提示:文章写完后,目录可以自动生成,如何生成可参考右边的资助文档
前言
网络安全实验:文件上传,文件包含,CSRF
一、实验要求
1.文件上传 1)%00截断绕过,要求假造机中搭建实验环境,分别实现 GET、POST方法的绕过(2)二次渲染绕过
2、文件包含 (1)DVWA环境下去包含其他目录的恣意3个文件,要求利用相对路径 (2)远程文件包含 (3)中心件日志包含绕过,要求利用蚁剑连接乐成
3、CSRF (1)DVWA-High等级 (2)利用Burp生成CSRF利用POC
二、实验步调
1.文件上传
(1)%00截断绕过,要求假造机中搭建实验环境,分别实现 GET、POST方法的绕过
1、截断条件:
php版本小于5.3.4
php.ini的magic_quotes_gpc为OFF状态
起首设置环境
2、截断原理:
利用%00是字符串竣事标识符的机制,攻击者可以利用手动添加字符串标识符的方式来将后面的内容举行截断,而后面的内容又可以资助我们绕过前端的检测。
%00截断通常用来绕过Web的白名单限制。Upload-labs(Pass-12)看代码可以得知是一个白名单,只允许上传’jpg’,‘png’,'gif’格式的文件,但是上传路径是可以控制的,可以利用%00举行截断。
3、举行文件上传:
1)GET方法
选pass11
构建php脚本文件
开brup抓包
上传一句话木马
修改PHP文件后缀为png
save_path 后增加文件名 1.php%00
连接蚁剑
2)POST方法
选择pass12
在save_path 后增加文件名 1.php%00前操纵不变
save_path 后增加文件名 1.php%00
由于加入的位置是在请求正文中不会url编码,以是,我们要通过抓包软件手动编码
剩下同以上操纵
(2)二次渲染绕过
二次渲染:就是根据用户上传的图片,新生成一个图片,将原始图片删除,将新图片添加到数据库中。好比一些网站根据用户上传的头像生成大中小差别尺寸的图像。
Upload-labs(Pass-17)这一关比力综合,判断了后缀名、content-type,以及利用imagecreatefromXXX判断是否为真实图片,最后再做了一次二次渲染。可以看到,这里先是判断Content-Type,然后再用imagecreatefrom[gif|png|jpg]函数判断是否是图片格式,假如是图片的话再
用image[gif|png|jpg]函数对其举行二次渲染。我们可以上传一个正常的图片文件,观察其上传前和上传后图片的二进制流是否发生变化。
1、预备一张符合要求的文件
上传合规文件
保存上传乐成二次渲染后的文件
在010Editor上比对这两个文件
在未被修改的代码中加入一句话木马
保存文件重新上传
在图像链接中加入includ.php才能解析
2.文件包含
(1)DVWA环境下去包含其他目录的恣意3个文件,要求利用相对路径
相对路径:舍去磁盘盘符、计算机名等信息,以引用文件的网页地点文件夹位置为参考,创建出的基准根目录。当保存于差别目录的网页引用同一个文件时,所利用的相对路径差别。
1、以dvwa low级别为例
我们发现这个文件在 vulnerabilities/fi目录下
我们进入背景查看下
因为low级别没有任何过滤那我们就随机在目录找三个文件用相对路径打开
…/ 返回上级目录
2、Medium级别的代码增加了str_replace函数,对page参数举行了一定的过滤,将”http:// ”、”https://”、” …/”、”…\“”更换为空字符。
但str_replace函数并不是很安全,双写就可以绕过了。
3、High级别用到了fnmatch函数
fnmatch() 函数根据指定的模式来匹配文件名或字符串
语法:
fnmatch(pattern,string,flags)
pattern 必须。规定要检索的模式。
string 必须。规定要查抄的字符串或文件。
flags 可选。
限制了page参数的开头必须是file,但是可以用file://协议举行文件读取从而实现绕过
(2)远程文件包含
远程文件包含是指包含非被攻击呆板上的文件。
利用dvwa的文件包含漏洞包含 upload-labs 中的文件。
DVWA:被攻击的站点 ;UPload-labs:攻击者自己搭建的站点。
考虑到upload-labs靶场具备php解析本事,那么我们就可以上传txt格式的php代码:
把txt上传到upload-labs上
复制“图像”链接
在dvwa low模式下的文件包含模块的url尾部修改
也可把ip改为一开始在后端查找的ip
(3)中心件日志包含绕过,要求利用蚁剑连接乐成
DVWA中,apache2日志文件路径为: /var/log/apache2/access.log
包含日志文件,必要先对文件和目录添加权限,让web端有权限去访问:
修改完权限之后,访问
因为url传到后端会编码,以是开brup拦截修改url:
我们在前端访问日志文件:
在控制台中查询cookie:
连接蚁剑
3.CSRF
跨站请求伪造(也称 CSRF),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操纵的攻击方法,允许攻击者诱导用户执行他们不计划执行的操纵。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包,假如此时用户恰好登录了该正常网站(也就是身份验证是正常的)就会执行该恶意代码的请求,从而造成CSRF漏洞。
该漏洞允许攻击者部门规避同源策略,该策略旨在防止差别网站相互干扰。
(1)DVWA-High等级
High级别的代码增加了Anti-CSRF token机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,必要提交token参数,而服务器在收到请求时,会优先查抄token,只有token正确,才会处理客户端请求。
这个High安全等级主要是利用了DVWA的XSS漏洞和CSRF漏洞共同完成的,找到DVWA的XSS模块,通过XSS漏洞获取浏览器Cookie
1、利用XSS获取cookie
<img src=x OnerrOr=alert(document.cookie)>
将cookie复制下来
2、抓包修改密码
修改cookie,删除token
(2)利用Burp生成CSRF利用POC
起首我们选择pikachu靶场
我们正常登录,但是要开启brup抓包
在 Burp Suite Professional 中的恣意位置选择必要测试或利用的请求。
从右键单击上下文菜单中,选择到场工具/生成 CSRF PoC。
我们可以选择自动包含脚本也就是1,然后点击2,就会生成3,然后可以选择test测试大概选择4复制。在实战中可以将生成的html联合正常网站做诱导性链接。
总结
这周训练增强了对文件上传漏洞,文件包含漏洞,CSRF漏洞的运用和理解。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
