0x01 url任意跳转

  未做任何限制,传入任何网址即可进行跳转。

漏洞示例代码:

<?php

    $redirect_url = $_GET['url'];

    header("Location: " . $redirect_url);

    exit;

?>

Payload:?url=http://www.baidu.com,即可跳转到百度首页

0x02 编码解码

  之前黑盒测试遇到过一个案例,感觉有点意思,写个demo复现一下

漏洞示例代码:

<?php

    $url = base64_decode($_GET['url']);

    header("Location: " . $url);

?>

将url进行base64编码,参数传递到服务端解码,然后进行url跳转。

http://www.baidu.com   base64编码后   aHR0cDovL3d3dy5iYWlkdS5jb20=

Paylod:?url=aHR0cDovL3d3dy5iYWlkdS5jb20=

0x03 白名单限制

0x04 绕过姿势

利用默认协议

?url=\\www.baidu.com
?url=\/www.baidu.com
?url=\\\\www.baidu.com      等价于:?url=http://www.baidu.com

前缀式

    利用问号?: ?url=http://www.evil.com?www.aaa.com

    利用井号#:  http://www.aaa.com?returnUrl=http://www.evil.com#www.aaa.com

    其他形式:

      ?url=http://www.baidu.com\aaa.com

      ?url=http://www.baidu.com\\aaa.com

 后缀式

    利用@符号:?url=http://www.aaa.com@www.evil.com

    其他形式: http://www.aaa.com.evil.com

其他思路: 使用IP地址、IPv6地址、更换ftp、gopher协议





绕过案例:


白名单限制


?redirect_uri=http://www.baidu.com


利用问号绕过限制


?redirect_uri=http://www.baidu.com


尝试进行跳转到其他网站时发现做了白名单限制,非QQ域名禁止跳转,会报错说跳转链接非法


?redirect_uri=http://www.baidu.com


?redirect_uri=http://www.qq.com?http://www.baidu.com


?redirect_uri=http://www.baidu.com?&http://www.qq.com


?redirect_uri=http://www.baidu.com/test.html?&http://www.qq.com


?redirect_uri=http://www.baidu.com\\test.html?&http://www.qq.com


在代码中判断是否为目标域名,但开发小哥哥们喜欢用字符串包含来判断


http://www.aaa.com?returnUrl=http://www.aaa.com.evil.com


http://www.aaa.com?returnUrl=http://www.evil.com/www.aaa.com


http://www.aaa.com?returnUrl=http://www.xxxaaa.com


若再配合URL的各种特性符号,绕过姿势可是多种多样。比如


利用反斜线:


http://www.aaa.com?returnUrl=http://www.evil.comwww.aaa.com


http://www.aaa.com?returnUrl=http://www.evil.com\www.aaa.com


多次跳转,即aaa公司信任ccc公司,ccc公司同样存在漏洞或者提供跳转服务:


http://www.aaa.com?returnUrl=http://www.ccc.com?jumpto=http://www.evil.com


实际挖掘过程中还可以将上述方法混合使用,甚至使用URL编码、ip地址替代域名等手段。


参考链接:


web渗透基础案例——URL跳转绕过腾讯限制进行跳转


http://www.apgy.club/temp/url.html


分享几个绕过URL跳转限制的思路


https://www.anquanke.com/post/id/94377
												


											
PHP代码审计笔记--URL跳转漏洞的更多相关文章
	

    
								
  1. url跳转漏洞(1)
		
    转载 https://landgrey.me/open-redirect-bypass/ 0x00:漏洞场景 URL跳转漏洞的出现场景还是很杂的,出现漏洞的原因大概有以下5个: 1. 写代码时没有考虑 ...
    
		
    2. 
						
  2. Web安全之url跳转漏洞及bypass总结
		
    0x01 成因 对于URL跳转的实现一般会有几种实现方式: META标签内跳转 javascript跳转 header头跳转 通过以GET或者POST的方式接收将要跳转的URL,然后通过上面的几种方式 ...
    
		
    3. 
						
