研究漏洞方法指南 | Web漏洞分析与防范实战

目　　录  Contents  

前言

第一部分　实战

第1章　前端安全漏洞2

1.1　前端防御从入门到弃坑—CSP

　 　的变迁2

1.1.1　前端防御的开始2

1.1.2　CSP3

1.1.3　CSP的绕过5

1.1.4　CSP困境以及升级8

1.1.5　防御建议11

1.2　从老漏洞到新漏洞—iMessage 

　 　0day挖掘实录（CVE-2016-1843）11

1.2.1　背景11

1.2.2　CVE-2016-1764漏洞分析12

1.2.3　从老漏洞（CVE-2016-1764）

　 　  到0day漏洞16

1.2.4　修复建议18

1.2.5　参考链接19

1.3　从CVE-2018-8495看PC端

　 　URL Scheme的安全问题19

1.3.1　概述19

1.3.2　创建URL Scheme20

1.3.3　安全隐患21

1.3.4　操作系统中的问题22

1.3.5　浏览器参数注入23

1.3.6　应用程序的问题26

1.3.7　防御建议27

1.3.8　参考链接27

1.4　iOS中的BadURLScheme28

1.4.1　概述28

1.4.2　漏洞详情28

1.4.3　实际案例29

1.4.4　漏洞披露29

1.4.5　防御建议30

1.4.6　参考链接30

1.5　从Drupal 1-click到RCE 分析30

1.5.1　无后缀文件写入30

1.5.2　Phar反序列化RCE33

1.5.3　漏洞触发要求35

1.5.4　漏洞补丁35

1.5.5　总结35

1.5.6　防御建议36

1.5.7　参考链接36

1.6　代码审计从0到1—

     Centreon One-click To RCE36

1.6.1　概述37

1.6.2　Centreon代码基本结构37

1.6.3　代码分析38

1.6.4　过滤处理44

1.6.5　路径限制44

1.6.6　从One-click到RCE45

1.6.7　防御建议50

1.6.8　参考链接50

1.7　MyBB 18.20：从存储型XSS

　 　漏洞到RCE漏洞分析50

1.7.1　漏洞触发要求50

1.7.2　漏洞分析51

1.7.3　漏洞复现59

1.7.4　补丁分析61

1.7.5　防御建议63

1.7.6　参考链接63

1.8　Chrome扩展安全问题63

1.8.1　Chrome插件体系63

1.8.2　CVE-2019-1259263

1.8.3　CSP问题68

1.8.4　防御建议73

1.8.5　参考链接73

第2章　后端安全漏洞74

2.1　从WordPress SQLi到PHP

　 　格式化字符串问题74

2.1.1　漏洞概述74

2.1.2　漏洞分析74

2.1.3　漏洞原理77

2.1.4　PHP格式化字符串78

2.1.5　利用条件79

2.1.6　WordPress 4.8.2补丁问题 80

2.1.7　修复方案 81

2.1.8　参考链接81

2.2　Joomla 3.7.0 Core SQL注入漏洞

　 　（CVE-2017-8917）分析81

2.2.1　漏洞概述82

2.2.2　漏洞复现82

2.2.3　修复建议85

2.2.4　参考链接86

2.3　vBulletin MEDIA UPLOAD SSRF

　 　漏洞（CVE-2016-6483）分析86

2.3.1　漏洞概述87

2.3.2　漏洞复现87

2.3.3　漏洞修复94

2.3.4　参考链接94

2.4　Discuz! x3.4前台SSRF分析94

2.4.1　漏洞概述94

2.4.2　漏洞复现94

2.4.3　任意URL跳转99

2.4.4　漏洞利用100

2.4.5　修复建议101

2.4.6　参考链接101

2.5　利用Exchange SSRF漏洞和 

　 　NTLM中继沦陷获取域控101

2.5.1　漏洞概述101

2.5.2　漏洞复现101

2.5.3　漏洞利用104

2.5.4　修复建议107

2.5.5　参考链接108

2.6　Joomla未授权创建特权用户

　 　漏洞（CVE-2016-8869）分析108

2.6.1　漏洞概述108

2.6.2　漏洞复现109

2.6.3　修复建议113

2.6.4　参考链接114

2.7　Joomla权限提升漏洞（CVE-

　 　2016-9838）分析114

2.7.1　漏洞概述114

2.7.2　漏洞复现115

2.7.3　修复方案123

2.7.4　参考链接123

2.8　DedeCMS v5.7密码修改漏洞

　 　分析124

2.8.1　漏洞概述124

2.8.2　漏洞复现125

2.8.3　代码分析129

2.8.4　修复方案133

2.8.5　参考链接134

2.9　ES文件浏览器安全漏洞

　　（CVE-2019-6447）分析134

2.9.1　漏洞概述134

2.9.2　漏洞复现135

2.9.3　漏洞分析 136

2.9.4　补丁分析139

2.9.5　总结141

2.9.6　参考链接142

第3章　文件读取漏洞143

3.1　MySQL客户端任意文件读取

　 　攻击链拓展143

3.1.1　Load data infile语法144

3.1.2　漏洞利用原理和流程分析145

3.1.3　PoC150

3.1.4　演示151

3.1.5　影响范围151

3.1.6　从文件读取到远程命令执行157

3.1.7　修复方式163

3.1.8　总结165

