挖洞技巧:如何绕过URL限制
大家對(duì)URL任意跳轉(zhuǎn)都肯定了解,也知道他的危害,這里我就不細(xì)說了,過~
大家遇到的肯定都是很多基于這樣的跳轉(zhuǎn)格式:http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx
基本的思路大家就是直接替換后面的URL來檢測(cè)是否存在任意URL跳轉(zhuǎn),如果不存在,就直接返回到它自己的域名,如果存在,就跳轉(zhuǎn)到你指定的URL。
這里我講述我所知道的所以小點(diǎn)。
0x01 ? 利用問號(hào)繞過限制
利用問號(hào),這是一個(gè)特性,利用問號(hào)可以成功繞過URL限制。
?
比如:http://www.aaa.com/acb?Url=http://login.aaa.com ?這是一個(gè)跳轉(zhuǎn)鏈接,跳轉(zhuǎn)到它的二級(jí)域名下,那么這個(gè)問號(hào)放哪里可以繞過呢?其實(shí)就是放到它自身的域名前面也就是你添加的想要跳轉(zhuǎn)的域名的后面,如:http://www.aaa.com/acb?Url=http://test.com?login.aaa.com 。那么,它其實(shí)是會(huì)跳轉(zhuǎn)到這個(gè)test.com域名下,這個(gè)域名是我想要跳轉(zhuǎn)的任意域名,而后面的它自身域名一定要帶上,不帶上就無法輔助用問號(hào)?這個(gè)特性來跳轉(zhuǎn)到指定域名了,而跳轉(zhuǎn)后,問號(hào)和問號(hào)后面的內(nèi)容會(huì)變?yōu)檫@樣:http://www.test.com/?login.aaa.com
0x02 ?利用反斜杠和正斜杠繞過限制
這個(gè)是我自己研究出來的,不知道是否網(wǎng)上有人說過。
比如:http://www.aaa.com/acb?Url=http://login.aaa.com/ ?同樣是在它本身域名錢加上正斜杠,然后正斜杠前面跟上你想跳轉(zhuǎn)的域名地址
如:http://www.aaa.com/acb?Url=http://test.com/login.aaa.com
反斜杠有三種思路
-
兩個(gè)反斜杠繞過方法
比如:http://www.aaa.com/acb?Url=http://login.aaa.com/ ?同樣是在它本身域名錢加上兩個(gè)反斜杠,然后兩個(gè)反斜杠前面跟上你想跳轉(zhuǎn)的域名地址
如:http://www.aaa.com/acb?Url=http://test.com\\login.aaa.com ??
-
一個(gè)反斜杠繞過方法
如:http://www.aaa.com/acb?Url=http://test.com\login.aaa.com?
-
另一種思路,一個(gè)反斜杠一個(gè)點(diǎn)
利用\.這樣的格式,也就是一個(gè)反斜杠加一個(gè)點(diǎn)來跳過限制,
如:http://www.aaa.com/acb?Url=http://test.com\.login.aaa.com ??
0x03 ?利用@繞過URL限制
如果你用這方法在火狐里進(jìn)行跳轉(zhuǎn),會(huì)有彈窗提示,在其它游覽器則沒有。
如:http://www.aaa.com/acb?Url=http://login.aaa.com@test.com ? 后面的test.com就是要跳轉(zhuǎn)到的域名,前面的域名都是用來輔助以繞過限制的
0x04 ?利用白名單缺陷繞過限制
有的域名白名單限制是不全的,比如如果想利用一個(gè)跳轉(zhuǎn),而這個(gè)跳轉(zhuǎn)是通用,在這個(gè)公司網(wǎng)站很多子域名等都可以跳轉(zhuǎn),那么你買個(gè)域名也不算貴對(duì)吧,為什么這么說呢,這個(gè)問題就是白名單限制不當(dāng),比如,當(dāng)跳轉(zhuǎn)的域名包含這個(gè)網(wǎng)站下的所有域名,比如:http://www.aaa.com/acb?Url=http://login.aaa.com,這個(gè)login.aaa.com也可以改成aaa.com同樣可以跳轉(zhuǎn)對(duì)吧,因?yàn)榘酌麊卫镏灰邪@個(gè)域名就直接成功跳轉(zhuǎn)。那么當(dāng)我在這個(gè)域名前面加上如testaaa.com,白名單里會(huì)檢查是否包含aaa.com這個(gè)域名,包含,然后直接跳轉(zhuǎn),而并沒有檢查這個(gè)域名的整個(gè)
信息,然后可以利用這個(gè)問題,直接注冊(cè)一個(gè)testaaa.com這個(gè)域名就可以利用這個(gè)跳轉(zhuǎn)。
0x05 ?多重驗(yàn)證&跳轉(zhuǎn)繞過限制
現(xiàn)在很多網(wǎng)站都有多重驗(yàn)證,比如你登陸賬戶后會(huì)出現(xiàn)另一個(gè)驗(yàn)證頁面,輸入手機(jī)驗(yàn)證碼進(jìn)行驗(yàn)證,此時(shí)這上面的URL很可能存在任意跳轉(zhuǎn)的問題。
多重跳轉(zhuǎn)的問題導(dǎo)致可繞過URL限制
