该值并直接输出,则有可能执行代码触发XSS漏洞。
  3. 双等于和三等于:双等于在判断等于前会先做变量类型转换,三等于则不会,所以双等于存在安全风险。
账户体系中的越权漏洞

漏洞分为水平越权和垂直越权,但漏洞原理相同,都是账户体系在判断权限时不严格导致存在绕过漏洞。这一类绕过通常发生在cookie验证不严、简单判断用户提交的参数,归根结底,都是因为参数在客户端提交,服务端未严格校验。

未exit或return引发的安全问题

某些情况下,在经过if条件判断之后,要么继续执行if后面的代码,要么在if流程内退出当前操作,但该退出行为,有不少程序忘记写return、die()、或者exit(),导致程序继续执行。

常见支付漏洞

最常见支付漏洞有四种,第1、2、3种比较简单,分别是客户端可修改单价、总价和购买数量,服务器端未严格校验导致。部分商城程序是直接由单价和数量计算总价,但并没有验证这两个数字是否小于0。这种形式的支付漏洞,可以通过寻找支付代码并看代码过滤情况挖掘。
还有一种是以重复发包来利用时间差,少量钱多次购买,如使用手机给腾讯发送购买QQ业务的短信再快速取消。这类漏洞可从判断余额及扣费功能代码处寻找。

漏洞防范
  1. 深入熟悉业务逻辑。
  2. 多熟悉函数的功能和差异。

会话认证漏洞

挖掘经验

在cookie验证上出现几率较高,通常是没有使用session认证,而是将用户信息直接保存在cookie中,以备程序使用时直接调用。一般这个过程都会有一个统一的函数去调用数据,容易导致SQL注入和越权等漏洞。在挖掘登录认证漏洞时,可以先看程序的登录功能代码,看整个登录过程的业务逻辑有没有可以控制session值或直接绕过密码验证的漏洞;另外需要关注程序验证是否为登录的代码,通俗的说是验证cookie的代码,是不是直接取cookie的值,然后如何判断这个值来验证是否登录。

cookie认证安全

cookie可以保存任何字符串,各个浏览器保存cookie字节数大小不一样,一般不超过4096个字节,通常用于保存登录帐号的标识信息。cookie出现问题较多的是cookie的SQL注入等常见漏洞,以及web应用程序在服务端直接读取cookie值来操作当前用户数据,由于cookie可以伪造,从而导致伪造用户身份登录的漏洞。

漏洞防范

了解认证的业务逻辑,严格限制输入的异常字符以及避免直接使用客户端提交的内容进行操作。应该结合cookie和session,不能直接从cookie获取参数值进行操作,另外注意设置session时,需要保证客户端不能操作敏感session参数。特别注意敏感数据不要放在cookie中,cookie在浏览器端以及传输过程中都有被窃取的可能性。

二次漏洞审计

什么是二次漏洞

需要先构造好利用代码写入网站保存,在第二次或多次请求后调用攻击代码触发或修改配置触发的漏洞叫做二次漏洞。该漏洞的出现归根结底是开发者在可信数据的逻辑上考虑不全面。

二次漏洞审计技巧

虽然二次漏洞写入和触发payload很可能不在同一个地方,但还是可以通过找相关关键字去定位的,只是精准度会稍微降低。大多数二次漏洞的逻辑性比一般的漏洞强的多,所以最好还是把全部代码读一遍,更好的了解业务逻辑和全局配置。
业务逻辑越复杂的地方越容易出现二次漏洞,我们可以重点关注购物车、订单、引用数据、文章编辑、草稿等和数据库交互的地方,以及和文件系统交互的系统配置文件(一般需要管理员权限才能操作)。
在二次漏洞类型里,可以重点关注SQL注入、XSS。

代码审计小技巧

钻GPC等转义的空子

GPC会自动把提交内容的敏感字符转义导致攻击代码无法执行,但还是存在漏洞:

$_SERVER变量

在PHP5后,用$_SERVER取到的header字段不受GPC影响,且普通程序员很少会考虑到这些字段。header注入里常见的是user-agentreferer以及client-ip/x-forward-for,因为大多数Web应用都会记录访问者的IP以及referer等信息,同样的$_FILES变量也不受GPC保护。

编码转换问题

宽字节注入就是一种非常典型的编码转换问题导致绕过GPC的方式。不仅是PHP与MySQL交互过程中会发生编码转换导致问题,PHP自带的编码转换函数也会发生问题,比如mb_convert_encoding()、iconv(),也就是只要发生编码转换就有可能会出现问题。

神奇的字符串

字符处理函数报错信息泄漏

页面的报错信息通常能泄漏文件绝对路径、代码、变量及函数等信息,页面报错有很多情况,但不是所有情况页面都会出现错误信息,显示错误信息需要在PHP配置文件中打开并设置等级。
大多数错误提示会显示文件路径,可以获取Web路径。由于用户提交数据在后端大多是以字符串方式处理,所以利用字符串处理函数报错成了必不可少的方法,对于利用参数来报错的方式,给函数传入不同类型的变量是最实用的方式。

字符串截断

截断利用最多的是在文件操作上面,通常用来利用文件包含漏洞和文件上传漏洞,%00即NULL会被GPC和addslashes()过滤掉,所以利用%00截断需要GPC关闭以及不被addslashes()函数过滤,另外PHP5.3之后也不能用这种方式截断。

  1. iconv字符编码转换截断:如从UTF-8转换到GBK,部分代码不能被成功转换(chr(128)-chr(255)之间),在利用该函数转码时,遇到不能处理的字符串时后续字符串不会被处理。

php://输入输出流

PHP代码解析标签

  1. 最标准的<?php?>
  2. 脚本标签:<script language="php"></script>,可以正常解析PHP代码
  3. 短标签:<?...?>,使用短标签需要在php.ini中设置short_open_tag=on,默认为on状态。
  4. asp标签<%...%>,在PHP3.0.4后可用,需要在php.ini中设置asp_tags=on,默认为off。
    通常用于绕过<?php?>标签过滤以留后门及绕过Web程序或waf写入webshell。

fuzz漏洞发现

不严谨的正则表达式

  1. 没有用^$限定匹配开始位置
  2. 特殊字符未转义,匹配特殊字符的原字符时需要使用反斜杠\来进行转义,不然.则可以用来表示任何字符,存在安全隐患。

十余种MySQL报错注入

利用报错注入最快拿到注入的数据。

  1. floor():id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)
  2. extractvalue():id=1 and (extractvalue(1, concat(0x5c, (select user()))))
  3. updatexml():id=1 AND (updatexml(1,concat(0x5e24,(select user()),0x5e24),1))
  4. GeometryCollection():id=1 AND GeometryCollection((select * from(select * from(select user())a)b))
  5. polygon():id=1 AND polygon((select * from(select * from(select user())a)b))
  6. multipoint():id=1 AND multipoint((select * from(select * from(select user())a)b))
  7. multilinestring():id=1 AND multilinestring((select * from(select * from(select user())a)b))
  8. multipolygon():id=1 AND multipolygon((select * from(select * from(select user())a)b))
  9. linestring():id=1 AND linestring((select * from(select * from(select user())a)b))
  10. exp():id=1 and EXP(~(select * from(select user())a))

