信息泄露漏洞-发现和利用(二)

admin
admin
admin
140796
文章
117
评论
2022年7月17日03:05:54评论26 views字数 2054阅读6分50秒阅读模式


在本节中,将讲解一些信息泄露的技术和工具,通过这些技术和工具来帮助识别各种情况下的信息泄露,另外通过一些试验场景来进行练习。

 

调试数据

出于调试目的,许多网站会生成自定义错误消息和日志,其中包含有关应用程序行为的大量信息。虽然这些信息在开发过程中很有用,但如果它在生产环境中泄露,它对攻击者也非常有用。

调试消息有时可能包含开发攻击的重要信息,包括:

●可以通过用户输入操作的关键会话变量的值

●后端组件的主机名和凭据

●服务器上的文件和目录名称

●用于加密通过客户端传输的数据密钥

调试信息有时可能会记录在单独的文件中,如果攻击者能够访问此文件,它可以作为了解应用程序运行时状态的有用参考。它还可以提供一些线索,说明他们如何提供精心设计的输入来操纵应用程序状态和控制接收到的消息。

 

场景试验-调试页面信息泄露:

https://portswigger.net/web-security/information-disclosure/exploiting/lab-infoleak-on-debug-page

场景说明:

这个试验场景包含一个调试页面,其中披露了有关应用程序的敏感信息。

试验目的:

要完成这个试验,需要获取并提交SECRET_KEY环境变量。

攻击过程:

访问首页后,在Burp Suite中的

"Target">"Site Map"中右键点击跟站点,选择:

"Engagement tools">"Find comments"

信息泄露漏洞-发现和利用(二)

 

可以注意到在根目录下包含一个名叫"Debug"的访问链接

信息泄露漏洞-发现和利用(二)

 

"Site map"中,把对这个页面的请求发送到Repeater

信息泄露漏洞-发现和利用(二)

 

发送这个请求,在返回的响应中,检索"SECRET_KEY"获取密钥后在首页上方提交即可完成本试验

信息泄露漏洞-发现和利用(二)

 

试验小结:

这个试验主要就是利用"Find Comments"工具来寻找遗留在页面的各种注释,从而进一步获取站点的相关信息。

 

用户账户页面

就其本质而言,用户的个人资料或账户页面通常包含敏感信息,例如用户的电子邮件地址、电话号码、API密钥等。由于用户通常只能访问自己的账户页面,因此这本身并不代表漏洞。但是,某些网站包含可能允许攻击者利用这些页面来查看其他用户数据的逻辑缺陷。

例如,考虑一个根据用户参数确定要加载哪个用户的账户页面的网站。

信息泄露漏洞-发现和利用(二)

大多数网站都会采取措施防止攻击者简单地更改此参数以访问任意用户的账户页面,但是有时加载单个数据项的逻辑并不那么周全。

攻击者可能无法完全加载其他用户的账户页面,但用于获取和呈现用户注册电子邮件地址的逻辑可能无法检查用户参数是否与当前登录的用户匹配。在这种情况下,简单地更改用户参数将允许攻击者在他们自己的账户页面上显示任意用户的电子邮件地址。

 

通过备份文件泄露源代码

获取源代码访问权限使攻击者更容易了解应用程序的行为并构建高严重性攻击,敏感数据有时甚至被硬编码在源代码中。

这方面的典型示例包括用于访问后端组件的API密钥和凭据。

如果可以确定网站正在使用特定的开源技术,那么就可以轻松访问有限数量的源代码。

有时网站甚至可能暴露自己的源代码,在规划网站时,可能会发现某些源代码文件被明确的引用,但请求它们通常不会显示源代码本身。

当服务器处理具有特定扩展名的文件(例如.php)时,它通常会执行代码,而不是简单地将其作为文本发送给客户端。但是,在某些情况下,我们可以诱使网站返回文件的内容。例如,文本编辑器通常会在编辑原始文件时生成临时备用文件,这些临时文件通常以某种方式表示,比如通过在文件名中附加波浪号(~)或添加不同的文件扩展名,使用备份文件扩展名请求代码文件有时可以让我们在响应中读取文件的内容。

一旦攻击者可以访问源代码,这可能是朝着能够识别和利用其他几乎不可能的漏洞迈出的一大步,一个例子就是不安全的反序列化。

 

场景试验-通过备份文件泄露源代码:

https://portswigger.net/web-security/information-disclosure/exploiting/lab-infoleak-via-backup-files

场景说明:

这个试验场景通过隐藏目录中的备份文件泄露其源代码。

试验目的:

要完成这个试验,需要识别并提交数据库密码,该密码包含在泄露的源代码中。

攻击过程:

访问首页后,通过浏览器再访问/robots.txt,可以看到这个目录禁止爬虫来爬取

信息泄露漏洞-发现和利用(二)

 

随后访问下/backup这个目录,可以发现一个源代码备份文件

信息泄露漏洞-发现和利用(二)

 

打开这个文件后,找到连接数据库的密码,随后在首页的上方提交即可完成试验

信息泄露漏洞-发现和利用(二)

 

试验小结:

robot.txt这个文件是个很好进行信息获取的文件,这个文件通常是为了告知爬虫此站点中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。


信息泄露漏洞-发现和利用(二)


业务逻辑漏洞-概念梳理

命令注入攻击(上)
目录遍历攻击(上)

身份验证漏洞-概念梳理

SQL注入攻击-检索隐藏的数据
HTTP高级请求走私-响应队列中毒
HTTP Host头漏洞攻击-概念梳理


原文始发于微信公众号(H君网安白话):信息泄露漏洞-发现和利用(二)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月17日03:05:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息泄露漏洞-发现和利用(二)https://cn-sec.com/archives/1181103.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息