比如http://www.aaa.com/acb?Url=http://login.aaa.com/acb?url=http://login.aaa.com。當(dāng)然,還有多重的,這個(gè)結(jié)構(gòu)的多重跳轉(zhuǎn)你修改最后面的URL就可以達(dá)到任意URL跳轉(zhuǎn),中間的URL就沒必要?jiǎng)恿恕?/p>
0x06 ?點(diǎn)擊觸發(fā)達(dá)到繞過URL跳轉(zhuǎn)限制
比如很多登陸頁面的地方,其URL是一個(gè)跳轉(zhuǎn)的URL,如:http://www.aaa.com/acb?Url=http://test.com。你直接修改了后面為任意URL,但是還是停留在原地,似乎沒什么問題,但是,當(dāng)你輸入賬號(hào)和密碼后點(diǎn)擊登陸按鈕后,就會(huì)觸發(fā)跳轉(zhuǎn),當(dāng)然,這個(gè)賬戶和密碼不一定要對(duì)的,隨便都可以,但得視系統(tǒng)而定吧。這個(gè)我遇到了很多,比如
你修改了域名,然后點(diǎn)擊登陸,登陸成功后便可觸發(fā)跳轉(zhuǎn),這也是一個(gè)比較隱蔽的繞過URL限制的跳轉(zhuǎn)。
0x07 ?利用xip.io繞過
這個(gè)我還沒有在測(cè)試中應(yīng)用過,其請(qǐng)求是http://www.127.0.0.1.xip.io 這個(gè)繞過是在SSRF場(chǎng)景中的繞過,比如SSRF你要讀取內(nèi)網(wǎng)地址,一般都做了限制,可以嘗試用這方法進(jìn)行繞過限制,從而訪問到內(nèi)網(wǎng)。
另外一點(diǎn),URL跳轉(zhuǎn)涉及的安全問題大家常見的就是釣魚,那么利用這個(gè)思路也可達(dá)成一個(gè)釣魚問題,如,http://www.qq.com.220.181.57.217.xip.io ?當(dāng)你訪問qq這個(gè)域名時(shí),其實(shí)這個(gè)鏈接已經(jīng)被解析到后面這個(gè)ip地址上了,那么實(shí)際訪問的就是后面這個(gè)IP地址。
0x08 ?利用超鏈接繞過可信站點(diǎn)限制
比如一個(gè)URL,它是可以直接跳轉(zhuǎn)的,但是一般測(cè)試跳轉(zhuǎn)時(shí)大家習(xí)慣用www.baidu.com或qq.com這樣的可信站點(diǎn)進(jìn)行測(cè)試,但是有些網(wǎng)站是可以跳轉(zhuǎn)這些網(wǎng)站的,只要是可信站點(diǎn)且常用,基本都可以跳轉(zhuǎn),那么這就屬于正常的業(yè)務(wù)邏輯了。難道就這樣錯(cuò)失一個(gè)URL跳轉(zhuǎn)漏洞了?其實(shí)不然,只要你的URL被百度收錄過,那么直接搜索你的域名,site:xxx.xxx ? 因?yàn)槟阍诎俣壤稂c(diǎn)擊你的域名,它會(huì)先是一個(gè)302跳轉(zhuǎn),而這個(gè)302跳轉(zhuǎn)就是百度下的302跳轉(zhuǎn),那么這樣就可以繞過可信站點(diǎn)的限制,從而達(dá)到跳轉(zhuǎn)到指定URL,當(dāng)然,百度這個(gè)302有點(diǎn)長(zhǎng),你給它進(jìn)行加密就行。
0x09 ?POST參數(shù)中的URL跳轉(zhuǎn)
當(dāng)然,這個(gè)影響就很小了,比如當(dāng)你填什么表格或者需要填寫什么的,當(dāng)你上傳圖片,點(diǎn)擊下一步的時(shí)候,通常下一步就是預(yù)覽你填寫的信息,最后才是提交,當(dāng)你上傳了圖片后點(diǎn)擊下一步抓包,如果過濾不嚴(yán),你會(huì)看到圖片的完整地址包含在POST參數(shù)里,你就可以直接修改這個(gè)地址為任意URL,然后到達(dá)下一步,這時(shí)是確定信息也就是預(yù)覽自己填寫的信息的正確還是不正確,由于你剛剛修改了圖片地址,這里是沒有顯示出來的,圖像會(huì)是一個(gè)小XX,當(dāng)點(diǎn)擊圖片右鍵選擇查看圖像時(shí),就會(huì)觸發(fā)URL跳轉(zhuǎn)問題,其實(shí)這個(gè)也可以利用來進(jìn)行釣魚,釣后臺(tái)審核員的信息,為什么呢,比如審核看到圖片無法加載,一般都會(huì)點(diǎn)擊查看圖片,然后跳轉(zhuǎn),如果安全意識(shí)不知就會(huì)造成安全影響。
當(dāng)然,如果POST參數(shù)里就只是URL跳轉(zhuǎn)參數(shù),那么你可以給它轉(zhuǎn)成GET方式,然后進(jìn)行跳轉(zhuǎn)就可以了,只要網(wǎng)站支持這樣的GET方式就行,在Burp Suite里可以一鍵轉(zhuǎn)換提交方式,右鍵選擇Change request method就可以!
0x10 ?利用#號(hào)繞過
如:http://www.aaa.com/acb?Url=http://test.com#login.aaa.com
總結(jié)
以上是生活随笔為你收集整理的挖洞技巧:如何绕过URL限制的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 挖洞技巧:APP手势密码绕过思路总结
- 下一篇: Web渗透测试中常见逻辑漏洞解析与实战