译：h4d35

预估稿费：120RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

本篇文章主要介绍了在一次漏洞悬赏项目中如何利用配置错误挖到一个认证绕过漏洞。

从JS文件中发现认证绕过漏洞

本文内容源自一个私有漏洞赏金计划。在这个漏洞计划中，接受的漏洞范围限于目标网站少数几个公开的功能。基于前期发现的问题（当我被邀请进这个计划时，其他人一共提交了5个漏洞），似乎很难再挖到新的漏洞。同时，在赏金详情中提到了这样一句话：

如果你成功进入管理页面，请立即报告，请勿在/admin中进行进一步的测试。

然而，目标网站中存在一个仅限于未认证和未经授权的用户访问的管理页面。当我们访问/login或/admin时会跳转到https://bountysite.com/admin/dashboard?redirect=/。

对登录页面进行暴力破解也许是一个可行方案，但是我并不喜欢这种方式。看一下网页源码，没什么有用的内容。于是我开始查看目标网站的结构。似乎目标网站的JS文件都放在少数几个文件夹中，如/lib、/js、/application等。

有意思！

祭出神器BurpSuite，使用Intruder跑一下看能否在上述文件夹中找到任何可访问的JS文件。将攻击点设置为https://bountysite.com/admin/dashboard/js/*attack*.js。注意，不要忘记.js扩展名，这样如果文件能够访问则返回200响应。确实有意思！因为我找到了一些可访问的JS文件，其中一个文件是/login.js。

访问这个JS文件https://bountysite.com/admin/dashboard/js/login.js，请求被重定向至管理页面:) 。但是，我并没有查看该文件的权限，只能看到部分接口信息。

但是我并没有就此止步。这看起来很奇怪，为什么我访问一个.js文件却被作为HTML加载了呢？经过一番探查，终于发现，我能够访问管理页面的原因在于*login*。是的，只要在请求路径/dashboard/后的字符串中含有*login*（除了'login'，这只会使我回到登录页面），请求就会跳转到这个管理接口，但是却没有正确的授权。

我继续对这个受限的管理接口进行了进一步的测试。再一次查看了页面源码，试着搞清楚网站结构。在这个管理接口中，有其他一些JS文件能够帮助我理解管理员是如何执行操作的。一些管理操作需要一个有效的令牌。我试着使用从一个JS文件中泄露的令牌执行相关管理操作，然并卵。请求还是被重定向到了登录页面。我发现另外一个真实存在的路径中也部署了一些内容，那就是/dashboard/controllers/*.php。

再一次祭出BurpSuite，使用Intruder检查一下是否存在可以从此处访问的其他任何路径。第二次Intruder的结果是，我发现几乎不存在其他无需授权即可访问的路径。这是基于服务器返回的500或者200响应得出的结论。

回到我在上一步侦察中了解到的网站结构中，我发现这些路径是在/controllers中定义的，通过/dashboard/*here*/进行访问。但是直接访问这些路径会跳转到登录页面，似乎网站对Session检查得还挺严格。此时我又累又困，几乎都打算放弃了，但是我想最后再试一把。如果我利用与访问管理页面相同的方法去执行这些管理操作会怎么样呢？很有趣，高潮来了:) 我能够做到这一点。

通过访问/dashboard/photography/loginx，请求跳转到了Admin Photography页面，并且拥有完整的权限！

从这里开始，我能够执行和访问/dashboard/*路径下的所有操作和目录，这些地方充满了诸如SQL注入、XSS、文件上传、公开重定向等漏洞。但是，我没有继续深入测试，因为这些都不在赏金计划之内，根据计划要求，一旦突破管理授权限制，应立即报告问题。此外，根据管理页面显示的调试错误信息可知，我之所以能够访问到管理页面，是因为应用程序在/dashboard/controllers/*文件中存在错误配置。期望达到的效果是：只要请求链接中出现*login*，就重定向至主登录页面，然而，实际情况并不如人所愿。

后记

总之，这是有趣的一天！我拿到了这个漏洞赏金计划最大金额的奖励。

务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后，服务器就会建立一个该用户的session。每个用户的session都是独立的，并且由服务器来维护。每个用户的session是由一个独特的字符串来识别，成为session id。用户发出请求时，所发送的http表头内包含session id 的值。服务器使用http表头内的session id来识别时哪个用户提交的请求。

session保存的是每个用户的个人数据，一般的web应用程序会使用session来保存通过验证的用户账号和密码。在转换不同的网页时，如果需要验证用户身份，就是用session内所保存的账号和密码来比较。session的生命周期从用户连上服务器后开始，在用户关掉浏览器或是注销时用户session_destroy函数删除session数据时结束。如果用户在20分钟内没有使用计算机的动作，session也会自动结束。

php处理session的应用架构

会话劫持

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1）暴力破解:尝试各种session id，直到破解为止。

2）计算:如果session id使用非随机的方式产生，那么就有可能计算出来

3）窃取:使用网络截获，xss攻击等方法获得

会话劫持的攻击步骤

实例

2. 
   

