LDAP Injection (Search)

LDAP 全英文：Lightweight Directory Access Protocol，翻译过来就是轻量级的目录访问协议。其实就是访问目录，浏览目录。有很多企业存储一些数据信息，例如部门信息，部门里成员的信息，公司的可用设备信息等，这些信息单独放在类似于网站的那种数据库中的话，会显的有点大材小用，而把它们放在目录中，文本中最合适。好比在文档中搜索指定的内容，在目录中搜索指定的文件一样。 LDAP 也有自己指定的语法，也可理解为它是一个存储信息的数据库，为了搜索方便，很多网站提供了其查询的接口，和普通的搜索框无异，对于指定的搜索内容，在没有严格过滤的情况下，便可以造成LDAP 注入。

Mail Header Injection (SMTP)

通常的做法是网站实施联系表单，反过来将合法用户的电子邮件发送给消息的预期收件人。大多数情况下，这样的联系表单将设置SMTP标头From，Reply-to以便让收件人轻松处理联系表单中的通信，就像其他电子邮件一样。

不幸的是，除非用户的输入在插入SMTP头之前被验证，否则联系表单可能容易受到电子邮件头插入（也称为SMTP头注入）的攻击。这是因为攻击者可以将额外的头部注入到消息中，从而指示SMTP服务器执行与预期不同的指令。

OS Command Injection

漏洞url：http://range.anhunsec.cn:82/commandi.php

Level：low

payload：www.nsa.gov;whoami

原理：在DNS查询之后再执行dir命令

Level：medium

查看源码

commandi_check_1是把&和;替换了，还可以使用|

构造payload：www.nsa.gov | whoami

Level：high

查看源码

escapeshellcmd()函数用来跳过字符串中的特殊符号，防止恶意用户通过不正当方式破解服务器系统

OS Command lnjection - Blind

漏洞url：http://range.anhunsec.cn:82/commandi_blind.php

命令盲注就是注入后没有返回信息，要根据反应时间判断命令是否成功执行

输入127.0.0.1

输入

||whoami `sleep 5 `

PHP Code Injection

漏洞url：http://range.anhunsec.cn:82/phpi.php

Level：low

构造payload：?message=phpinfo();

Level：medium&high

查看源码，使用了htmlspecialchars()函数无法绕过

Server-Side Includes (SSI) Injection

SSI是英文"Server Side

Includes"的缩写，翻译成中文就是服务器端包含的意思。SSI是用于向HTML页面提供动态内容的Web应用程序上的指令。它们与CGI类似，不同之处在于SSI用于在加载当前页面之前或在页面可视化时执行某些操作。 为此，Web服务器在将页面提供给用户之前分析SSI,可在SHTML文件中使用SSI指令引用其他的html文件（#include），此时服务器会将SHTML中包含的SSI指令解释，再传送给客户端，此时的HTML中就不再有SSI指令了。Server-Side

Includes攻击允许通过在HTML页面中注入脚本或远程执行任意代码来利用Web应用程序。

一种对于这类漏洞的挖掘方式即是查看.stm，.shtm和.shtml的页面是否存在，但是缺少这些类型的页面并不意味着不存在SSI攻击。

默认Apache不开启SSI，SSI这种技术已经比较少用了 IIS和Apache都可以开启SSI功能

核心代码

<div id="main">

    <h1>Server-Side Includes (SSI) Injection</h1>

    <p>What is your IP address? Lookup your IP address... (<a href="http://sourceforge.net/projects/bwapp/files/bee-box/" target="_blank">bee-box</a> only)</p>

    <form action="<?php echo($_SERVER["SCRIPT_NAME"]);?>" method="POST">

        <p><label for="firstname">First name:</label><br />                                        //firstname表单
        <input type="text" id="firstname" name="firstname"></p>

        <p><label for="lastname">Last name:</label><br />                                          //lastname表单
        <input type="text" id="lastname" name="lastname"></p>

        <button type="submit" name="form" value="submit">Lookup</button>

    </form>

    <br />
    <?php

    if($field_empty == 1)                                                              //这里的PHP只是判断是否有输入
    {

        echo "<font color=\"red\">Please enter both fields...</font>";

    }

    else
    {

        echo "";

    }

    ?>

</div>

防护代码

$field_empty = 0;

function xss($data)
{

    switch($_COOKIE["security_level"])
    {

        case "0" :

            $data = no_check($data);
            break;

        case "1" :

            $data = xss_check_4($data);
            break;

        case "2" :

            $data = xss_check_3($data);
            break;

        default :

            $data = no_check($data);
            break;

    }

    return $data;

}

if(isset($_POST["form"]))
{

    $firstname = ucwords(xss($_POST["firstname"]));                                            //ucwords()首字母大写
    $lastname = ucwords(xss($_POST["lastname"]));

    if($firstname == "" or $lastname == "")
    {

        $field_empty = 1;

    }

    else
    {

        $line = '<p>Hello ' . $firstname . ' ' . $lastname . ',</p><p>Your IP address is:' . '</p><h1><!--#echo var="REMOTE_ADDR" --></h1>';

        // Writes a new line to the file
        $fp = fopen("ssii.shtml", "w");
        fputs($fp, $line, 200);
        fclose($fp);

        header("Location: ssii.shtml");

        exit;

    }

}

?>

low：

low级别，没有防护，能xss

medium：

function xss_check_4($data)
{

 // addslashes - returns a string with backslashes before characters that need to be quoted in database queries etc.
 // These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).
 // Do NOT use this for XSS or HTML validations!!!

 return addslashes($data);         

}

addslashes（）在符号前加反斜线

high:

function xss_check_3($data, $encoding = "UTF-8")
{

    // htmlspecialchars - converts special characters to HTML entities
    // '&' (ampersand) becomes '&'
    // '"' (double quote) becomes '"' when ENT_NOQUOTES is not set
    // "'" (single quote) becomes ''' (or ') only when ENT_QUOTES is set
    // '<' (less than) becomes '<'
    // '>' (greater than) becomes '>'

    return htmlspecialchars($data, ENT_QUOTES, $encoding);

}

将预定义的字符装换为html实体字符

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：儒道易行 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。