Windows FindFirstFile

目前大多数程序会对上传文件名加密,这样我们就无法直接得到上传webshell文件路径,但在windows下时,我们只需要知道文件所在目录,利用win特性就可以访问文件,因为win在搜索文件时使用了FindFirstFile这一个winapi函数去一个文件夹(包括子文件夹)去搜索指定文件。
利用方法很简单,只需要将文件名不可知部分之后的字符用<>代替即可,不过要注意,只使用一个<>则只能代表一个字符,如果文件名是12345或更长,请求1<1>都访问不到文件,需要1<<才能访问到,代表继续往下搜索,有点像win的短文件名。
目前所有PHP版本都可用,PHP并没有在语言层面禁止使用<>这些特殊字符,从函数层面来讲,可以利用这个特性的函数有:

1
2
3
4
5
6
7
8
9
include() include_once() require() require_once()
fopen() ziparchive::open()
copy()
file_get_contents() parse_ini_file() readfile()
file_put_contents()
mkdir()
tempnam() touch()
move_uploaded_file()
opendir() readdir() rewinddir() closedir()

PHP可变变量

部分PHP应用在写配置文件或使用preg_replace()函数第二个参数赋值变量时,会用到双引号来代表string类型给变量赋值,存在代码执行漏洞。

1
2
3
<?php
$a="${@phpinfo()}";
?>

注意,上述代码中的@是必须存在的,不然代码无法执行,但除了该符号外还有其它写法,只要不影响PHP规范就可以执行,举例:

  1. 花括号内第一个字符为空格:$a = "${ phpinfo()}";
  2. 花括号内第一个字符为TAB:$a = "${ phpinfo()}";
  3. 花括号内第一个字符为注释符:$a = "${/**/phpinfo()}";
  4. 花括号内第一个字符为回车换行符:$a = "${ phpinfo()}";
  5. 花括号内第一个字符为加号:$a = "${+phpinfo()}";
  6. 花括号内第一个字符为减号:$a = "${-phpinfo()}";
  7. 花括号内第一个字符为感叹号:$a = "${!phpinfo()}";
    除此之外还有一些如~\等。

PHP安全编程规范

参数的安全过滤

第三方过滤函数与类

目前大多数程序都有一个统一的参数过滤入口,但对于特定场景和漏洞就不够好用。所以除了总入口,在具体功能点也需要进行过滤。

内置过滤函数

  1. SQL注入过滤函数:有addslashes()、mysql_real_escape_string()以及mysql_escape_string(),作用都是给字符串添加反斜杠\来转义掉单引号、双引号、反斜杠以及空字符NULL。addslashes()和mysql_escape_string()都是直接在敏感字符串前加反斜杠,可能会存在宽字节注入绕过的问题,而mysql_real_escape_string()会考虑当前连接数据库的字符集编码,更加安全。
  2. XSS过滤函数:有htmlspecialchars()和strip_tags(),功能不同,htmlspecialchars作用是将字符串中的特殊字符转换成HTML实体编码,能够干掉大多数的XSS攻击。strip_tags则是用来去掉HTML及PHP标记。
  3. 命令执行过滤函数:有escapeshellcmd()和escapeshellarg()两个函数,escapeshellcmd过滤的字符为下方代码框所示,win下过滤方式则是在这些字符前面加了^符号,linux下则是在这些字符前加了反斜杠。escapeshellarg函数过滤较简单,给所有参数加上一对双引号,强制为字符串。 
    1
    &,;,`,|,*,?,~,<,>,^,(,),[,],{,},$,\,\x0A,\xFF,% 以及单双引号

使用安全的加密算法

  1. 对称加密:算法安全性比较高,数据的实际安全性取决于密钥的管理。所以不建议使用对称加密对用户密码进行加密存储。
  2. 非对称加密:安全性比对称加密更好。
  3. 单向加密:不可逆算法,常见如MD系列和sha1,通常用于保存密码和做数字签名,但存在碰撞的问题。

业务功能安全设计

验证码

验证码绕过
  1. 不刷新直接绕过:后端接收一次请求后并没有主动刷新验证码,将验证码和session绑定在一起,为了保证验证码正常使用,会把验证码明文或加密后放在Cookie或POST数据包里,所以每次只要同一个数据包里的两个验证码对应即可绕过。(重复发包利用?)
  2. 暴力破解:验证码能够被爆破,主要是程序没有设置验证码错误次数和超时设定,导致能够不断尝试。
  3. 机器识别:利用机器识别验证码。
  4. 打码平台:人工打码绕过。
对策
  1. 设置验证码错误次数(最重要)。
  2. 不把验证码放在HTML页面或cookie中。
  3. 验证码设置只能请求一次,请求一次后不管错误与否都在后端程序强制刷新。
  4. 短信或邮件验证码必须要6位以上字母和数字混合,图片或语音验证码需要加强混淆干扰。(短信验证码这条似乎在当前不适用,多数厂商选择限制短时间同IP发包等,但不增加验证码复杂度)
  5. 验证码要动态生成,不能统一生成多次调用。
验证码资源滥用

利用大量网站短信验证码未限制获取验证码次数和时间间隔的接口,实现短信/邮箱轰炸。防护比较简单,限制单个手机号在一个时间段内请求接收短信的次数,或限制某一IP在一个时间段内请求接收短信的次数。

用户登录

撞库登录

指登录口没有做登录次数限制,导致可以使用不同的用户及密码不断进行登录尝试,遍历用户密码。撞库漏洞情况有:

  1. 用户名和密码错误次数都无限制。
  2. 单时间段内用户密码错误次数限制。(可以使用单密码和用户名列表撞库)
  3. 单时间段内IP登录错误次数限制。(存在误杀内网用户的可能)
    比较好的解决方案是使用登录验证码和多因素认证。
API登录

免重新登录跳转处存在漏洞,如修改用户参数实现任意登录。对于这种漏洞注意以下安全点:

  1. 登录密钥(clientkey)需要不可预测且不固定,生成key的算法中加入随机字符。
  2. API接口禁止搜索引擎收录。
  3. 登录密钥当次绑定当前主机,换机器不可用,防止木马和嗅探。

用户注册

  1. 设计验证码。
  2. 采集用户机器唯一识别码,拦截短时间内多次注册。
  3. 根据帐号格式自学习识别垃圾帐号。
  4. 防止SQL注入漏洞与XSS漏洞(常见)。

