[WEB安全]繞過URL跳轉限制的思路

0x00 簡介

說起URL跳轉漏洞，有些人可能會覺得，不就是單純的跳轉到某一個其他網頁嗎？有什么用？？？

給大家一個鏈接，你們進去看一下就明白了：

http://www.anquan.us/search?keywords=url%E8%B7%B3%E8%BD%AC&content_search_by=by_bugs

看完危害，回到正題：平時我們遇到的肯定都是很多基於這樣的跳轉格式：

http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx

基本的思路大家就是直接替換后面的URL來檢測是否存在任意URL跳轉，如果不存在，就直接返回到它自己的域名，如果存在，就跳轉到你指定的URL，

這里我講述我所知道的所有小點：

0x01 利用問號繞過限制

利用問號，這是一個特性，利用問號可以成功繞過URL限制

如：http://www.aaa.com/acb?Url=http://login.aaa.com

這是一個跳轉鏈接，跳轉到它的二級域名下，那么這個問號放哪里可以繞過呢？

其實就是放到它自身的域名前面也就是你添加的想要跳轉的域名的后面：

如：http://www.aaa.com/acb?Url=http://test.com?login.aaa.com

那么，它其實是會跳轉到這個test.com域名下，這個域名是我想要跳轉的任意域名，而后面的它自身域名一定要帶上。

不帶上就無法實現用問號?這個特性來跳轉到指定域名了，而跳轉后，問號和問號后面的內容會變為這樣：http://www.test.com/?login.aaa.com

0x02 利用反斜杠和正斜杠繞過限制

這個是我自己研究出來的，不知道是否網上有人說過：

如：http://www.aaa.com/acb?Url=http://login.aaa.com/
同樣是在它本身域名前加上正斜杠，然后正斜杠前面跟上你想跳轉的域名地址。

如：http://www.aaa.com/acb?Url=http://test.com/login.aaa.com

反斜杠有三種思路：

2.1 兩個反斜杠繞過方法

如：http://www.aaa.com/acb?Url=http://login.aaa.com/
同樣是在它本身域名前加上兩個反斜杠，然后兩個反斜杠前面跟上你想跳轉的域名地址。

如：http://www.aaa.com/acb?Url=http://test.com\\login.aaa.com

2.2 一個反斜杠繞過方法

如：http://www.aaa.com/acb?Url=http://test.com\login.aaa.com

2.3 一個反斜杠一個點

利用.這樣的格式，也就是一個反斜杠加一個點來跳過限制，

如：http://www.aaa.com/acb?Url=http://test.com\.login.aaa.com

0x03 利用@繞過URL限制

如果你用這方法在火狐里進行跳轉，會有彈窗提示，在其它游覽器則沒有。

如：<a href=”http://www.aaa.com/acb?Url=http://login.aaa.com@test.com“”>http://www.aaa.com/acb?Url=http://login.aaa.com@test.com

后面的test.com就是要跳轉到的域名，前面的域名都是用來輔助以繞過限制的。

0x04 利用白名單缺陷繞過限制

有的域名白名單限制是不全的，比如如果想利用一個跳轉，而這個跳轉是通用，在這個公司網站很多子域名等都可以跳轉，那么你買個域名也不算貴對吧。
為什么這么說呢，這個問題就是白名單限制不當，比如，當跳轉的域名包含這個網站下的所有域名，比如：http://www.aaa.com/acb?Url=http://login.aaa.com

這個login.aaa.com也可以改成aaa.com同樣可以跳轉對吧，因為白名單里只要有包含這個域名就直接成功跳轉。

那么當我在這個域名前面加上如testaaa.com，白名單里會檢查是否包含aaa.com這個域名，如果包含，就直接跳轉，而並沒有檢查這個域名的整個信息，然后可以利用這個問題，直接注冊一個testaaa.com這個域名就可以利用這個跳轉。

0x05 多重驗證&跳轉繞過限制

現在很多網站都有多重驗證，比如你登陸賬戶后會出現另一個驗證頁面，輸入手機驗證碼進行驗證，此時這上面的URL很可能存在任意跳轉的問題。

多重跳轉的問題導致可繞過URL限制:

