web常见漏洞复现_web漏洞复现

web常见漏洞复现

sql注入

以sqli-labs第一关测试

正常情况下我们的页面回显是这个样子

使用抓包工具查看也是id为1。

打开wireshark进行抓包，然后打开kali使用sqlmap跑一下。

等待跑完：

回到wireshark中筛选tcp 数据流从中发现一条sql一条代码命令。

追踪一下tcp数据流。

回到burp suite 中进行解码俺看到证实确实是sql 注入的语句。

分析：针对sql注入的一些关键词union select等等

xss漏洞

以dvwa _xss为例：

流量分析：

其中<script>将<进行了URL编码

name=%3Cscript%3Ealert%28%2Fxss%2F%29%3C%2Fscript%3E
1

文件上传

例upload-lads第三关为例：

上传一个111.php2文件

内容为：<?php phpinfo(); ?>

流量分析：

可以根据文件名中的 php、文件内容中的危险函数来判断非法的文件上传

如果上传的图片马无法通过后缀查看，可以查看文件内容来判断是否为恶意的文件上传

文件包含

dvwa file in 为例：

查看phpinfo.php文件

直接访问phpinfo.php他访问不到：

流量分析：

分析：

相对路径
?filepath=../../../../../../windows/system32/drivers/etc/hosts
绝对路径
?filepath=c:/windows/system32/drivers/etc/hosts
使用 php 封装协议
?filepath=file://c:/windows/system32/drivers/etc/hosts
1
2
3
4
5
6

一般包含配合一句话木马文件获取 Webshell，文件包含的流量特征是请求包中有非服务器允许访问的文件路径，或者文件路径中出现file://,c:/目录穿越的关键字 …/…/ 等

文件读取

流量分析：

分析：

?filepath=index.php
?filepath=/etc/passwd
?filepath=c:\windows\system32\drivers\etc\hosts
?filepath=c:\phpstudy_2016\apache\conf\httpd.conf
?filepath=c:\phpstudy_2016\mysql\my.ini
?filepath=../../../../../../../../../../phpstudy_2016/www/phpinfo.php
?filePath=../../../../../../../../windows\system32\drivers\etc\hosts
?filePath=../../../../../../etc/hosts
1
2
3
4
5
6
7
8

• 任意文件读取会造成（敏感）信息泄露；

• 任意文件读取大多数情况是由于其他漏洞引发的，如 RCE、目录遍历、文件包含等。

• 任意文件读取与任意文件下载本质上没有区别，信息都是从服务端流向浏览器的。

ssrf漏洞

如果没有对用户提交 URL 和远端服务器所返回的信息做合适的验证或过滤，就有可能存在“请求伪造”的缺陷。

phpstudy —ssrf为例

流量分析：

1. 服务器接受了来自于客户端的 URL 地址，并由服务器发送该 URL 请求。
2. 对用户输入的 URL 没有进行恰当的过滤，导致任意 URL 输入。
3. 没对响应的结果进行检验，直接输出。

​ 通过 SSRF 漏洞可以实现对内网的访问，从而可以攻击内网应用。仅仅通过 GET 方法可以攻击的内网 Web 应用有很多。

?url=http://127.0.0.1/cms/show.php?
id=-33/*A*/union/*J*/select/*E*/1,2,3,4,5,6,7,8,9,10,concat(username,
0x3a,password),12,13,14,15/*S*/from/*T*/cms_users
?url=http://127.0.0.1/cms/show.php?
id=-33%25%32%30union%25%32%30select%25%32%301,2,3,4,5,6,7,8,9,10,conc
at(username,0x3a,password),12,13,14,15%25%32%30from%25%32%30cms_users
1
2
3
4
5
6

shiro反序列化

搭建靶场:

sudo apt-get update
更新完成后：
sudo apt-get install docker-compose
重启kali:
init 6 
启动服务：
service docker start
开启端口：
sudo docker run -d -p 80:8080 medicean/vulapps:s_shiro_1 
1
2
3
4
5
6
7
8
9

导入shiro_attack-4.5.3-SNAPSHOT-all.jar包

java -jar .\shiro_attack-4.5.3-SNAPSHOT-all.jar
1

漏洞利用：

爆破秘钥

流量分析：

分析：

550:不用登录

721：需要登录

特征：

1.在响应报文里有一个set cookie字段中有一个remember me = delete me

2.请求报文里有一个remember me =跟上一个庞大的base64 编码（解码以后类似于十六进制的登录流量）

jwt

注册完成之后直接就登录了。

进入第四关：

使用burp抓包看一下，他根据cookie字段来判断我不是admin用户。

增么判断的呢？

JWT（JSON Web Token）由三部分组成：头部（Header）、载荷（Payload）、签名（Signature）。

    头部（Header）：头部通常由两部分组成，算法类型和令牌类型。
        算法类型：指定用于生成签名的算法，例如 HMAC、RSA 或者 ECDSA。
        令牌类型：指定令牌的类型，常见的是 JWT。

头部使用 Base64Url 编码表示，并作为整个 JWT 的第一部分。头部的一个示例：

{
  "alg": "HS256",none
  "typ": "JWT"
}

    载荷（Payload）：载荷存储了有关用户或实体的声明和其他有关信息。
        声明：如用户 ID、角色、权限等信息。
        注册声明：包含一些标准的声明（比如发行人、过期时间等）和一些自定义的声明。

载荷也使用 Base64Url 编码表示，并作为整个 JWT 的第二部分。载荷的一个示例：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

    签名（Signature）：签名是对头部和载荷进行签名的结果，用于验证 JWT 的完整性和真实性。
        签名生成方式：将头部和载荷进行 Base64Url 编码后拼接在一起，然后使用指定的加密算法（如 HMAC、RSA）进行签名，将生成的签名添加到 JWT 中。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

使用base64 进行解密修改成none

将数据替换成cookie值

流量分析：

暴力破解

使用字典爆破密码

例dvwa —Brute Force

随便输入数值登录，使用burp抓包，将包发送到 Intruder模块，将密码添加 $ ，上传爆破密码字典进行爆破密码

wireshark 抓流量包。

流量分析：

暴力破解的流量特征是有大量尝试登录的数据包

wireshark 过滤流量包，发现大量不同 password 值的请求登陆数据包

命令执行

使用关键字进行查询敏感信息。

比如 ：

可以看到 whoami 命令，在实际攻击中会出现许多不同的命令执行语句

反弹shell

Windows反弹shell

准备一台kali开启监听：

一台Windows反弹shell

回到kali看见反弹成功

输入关键字

流量分析：

查看 wireshark 捕获的流量并过滤

可以看到大量的 TCP 数据流