密码找回

  1. 输入用户名/邮箱/手机阶段:抓包修改手机/邮箱参数。
  2. 填写验证码和新密码阶段:
    • 验证凭证简单,可以被暴力破解。
    • 验证凭证算法简单,凭证可以被预测。
    • 验证凭证直接保存在源码里。
  3. 发送新密码阶段:
    凭证未绑定用户:请求发送至邮箱的找回密码链接时,后端根据uid和key对应判断该链接有效,但将新密码提交到服务器时,服务器端没有判断当前key是否和uid或邮箱匹配,直接修改掉uid或邮箱指定的用户密码。这样只要拦截修改密码的请求包,篡改用户参数即可。所以安全风险点应该注意的有:
    • 接收验证码的邮箱和手机号不可由用户控制,应直接从数据库读取。
    • 加强验证凭证复杂度,防止被暴力破解。
    • 限制验证凭证错误次数,单用户在一定时间内验证码错误一定次数,强制等待一段时间。
    • 验证凭证设置失效时间。
    • 验证凭证不要保存在页面。
    • 输入用户邮箱或ID、手机号取验证凭证的地方需要设置验证码防止短信炸弹和批量找回等。
    • 验证凭证跟用户名、用户ID、用户邮箱绑定,找回密码时验证当前凭证是否是当前用户的。

资料查看和修改

这里主要介绍的是越权漏洞的利用。

  1. 未验证用户权限:直接修改当前资源ID即可访问该资源,没有验证当前资源是否属于当前用户。
  2. 未验证当前登录用户:虽然程序绑定了用户ID和资源ID,但该用户ID是访问资源时直接从cookie或post、get参数里获取,所以可以通过修改成另一用户ID,利用其权限操作资源。
    上述漏洞较多出现在用户资料修改,及用户资料查看。
    防御思路有:
  • 用户资源ID(订单ID、地址ID等)绑定到用户,只允许有权限的用户查看。
  • 当前用户信息存储到session,不放在request中,避免攻击者修改。

投票/积分/抽奖

共同点:单个用户次数存在限制,该限制存在很多绕过方式。
通常有几种利用方法:

  1. cookie或POST请求正文绕过。修改cookie或post请求数据产生绕过。
  2. 基于IP验证。看程序获取IP的方式,如果是client-ip或x_forward_for获取IP,可直接伪造IP绕过。
  3. 基于用户认证。利用批量注册刷票,或在投票时随意修改POST包或cookie里的当前uid、用户名等查看是否能够绕过限制。
    从上述利用手段可以看到主要三个点是IP、登录用户、cookie,可用性比较高的防御手段如下:
  4. 机器识别码验证。
  5. 操作需要登录,当前用户信息从session读取。

充值支付

主要有四种情况:客户端可修改单价、总价和购买数量以及利用时间差多次购买。
主要应对手法是:

  1. 保证数据可信,商品单价和总价不可从客户端获取。
  2. 购买数量不能小于等于0。
  3. 账户支付锁定机制,当一个支付操作开始就应该立马锁定当前用户,不能同时两个后端请求对余额进行操作。

私信及反馈

除去特殊情况下可以滤去的SQL注入或命令执行等少见漏洞外,最常见的就是XSS漏洞以及越权漏洞。

远程地址访问

访问远程地址获取资源的功能可能会被利用(如填入内网地址)
利用限制填写来防御该类漏洞,但大部分厂商修复时不会考虑到短地址的问题,修复后仍然可以通过生成短链接的方式利用。

文件管理

本身就是一个高危功能,权限管理不当会导致被攻击者利用写入webshell。
为了保证安全,在满足业务需求的情况下,设计时应遵循以下几点:

  1. 禁止写入脚本可在服务器端执行的文件:如服务器可解析PHP,那么此次就需要限制不能操作PHP扩展名的文件和PHP标签的代码。
  2. 限制文件管理功能操作的目录:限制文件管理功能只能操作固定目录,目录不能从客户端提交,在代码中设置好即可,如果实在需要进行目录跳转的话,一定要禁止提交../以及\..避免越权操作其它目录。
  3. 限制文件管理功能访问权限:虽然文件管理是正常功能,但存在一点后门的性质,所以对该功能的访问权限一定要严格控制。
  4. 禁止上传特殊字符文件名的文件:大多数应用会对上传文件进行展示,特别是网盘类应用,注意对上传文件名进行检查,禁止文件名中有尖括号、单双引号等特殊字符,避免攻击者用文件名进行XSS攻击。

数据库管理

跟文件管理一样,也是高位功能,如果启动数据库服务的系统用户以及数据库用户的权限都够大,完全可以利用该功能直接执行系统命令及操作服务器上的文件。

  1. 限制可以操作的数据库表,要么在代码内写死只能操作哪些表(如备份),如果是执行SQL语句的方式可以另建一个mysql用户,限制可操作的表和字段。
  2. 限制备份到服务器上的文件名,需要随机生成且长度不低于16位,扩展名不能自定义,防止攻击者利用该功能导出webshell或猜解文件名直接下载。

命令/代码执行

命令执行和代码执行功能通常都在系统后台,相比来说,命令执行的功能使用更多,代码执行功能在特殊应用上才会存在。设计该类功能时应该注意以下几点:

  1. 严格控制该功能访问权限,建议高权限才能访问。
  2. 在满足业务需求的情况下,可以设置命令白名单,可以使用escapeshellcmd()以及escapeshellarg()函数进行过滤,命令直接写死在代码中更好。
  3. 给命令及代码执行功能设置独立密码。
  4. 代码执行功能限制脚本可访问的路径。
  5. 在满足需求的情况下限制当前执行命令的系统权限。

文件/数据库备份

是非常常见且非常容易出现安全问题的功能。常见问题有:

  1. 未授权访问和越权访问:未授权访问体现在这个备份功能直接在不登录或登录验证存在漏洞的情况下可以直接使用,以及存在CSRF漏洞可以直接劫持管理员帐号进行备份。
  2. 备份文件名可预测:攻击者可以利用枚举的方式扫描备份包。
  3. 生成的文件可利用web中间件解析漏洞执行代码
    如何设计备份功能:
  4. 进行权限控制,只有高权限可以使用。
  5. 文件名随机生成,不可预测。

API

因为爬虫无法抓取APP中的API接口,所以接口的SQL注入等漏洞相对较多,目前最多的问题是未授权访问以及数据遍历漏洞。因此设计一个安全的API需要从以下几点考虑:

  1. 访问权限控制:必要时加入账户体系,严格控制数据调用权限,比如当前用户必须在登录情况下,接口参数中传入自己登录成功的凭证才能调用这个用户的数据。另外不需要账户体系时也要注意加入不可暴力破解的访问密钥进行权限验证。
  2. 防止敏感信息泄漏:没必要输出的信息应该注意禁止输出。
  3. SQL注入等常规漏洞:注意代码安全,防止SQL注入、代码执行等漏洞的产生。

应用安全体系建设

  1. 用户密码安全策略
  2. 前后台用户分表:同表的情况下可能存在越权修改管理员信息等情况。
  3. 后台地址隐藏
  4. 密码加密存储方式
  5. 登录限制
  6. API站库分离
  7. 慎用第三方服务
  8. 严格的权限控制
  9. 敏感操作多因素验证
  10. 应用自身的安全中心
学习笔记
Source
Edit
History