3.1.9　参考链接165

3.2　Confluence 文件读取漏洞

　　（CVE-2019-3394）分析165

3.2.1　背景165

3.2.2　漏洞影响166

3.2.3　补丁对比166

3.2.4　流程分析167

3.2.5　尝试利用173

3.2.6　修复方案175

3.2.7　参考链接175

3.3　WebSphere XXE漏洞（CVE-

　 　2020-4643）分析175

3.3.1　概述175

3.3.2　补丁175

3.3.3　漏洞分析176

3.3.4　修复建议183

3.3.5　参考链接183

3.4　WebLogic CVE-2019-2647、

　 　CVE-2019-2648、CVE-2019-

　 　2649、CVE-2019-2650 XXE

　 　漏洞分析183

3.4.1　补丁分析183

3.4.2　分析环境184

3.4.3　WsrmServerPayloadContext

　   　漏洞点分析184

3.4.4　UnknownMsgHeader漏洞点

　   　分析193

3.4.5　WrmSequenceContext 漏洞点

　 　  分析194

3.4.6　修复建议196

3.4.7　参考链接196

3.5　WebLogic EJBTaglibDescriptor 

　 　XXE漏洞（CVE-2019-2888）

　 　分析197

3.5.1　分析环境197

3.5.2　漏洞分析197

3.5.3　漏洞复现199

3.5.4　修复建议200

3.5.5　参考链接201

3.6　印象笔记Windows 6.15版本

　 　本地文件读取和远程命令执行

　 　漏洞（CVE-2018-18524）202

3.6.1　概述202

3.6.2　演示模式下的Node.js代码

　　　注入202

3.6.3　本地文件读取和远程命令

　　　执行的实现203

3.6.4　通过分享功能攻击其他用户205

3.6.5　修复建议206

3.6.6　参考链接206

第4章　渗透测试207

4.1　红队后渗透测试中的文件传输207

4.1.1　搭建HTTP服务器207

4.1.2　从HTTP服务器下载文件208

4.1.3　配置PUT服务器209

4.1.4　上传文件到HTTP PUT

　　　服务器211

4.1.5　利用 Bash /dev/tcp 进行

　　　文件传输211

4.1.6　利用SMB协议进行文件

　　　传输212

4.1.7　利用 whois 命令进行文件

　　　传输212

4.1.8　利用 ping 命令进行文件传输213

4.1.9　利用 dig 命令进行文件传输213

4.1.10　利用 NetCat 进行文件传输214

4.1.11　参考链接216

4.2　协议层的攻击—HTTP请求

　　走私216

4.2.1　背景216

4.2.2　发展时间线217

4.2.3　产生原因 217

4.2.4　HTTP走私攻击实例—

　  CVE-2018-8004223

4.2.5　其他攻击实例240

4.2.6　参考链接250

4.3　自动化静态代码审计工具250

4.3.1　自动化代码审计250

4.3.2　动态代码审计工具的特点

　　　与局限250

4.3.3　静态代码审计工具的发展252

4.3.4　参考链接259

4.4　反制Webdriver—从Bot向

　  　RCE 进发260

4.4.1　什么是Webdriver260

4.4.2　Chromedriver的攻击与利用261

4.4.3　参考链接270

4.5　卷入.NET Web271

4.5.1　调试271

4.5.2　如何找漏洞案例和审计函数281

4.5.3　参考链接282

4.6　攻击SAML 2.0282

4.6.1　SAML 2.0282

4.6.2　通过OpenSAML请求包看

　　　SAML SSO283

4.6.3　通过OpenSAML源码看

　　　SAML SSO细节294

4.6.4　参考链接305

4.7　Apache Axis 1与 Axis 2 

　　WebService的漏洞利用305

4.7.1　Apache Axis 1306

4.7.2　Apache Axis 2332

4.7.3　参考链接338

第二部分　防御方法

第5章　防御规则342

5.1　什么是 Pocsuite 3342

5.2　什么是 Suricata343

5.3　Suricata 安装343

5.4　Suricata规则343

5.4.1　Action 344

5.4.2　Header 344

5.4.3　元关键字/补充信息346

5.4.4　Rule347

5.5　如何在PoC中编写流量规则351

5.5.1　示例一351

5.5.2　示例二353

5.5.3　示例三354

5.5.4　示例四356

5.6　参考链接357

第6章　防御演示环境与防御处置358

6.1　防御演示环境358

6.2　模拟攻击358

6.3　Pocsuite 3365

6.4　Suricata & pfSense365

6.5　pfSense 导入自定义Suricata

　 　规则368

6.6　总结370

第7章　防御研究工具371

7.1　代码审计371

7.2　供应链安全373

7.3　防火墙375

7.4　堡垒机377

7.5　日志审计系统379

7.6　终端安全380

7.7　资产扫描382

7.8　入侵检测系统384

7.9　蜜罐系统385

7.10　恶意软件沙箱386