0x01 url任意跳转

  未做任何限制,传入任何网址即可进行跳转。

漏洞示例代码:

<?php

    $redirect_url = $_GET['url'];

    header("Location: " . $redirect_url);

    exit;

?>

Payload:?url=http://www.baidu.com,即可跳转到百度首页

0x02 编码解码

  之前黑盒测试遇到过一个案例,感觉有点意思,写个demo复现一下

漏洞示例代码:

<?php

    $url = base64_decode($_GET['url']);

    header("Location: " . $url);

?>

将url进行base64编码,参数传递到服务端解码,然后进行url跳转。

http://www.baidu.com   base64编码后   aHR0cDovL3d3dy5iYWlkdS5jb20=

Paylod:?url=aHR0cDovL3d3dy5iYWlkdS5jb20=

0x03 白名单限制

0x04 绕过姿势

利用默认协议

?url=\\www.baidu.com
?url=\/www.baidu.com
?url=\\\\www.baidu.com      等价于:?url=http://www.baidu.com

前缀式

    利用问号?: ?url=http://www.evil.com?www.aaa.com

    利用井号#:  http://www.aaa.com?returnUrl=http://www.evil.com#www.aaa.com

    其他形式:

      ?url=http://www.baidu.com\aaa.com

      ?url=http://www.baidu.com\\aaa.com

 后缀式

    利用@符号:?url=http://www.aaa.com@www.evil.com

    其他形式: http://www.aaa.com.evil.com

其他思路: 使用IP地址、IPv6地址、更换ftp、gopher协议





绕过案例:


白名单限制


?redirect_uri=http://www.baidu.com


利用问号绕过限制


?redirect_uri=http://www.baidu.com


尝试进行跳转到其他网站时发现做了白名单限制,非QQ域名禁止跳转,会报错说跳转链接非法


?redirect_uri=http://www.baidu.com


?redirect_uri=http://www.qq.com?http://www.baidu.com


?redirect_uri=http://www.baidu.com?&http://www.qq.com


?redirect_uri=http://www.baidu.com/test.html?&http://www.qq.com


?redirect_uri=http://www.baidu.com\\test.html?&http://www.qq.com


在代码中判断是否为目标域名,但开发小哥哥们喜欢用字符串包含来判断


http://www.aaa.com?returnUrl=http://www.aaa.com.evil.com


http://www.aaa.com?returnUrl=http://www.evil.com/www.aaa.com


http://www.aaa.com?returnUrl=http://www.xxxaaa.com


若再配合URL的各种特性符号,绕过姿势可是多种多样。比如


利用反斜线:


http://www.aaa.com?returnUrl=http://www.evil.comwww.aaa.com


http://www.aaa.com?returnUrl=http://www.evil.com\www.aaa.com


多次跳转,即aaa公司信任ccc公司,ccc公司同样存在漏洞或者提供跳转服务:


http://www.aaa.com?returnUrl=http://www.ccc.com?jumpto=http://www.evil.com


实际挖掘过程中还可以将上述方法混合使用,甚至使用URL编码、ip地址替代域名等手段。


参考链接:


web渗透基础案例——URL跳转绕过腾讯限制进行跳转


http://www.apgy.club/temp/url.html


分享几个绕过URL跳转限制的思路


https://www.anquanke.com/post/id/94377
												


											
PHP代码审计笔记--URL跳转漏洞的更多相关文章
	

    
								
  1. url跳转漏洞(1)
		
    转载 https://landgrey.me/open-redirect-bypass/ 0x00:漏洞场景 URL跳转漏洞的出现场景还是很杂的,出现漏洞的原因大概有以下5个: 1. 写代码时没有考虑 ...
    
		
    2. 
						
  2. Web安全之url跳转漏洞及bypass总结
		
    0x01 成因 对于URL跳转的实现一般会有几种实现方式: META标签内跳转 javascript跳转 header头跳转 通过以GET或者POST的方式接收将要跳转的URL,然后通过上面的几种方式 ...
    