  3. URL跳转漏洞
		
    URL跳转原理: 由于越来越多的需要和其他第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如 ...
    
		
    4. 
						
  4. Url跳转漏洞常见
		
    Url跳转漏洞常见出现点: 1.用户登录.统一身份认证处,认证完后会跳转. 2.用户分享.收藏内容过后,会跳转. 3.跨站点认证.授权后,会跳转. 4.站内点击其它网址链接时,会跳转. Url跳转漏洞 ...
    
		
    5. 
						
  5. WEB安全番外第一篇--其他所谓的“非主流”漏洞:URL跳转漏洞与参数污染
		
    一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirect ...
    
		
    6. 
						
  6. Django < 2.0.8 任意URL跳转漏洞(CVE-2018-14574)
		
    影响版本 Django < 2.0.8 抓包 访问http://192.168.49.2:8000//www.example.com,即可返回是301跳转到//www.example.com
    
		
    7. 
						
  7. URL重定向及跳转漏洞
		
    URL跳转漏洞 URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞. 使用场景    现在 Web 登录很多都接入了QQ ...
    
		
    8. 
						
  8. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
		
    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...
    
		
    9. 
						
  9. java代码审计中的一些常见漏洞及其特征函数
		
    文章来源:https://xz.aliyun.com/t/1633 最近在先知上看到之前有篇关于java代码审计的文章总结的蛮好,记录以下特征函数,方便查阅,同时自己也会将在平时代码审计过程中积累的函 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. css3常用动画样式文件move.css
			
    move.css zoomIn  zoomInDownouter-circlearrowTop expandOpen fadeIn  fadeInNormal  fadeInUp   fadeInRi ...
    
			
    2. 
						
  2. android 代码混淆模板
			
    #指定代码的压缩级别 -optimizationpasses #包明不混合大小写 -dontusemixedcaseclassnames #不去忽略非公共的库类 -dontskipnonpublicl ...
    
			
    3. 
						
  3. R matrix 转换为 dataframe
			
    When I try converting a matrix to a data frame, it works for me: > x <- matrix(1:6,ncol=2,dimn ...
    
			
    4. 
						
  4. 命令行模式启动VMWare虚拟机
			
    工作中使用到在centos中安装vmware Workstation部署虚拟机,以前都是使用图形界面启动虚拟机,由此要调整VNC的分辨率大小,重启VNC Server后所有虚拟机都关闭了.事后分析可能 ...
    
			
    5. 
						
  5. TI webench 一款不错的软件
			
      之前在一些电子论坛的网站看到过关于TI webench的介绍,今天适用了一下,确实功能很强大,设计内容可以输入你所要设计的内容,包括下面内容: 下图是笔者设计的一个FPGA供电系统,采用5V输入, ...
    
			
    6. 
						
  6. 【JavaScript学习】JavaScript对象创建
			
    1.最简单的方法,创建一个对象,然后添加属性 var person = new Object(); person.age = 23; person.name = "David";  ...
    
			
    7. 
						
  7. java中String new和直接赋值的区别
			
        Java中String new和直接赋值的区别     对于字符串:其对象的引用都是存储在栈中的,如果是编译期已经创建好(直接用双引号定义的)的就存储在常量池中,如果是运行期(new出来的)才 ...
    
			
    8. 
						
  8. python一天一题(1)
			
    #有一个文件,文件名为output_1981.10.21.txt . # 下面使用Python: 读取文件名中的日期时间信息,并找出这一天是周几. # 将文件改名为output_YYYY-MM-DD- ...
    
			
    9. 
						
  9. 第三百三十一节,web爬虫讲解2—Scrapy框架爬虫—Scrapy安装—Scrapy指令
			
    第三百三十一节,web爬虫讲解2—Scrapy框架爬虫—Scrapy安装—Scrapy指令 Scrapy框架安装 1.首先,终端执行命令升级pip: python -m pip install --u ...
    
			
    10. 
						
  10. e827. 设置JSplitPane中分隔物的大小
			
    A divider can be no less than one pixel in size. // Create a left-right split pane JSplitPane pane = ...
    
			
    11.