diff --git a/CONTRIBUTION.md b/CONTRIBUTION.md index b4bdc9b..7040910 100644 --- a/CONTRIBUTION.md +++ b/CONTRIBUTION.md @@ -77,5 +77,6 @@ | --------------- | --------- | ---- | | 2.6_idapro.md | Sky3 | 未完成 | | 开始使用Latex | Sky3 | 未完成 | -| 2.12_burpsuite.md | phantom0301 | 未完成 | -| 1.4.*.md | phantom0301 | 未完成 | +| 1.4.6.md | phantom0301 | 未完成 | +| 3.4.1.md | phantom0301 | 未完成 | +| 3.4.2.md | phantom0301 | 未完成 | diff --git a/doc/1.4.4_webserver_basic.md b/doc/1.4.4_webserver_basic.md index 5abb7bc..6290416 100644 --- a/doc/1.4.4_webserver_basic.md +++ b/doc/1.4.4_webserver_basic.md @@ -3,6 +3,7 @@ - [Apache HTTP Server](#apache-http-server) - [Nginx](#nginx) - [IIS](#iis) +- [如何获取 Web 服务指纹](#如何获取-web-服务指纹) 由于涉及到 Web 服务器和应用服务器的差别问题,这里着重介绍三款使用广泛的 Web 服务器。 @@ -10,7 +11,174 @@ ## Apache HTTP Server +Apache HTTP Server 以稳定、安全以及对 PHP 的高效支持而被广泛用于 PHP 语言中,WAMP 或者 LAMP 就是它们组合的简称,即 Windows 或者 Linux 下的 Apache2+Mysql+PHP。 + +#### 安装 + +Windows 下推荐直接[安装](http://www.wampserver.com/en/) WAMP 环境 + +Ubuntu 下可以依次使用命令安装,需要注意的是不同的系统版本对 PHP 的支持情况不同,这里以 ubuntu 16.04 为例。 + +``` +sudo apt-get install apache2 +sudo apt-get install mysql-server mysql-client +sudo apt-get install php7.0 +sudo apt-get install libapache2-mod-php7.0 +sudo apt-get install php7.0-mysql +service apache2 restart +service mysql restart +``` + +#### 组件 + +Apache 服务器拥有强大的组件系统,这些组件补充了包括认证、日志记录、命令交互、语言支持等复杂功能,同样在 Apache 的发展过程中,许多组件都出现过漏洞,包括资源溢出、拒绝服务、远程命令执行等。 + +关于 Apache 的组件历史漏洞可以在 [https://www.exploit-db.com](https://www.exploit-db.com) 中进行查看 + +#### 文件后缀解析特性 + +Apache 支持多后缀解析,对文件的后缀解析采用从右向左的顺序,如果遇到无法识别的后缀名就会依次遍历剩下的后缀名。 + +同时,还可以在配置文件如下选项中增加其他后缀名 + +``` + +``` + +更多的后缀名支持可以查看 mime.type 文件 + + + ## Nginx +Nginx 的特点在于它的负载均衡和反向代理功能,在访问规模庞大的站点上通常使用 Nginx 作为服务器。同样,Nginx 也和 Mysql、PHP 一同构成了 WNMP 和 LNMP 环境。和 Apache 默认将 PHP 作为模块加载不同的是,Nginx 通过 CGI 来调用 PHP。 + +#### 安装 + +Windows,由于没有官方网站的 WNMP,大家可以选择 Github 上的 WNMP 项目或者其他用户打包好的安装环境进行安装 + +Ubuntu,这里以 FPM 配置为例 + +``` +sudo apt-get install nginx +sudo apt-get install php7.0 +sudo apt-get install php7.0-fpm +打开 vim /etc/nginx/sites-available/default +修改配置 +server { +...... +...... + location ~ \.php$ { + include snippets/fastcgi-php.conf; + fastcgi_pass unix:/run/php/php7.0-fpm.sock; + } + +...... +...... +} +service nginx restart +sudo apt-get install mysql-server php7.0-mysql +sudo apt-get install mysql-client +``` + +#### 文件后缀解析特性 + +由于 Nginx 对 CGI 的使用更加广泛,所以 PHP 在 CGI 的一些解析特性放到 Nginx 这里来讲解,PHP 具有对文件路径进行修正的特性,使用如下配置参数 + +``` +cgi.fix_pathinfo = 1 +``` + +当使用如下的 URL 来访问一个存在的 1.jpg 资源时,Nginx 认为这是一个 PHP 资源,于是会将该资源交给 PHP 来处理,而 PHP 此时会发现 1.php 不存在,通过修正路径,PHP 会将存在的 1.jpg 作为 PHP 来执行。 + +``` +http://xxx/xxx/1.jpg/1.php +``` + +相似的绕过方式还有以下几种方式: + +``` +http://xxx/xxx/1.jpg%00.php +http://xxx/xxx/1.jpg \0.php +``` + +但是,新版本的 PHP 引入了新的配置项 “security.limit_extensions” 来限制可执行的文件后缀,以此来弥补 CGI 文件后缀解析的不足。 + + ## IIS +IIS 被广泛内置于 Windows 的多个操作系统中,只需要在控制面板中的 Windows 服务下打开 IIS 服务,即可进行配置操作。作为微软的 Web 服务器,它对 .net 的程序应用支持最好,同时也支持以 CGI 的方式加载其他语言。 + +#### 安装 + +IIS 通常只能运行在 Windows 系统上,以 Windows 10 为例,打开控制面板,依次选择程序-启用或关闭 Windows 功能,勾选打开 Internet Information Services 服务。 + +启动成功后,在 “此电脑” 选项上点击右键,打开 “管理” 选项,选择 “服务和应用程序” 即可看到 IIS 的相关配置。 + + +#### IIS 解析特性 + +- IIS 短文件名 + +为了兼容 16 位 MS-DOS 程序, Windows 会为文件名较长的文件生成对应的短文件名,如下所示: + +![](../pic/1.4.4_short_filename.png) + +利用这种文件机制,我们可以在 IIS 和 .net 环境下进行短文件名爆破。 + + + +- IIS 6.0 解析特性 + +IIS 6.0 解析文件时会忽略分号后的字符串,因此 + +``` +1.asp;2.jpg 将会被解析为 +1.asp +``` + +- IIS 也存在类似于 Nginx 的 CGI 解析特性 + +## 如何获取 Web 服务指纹 + +比赛中的信息获取往往十分重要,确定 Web 服务器指纹对于下一步的对策很重要。 + +#### HTTP 头识别 + +许多 Web 服务器都会在返回给用户的 HTTP 头中告知自己的服务器名称和版本。举例列出一些真实存在的包含服务器信息的 HTTP 头 + +``` +Server: nginx +Server: Tengine +Server: openresty/1.11.2.4 +Server: Microsoft-IIS/8.0 +Server: Apache/2.4.26 (Unix) OpenSSL/1.0.2l PHP/5.6.31 mod_perl/2.0.8-dev Perl/v5.16.3 +X-Powered-By: PHP/5.5.25 +X-Powered-By: ASP.NET +``` + +#### 文件扩展名 + +URL 中使用的文件扩展名也能够揭示相关的服务平台和编程语言 + +``` +asp, Microsoft Active Server Pages +aspx, Microsoft ASP.NET +jsp, Java Server Pages +php, PHP +``` + +#### 目录名称 + +一些子目录名称也常常表示应用程序所使用的相关技术 + +#### 会话令牌 + +许多服务会默认生成会话令牌,通过读取 cookie 中的会话令牌可以判断所使用的技术 + +``` +JSESSIONID, JAVA +ASPSESSIONID, IIS +ASP.NET_SessionId, ASP.NET +PHPSESSID, PHP +``` \ No newline at end of file diff --git a/doc/2.12_burpsuite.md b/doc/2.12_burpsuite.md index 8a98d91..4a4e275 100644 --- a/doc/2.12_burpsuite.md +++ b/doc/2.12_burpsuite.md @@ -26,11 +26,41 @@ Burp 使用的第一步是实现浏览器到 Burp 的代理,以 Firefox 为例 在 Burp 的 proxy 下的 options 中查看代理监听是否开启,默认监听 127.0.0.1:8080 -在 Firefox 的代理状态下,访问 HTTP 协议的网页即可在Burp中截获交互的报文 +在 Firefox 的代理状态下,访问 HTTP 协议的网页即可在Burp中截获交互的报文,可以使用Firefox插件-Toggle Proxy来快速切换代理模式。 #### HTTPS 下的 proxy(老版本 Burp ) 新版 Burp(1.7.30)已经不需要单独导入证书即可抓包,而老版 Burp Https 协议需要浏览器导入 Burp 证书才可正常抓包,具体操作见参考文档。 +![](../pic/2.12_burp_proxy1.png) + +![](../pic/2.12_burp_proxy2.png) + + + +#### intruder + +intruder 常用于口令爆破,当然作为支持批量可编程的网页重发器,它还有许多有趣的玩法。 + +使用步骤: + +1. 在 proxy 页面拦截口令登录请求包 +2. 在 http 报文显示栏点击右键,选择 “Send to Intruder” +3. 进入 intruder 选项栏,选择子选项栏 Positions,点击右边栏的 “Clear” 清空智能识别的占位符 +4. 重新选中需要爆破的部分,点击右边栏的 “Add” 添加新的占位符 +5. 选择子选项栏 “Payloads”,添加爆破口令模式以及爆破文件 +6. 在子选项栏 “Options” 中可以添加更加复杂的爆破结果匹配模式 +7. 选择完成后,点击右上角的 “Start attack” 开始爆破 + +![](../pic/2.12_burp_intruder1.png) + +![](../pic/2.12_burp_intruder2.png) + +![](../pic/2.12_burp_intruder3.png) + +#### repeater + +repeater 用于单一报文的重复发包测试,在 proxy 界面报文包只能发送一次,通过右键 “Send to Repeater” 可以在 repeater 界面反复发包测试。 + ## 参考资料 - [新手教程](http://www.freebuf.com/articles/web/100377.html) diff --git a/pic/1.4.4_short_filename.png b/pic/1.4.4_short_filename.png new file mode 100644 index 0000000..512ff9e Binary files /dev/null and b/pic/1.4.4_short_filename.png differ diff --git a/pic/2.12_burp_intruder1.png b/pic/2.12_burp_intruder1.png new file mode 100644 index 0000000..cafa85e Binary files /dev/null and b/pic/2.12_burp_intruder1.png differ diff --git a/pic/2.12_burp_intruder2.png b/pic/2.12_burp_intruder2.png new file mode 100644 index 0000000..9099126 Binary files /dev/null and b/pic/2.12_burp_intruder2.png differ diff --git a/pic/2.12_burp_intruder3.png b/pic/2.12_burp_intruder3.png new file mode 100644 index 0000000..c3643ca Binary files /dev/null and b/pic/2.12_burp_intruder3.png differ diff --git a/pic/2.12_burp_proxy1.png b/pic/2.12_burp_proxy1.png new file mode 100644 index 0000000..7b259f9 Binary files /dev/null and b/pic/2.12_burp_proxy1.png differ diff --git a/pic/2.12_burp_proxy2.png b/pic/2.12_burp_proxy2.png new file mode 100644 index 0000000..ce6d7ab Binary files /dev/null and b/pic/2.12_burp_proxy2.png differ