3. session_start();

4. if (isset($_POST["login"]))

5. {

6. $link = mysql_connect("localhost", "root", "root")

7. or die("无法建立MySQL数据库连接：" . mysql_error());

8. mysql_select_db("cms") or die("无法选择MySQL数据库");

9. if (!get_magic_quotes_gpc())

10. {

11. $query = "select * from member where username=’" . addslashes($_POST["username"]) .

12. "’ and password=’" . addslashes($_POST["password"]) . "’";

13. }

14. else

15. {

16. $query = "select * from member where username=’" . $_POST["username"] .

17. "’ and password=’" . $_POST["password"] . "’";

18. }

19. $result = mysql_query($query)

20. or die("执行MySQL查询语句失败：" . mysql_error());

21. $match_count = mysql_num_rows($result);

22. if ($match_count)

23. {

24. $_SESSION["username"] = $_POST["username"];

25. $_SESSION["password"] = $_POST["password"];

26. $_SESSION["book"] = 1;

27. mysql_free_result($result);

28. mysql_close($link);

29. header("Location: http://localhost/index.php?user=" .

30. $_POST["username"]);

31. }

32. session_start();

33. 
    

34. 访客的 Session ID 是：echo session_id(); ?>

35. 
    

36. 访客：echo htmlspecialchars($_GET["user"], ENT_QUOTES); ?>

37. 
    

38. book商品的数量：echo htmlspecialchars($_SESSION["book"], ENT_QUOTES); ?>

39. 如果登录成功，使用

40. $_SESSION["username"] 保存账号

41. $_SESSION["password"] 保存密码

42. #_SESSION["book"] 保存购买商品数目

登录以后显示

开始攻击

1. //attack.php

2. php

3. // 打开Session

4. session_start();

5. echo "目标用户的Session ID是：" . session_id() . "<br />";

6. echo "目标用户的username是：" . $_SESSION["username"] . "<br />";

7. echo "目标用户的password是：" . $_SESSION["password"] . "<br />";

8. // 将book的数量设置为2000

9. $_SESSION["book"] = 2000;

10. ?>

提交 http://localhost/attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID为获取到的客户session id,刷新客户页面以后

客户购买的商品变成了2000

session固定攻击

黑客可以使用把session id发给用户的方式，来完成攻击

http://localhost/index.php?user=dodo&PHPSESSID=1234 把此链接发送给dodo这个用户显示

然后攻击者再访问 http://localhost/attack.php?PHPSESSID=1234 后，客户页面刷新，发现

商品数量已经成了2000

防范方法

1）定期更改session id

函数 bool session_regenerate_id([bool delete_old_session])

delete_old_session为true，则删除旧的session文件；为false，则保留旧的session，默认false，可选

在index.php开头加上

session_start();

session_regenerate_id(TRUE);

……

这样每次从新加载都会产生一个新的session id

2）更改session的名称

session的默认名称是PHPSESSID,此变量会保存在cookie中，如果黑客不抓包分析，就不能猜到这个名称，阻挡部分攻击

session_start();

session_name("mysessionid");

……

3）关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookies来制定session id时，sessioin id使用链接来传递；打开php.ini，编辑

session.use_trans_sid = 0

代码中

int_set("session.use_trans_sid", 0);

session_start();

……

4）只从cookie检查session id

session.use_cookies = 1 表示使用cookies存放session id

session.use_only_cookies = 1 表示只使用cookies存放session id，这可以避免session固定攻击

代码中

int_set("session.use_cookies", 1);

int_set("session.use_only_cookies", 1); p>

5）使用URL传递隐藏参数

session_start();

$seid = md5(uniqid(rand()), TRUE));

$_SESSION["seid"] = $seid;

攻击者虽然能获取session数据，但是无法得知$seid的值，只要检查seid的值，就可以确认当前页面是否是web程序自己调用的。

者：蒋蜀黍，Python爱好者社区专栏作者

网址：https://mp.weixin.qq.com/s/tfWsiy_LxQSJKUAvB49U0g

1、概览

1.1、实例引入

# 引入Requests库
import requests
# 发起GET请求
response = requests.get('https://www.baidu.com/')
# 查看响应类型 requests.models.Response
print(type(response))
# 输出状态码
print(response.status_code)
# 输出响应内容类型 text
print(type(response.text))
# 输出响应内容
print(response.text)
# 输出cookies
print(response.cookies)