Game of hacks 试玩

前言

从Awesome-hacking_Cyber-skills看到的练习网站,粗略看了一下描述是关于代码审计的,正好一直在考虑提升一下代码审计的技能,最近就来试玩一下,顺便记录WP。

准备工作

一开始有难度选项,分别是beginner、intermediate和advanced。嗯,十分正常的分类。另外要选代码语言,一共十种,我比较在意的Android、Java、PHP、Python、.NET都在,令人满意。
看了题目大概是每次随机抽五道题+计时+提供选项,所以WP就先简单记一下代码,最后整理思路。

PHP 代码审计

Beginner

1
2
3
4
5
int i;
char inLine[64];
cin >> inLine; // 将cin的二进制码向右移动inLine位(或将cin十进制除以2 inLine次),但是在这里没有用到。
i = atoi (inLine); // atoi():字符串转换整数
sleep(i);
1
2
Dim myPassWord As String
myPassWord = "12345"

use of hardcoded password

1
2
3
4
5
6
Private Sub cmdRunNotePad_Click()
Dim str As String
MyVar = window.Text()
Sleep myVar+1
dblNotePadID = Sleep(myVar)
End Sub
1
2
3
4
5
6
7
8
<?php
$dn = $_GET['host'];
$filter="(|(sn=$person*)(givenname=$person*))";
$justthese = array("ou", "sn", "givenname", "mail");
$sr=ldap_search($ds, $dn, $dn, $justthese);
$info = ldap_get_entries($ds, $sr);
echo $info["count"]." entries returned
";?>

LDAP injection

1
2
3
4
String url = req.getRequestURL().toString();
RequestDispatcher disp = req.getRequestDispatcher(url.substring(url.lastIndexOf(req.getContextPath() + "/")
+ req.getContextPath().length()));
disp.forward(request, response);
读书笔记
Source
Edit
History

0 to 1 the road of CTFer 第一章 Web入门

第一章 Web入门

信息收集

敏感信息泄漏

git泄漏

  1. 常规git泄漏:flag在源码内,可直接利用工具或脚本获取。
  2. git回滚:flag被修改,但依然保存在commit记录里。
    • 利用git reset --hard [版本号]获取flag。
    • 更简单的方法是通过git log-stat查看每个commit修改了哪些文件,再用git diff HEAD [commit-id]比较当前版本和想看的commit之间的变化。
  3. git分支:命令git reflog查看分支间切换的记录。从原url下载分支内容并恢复(目前的恢复分支记录需要下载分支HEAD并修改GitHacker.py代码实现自动恢复分支,先简单记录下来,后续看是否有其它更简单的方式。)
  4. git stash:stash是对当前工作的“保存”,以备后续恢复。git stash list查看保存的列表,git stash pop恢复工作现场,git stash show显示做了哪些改动。
  5. git index:index是暂存区,用于通过git add .命令暂存新建文件等待commit。使用git checkout-index命令恢复文件。
  6. git泄漏的其他利用方式:泄漏的git中也可能有其他有用的信息。
    • .git/config文件夹中可能含有access_token信息,从而访问该用户的其它仓库。

SVN泄漏

SVN是源代码版本管理软件,如果存在泄漏,可以利用.svn/entries或wc.db文件获取服务器源码等信息。

HG泄漏

.hg隐藏文件中包含代码和分支修改记录等信息。

总结

CTF线上赛往往会有重定向的问题,例如,只要访问.git便会返回403,此时访问.git/config,如果有文件内容返回,说明存在git泄漏,反之,一般不存在。而在SVN泄漏中,一般是在entries中爬取源代码,但有时会出现entries为空的情况,这时注意wc.db文件存在与否,便可通过其中的checksum在pristine文件夹中获取源代码。

敏感备份文件

gedit备份文件

在Linux下,用gedit编辑器保存文件后,当前目录下会生成一个[文件名]~的备份文件,访问这个文件即可获得文件内容。

vim备份文件

vim在意外退出时会生成一个备份文件,文件名格式为.filename.swp,再次生成备份文件时则为.filename.swo,第三次为.filename.swn,以此类推。恢复备份的办法是,先在当前目录下创建一个flag文件,再使用vim-r flag,即可恢复.flag.swp。

常规文件

主要靠丰富字典。(dirsearch+自己收集字典)

  • phpinfo()
  • 备份文件后缀
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    back.rar
    back.tar
    back.tar.gz
    back.zip
    backup.rar
    backup.tar
    backup.tar.gz
    backup.zip
    temp.rar
    temp.tar
    temp.tar.gz
    temp.zip
    web.rar
    web.tar
    web.tar.gz
    web.zip
    website.rar
    website.tar
    website.tar.gz
    website.zip
    www.rar
    www.tar
    www.tar.gz
    www.zip
    wwwroot.rar
    wwwroot.tar
    wwwroot.tar.gz
    wwwroot.zip
    index.php.bak

总结

线上赛过程中,出题人往往会在线运维题目,有时会导致swp备份文件的生成。所以读者在比赛过程中可以编写实时监控脚本,对题目服务进行监控。

Banner识别

在线上赛中,网站的Banner对解题有着十分重要的作用,选手往往可以通过Banner信息来获得解题思路。
如得知网站是用ThinkPHP的Web框架编写时,我们可以尝试ThinkPHP框架的相关历史漏洞。或者得知这个网站是Windows服务器,那么我们在测试上传漏洞时可以根据Windows的特性进行尝试。

自行收集指纹库

  • Github CMS指纹库
  • 扫描器识别

使用已有工具

  • Wappalyzer(pip install python-Wappalyzer):在data目录下,apps.json是其规则库,读者可以根据自己需求自由添加。

总结

除了以上两种识别方式,我们还可以通过随意输入一些URL,观察404和302跳转页面中是否包含CMS及版本号。

CTF中的SQL注入

SQL注入(mysql)

数字型注入

test.php?id=2 -> true。返回记录。
test.php?id=3-1 -> true,返回id=2的记录。
说明mysql对3-1进行了计算,从数字运算这个特征可以判断该注入点为数字型注入,输入点$_GET[‘id’]附近没有引号包裹,可以直接输入SQL查询语句。

mysql查询出两行记录(union select联合查询注入)但PHP源码限制只能显示一行记录的办法:
1. 在原有数据后面加上limit 1,1参数,显示查询结果的第二条记录。
1. 指定id=-1或一个很大的值,使第一条数据无法被查询到。(常用)

字符型注入

与数字型注入相比,只是在GET参数输入的地方包裹了单引号(少部分情况为双引号)让其变成字符串。
在MySQL中,等号两边如果类型不一致则会发生强制转换,当数字和字符串数据比较时,字符串将被转换为数字再进行比较。
test.php?id=3-2,无返回结果,证明注入点不是数字型。继续尝试test.php?id=2a,返回id=2的结果,证明存在字符型注入。