如：http://www.aaa.com/acb?Url=http: … ttp://login.aaa.com

當然，還有多重的，這個結構的多重跳轉你修改最后面的URL就可以達到任意URL跳轉，中間的URL就沒必要動了。

0x06 點擊觸發達到繞過URL跳轉限制

比如很多登陸頁面的地方，其URL是一個跳轉的URL

如：http://www.aaa.com/acb?Url=http://test.com

你直接修改了后面為任意URL，但是還是停留在原地，似乎沒什么問題，但是，當你輸入賬號和密碼后點擊登陸按鈕后，就會觸發跳轉。
當然，這個賬戶和密碼不一定要對的，隨便都可以，但得視系統而定吧。
這個我遇到了很多，比如你修改了域名，然后點擊登陸，登陸成功后便可觸發跳轉，這也是一個比較隱蔽的繞過URL限制的跳轉。

0x07 利用xip.io繞過

這個我還沒有在測試中應用過，其請求是http://www.127.0.0.1.xip.io 這個繞過是在SSRF場景中的繞過，比如SSRF你要讀取內網地址，一般都做了限制，可以嘗試用這方法進行繞過限制，從而訪問到內網。

另外一點，URL跳轉涉及的安全問題大家常見的就是釣魚，那么利用這個思路也可達成一個釣魚問題。

如：http://www.qq.com.220.181.57.217.xip.io

當你訪問qq這個域名時，其實這個鏈接已經被解析到后面這個ip地址上了，那么實際訪問的就是后面這個IP地址。

0x08 利用超鏈接繞過可信站點限制

比如一個URL，它是可以直接跳轉的，但是一般測試跳轉時大家習慣用www.baidu.com或qq.com這樣的可信站點進行測試，但是有些網站是可以跳轉這些網站的。

只要是可信站點且常用，基本都可以跳轉，那么這就屬於正常的業務邏輯了，難度就這樣錯失一個URL跳轉漏洞了？

其實不然，只要你的URL被百度收錄過，那么直接搜索你的域名，site:xxx.xxx

因為你在百度里點擊你的域名，它會先是一個302跳轉，而這個302跳轉就是百度下的302跳轉，那么這樣就可以繞過可信站點的限制，從而達到跳轉到指定URL。

當然，百度這個302有點長，你給它進行加密就行。

0x09 POST參數中的URL跳轉

當然，這個影響就很小了，比如當你填什么表格或者需要填寫什么的，當你上傳圖片，點擊下一步的時候，通常下一步就是預覽你填寫的信息，最后才是提交。
當你上傳了圖片后點擊下一步抓包，如果過濾不嚴，你會看到圖片的完整地址包含在POST參數里，你就可以直接修改這個地址為任意URL，然后到達下一步。
這時是確定信息也就是預覽自己填寫的信息的正確還是不正確，由於你剛剛修改了圖片地址，這里是沒有顯示出來的，圖像會是一個小XX。
當點擊圖片右鍵選擇查看圖像時，就會觸發URL跳轉問題，其實這個也可以利用來進行釣魚，釣后台審核員的信息。
為什么呢，比如審核看到圖片無法加載，一般都會點擊查看圖片，然后跳轉，如果安全意識不知就會造成安全影響。
當然，如果POST參數里就只是URL跳轉參數，那么你可以給它轉成GET方式，然后進行跳轉就可以了，只要網站支持這樣的GET方式就行。
在Burp Suite里可以一鍵轉換提交方式，右鍵選擇Change request method就可以！

0x10 利用'井號'繞過

如：http://www.aaa.com/acb?Url=http://test.com#login.aaa.com

0x11 把ip轉換為數字

數字地址計算方式1

111.13.100.92 轉成數字地址的方式為：111256256256 + 13256256+100256+92*1

這樣得到：1863148636

這種數字地址不需要在前面加0，即訪問：http://1863148636 即可訪問到百度。

轉換地址：https://ip.911cha.com/

數字地址計算方式2

可以是十六進制，八進制等。
115.239.210.26 >>> 16373751032
首先把這四段數字給分別轉成16進制，結果：73 ef d2 1a
然后把 73efd21a 這十六進制一起轉換成8進制
記得訪問的時候加0表示使用八進制(可以是一個0也可以是多個0 跟XSS中多加幾個0來繞過過濾一樣)，十六進制加0x。

訪問：http://016373751032 ,即可訪問到百度。

0x12 總結

想找到任意URL跳轉問題，不要光看表面，一個修改一個回車，不存在就不繼續深入了，這將永遠無法成長！

本文轉載自: t00ls.net
如若轉載,請注明出處：https://www.t00ls.net/thread-43001-1-2.html