1.2、各种请求方式

import requests
# 发起POST请求
requests.post('http://httpbin.org/post')
# 发起PUT请求
requests.put('http://httpbin.org/put')
# 发起DELETE请求
requests.delete('http://httpbin.org/delete')
# 发送HEAD请求
requests.head('http://httpbin.org/get')
# 发送OPTION请求
requests.options('http://httpbin.org/get')

2、请求

2.1 、基本GET请求

2.1.1、基本写法

import requests
response = requests.get('http://httpbin.org/get')
print(response.text)

2.1.2、带参数的GET请求

import requests
response = requests.get('http://httpbin.org/get?name=jyx&age=18')
print(response.text)

2.1.3、带参数的GET请求(2)

import requests
# 分装GET请求参数
param = {'name':'jyx','age':19}
# 设置GET请求参数(Params)
response = requests.get('http://httpbin.org/get',params=param)
print(response.text)

2.1.4、解析json

import requests
response = requests.get('http://httpbin.org/get')
# 获取响应内容
print(type(response.text))
# 如果响应内容是json,就将其转为json
print(response.json())
# 输出的是字典类型
print(type(response.json()))

2.1.5、获取二进制数据

import requests
response = requests.get('http://github.com/favicon.ico')
# str，bytes
print(type(response.text),type(response.content))
# 输出响应的文本内容
print(response.text)
# 输出响应的二进制内容
print(response.content)
# 下载二进制数据到本地
with open('favicon.ico','wb') as f:
 f.write(response.content)
 f.close()

2.1.6、添加headers

import requests
# 设置User-Agent浏览器信息
headers = {
 "User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
}
# 设置请求头信息
response = requests.get('https://www.zhihu.com/explore',headers=headers)
print(response.text)

2.2、基本POST请求

import requests
# 设置传入post表单信息
data= { 'name':'jyx', 'age':18}
# 设置请求头信息
headers = {
 "User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
}
# 设置请求头信息和POST请求参数(data)
response = requests.post('http://httpbin.org/post', data=data, headers=headers)
print(response.text)

3、响应

3.1 response属性

import requests
response = requests.get('http://www.jianshu.com/')
# 获取响应状态码
print(type(response.status_code),response.status_code)
# 获取响应头信息
 print(type(response.headers),response.headers)
# 获取响应头中的cookies
print(type(response.cookies),response.cookies)
# 获取访问的url
 print(type(response.url),response.url)
# 获取访问的历史记录
 print(type(response.history),response.history)

3.2、 状态码判断

import requests
response = requests.get('http://www.jianshu.com/404.html')
# 使用request内置的字母判断状态码
if not response.status_code == requests.codes.ok:
 print('404-1')
response = requests.get('http://www.jianshu.com')
# 使用状态码数字判断
if not response.status_code == 200:
 print('404-2')

3.3 requests内置的状态字符

100: ('continue',), 101: ('switching_protocols',), 102: ('processing',), 103: ('checkpoint',), 122: ('uri_too_long', 'request_uri_too_long'), 200: ('ok', 'okay', 'all_ok', 'all_okay', 'all_good', '\o/', '✓'), 201: ('created',), 202: ('accepted',), 203: ('non_authoritative_info', 'non_authoritative_information'), 204: ('no_content',), 205: ('reset_content', 'reset'), 206: ('partial_content', 'partial'), 207: ('multi_status', 'multiple_status', 'multi_stati', 'multiple_stati'), 208: ('already_reported',), 226: ('im_used',), # Redirection. 300: ('multiple_choices',), 301: ('moved_permanently', 'moved', '\'), 302: ('found',), 303: ('see_other', 'other'), 304: ('not_modified',), 305: ('use_proxy',), 306: ('switch_proxy',), 307: ('temporary_redirect', 'temporary_moved', 'temporary'), 308: ('permanent_redirect', 'resume_incomplete', 'resume',), # These 2 to be removed in 3.0 # Client Error. 400: ('bad_request', 'bad'), 401: ('unauthorized',), 402: ('payment_required', 'payment'), 403: ('forbidden',), 404: ('not_found', '-'), 405: ('method_not_allowed', 'not_allowed'), 406: ('not_acceptable',), 407: ('proxy_authentication_required', 'proxy_auth', 'proxy_authentication'), 408: ('request_timeout', 'timeout'), 409: ('conflict',), 410: ('gone',), 411: ('length_required',), 412: ('precondition_failed', 'precondition'), 413: ('request_entity_too_large',), 414: ('request_uri_too_large',), 415: ('unsupported_media_type', 'unsupported_media', 'media_type'), 416: ('requested_range_not_satisfiable', 'requested_range', 'range_not_satisfiable'), 417: ('expectation_failed',), 418: ('im_a_teapot', 'teapot', 'i_am_a_teapot'), 421: ('misdirected_request',), 422: ('unprocessable_entity', 'unprocessable'), 423: ('locked',), 424: ('failed_dependency', 'dependency'), 425: ('unordered_collection', 'unordered'), 426: ('upgrade_required', 'upgrade'), 428: ('precondition_required', 'precondition'), 429: ('too_many_requests', 'too_many'), 431: ('header_fields_too_large', 'fields_too_large'), 444: ('no_response', 'none'), 449: ('retry_with', 'retry'), 450: ('blocked_by_windows_parental_controls', 'parental_controls'), 451: ('unavailable_for_legal_reasons', 'legal_reasons'), 499: ('client_closed_request',), # Server Error. 500: ('internal_server_error', 'server_error', '/o\', '✗'), 501: ('not_implemented',), 502: ('bad_gateway',), 503: ('service_unavailable', 'unavailable'), 504: ('gateway_timeout',), 505: ('http_version_not_supported', 'http_version'), 506: ('variant_also_negotiates',), 507: ('insufficient_storage',), 509: ('bandwidth_limit_exceeded', 'bandwidth'), 510: ('not_extended',), 511: ('network_authentication_required', 'network_auth', 'network_authentication'),