1. 尝试使用单引号闭合前面的单引号,(插入查询语句),再用`--%20`或`%23`注释后面的语句,注意在URL框输入时,`-- `和`#`以及`''`要进行URL编码。
1. 除了注释,也可以使用单引号来闭合后面的单引号,eg: test.php?id=2'union select xxx '

布尔盲注

test.php?id=1’and’f’=’a’,猜中则返回id=1内容
更快的方法为 test.php?id=1’and’f’<’n’,二分法。
如何获取每一位字符?利用mysql的substring(),mid(),substr()等。

时间盲注

php?id=1’or sleep(10)

报错注入

mysql会将语句执行后的报错信息输出。
updatexml在执行时,第二个参数应该为合法的XPATH路径,否则会在引发报错时输出传入的参数。
id=’1’ or updatexml(1,concat(0x7e,(select pwd from wp_user)),1)
updatexml()报错注入,ref: https://blog.csdn.net/qq_37873738/article/details/88042610

堆叠注入

当目标开启多语句执行时,可以采用多语句执行的方式修改数据库结构和数据。

注入点

注入点在select_expr

AS别名:id=(select%20pwd%20from%20wp_user)%20as%20title

注入点在table_reference

仍可以用别名取出数据:SELECT title FROM (SELECT pwd AS title FROM wp_user)x;

在该两处的注入,如果注入点有反引号包裹,那么需要先闭合反引号。

注入点在WHERE或HAVING后

代码:$res = mysqli_query($conn, "SELECT title FROM wp_news WHERE id = ${_GET[id]}");
现实中最常遇到的情况,要先判断有无引号包裹,再闭合前面可能存在的括号,即可进行注入来获取数据。

注入点在HAVING后的情况与之类似。

注入点在GROUP BY或ORDER BY后

当遇到不是WHERE后的注入点时,先在本地MySQL中进行尝试,看语句后面能加什么,从而判断当前可以注入的位置,进而进行有针对的注入。

假设代码如下:$res = mysqli_query($conn, "SELECT title FROM wp_news GROUP BY ${_GET['title']}");
测试可得,title=id desc,(if(1,sleep(1),1)),可以利用时间注入获取数据。

1
事实上只要对输入值进行白名单比对,基本就能防御这种注入。

注入点在LIMIT后

该注入比较简单,通过更改数字大小,页面会显示更多或更少的记录数。由于语法限制,LIMIT后只能是数字,在整个SQL语句没有ORDER BY关键字的情况下,可以直接使用UNION注入。另外可以根据SELECT语法,通过加入PROCEDURE来尝试注入(只适用于MySQL 5.6前的版本)

INSERT注入

通常注入位于字段名或字段值的地方,且没有回显信息。

注入点位于tbl_name

如果能够通过注释符注释后续语句,则可直接插入特定数据到想要的表内,如管理员表。

注入点位于VALUES

UPDATE注入

DELETE注入

对id参数进行注入时,如果使WHERE后的值变为true,数据就会被删除。为了保证正常数据不会被干扰,通常使用and sleep (1)保证WHERE后的结果返回为false,让语句无法成功执行,后续步骤参考时间盲注。

注入防御及绕过思路

其它ref:https://blog.csdn.net/wy_97/article/details/78085664

关键字替换或匹配拦截

过滤空格

替代空格的空白符有:%0a, %0b, %0c, %0d, %09, %a0(均为URL编码,%a0在特定字符集才能利用)和/**/组合、括号等。

将SELECT替换成空

可以采用嵌套的方式,如SESELECTLECT。

大小写匹配

在MySQL中,关键字是不区分大小写的,如果只匹配了SELECT就可以通过大小写混写的方式绕过。

正则匹配

正则匹配关键字\bselect\b可以用形如/*!50000select*/的方式绕过。

替换了单引号或双引号,没有过滤反斜杠

id='a\' AND title = 'OR sleep(1)#'
反斜杠转义了预置的单引号,实现绕过。

逃逸引号

编码解码

当用户输入待转义函数时,如果数据处于编码状态则引号无法被转义。
同样的情况也发生在加密/解密、字符集转换的情况。

  • 宽字节注入

意料之外的输入点

被遗漏的可控点,例如PHP中,上传的文件名、http header、$_SERVER[‘PHP_SELF’] 等变量。

二次注入

由于开发者信任数据库中取出的数据是无害的,从而导致二次注入漏洞的出现。

  • 用户名为admin'or'1

字符串截断

在标题、抬头等位置,开发者可能限制其字符不能超过x个字符,超过就会被截断。
假如攻击者输入aaaa',自动转义为aaaa\',由于长度限制被截取为aaaa\,正好转义预置的单引号,实现注入。

注入应用

  • 在有写文件权限的情况下,直接用INTO OUTFILE或DUMPFILE向Web目录写文件,或写文件后结合文件包含漏洞实现代码执行。ref:https://baijiahao.baidu.com/s?id=1650711425682220792&wfr=spider&for=pc
  • 在有读文件权限的情况下,用load_file()函数读取网站源码和配置信息,获取敏感数据。
  • 提升权限,绕过登录,添加用户,调整用户权限。
  • 通过数据,控制如缓存、模板等文件内容来获取权限,或者删除、读取某些关键文件。
  • 在可以执行多语句的情况下,控制整个数据库,包括控制任意数据、任意字段长度等。
  • 在SQL Server这类数据库中可以直接执行系统命令。

总结

实际比赛中,应根据不同的SQL服务器类型查找相关资料,通过fuzz得出被过滤的字符、函数、关键词等,在文档中查找未过滤的替代,完成绕过。

  • 练习靶场:github-sqli-labs

任意文件读取漏洞

文件读取漏洞常见触发点

PHP

有关文件读取的标准函数(审计中重点关注)。
包括但不限于:

  • file_get_contents(),file(),fopen()函数,(及其文件指针操作函数fread(),fgets()等);
  • 与文件包含相关的函数include(),require(),include_once(),require_once()等;
  • 通过PHP读文件的执行系统命令:system(),exec()等。
    PHP扩展中读取文件的函数:
  • php-curl扩展
  • XML模块XXE

相关源码阅读:Wrapper和Filter

PHP文件包含的实际问题:
1. 文件路径前面可控,后面不可控:在较低PHP及容器版本中可以使用\x00截断,对应的URL编码是%00。当服务端存在文件上传功能时,也可以尝试利用zip或phar协议直接进行文件包含执行PHP代码。
1. 文件路径后面可控,前面不可控:通过../进行目录穿越读取文件,但这种情况无法使用Wrapper,如果服务器是利用include等文件包含类的函数,将无法读取PHP文件中的PHP代码。
1. 文件路径中间可控:和第一种相似,但无法利用Wrapper进行文件包含。

Python

漏洞经常出现在框架请求静态资源文件部分,也就是最后读取文件内容的open函数。但直接导致漏洞的原因往往是Python函数的feature被忽略。

除了Python框架,很多其它涉及文件操作的应用也可能因为滥用open函数、模板的不当渲染导致任意文件读取。

JAVA

  • 文件读取函数FileInputStream
  • XXE
  • JAVA模块所支持的file://协议
  • Spring Cloud Config Server 路径穿越与任意文件读取漏洞 CVE-2019-3799, Jenkins 任意文件读取漏洞 CVE-2018-1999002

