許多客戶在網(wǎng)站，以及APP上線的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過(guò)程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶的整個(gè)滲透測(cè)試過(guò)程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來(lái)，分享給大家，也希望大家更深地去了解滲透測(cè)試。
討論回顧完上次整改的問(wèn)題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒(méi)有返回文檔上傳路徑，然后我又嘗試了各種繞過(guò)，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問(wèn)一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因。看了云平臺(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問(wèn)題不大，上傳文檔沒(méi)有執(zhí)行權(quán)限，而且沒(méi)有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測(cè)試的時(shí)候是沒(méi)有做編碼的。我突然想到了問(wèn)題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問(wèn)題所在是，在整改過(guò)程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過(guò)程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過(guò)程中.jsp也被成功解析，研發(fā)沒(méi)有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來(lái)已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

滲透測(cè)試其實(shí)就是一個(gè)攻防對(duì)抗的過(guò)程，所謂知己知彼，才能百戰(zhàn)百勝。如今的網(wǎng)站基本都有防護(hù)措施，大企業(yè)或大單位因?yàn)榫W(wǎng)站眾多，一般都會(huì)選擇大型防火墻作為保護(hù)措施，比如深信服、天融信等等，小單位或單個(gè)網(wǎng)站通常會(huì)選擇D盾、安全狗或開源的安全軟件作為保護(hù)措施，一些常見的開源waf有：OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
當(dāng)然，服務(wù)器沒(méi)裝防護(hù)的的網(wǎng)站還是有的。而這些防護(hù)措施都有對(duì)常見漏洞的防御措施，所以在實(shí)際的漏洞挖掘和利用過(guò)程中必須考慮這些問(wèn)題，如何確定防護(hù)措施，如何對(duì)抗防護(hù)措施。web常見漏洞一直是變化的，隔一段時(shí)間就會(huì)有新的漏洞被發(fā)現(xiàn)，但實(shí)戰(zhàn)中被利用的漏洞其實(shí)就那么幾個(gè)，就像編程語(yǔ)言一樣，穩(wěn)坐前三的永遠(yuǎn)是c、c++。

下面開始我們的整個(gè)滲透測(cè)試過(guò)程，首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測(cè)試，我們才能放開手的去干，首先檢測(cè)的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測(cè)網(wǎng)站是否有sql注入的時(shí)候都會(huì)配合查看mysql數(shù)據(jù)庫(kù)的日志來(lái)查詢我們提交的SQL語(yǔ)句是否成功的執(zhí)行，那么很多人會(huì)問(wèn)該如何開啟數(shù)據(jù)庫(kù)的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號(hào)密碼進(jìn)服務(wù)器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來(lái)查看實(shí)時(shí)的數(shù)據(jù)庫(kù)語(yǔ)句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測(cè)試SQL注入漏洞的時(shí)候，就會(huì)實(shí)時(shí)的看到是否有惡意的SQL語(yǔ)句執(zhí)行成功，如果有那么數(shù)據(jù)庫(kù)日志就會(huì)出現(xiàn)錯(cuò)誤提示，在滲透測(cè)試中是很方便的，也更利于查找漏洞。

文檔包含的概念很好理解，編程中經(jīng)常用到，比如python中的import、c中的include，php當(dāng)然也不例外。但php“牛逼”的地方在于即使包含的文檔不是php類型，也不會(huì)報(bào)錯(cuò)，并且其中包含的php代碼也會(huì)執(zhí)行，這是文檔包含漏洞產(chǎn)生的根本原因。文檔包含漏洞和任意文檔漏洞很相似，只不過(guò)一個(gè)是解析，一個(gè)是。
漏洞利用的幾種方式：1.向服務(wù)器寫馬：圖片中寫惡意代碼(結(jié)合文檔上傳），錯(cuò)誤日志寫惡意代碼(錯(cuò)誤訪問(wèn)會(huì)被記錄到錯(cuò)誤日志中），session中寫惡意代碼。訪問(wèn)圖片、日志文檔或session文檔，服務(wù)器生成木馬，直接getshell。2.讀取敏感文檔：結(jié)合目錄遍歷漏洞讀取敏感文檔。3.偽協(xié)議：偽協(xié)議可以使用的話，可以嘗試讀取文檔或命令執(zhí)行。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://coolerbeats.net