分享幾個繞過URL跳轉限制的思路
大家對URL任意跳轉都肯定了解,也知道他的危害,這裡我就不細說了,過~
大家遇到的肯定都是很多基於這樣的跳轉格式
http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx
基本的思路大家就是直接替換後面的URL來檢測是否存在任意URL跳轉,如果不存在,就直接返回到它自己的域名,如果存在,就跳轉到你指定的URL,
這裡我講述我所知道的所有小點。
0x01 利用問號繞過限制
利用問號,這是一個特性,利用問號可以成功繞過URL限制
比如:http://www.aaa.com/acb?Url=http://login.aaa.com 這是一個跳轉鏈接,跳轉到它的二級域名下,那麼這個問號放哪裡可以繞過呢?其實就是放到它自身的域名前面也就是你添加的想要跳轉的域名的後面,如:http://www.aaa.com/acb?Url=http://test.com?login.aaa.com 那麼,它其實是會跳轉到這個test.com域名下,這個域名是我想要跳轉的任意域名,而後面的它自身域名一定要帶上,不帶上就無法輔助用問號?這個特性來跳轉到指定域名了,而跳轉后,問號和問號後面的內容會變為這樣:http://www.test.com/?login.aaa.com
Advertisements
0x02 利用反斜杠和正斜杠繞過限制
這個是我自己研究出來的,不知道是否網上有人說過。
比如:http://www.aaa.com/acb?Url=http://login.aaa.com/ 同樣是在它本身域名前加上正斜杠,然後正斜杠前面跟上你想跳轉的域名地址。
如:http://www.aaa.com/acb?Url=http://test.com/login.aaa.com
反斜杠有三種思路
兩個反斜杠繞過方法
比如:http://www.aaa.com/acb?Url=http://login.aaa.com/ 同樣是在它本身域名前加上兩個反斜杠,然後兩個反斜杠前面跟上你想跳轉的域名地址。
如:http://www.aaa.com/acb?Url=http://test.com\login.aaa.com
Advertisements
一個反斜杠繞過方法
如:http://www.aaa.com/acb?Url=http://test.comlogin.aaa.com
另一種思路,一個反斜杠一個點
利用.這樣的格式,也就是一個反斜杠加一個點來跳過限制,
如:http://www.aaa.com/acb?Url=http://test.com.login.aaa.com
0x03 利用@繞過URL限制
如果你用這方法在火狐里進行跳轉,會有彈窗提示,在其它遊覽器則沒有。
如:<a href=」http://www.aaa.com/acb?Url=http://[email protected]「」>http://www.aaa.com/acb?Url=http://[email protected] 後面的test.com就是要跳轉到的域名,前面的域名都是用來輔助以繞過限制的。
0x04 利用白名單缺陷繞過限制
有的域名白名單限制是不全的,比如如果想利用一個跳轉,而這個跳轉是通用,在這個公司網站很多子域名等都可以跳轉,那麼你買個域名也不算貴對吧。
為什麼這麼說呢,這個問題就是白名單限制不當,比如,當跳轉的域名包含這個網站下的所有域名,比如:http://www.aaa.com/acb?Url=http://login.aaa.com
這個login.aaa.com也可以改成aaa.com同樣可以跳轉對吧,因為白名單里只要有包含這個域名就直接成功跳轉。
那麼當我在這個域名前面加上如testaaa.com,白名單里會檢查是否包含aaa.com這個域名,如果包含,就直接跳轉,而並沒有檢查這個域名的整個信息,然後可以利用這個問題,直接註冊一個testaaa.com這個域名就可以利用這個跳轉。