Ruby

  • 通常与Rails框架相关。
  • Ruby on Rails 远程代码执行漏洞 CVE-2016-0752,Ruby on Rails 路径穿越与任意文件读取漏洞 CVE-2018-3760,Ruby on Rails 路径穿越与任意文件读取漏洞 CVE-2019-5418

Node

  • 通常为模板注入、代码注入等。
  • Node.js express 模块任意文件读取漏洞 CVE-2017-14849

中间件/服务器相关

Nginx错误配置

常搭配Python-Web应用一起出现。

  • /static../ -> /home/myapp/static/../,产生目录穿越,穿越至myapp目录。原因:location最后没有加‘/’限制
    1
    2
    3
    location /static {
      alias /home/myapp/static/;
    }

数据库

MySQL:

  • load_file(),利用条件严格,但仍然常出相关文件读取题目。
  • load data infile,需要执行完整的SQL语句且需要FILE权限,比较少见,除了SSRF攻击MySQL以外,很少能够直接执行整条非基本SQL语句的机会。

软链接

又称符号链接,即soft link或symbolic link。相当于win下的快捷方式。

硬链接与软链接的区别: https://www.jianshu.com/p/b035d94fa959

bash命令ln-s可以创建一个指向指定文件的软链接文件,然后将该文件上传至服务器,访问该链接文件时,实际上是在请求服务端它指向的文件。

FFmpeg

CISCN 2017 FFmpeg 任意文件读取漏洞

Doker-API

Docker-API可以控制Docker的行为,Docker-API通过UNIX Socket通信,也可以通过HTTP直接通信。当可以通过SSRF漏洞进行UNIX Socket通信时,就可以通过操纵Docker-API把本地文件载入Docker新容器进行读取(利用Docker的ADD、COPY操作)。

客户端相关

客户端文件读取漏洞,大多基于XSS读取本地文件。

浏览器/Flash XSS

js读取本地文件

  • Safari浏览器 客户端本地文件读取漏洞

MarkDown语法解析器XSS

具有解析js的能力,且缺乏浏览器的读取本地文件限制。

文件读取漏洞常见读取路径

Linux

flag名称(相对路径)

fuzz方式获取

1
2
3
4
5
6
7
8
9
../../../../../../../../../flag(.txt|.php|.pyc|.py ...)
flag(.txt|.php|.pyc|.py ...)
[dir_you_know]/flag(.txt|.php|.pyc|.py ...)
../../../../../../../../../etc/flag(.txt|.php|.pyc|.py ...)
../../../../../../../../../tmp/flag(.txt|.php|.pyc|.py ...)
../flag(.txt|.php|.pyc|.py ...)
../../../../../../../../root/flag(.txt|.php|.pyc|.py ...)
../../../../../../../../home/flag(.txt|.php|.pyc|.py ...)
../../../../../../../../home/[user_you_know]/flag(.txt|.php|.pyc|.py ...)

服务器信息(绝对路径)

CTF中常见的部分须知目录和文件

  1. /etc目录
    多是各种应用或系统配置文件,是进行文件读取的首要目标。
  2. /etc/passwd (详细解析:http://c.biancheng.net/view/839.html)
    Linux系统保存用户信息及其工作目录的文件,所有用户/组可读,一般用作Linux系统下文件读取漏洞存在判断的基准。从该文件可得系统中存在哪些用户,及其所属组和工作目录。
  3. /etc/shadow (详细解析: http://c.biancheng.net/view/840.html)
    是Linux系统保存用户信息及(可能存在)密码(hash)的文件,权限是root用户可读写、shadow组可读。所以一般情况下该文件不可读。
  4. /etc/apache2/*
    是Apache的配置文件,可以获知Web目录、服务端口等信息。
  5. /etc/nginx/*
    是Nginx配置文件(Ubuntu等系统),可以获知Web目录、服务端口等信息。
  6. /etc/apparmor(.d)/*
    是Apparmor配置文件,可以获知各应用系统调用的白名单、黑名单。(如查看MySQL是否禁用系统调用,确定是否可以使用UDF执行系统命令)
  7. /etc/(cron.d/*|crontab)
    是定时任务文件。有些题会设置一些定时任务,读取这些配置文件就可以发现隐藏的目录或其它文件。
  8. /etc/environment
    是环境变量配置文件之一。环境变量可能存在大量目录信息的泄漏,甚至可能出现secret key泄漏的情况。
  9. /etc/hostname
    主机名
  10. /etc/hosts
    主机名查询静态表,包含知道域名解析IP的成对信息。通过该文件,可以探测网卡信息和内网IP/域名。
  11. /etc/issue
    指明系统版本。
  12. /etc/mysql/*
    MySQL配置文件。
  13. /etc/php/*
    PHP配置文件。
  14. /proc目录
    通常存储进程动态运行的各种信息,本质上是一种虚拟目录。
    如果查看非当前进程的信息,pid是可以暴力破解的,如果要查看当前进程,只需/proc/self/代替/proc/[pid]/即可。
    对应目录下的cmdline可读出比较敏感的信息。/proc/[pid]/cmdline
    有时我们无法获取当前应用所在的目录,通过cwd命令可以直接跳转到当前目录。/proc/[pid]/cwd/
    环境变量中可能存在secret_key,也可以通过environ读取。/proc/[pid]/environ
  15. 其它目录
读书笔记
Source
Edit
History

Notes for HowToHunt.md

Account takeover

  1. Have a session hijacking -> Look for xss to stole the cookies n expand the impact
  2. The target has weak password policy -> Create a (very) weak password n brute force this account to show the POC
  3. Password reset poisoning:
    • Go to password reset function -> Enter email n intercept
    • Change host header to some other host i.e,
      * Host:target.com
 * Host:attacker.com
      also try to add some headers without changing host like
      * X-Forwarded-Host: evil.com
 * Referrer: https ://evil.com
    • Forward this if you found that in next request attacker.com means you successfully theft the token.:)
  4. Using CSRF:
    • Change Password function
    • Email change
    • Change Security Question
  5. Use git recon or google recon to find sensitive data (depends on luck :))
  6. Token leaks in response:
    • For registration:
      • Intercept the signup request that contains data you have entered.
      • Click on action -> do -> intercept response to this request.
      • Click forward.
      • Check response it that contains any link,any token or otp(one-time password).
    • For password reset:
      • Intercept the forget password option.
      • Click on action -> do -> intercept response to this request.
      • Click forward.
      • Check response it that contains any link,any token or otp.