		
    3. 
						
  3. URL跳转漏洞
		
    URL跳转原理: 由于越来越多的需要和其他第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如 ...
    
		
    4. 
						
  4. Url跳转漏洞常见
		
    Url跳转漏洞常见出现点: 1.用户登录.统一身份认证处,认证完后会跳转. 2.用户分享.收藏内容过后,会跳转. 3.跨站点认证.授权后,会跳转. 4.站内点击其它网址链接时,会跳转. Url跳转漏洞 ...
    
		
    5. 
						
  5. WEB安全番外第一篇--其他所谓的“非主流”漏洞:URL跳转漏洞与参数污染
		
    一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirect ...
    
		
    6. 
						
  6. Django < 2.0.8 任意URL跳转漏洞(CVE-2018-14574)
		
    影响版本 Django < 2.0.8 抓包 访问http://192.168.49.2:8000//www.example.com,即可返回是301跳转到//www.example.com
    
		
    7. 
						
  7. URL重定向及跳转漏洞
		
    URL跳转漏洞 URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞. 使用场景    现在 Web 登录很多都接入了QQ ...
    
		
    8. 
						
  8. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
		
    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...
    
		
    9. 
						
  9. java代码审计中的一些常见漏洞及其特征函数
		
    文章来源:https://xz.aliyun.com/t/1633 最近在先知上看到之前有篇关于java代码审计的文章总结的蛮好,记录以下特征函数,方便查阅,同时自己也会将在平时代码审计过程中积累的函 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Writing a Reusable Custom Control in WPF
			
    In my previous post, I have already defined how you can inherit from an existing control and define  ...
    
			
    2. 
						
  2. HOW-TO GEEK SCHOOL
			
    This How-To Geek School class is intended for people who want to learn more about security when usin ...
    
			
    3. 
						
  3. 9、Qt 事件处理机制
			
    原文地址:http://mobile.51cto.com/symbian-272812.htm 在Qt中,事件被封装成一个个对象,所有的事件均继承自抽象类QEvent. 接下来依次谈谈Qt中有谁来产生 ...
    
			
    4. 
						
  4. Socket心跳包机制
			
    心跳包的发送,通常有两种技术方法1:应用层自己实现的心跳包 由应用程序自己发送心跳包来检测连接是否正常,大致的方法是:服务器在一个 Timer事件中定时 向客户端发送一个短小精悍的数据包,然后启动一个 ...
    
			
    5. 
						
  5. JUnit注解
			
    在本节中,我们将提到支持在JUnit4基本注释,下表列出了这些注释的概括: 注解 描述 @Testpublic void method() 测试注释指示该公共无效方法它所附着可以作为一个测试用例. @ ...
    
			
    6. 
						
  6. (转)Android 5.1.1 源码目录结构
			
    转自:http://blog.csdn.net/tfslovexizi/article/details/51888458最近公司培训新同事,我负责整理一点关于android的基础知识,遥想当年,刚接触 ...
    
			
    7. 
						
  7. powerDesigner生成Html及Word
			
    转载地址:https://blog.csdn.net/zdp072/article/details/51900794 1:点击Reports 2:点击New Reports 3:定义名字,选择简体中文 ...
    
			
    8. 
						
  8. ant学习笔记-taskdef
			
    1.声明task jar包中指定的task <taskdef name="xmltask“ classname="com.oopsconsultancy.xmltask.an ...
    
			
    9. 
						
  9. js 模拟鼠标事件
			
    <!DOCTYPE html> <html> <head lang="zh-CN"> <meta charset="UTF-8& ...
    
			
    10. 
						
  10. Chrome Adobe Flash Player 因过期而 阻止
			
    百度搜索重装不管用 作者:胡中元链接:https://www.zhihu.com/question/32223811/answer/60456561来源:知乎著作权归作者所有.商业转载请联系作者获得授 ...
    
			
    11.