0x05 多重驗證&跳轉繞過限制
現在很多網站都有多重驗證,比如你登陸賬戶後會出現另一個驗證頁面,輸入手機驗證碼進行驗證,此時這上面的URL很可能存在任意跳轉的問題。
多重跳轉的問題導致可繞過URL限制
比如http://www.aaa.com/acb?Url=http: … ttp://login.aaa.com
當然,還有多重的,這個結構的多重跳轉你修改最後面的URL就可以達到任意URL跳轉,中間的URL就沒必要動了。
0x06 點擊觸發達到繞過URL跳轉限制
比如很多登陸頁面的地方,其URL是一個跳轉的URL
如:http://www.aaa.com/acb?Url=http://test.com
你直接修改了後面為任意URL,但是還是停留在原地,似乎沒什麼問題,但是,當你輸入賬號和密碼後點擊登陸按鈕后,就會觸發跳轉。
當然,這個賬戶和密碼不一定要對的,隨便都可以,但得視系統而定吧。
這個我遇到了很多,比如你修改了域名,然後點擊登陸,登陸成功后便可觸發跳轉,這也是一個比較隱蔽的繞過URL限制的跳轉。
0x07 利用xip.io繞過
這個我還沒有在測試中應用過,其請求是http://www.127.0.0.1.xip.io 這個繞過是在SSRF場景中的繞過,比如SSRF你要讀取內網地址,一般都做了限制,可以嘗試用這方法進行繞過限制,從而訪問到內網。
另外一點,URL跳轉涉及的安全問題大家常見的就是釣魚,那麼利用這個思路也可達成一個釣魚問題,如,http://www.qq.com.220.181.57.217.xip.io
當你訪問qq這個域名時,其實這個鏈接已經被解析到後面這個ip地址上了,那麼實際訪問的就是後面這個IP地址。
0x08 利用超鏈接繞過可信站點限制
比如一個URL,它是可以直接跳轉的,但是一般測試跳轉時大家習慣用www.baidu.com或qq.com這樣的可信站點進行測試,但是有些網站是可以跳轉這些網站的。
只要是可信站點且常用,基本都可以跳轉,那麼這就屬於正常的業務邏輯了,難度就這樣錯失一個URL跳轉漏洞了?
其實不然,只要你的URL被百度收錄過,那麼直接搜索你的域名,site:xxx.xxx
因為你在百度里點擊你的域名,它會先是一個302跳轉,而這個302跳轉就是百度下的302跳轉,那麼這樣就可以繞過可信站點的限制,從而達到跳轉到指定URL。
當然,百度這個302有點長,你給它進行加密就行。
0x09 POST參數中的URL跳轉
當然,這個影響就很小了,比如當你填什麼表格或者需要填寫什麼的,當你上傳圖片,點擊下一步的時候,通常下一步就是預覽你填寫的信息,最後才是提交。
當你上傳了圖片後點擊下一步抓包,如果過濾不嚴,你會看到圖片的完整地址包含在POST參數里,你就可以直接修改這個地址為任意URL,然後到達下一步。
這時是確定信息也就是預覽自己填寫的信息的正確還是不正確,由於你剛剛修改了圖片地址,這裡是沒有顯示出來的,圖像會是一個小XX。
當點擊圖片右鍵選擇查看圖像時,就會觸發URL跳轉問題,其實這個也可以利用來進行釣魚,釣後台審核員的信息。
為什麼呢,比如審核看到圖片無法載入,一般都會點擊查看圖片,然後跳轉,如果安全意識不知就會造成安全影響。
當然,如果POST參數里就只是URL跳轉參數,那麼你可以給它轉成GET方式,然後進行跳轉就可以了,只要網站支持這樣的GET方式就行。
在Burp Suite里可以一鍵轉換提交方式,右鍵選擇Change request method就可以!
0x10 利用#號繞過
如:http://www.aaa.com/acb?Url=http://test.com#login.aaa.com
小結,想找到任意URL跳轉問題,就不要光看表面,一個修改一個回車,不存在就不繼續深入了,這將永遠無法成長。
我總結了我對於URL跳轉繞過限制的一些小點,希望能夠幫助到大家!
原文地址:http://blog.xbbai.site/post-150.html