Application level DoS

  1. Email bounce issues:

ref: https://infosecwriteups.com/an-unexpected-bounty-email-bounce-issues-b9f24a35eb68

  1. Long password DoS:
    • Test in Forgot Password Page n Change Password, cuz the registration usually have length limit but others don’t.
    • Use a password around 150-200 words to check if there has length limit. Then choose a longer password n keep checking the response time, to see if the app crashes for few seconds.
    • reason: The long password will cause a problem while hashing it for storing in dataset.
  2. Long string DoS:

Authentication bypass

  1. 2FA bypass
    • Response Manipulation
      • change the response value of (eg: login) success to ‘true’ from ‘false’
    • Status Code Manipulation
      • change the status code from 4xx to 200 to see if if can bypass
    • 2FA Code Leakage in Response
      • check the response of the 2FA Code Triggering Request to see if the code is leaked
    • JS File Analysis (rare)
      • some JS files may contain info about the 2FA code
    • 2FA Code Reusability
      • same code can be reused
    • Lack of Brute-Force Protection
      • (possible)
    • Missing 2FA Code Integrity Validation
      • Code for any user acc can be used to bypass the 2FA
    • CSRF on 2FA Disabling
      • signup for two account -> Login into attacker account & capture the disable 2FA request -> generate CSRF POC with .HTML extension -> Login into victim account and fire the request — — -> It disable 2FA which leads to 2FA Bypass.
    • Password Reset Disable 2FA
      • 2FA gets disabled on password change/email change
    • Backup Code Abuse
      ref: https://medium.com/@surendirans7777/2fa-bypass-techniques-32ec135fb7fe
    • Clickjacking on 2FA Disabling Page
      • misleading victim to disable the 2FA for the 2FA disabling page
    • Enabling 2FA doesn’t expire Previously active Sessions
      • if the previous session is hijacked n app has session timeout vlun
    • Bypass 2FA with null or 000000
      • enter null or 000000 to bypass
  2. OTP bypass by repeating requests
  3. OTP bypass via response manipulation
  1. Broken-link hijacking
    • manual check the external link
    • broken-link-checker
      * blc -rof --filter-level 3 https://example.com/
    • register the broken link or try to get that username or url
    • extra ways:
      * https://ahrefs.com/broken-link-checker
 * https://brokenlinkcheck.com/

Broken auth and session management

  1. Session based bugs
    • Old session does not expire
      • log in the account through two browser(eg. firefox n chrome)
      • change pwd or reset pwd on one browser, then refresh the other browser to see if still logged in
    • Session hijacking (intended behavior)
      • login the acc
      • copy all cookies n logout
      • paste the cookies n refresh
    • Password reset link token not expire (insecure configurability)
    • create acc, request a forget pwd link
    • don’t use it, instead, change the email to new one
    • now use the forget pwd link to sent info to the old email n see if pwd is able to change
    • Server security misconfiguration
      • login, play around n logout, goback one page, see if acc is logged in or can view pages limits to the user

Bypassing CSP

  1. CSP (Content Security Policy) bypass

ref: https://kathan19.gitbook.io/howtohunt/bypassing-csp/csp_bypass

CMS

  1. Wordpress

    1
    2
    3
    4
    5
    6
    7
    <methodCall>
    <methodName>pingback.ping</methodName>
    <params><param>
    <value><string>http://<YOUR SERVER >:<port></string></value>
    </param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
    </value></param></params>
    </methodCall>
    • pingback.ping SSRF (internal PORT scan only)
    1
    2
    3
    4
    5
    6
    7
    <methodCall>
    <methodName>pingback.ping</methodName>
    <params><param>
    <value><string>http://<YOUR SERVER >:<port></string></value>
    </param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
    </value></param></params>
    </methodCall>

CORS

  1. CORS (ref: https://www.packetlabs.net/cross-origin-resource-sharing-cors/)
  • misconfigured CORS
  1. CORS bypass

CSRF

  1. CSRF
  2. CSRF bypass
    • -Change Request Method [POST => GET]
    • -Remove Total Token Parameter
    • -Remove The Token, And Give a Blank Parameter
    • -Copy a Unused Valid Token , By Dropping The Request and Use That Token
    • -Use Own CSRF Token To Feed it to Victim
    • -Replace Value With Of A Token of Same Length
    • -Reverse Engineer The Token
    • -Extract Token via HTML injection
    • -Switch From Non-Form Content-Type: application/json or Content-Type: application/x-url-encoded To Content-Type: form-multipart
    • -Change/delete the last or frist character from the token
    • -Change referrer to Referrer
    • -Bypass the regex
      • If the site is looking for “bank.com” in the referer URL, maybe “bank.com.attacker.com” or “attacker.com/bank.com” will work.
    • -Remove the referer header (add this in your payload or html code)
    • -Clickjacking (https://owasp.org/www-community/attacks/Clickjacking)
      • Exploiting clickjacking on the same endpoint bypasses all CSRF protection. Because technically, the request is indeed originating from the legitimate site. If the page where the vulnerable endpoint is located on is vulnerable to clickjacking, all CSRF protection will be rendered irrelevant and you will be able to achieve the same results as a CSRF attack on the endpoint, albeit with a bit more effort.

Finding CVEs

  1. CVEs
    1.Grab all the subdomains i.e, subfinder -d domain.com | tee -a domains.txt
    2.Grap all alive domains i.e, cat domains.txt | httpx -status-code | grep 200 | cut -d “ “ -f1 | tee -a alive.txt
    3.Run nuclei basic-detection,panels,workflows,cves templates differently and store results in different file. i.e, cat alive.txt | nuclei -t nuclei-templates/workflows | tee -a workflows.
    4.Read each output carefully with patience.
    5.Find interest tech used by target. i.e, jira
    6.put that link into browser check the version used by target.
    7.Go on google search with jira version exploit.
    8.grep the cves
    9.Go to twitter in explore tab search CVE(that you found from google) poc or CVE exploit
    10.Go to google and put cve or some details grab from twitter for a better poc read writeups related to that.
    11.Try all cves if success report it.:)

Check list

  1. Web application pentesting checklist
    https://kathan19.gitbook.io/howtohunt/checklist/web-application-pentesting-checklist
  2. Web checklist 2
    https://github.com/KathanP19/HowToHunt/blob/master/CheckList/Web_Checklist_by_Chintan_Gurjar.pdf
  3. Web checklist 3
    https://github.com/KathanP19/HowToHunt/blob/master/CheckList/mindmap.png

