05-Web源码拓展

Web源码拓展

一、前言：

为什么要从 WEB 层面为主为首？

WEB 源码在安全测试中是非常重要的信息来源，可以用来代码审计漏洞也可以用来做信息突破口，其中 WEB 源码有很多技术需要简明分析。
           

知识点

• 关于 WEB 源码目录结构
• 关于 WEB 源码脚本类型
• 关于 WEB 源码应用分类
• 关于 WEB 源码其他说明

信息敏感点

• 敏感目录结构：数据库配置文件，后台目录，模版目录，数据库目录等
• web脚本类型：ASP,PHP,ASPX,JSP,JAVAWEB 等脚本类型源码
• 应用分类：社交，论坛，门户，第三方，博客等不同的代码机制对应漏洞
• 开源，未开源问题，框架非框架问题，关于 CMS 识别问题及后续等
• 关于源码获取的相关途径：搜索，咸鱼淘宝，第三方源码站

web组成框架：

• 网站源码：分脚本类型，分应用方向
• 操作系统：windows Linux
• 中间件（搭建平台）：apache ，iis， tomcat ，nginx等
• 数据库：access，mysql，mssql，oracle，sybase，db2，postsql等

二、知识点：

1.WEB 相关安全漏洞

• WEB 源码类对应漏洞：SQL 注入，上传，XSS，代码执行，变量覆盖，逻辑漏洞，反序列化等
• WEB 中间件对应漏洞：未授权访问，变量覆盖…
• WEB 数据库对应漏洞：弱口令，权限提升…
• WEB 系统层对应漏洞：提权，远程代码执行
• 其他第三方对应漏洞
• APP 或 PC 应用结合类

2.关于Web源码目录结构

数据库配置文件，后台目录，模板目录，数据库目录等

index.php 根据文件后缀判定

admin 网站后台路径

data 数据相关目录

install 安装目录

member 会员目录

template 模板目录(和网站相关的整体架构)

data => confing.php 数据库配置文件，网站和数据库的通讯信息，连接账号密码，可以去连接对方数据库，从数据库去得到这个网站的源码里面涉及到的管理员的账号密码。

3.关于Web源码脚本类型

• ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题

• 关于Web源码应用分类

  社交，论坛，门户，第三方，博客等不同的代码机制对应漏洞,根据目标应用采取不同的手段。

• 开源，未开源问题，框架非框架问题，关于CMS识别问题及后续等
• 总结：拿到对方的源码或者判断这个网站的应用类型之后应该侧重在哪些漏洞上做文章
• 关注应用分类及脚本类型估摸出可能存在的漏洞(其中框架类例外)，在获取源码后可进行本地安全测试或代码审计，也可以分析其目录工作原理(数据库备份，bak文件等)，未获取到的源码采用各种方法想办法获取!

三、演示案例

案例一：ASP,PHP 等源码下安全测试

• 访问网站，随意点开，查看后缀，判定程序。

• 网站底部关键词XYCMS

搜索XYCMS，下载

• 下载打开之后找寻关键数据库路径文件xydata，找到文件xycms.mdb(asp特有文件)

• 文件里存有管理员的账号密码

• 根据下载的源码路径，尝试去访问网站目录 http://xxx.xxx.xxx.xxx:8003/xydata/xycms.mdb,下载到文件
• 尝试访问到后台 system或admin,根据刚才得到的管理员账号密码就可以登录

案例二：平台识别-某CMS有漏洞-漏洞利用

1. 先判断网站程序

1. 根据底部信息去网站搜索漏洞

1. 根据搜索到的漏洞提示来进行安全测试攻击，如果网上没有漏洞信息，也可以下载程序再做漏洞分析

案例三：源码应用分类下的针对漏洞

十大漏洞之逻辑漏洞

简介：

在十大漏洞中，逻辑漏洞被称为“不安全的对象引用，和功能级访问控制缺失”。现如今，越权和逻辑漏洞占用比例比较高，包括任意查询用户信息，重置任意用户密码，验证码爆破等。

逻辑漏洞是指攻击者利用业务/功能上的设计缺陷，获取敏感信息或破坏业务的完整性。一般出现在密码修改，确权访问，密码找回，交易支付金额等功能处。

逻辑漏洞的破坏方式并非是向程序添加破坏内容，而是利用逻辑处理不严密或者代码问题或固有不足，操作上并不影响程序的允许，在逻辑上是顺利执行的。

这种漏洞一般防护手段或设备无法阻止，因为走的是合法流量也没有防御标准。

一分钱购买商品

实验原理：

利用逻辑漏洞，修改内部源代码

一句话概括来说：

攻击者可能使用很少的钱来换取贵重的商品，也就是“四两拨千斤”

实验工具：

kali系统：浏览器安装FoxyProxy ，Burpsuite

windows：下载安装phpstudy，模拟购物网站

实验步骤：

1. window开启靶场

   将构建好的网址放到phpstudy配置下www目录下，然后开启phpstudy服务。

   

2. kali配置

   首先启动火狐浏览器，然后点击进入扩展与主题

   

   然后在搜索框上输入FoxyProxy

搜索结果返回的第一个就是我们要添加的代理插件

打开浏览器安装插件FoxyProxy，点击OPtions

输入代理的IP地址：127.0.0.1和端口号：8080

启动

1. kali打开软件burpsuite，然后浏览器，进入网址

intercept is off 抓包为关闭状态

1. kali浏览器进入靶场，付款时抓取流量修改值

1. 修改值，点击forward应用。

   

案例4：简要目标从识别到源码获取

• 本地演示个人博客-手工发现其CMS-漏洞搜索或下载分析

  右键-检查源代码，通过对网站数据包的请求，看一下在请求网站的时候有哪些文件名和特殊的文件

  

• 在google搜索