摘要:在代碼審計中,按業(yè)務(wù)流程審計當(dāng)然是必須的�,人工的流程審計的優(yōu)點(diǎn)是能夠更加全面的發(fā)現(xiàn)漏洞,但是缺點(diǎn)是查找漏洞效率低下���。代碼審計學(xué)習(xí)之旅總有人問我代碼審計該怎么學(xué)習(xí)����,該從哪學(xué)習(xí)�����,現(xiàn)在統(tǒng)一回復(fù)��,表示我也不知道���。�����。���。
在代碼審計中,按業(yè)務(wù)流程審計當(dāng)然是必須的�����,人工的流程審計的優(yōu)點(diǎn)是能夠更加全面的發(fā)現(xiàn)漏洞�����,但是缺點(diǎn)是查找漏洞效率低下����。如果要定向的查找漏洞,逆向跟蹤變量技術(shù)就顯得更加突出�����,如查找XSS��、SQL注入����、命令執(zhí)行……等等,逆向查找變量能夠快速定位漏洞是否存在�����,本次已SQL注入為例。
本文作者:黑客小平哥����,i春秋首發(fā)
前言
本篇文章原本是個PPT,但是一直放著沒有分享���,想著閑著也是閑著����,那就改成文章發(fā)布吧����。其實(shí)本篇重點(diǎn)在于兩個知識點(diǎn),一個是代碼審計的逆向思維�����,另一個是二次攻擊漏洞����,其他的我都省略了,就寫幾個重要的吧。對于二次攻擊我也是最近才研究的�����,研究了點(diǎn)皮毛����,錯誤之處還請廣大圈友指正����,謝謝。
代碼審計學(xué)習(xí)之旅
總有人問我代碼審計該怎么學(xué)習(xí)��,該從哪學(xué)習(xí)���,現(xiàn)在統(tǒng)一回復(fù)�����,表示我也不知道����。�。。
但是對于個人的學(xué)習(xí)路線來說,路程是漫長而艱辛的��,建議學(xué)習(xí)如下(直接截圖了):
上面我寫的是“熟悉”���,這只是對剛?cè)胄械耐瑢W(xué)說的�����,作為代碼審計來說�����,熟練編寫代碼程序是必須的�,要想深度化發(fā)展����,精通一門語言是必經(jīng)之路。
知識一-變量逆向跟蹤
在代碼審計中��,按業(yè)務(wù)流程審計當(dāng)然是必須的��,人工的流程審計的優(yōu)點(diǎn)是能夠更加全面的發(fā)現(xiàn)漏洞��,但是缺點(diǎn)是查找漏洞效率低下�����。如果要定向的查找漏洞,逆向跟蹤變量技術(shù)就顯得更加突出�����,如查找XSS���、SQL注入�����、命令執(zhí)行……等等,逆向查找變量能夠快速定位漏洞是否存在�,本次已SQL注入為例。
什么是逆向跟蹤 顧名思義��,逆向跟蹤就是對變量的逆向查找���,開始全局查找出可能存在漏洞的觸發(fā)點(diǎn)���,然后回溯參數(shù)到前端,查看參數(shù)來源已經(jīng)參數(shù)傳遞過程中的處理過程���。
逆向跟蹤流程 怎樣才能快速定位呢�����?下面我們一起看下流程����。
1、 查看全局文件web.xml
Web.xml主要是配置web項目啟動時加載的信息�,比如配置你的監(jiān)聽器,配置過濾器����,配置你的servlet實(shí)現(xiàn)。我們主要查看全局過濾器是否過濾特殊字符已經(jīng)過濾哪些字符�,顯然沒有。
2��、 尋找漏洞觸發(fā)點(diǎn)
本次以SQL注入為例��,SQL注入我就不說了�����,相關(guān)文檔一堆�。當(dāng)我們看到如下形勢的SQL語句�����,就可能存在SQL注入:
因為安全的寫法是這樣的:
那么�,參數(shù)“word”可能存在SQL注入漏洞�,那我們就回溯“word”參數(shù),看看“word”值到底是怎么傳進(jìn)來的�����,回溯到控制層�,發(fā)現(xiàn)該“word”參數(shù):
追蹤到控制層基本可以確定漏洞存在,并且沒有做相應(yīng)的過濾��,但是為防止“search”方法只是內(nèi)部調(diào)用��,繼續(xù)回溯“searchword”值�,查看是否從前端頁面?zhèn)魅氲模?/p>
發(fā)現(xiàn)該“searchword”是從前端頁面?zhèn)魅?,因此可以確定漏洞存在,SQLmap截圖如下:
以上就是簡單的逆向跟蹤變量小技巧�����,什么���?太low��?沒辦法�,就這水平。
方面的資料網(wǎng)上很少��,我自己研究了一陣子���,發(fā)現(xiàn)二次攻擊形勢有很多��,也沒明白多少�,這次就談?wù)勅菀酌靼椎亩蚊罟袈┒?�,不喜勿噴?/p>
二次漏洞定義:
攻擊者提交的惡意的代碼不是直接通過一個變量提交漏洞函數(shù)而是通過變量轉(zhuǎn)化或者中轉(zhuǎn)�,最終提交到漏洞函數(shù)。
二次漏洞特點(diǎn):
1�����、常常存在漏洞類型的轉(zhuǎn)換�����。
2�、常常存在變量中轉(zhuǎn)���。
二次漏洞類型:
1、通過SQL注射漏洞轉(zhuǎn)化��。
2�����、通過編碼/解碼中轉(zhuǎn)變量�。
3、其它方式���。
二次命令攻擊
二次注入漏洞是一種在Web應(yīng)用程序中廣泛存在的安全漏洞形式�����。相對于一次注入漏洞而言��,二次注入漏洞更難以被發(fā)現(xiàn),但是它卻具有與一次注入攻擊漏洞相同的攻擊威力�。
基本流程如下:
1、 構(gòu)造參數(shù)
在數(shù)據(jù)庫正常的插入��、更新等操作中���,構(gòu)造特殊的命令���,存儲在數(shù)據(jù)庫中:
此處只是方便展示漏洞原理���,真實(shí)代碼中的情況可能復(fù)雜的多,此處構(gòu)造了“cmd”參數(shù)為“ipconfig”存儲在數(shù)據(jù)庫中���。
2�����、 提取變量
當(dāng)系統(tǒng)內(nèi)部某處主動調(diào)用該參數(shù)時�����,經(jīng)過了相對應(yīng)的命令執(zhí)行參數(shù)�,就會產(chǎn)生命令攻擊���。
經(jīng)過Runtime函數(shù)����,執(zhí)行命令執(zhí)行:
看到這里肯定有人一臉懵逼���,精明的小伙伴就看出問題了���,這二次攻擊不是和存儲型跨站一樣么�,沒啥區(qū)別?���。?/p>
然而嚴(yán)格來說存儲型跨站并不屬于二次攻擊漏洞���,存儲型跨站雖然也是以數(shù)據(jù)庫作為中轉(zhuǎn)����,但是它執(zhí)行的方式還是靠人為去點(diǎn)擊才能生效�,但是二次攻擊是存儲后主動攻擊,這就是根本的區(qū)別�����。
結(jié)論
上面兩點(diǎn)純屬個人理解�,有什么錯誤的地方請多多指教。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/67561.html
