西伯利亚新闻与中俄新闻!

忘记密码

2020年对网站XXE攻击的渗透测试之路记录

2020-02-14 00:11 作者: 来源: 本站 浏览: 211 次 我要评论2020年对网站XXE攻击的渗透测试之路记录已关闭评论 字号:

摘要: 这篇是生搬硬套,开展了渗透测试和解读。 先提示,沒有具体事例,自己挖地洞工作经验过少,沒有碰到有关事例,文尾会得出适合的方式找寻,有兴趣爱好能够去具体步骤下。 下边一些文本和图是不一样時间配的,造成不一样,大道理是一样的。 一、xml基本知识...

这篇是生搬硬套,开展了渗透测试和解读。
先提示,沒有具体事例,自己挖地洞工作经验过少,沒有碰到有关事例,文尾会得出适合的方式找寻,有兴趣爱好能够去具体步骤下。
下边一些文本和图是不一样時间配的,造成不一样,大道理是一样的。
一、xml基本知识
XML被设计方案用于传送和储存数据信息,如今用的较为普遍的是json传输数据
在付款,登录由此可见xml的type,前好多个月的微信付款xxe进攻,连接http://www.freebuf.com/vuls/176758.html
别的的英语语法知识,不做探讨,较简易,另外也较严苛的英语的语法
关键环节:
创作者在一篇文章中见到一个非常容易了解的运用,连接:https://www.cnblogs.com/r00tuser/p/7255939.html
引入以下:(这三种本人感觉可以解决阅读者针对xml的dtd文本文档引入的难题,也不搬抄过来了,有兴趣爱好多读点文章内容也非常好)
立即根据DTD外界实体线申明
根据DTD文本文档导入外界DTD文本文档,再导入外界实体线申明
根据DTD外界实体线申明导入外界实体线申明
二、xxe进攻造成缘故和防御力xxe进攻
一切的键入历经操纵改动,服务器端实行,越来越已不安全性;xml法院被执行也是如此,因为外界实体线可被引入,再加我们改动了手机客户端的实行编码,服务器端都没有对编码开展过虑等实际操作,就分析了我们的恶意程序.
一样防御力也简易,过虑或是严禁载入外界实体线
三、xxe进攻当地构建自然环境
这儿创作者应用bwapp的自然环境开展演试,网站安全公司该如何漏洞检测与防护XXE攻击。
bee的自然环境很趣味,也很健全,能够学好许多物品,因此假如你是新手入门的凉拌菜,对渗入并不是很掌握,能够考虑到它(自然不得不承认的是自己都是凉拌菜)
ok,刚开始我们的进攻检测:
第一步:
bp抓包软件repeater
这儿有三点必须留意
1是text/xml存有,表明将会存有xxe进攻,这都是发觉xxe进攻的方式
2是有回显,或是沒有回显,就只能blind检测了
第二步:
接下去搭建我们的进攻编码
我们这儿来解析一下
XML的外界实体线“bee”被授予的数值:file:///etc/passwd,当分析xml文本文档时,bee会被更换为file:///ect/passwd的內容。就法院被执行回显回家了。
第三步:
假如考虑有text/xml种类而沒有回显,没法分辨我们的编码法院被执行否
此刻,就必须blindxxe(实际上具体较为便捷的构思能够立即blindxxe)
blindxxe构思:
1.我们推送编码以往,服务器端实行
2.服务器端分析编码,向vps特定文档推送恳求,并实行文档载入
3.把分析的编码結果再度发送给我们的vps
4.我们的vps,创作者掌握到有这几类方式查询結果,一是ftp协议书,二个是http协议书查询系统日志或是实行企业网站实际操作,下边创作者将具体演试(它是依据xml适用的协议书来实际操作的)
最先,我们看看我们的网络服务器系统日志,有利于和后边开展较为
再改动我们的编码
这儿我们用了http协议书去联接我们的网络服务器,以便差别创作者搭建了个不会有的相对路径,因此拥有下边这一状况,点一下推送
查询系统日志
显示信息404相对路径不会有;嗯,证实能够载入外界实体线
第四步:
ok,再次结构我们的编码
结构三一部分內容:
第一一部分:
我们的bp的推送编码,向vps推送申请办理
%dtd;
%send;
]>
第二一部分:
我们恳求的vps网络服务器上http://192.168.225.129/evil.dtd写以下编码
>
%all;
这儿创作者提一下留意的难题
1.file=///etc/passwd应用file协议书来载入
2.%;是%实体化(需不需要用,创作者也并不是很清晰,自身刚开始立即用%,沒有推送出来恳求,随后阅览了别的的文章内容和进攻编码,发觉entity里边全是实体化了的)
3.web服务器端实行了/etc/passwd的载入,随后又发给了vps(payload自变量带上数据信息)
4.还有一个很关键的英语语法知识,合闭,获得vps上的句子开展主要参数的前后左右合闭(创作者自身的易懂了解)
憨厚说,创作者这里吃过亏,吊舱和自身vps服务器的句子连起來要组成一个合闭句子,由于只实行了一次xml实行涵数
点一下,我们来推送恳求:
能够看见,時间同样换句话说贴近(这就是说为何合闭的缘故,只能一次实行机遇,提示了,由于创作者吃过亏),被害服务器分析了我们vps上的evil.xml,再度向我们的vps推送了数据信息
可是沒有数据信息,创作者也疑虑,随后一番检测:
将开展改动
改成:
1.检测payload换为别的的不规律款式,发觉是显示信息的,证实是payload主要参数沒有得到数据信息
如:改成那麼id就相当于abc了
2.payload主要参数前边的%换为&,出错,不推送vps上的句子
3.实体化%,不推送vps上的句子
4.data协议书data://text/plain;base64,ZmlsZTovLy9ldGMvcGFzc3dk
尽管data协议书官方网文本文档说成要allowurlfopen和,allowurlinclude配备的限定,可是当地检测时還是能够运用(allowurlfopen默认设置on,allowurlinclude默认设置off)
5.引号内换为:php://filter/read=convert.base64-encode/resource=file:///etc/passwd
6.甚至是创作者猜疑客户沒有管理权限读。。。自然有
第二一部分还可以那样写:(自然不服气,换ftp协议书)
将evil.dtd改动这般就可以
%dtd;
%send;
]>
这类并沒有登录只是是端口号相匹配恰当
而创作者的kali服务器压根沒有打开ftp服务项目;而我们联接的ftp://vps:21只是考虑了21端口号,ftp协议书并沒有考虑;文件格式ftp://user:password@host:port
ok,我们已不担心,再次
迫不得已提的是,它是协议书的推送,上边是http协议书,它是ftp协议书
xml适用的协议书(留意看,只能三种,而我们也仅用了三种)
第五步:(事后运用一部分绝大多数都能寻找,也不丢脸了)
xxe进攻可以做网站安全性渗透测试中的检验新项目內容。
  ☞评论暂时关闭,有事请直接联系本站客服,谢谢!