原文链接:一次文件上传对Token的绕过
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
NO.1 背景
在Web渗透过程中,最离不开的应该就数Burpsuit了,通过它,我们可以很方便的进行数据包的修改和重放。例如在进行sql注入时,我们需要通过不断的修改Post数据的内容来测试payload。为了防止数据包的重放,token机制被引入了代码中。
Token常见的两种功能,一种是用来代替账号密码,当你登录后,就不需要不断的去数据库查询账号密码来验证身份,只需要验证token即可(就像session),另一种是为了防止CSRF攻击,每次请求前会先向服务端请求并获得一个token,然后在会在后面的请求中带上这个值。有的token每次请求都会重新获取,而有的会持续一段时间。
就像上面说的,常见的token是用在一些敏感操作作为防御CSRF攻击的一种手段,例如,修改密码、增加用户、转账等。这边分享一个在文件上传时遇到Token限制的案例。
NO.2 案例
在一处上传点,像往常一样进行上传并抓包:
 
抓包后看到如下请求:
竟然在文件上传点用了Token,继续抓包:
可以看到第二阶段的包才是进行上传的包,并且把第一个请求中获取到的token插入到了请求体中,放包一次,成功:
再放包一次:
这次上传失败了,说明这里token刷新了
重放了一次第一阶段的数据包,获取到新的token:
将这个token替换到第二阶段数据包的token中,这次重放又成功了:
为了能够不断重放数据包,方便我们测试,这里得想办法绕过token的限制。根据判断,这里分成三步,第一步,获取token,第二步,插入token,第三步,上传文件。由于每次上传,数据包中需要改变的地方只有token,根据这个特点,我们可以利用自动化脚本的方式来方便我们测试,既然脚本有了,再接下去我们就可以手动调试或加载字典进行愉快的fuzzing了。
关于这里的发送数据包,可以通过代码的形式将整个POST请求的数据包表示出来,当然,还有一种很偷懒(很香)的方式,调用系统curl命令执行请求就可以了。这么大个数据包,肯定有人会说,这curl的命令不得很难写吗?其实很简单,方法如下:
Burpsuit已经为我们提供了快速将数据包转换成curl命令的功能了:
[code]curl -i -s -k -X
接下来,上传文件的包同理,但是因为我们测试的时候是放的一张图片,这样的话会导致复制的内容很长,所以这里可以将图片的内容进行删减,例如变成这样子:
然后复制即可:
[code]curl -i -s -k -X OK,命令有了,后面就是愉快的py了。这里以导入字典fuzzing为例,代码如下:
[code]#encoding:UTF-8
import os
with open("/Users/rebootorz/Documents/代码/pyStudyWorkSpace/Test/ext.txt",'r',encoding='utf-8') as f:
lines = f.readlines()
for line in lines:
fileType = str(line).strip('\n')
getToken_cmd = "curl -i -s -k -X
最终效果如下:
这样我们就利用脚本绕过了Token限制了。
POST' \
-H
接下来,上传文件的包同理,但是因为我们测试的时候是放的一张图片,这样的话会导致复制的内容很长,所以这里可以将图片的内容进行删减,例如变成这样子:
然后复制即可:
[ | 
发表于 2020-11-9 09:05:43