Source code review

  1. code review tips
    • important functions first
      When reading source code, focus on important functions such as authentication, password reset, state-changing actions and sensitive info reads. (What is the most important would depend on the application.) Then, review how these components interact with other functionality. Finally, audit other less sensitive parts of the application.
    • follow user input
      Another approach is to follow the code that processes user input. User input such as HTTP request parameters, HTTP headers, HTTP request paths, database entries, file reads, and file uploads provide the entry points for attackers to exploit the application’s vulnerabilities.This may also help us to find some critical vulnerabilities like xxe,xxs,sql injection
    • hard-coded secrets n credentials
      Hard-coded secrets such as API keys, encryption keys and database passwords can be easily discovered during a source code review. You can grep for keywords such as “key”, “secret”, “password”, “encrypt” or regex search for hex or base64 strings (depending on the key format in use).
    • use of dangerous functions n outdated dependencies
      Unchecked use of dangerous functions and outdated dependencies are a huge source of bugs. Grep for specific functions for the language you are using and search through the dependency versions list to see if they are outdated.
    • developer comments, hidden debug functionalities, configuration files, and the .git directory
      These are things that developers often forget about and they leave the application in a dangerous state. Developer comments can point out obvious programming mistakes, hidden debug functionalities often lead to privilege escalation, config files allow attackers to gather more information about your infrastructure and finally, an exposed .git directory allows attackers to reconstruct your source code.
    • hidden paths, deprecated endpoints, and endpoints in development
      These are endpoints that users might not encounter when using the application normally. But if they work and they are discovered by an attacker, it can lead to vulnerabilities such as authentication bypass and sensitive information leak, depending on the exposed endpoint.
    • weak cryptography or hashing algorithms
      This is an issue that is hard to find during a black-box test, but easy to spot when reviewing source code. Look for issues such as weak encryption keys, breakable encryption algorithms, and weak hashing algorithms. Grep for terms like ECB, MD4, and MD5.
    • missing security checks on user input and regex strength
      Reviewing source code is a great way to find out what kind of security checks are missing. Read through the application’s documentation and test all the edge cases that you can think of. A great resource for what kind of edge cases that you should consider is PayloadsAllTheThings.(github)
    • missing cookie flags
      Look out for missing cookie flags such as httpOnly and secure.
    • unexpected behavior, conditionals, unnecessarily complex and verbose functions
      Additionally, pay special attention to the application’s unexpected behavior, conditionals, and complex functions. These locations are where obscure bugs are often discovered.

EXIF geo data not stripped

  1. EXIF geo data not stripped (sensitive info leaked)

File upload bypass

  1. File upload bypass
    • bypassing normal extension
      sth.php.jpg or sth.jpg.php
    • bypassing the magic byte validation
      polyglots

Find origin IP

  1. find origin

HTTP desync attack

  1. HTTP_Desync

Host-header attack

  1. host-header
    https://kathan19.gitbook.io/howtohunt/host-header-attack/host-header

HTML-injection

  1. HTML-injection

    • Password reset links are usually addressed to your account name followed by the reset link. Also if the application allows you to have your account name with tags and special characters then you should try this.

    • steps

      • Create ur acc, edit the name to<h1>attacker</h1> or "abc><h1>attacker</h1>
        and save it.
      • request a password reset n check the reset email.
      • see if the <h1> tag executed.

    • tips

      • HTML injection are usually considered as low to medium severity bugs but you can escalate the severity by serving a malicious link by using <a href> for eg:
        <h1>attacker</h1><a href="your-controlled-domain"Click here</a>

      • You can redirect the user to your malicious domain and serve a fake reset password page to steal credentials Also you can serve a previously found XSS page and steal user cookies etc.

IDOR

  1. IDOR
    https://kathan19.gitbook.io/howtohunt/idor/idor

JWT attack

  1. JWT
    https://kathan19.gitbook.io/howtohunt/jwt-attack/jwt_attack

MFA bypass

  1. MFA bypasses
    https://kathan19.gitbook.io/howtohunt/mfa-bypass/mfa_bypasses
  2. 2FA bypass
    https://kathan19.gitbook.io/howtohunt/mfa-bypass/2fa_bypass

Misconfigurations

  1. default credential n admin panel

    • default credentials basics
      default software configurations, ie.:
    1
    2
    3
    4
    5
    6
    https://www.target.com/admin
    https://www.target.com/admin-console
    https://www.target.com/console
    https://admin.target.com
    https://admin-console.target.com
    https://console.target.com
    • get access from third party
      • search the service default credentials if the admin is working on a third party
    • bypass to get access to login page
      • when visiting admin login page is denied, use header injection to bypass, eg, X-Orginal-URL: /admin or X-Rewrite-URL:/admin

OAuth

  1. OAuth
    https://kathan19.gitbook.io/howtohunt/oauth/oauth

Open redirection

  1. find OpenRedirect trick
    • steps
      • create an acc, record the user profile link, logout n clean all the cookies.
      • paste n visit the profile link, it may redirect u to the login like https://samplesite.me/login?next=accounts/profile or https://samplesite.me/login?retUrl=accounts/profile
      • try to exploit the parameter by adding an external domain eg: https://samplesite.me/login?next=https://evil.com/ or https://samplesite.me/login?next=https://samplesite.me@evil.com/ #or https://targetweb.com?url=www.targetweb.com.attackersite.com (with created subdomain) (to beat the bad regex filter)
      • else, try the XSS eg: https://samplesite.me/login?next=javascript:alert(1);//

Parameter pollution

  1. Parameter pollution in social sharing buttons
  2. password reset token leakage
    1. Sent a password reset request using forget password
    2. Check your email
    3. Copy your reset page link and paste in another tab and make burp intercept on.
    4. Look for every request if you find similar token that is in reset link with other domain like: bat.bing.com or facebook.com
    5. Then there is reset password token leakage.
  3. account takeover by password reset functionality
    1. email= victim@gmail.com&email=attacker@gmil.com
    2. email= victim@gmail.com%20email=attacker@gmil.com
    3. email= victim@gmail.com |email=attacker@gmil.com
    4. email= victim@gmail.com%0d%0acc:attacker@gmil.com
    5. email= victim@gmail.com&code= my password reset token

Rate limit

  1. rate-limit bypass

    • customizing HTTP methods

      • change the GET request to POST, PUT, etc.

      • bypassing rate-limit in API’s try HEAD method

      • using header to bypass the rate limit
        (use the following just below the host header)

        1
        2
        3
        4
        5
        6
        7
        8
        9
        10
        11
        X-Forwarded-For: IP
        X-Forwarded-IP: IP
        X-Client-IP: IP
        X-Remote-IP: IP
        X-Originating-IP: IP
        X-Host: IP
        X-Client: IP

        #or use double X-Forwarded-For header
        X-Forwarded-For:
        X-Forwarded-For: IP

    • addding headers to spoof IP

      • add HTTP headers to spoof IP n evade detection
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      X-Forwarded: 127.0.0.1
      X-Forwarded-By: 127.0.0.1
      X-Forwarded-For: 127.0.0.1
      X-Forwarded-For-Original: 127.0.0.1
      X-Forwarder-For: 127.0.0.1
      X-Forward-For: 127.0.0.1
      Forwarded-For: 127.0.0.1
      Forwarded-For-Ip: 127.0.0.1
      X-Custom-IP-Authorization: 127.0.0.1
      X-Originating-IP: 127.0.0.1
      X-Remote-IP: 127.0.0.1
      X-Remote-Addr: 127.0.0.1

Recon

  1. recon workflow
    https://kathan19.gitbook.io/howtohunt/recon/workflow
  2. subdomain enumeration
    https://kathan19.gitbook.io/howtohunt/recon/subdomain_enumeration

SQLI

  1. SQL injection