TryHackMe 第7天 | Web Fundamentals (二)

继续介绍一些 Web hacking 相关的漏洞。

IDOR

IDOR (Insecure direct object reference)，不安全的对象直接引用，这是一种访问控制漏洞。

当 Web 服务器接收到用户提供的输入来检索对象时 (包括文件、数据、文档)，如果对用户输入数据过于信任，Web 服务器没有对输入进行验证以确认所请求的对象属于提出请求的用户，就会出现这种类型的漏洞。

比如有如下 URL，其对应页面如下所示：

该页面展示的是对应 id 的订单信息，此处 id 为 1234，在 URL 中也有所体现。

此时将 URL 改为 1000，正常来说，应该无法访问到，因为 id 为 1000 的订单并非由我们生成。但是由于该 Web 服务器无条件信任用户输入，它返回了 id 为 1000 的订单信息：

基于上述例子，我们可以知道 URL 中传输的数值很可能是 IDOR 漏洞的入口。有些时候，这些数值会经过编码，如 Base64 编码；有些时候，这些数值会经过 Hash 处理。面对这种数值，想验证是否存在 IDOR，只需要反推出原始数值后，修改，再进行编码或 Hash 监控页面响应即可。

更特殊的情况是，我们无法反推出原始数值。那么我们可以创建两个账户，将这些账户对应的数值进行交换。如果可以成功访问到另一个账户的个人信息，则可以说明存在 IDOR 漏洞。

当然，前面提到的都是出现在 URL 中的漏洞入口，实际上 IDOR 也可能出现在其他地方，只要有参数传递且和用户信息有关的地方，都可能存在 IDOR 漏洞。

File inclusion

文件包含 包括了 本地文件包含 (Local file inclusion)、远程文件包含 (Remote file inclusion) 和 目录遍历 (directory traversal)。

当我们向 Web 服务器请求一个文件时，它的运行逻辑可能是这样的：

然而，如果 Web 服务器对用户输入完全信任，从不验证，那么用户就可以传递任意输入，从而导致漏洞发生。

文件包含可能会导致代码、凭证或其他重要文件泄露，此外如果攻击者可以通过其他渠道向 Web 服务器上传文件的话，那么就可以利用该文件与 文件包含 漏洞形成联动，以获得 RCE 漏洞 (Remote command execution)。

目录遍历

目录遍历 也被称为 路径遍历，它允许攻击者操作 Web 应用程序的 URL 来定位和访问那些存储在应用程序根目录之外的文件或目录。

在 PHP 语言中，用于读取文件内容的函数有许多，比较常见的就是 file_get_contents 函数。但是该函数不是引起目录遍历的主要原因，主要原因是未对输入进行验证或过滤。

前面提到过正常访问 Web 应用中的文件过程图，假如未对用户输入进行过滤和验证，用户就可以利用 目录遍历 漏洞来读取其他文件：

如上图所示，用户在本应接收文件的参数后面构造了 “../../../../etc/passwd” 字符串。这表示 PHP 中的文件读取函数将从当前目录开始，往上级目录跳 4 次，然后获取 /etc 文件夹中的 passwd 文件。

下面是 操作系统 中常见的重要文件路径表：

Location	描述
/etc/issue	记录了在登陆提示符前打印的信息或系统标识
/etc/profile	控制全系统默认变量，如 导出变量、文件创建掩码 (umask)、终端类型、用于显示新邮件到达时间的邮件信息
/proc/version	指定了 Linux 内核版本
/etc/passwd	拥有访问系统权限的所有注册用户
/etc/shadow	包含系统用户密码信息
/root/.bash_history	记录了 root 用户的命令历史记录
/var/log/dmessage	包含全局系统信息，包括系统启动时记录的信息
/var/mail/root