4、高级操作

4.1、文件上传

import requests
files = {'file':open('favicon.ico','rb')}
# 往POST请求头中设置文件(files)
response = requests.post('http://httpbin.org/post',files=files)
print(response.text)

4.2、获取cookies

import requests
response = requests.get('https://www.baidu.com')
print(response.cookies)
for key,value in response.cookies.items():
 print(key,'=====',value)

4.3、会话维持

4.3.1、普通请求

import requests
requests.get('http://httpbin.org/cookies/set/number/12456')
response = requests.get('http://httpbin.org/cookies')
# 本质上是两次不同的请求，session不一致
print(response.text)

4.3.2、会话维持请求

import requests
# 从Requests中获取session
session = requests.session()
# 使用seesion去请求保证了请求是同一个session
session.get('http://httpbin.org/cookies/set/number/12456')
response = session.get('http://httpbin.org/cookies')
print(response.text)

4.4、证书验证

4.4.1、无证书访问

import requests
response = requests.get('https://www.12306.cn')
# 在请求https时，request会进行证书的验证，如果验证失败则会抛出异常
print(response.status_code) 

4.4.2、关闭证书验证

import requests
# 关闭验证，但是仍然会报出证书警告
response = requests.get('https://www.12306.cn',verify=False)
print(response.status_code)

4.4.3、消除关闭证书验证的警告

from requests.packages import urllib3
import requests
# 关闭警告
urllib3.disable_warnings()
response = requests.get('https://www.12306.cn',verify=False)
print(response.status_code)

4.4.4、手动设置证书

import requests
# 设置本地证书
response = requests.get('https://www.12306.cn', cert=('/path/server.crt', '/path/key'))
print(response.status_code) 

4.5、代理设置

4.5.1、设置普通代理

import requests
proxies = {
 "http": "http://127.0.0.1:9743",
 "https": "https://127.0.0.1:9743",
}
# 往请求中设置代理(proxies
)
response = requests.get("https://www.taobao.com", proxies=proxies)
print(response.status_code)

4.5.2、设置带有用户名和密码的代理

import requests
proxies = {
 "http": "http://user:password@127.0.0.1:9743/",
}
response = requests.get("https://www.taobao.com", proxies=proxies)
print(response.status_code)

4.5.3、设置socks代理

pip3 install 'requests[socks]

import requests
proxies = {
 'http': 'socks5://127.0.0.1:9742',
 'https': 'socks5://127.0.0.1:9742'
}
response = requests.get("https://www.taobao.com", proxies=proxies)
print(response.status_code)

4.6、超时设置

import requests
from requests.exceptions import ReadTimeout
 
try:
 # 设置必须在500ms内收到响应，不然或抛出ReadTimeout异常
 response = requests.get("http://httpbin.org/get", timeout=0.5)
 print(response.status_code)
except ReadTimeout:
 print('Timeout')

4.7、认证设置

import requests
from requests.auth import HTTPBasicAuth
r = requests.get('http://120.27.34.24:9001', auth=HTTPBasicAuth('user', '123'))
# r = requests.get('http://120.27.34.24:9001', auth=('user', '123'))
print(r.status_code)

4.8、异常处理