0x01 url任意跳转

  未做任何限制,传入任何网址即可进行跳转。

漏洞示例代码:

<?php

    $redirect_url = $_GET['url'];

    header("Location: " . $redirect_url);

    exit;

?>

Payload:?url=http://www.baidu.com,即可跳转到百度首页

0x02 编码解码

  之前黑盒测试遇到过一个案例,感觉有点意思,写个demo复现一下

漏洞示例代码:

<?php

    $url = base64_decode($_GET['url']);

    header("Location: " . $url);

?>

将url进行base64编码,参数传递到服务端解码,然后进行url跳转。

http://www.baidu.com   base64编码后   aHR0cDovL3d3dy5iYWlkdS5jb20=

Paylod:?url=aHR0cDovL3d3dy5iYWlkdS5jb20=

0x03 白名单限制

0x04 绕过姿势

利用默认协议

?url=\\www.baidu.com
?url=\/www.baidu.com
?url=\\\\www.baidu.com      等价于:?url=http://www.baidu.com

前缀式

    利用问号?: ?url=http://www.evil.com?www.aaa.com

    利用井号#:  http://www.aaa.com?returnUrl=http://www.evil.com#www.aaa.com

    其他形式:

      ?url=http://www.baidu.com\aaa.com

      ?url=http://www.baidu.com\\aaa.com

 后缀式

    利用@符号:?url=http://www.aaa.com@www.evil.com

    其他形式: http://www.aaa.com.evil.com

其他思路: 使用IP地址、IPv6地址、更换ftp、gopher协议





绕过案例:


白名单限制


?redirect_uri=http://www.baidu.com


利用问号绕过限制


?redirect_uri=http://www.baidu.com


尝试进行跳转到其他网站时发现做了白名单限制,非QQ域名禁止跳转,会报错说跳转链接非法


?redirect_uri=http://www.baidu.com


?redirect_uri=http://www.qq.com?http://www.baidu.com


?redirect_uri=http://www.baidu.com?&http://www.qq.com


?redirect_uri=http://www.baidu.com/test.html?&http://www.qq.com


?redirect_uri=http://www.baidu.com\\test.html?&http://www.qq.com


在代码中判断是否为目标域名,但开发小哥哥们喜欢用字符串包含来判断


http://www.aaa.com?returnUrl=http://www.aaa.com.evil.com


http://www.aaa.com?returnUrl=http://www.evil.com/www.aaa.com


http://www.aaa.com?returnUrl=http://www.xxxaaa.com


若再配合URL的各种特性符号,绕过姿势可是多种多样。比如


利用反斜线:


http://www.aaa.com?returnUrl=http://www.evil.comwww.aaa.com


http://www.aaa.com?returnUrl=http://www.evil.com\www.aaa.com


多次跳转,即aaa公司信任ccc公司,ccc公司同样存在漏洞或者提供跳转服务:


http://www.aaa.com?returnUrl=http://www.ccc.com?jumpto=http://www.evil.com


实际挖掘过程中还可以将上述方法混合使用,甚至使用URL编码、ip地址替代域名等手段。


参考链接:


web渗透基础案例——URL跳转绕过腾讯限制进行跳转


http://www.apgy.club/temp/url.html


分享几个绕过URL跳转限制的思路


https://www.anquanke.com/post/id/94377
												


											
PHP代码审计笔记--URL跳转漏洞的更多相关文章
	

    
								
  1. url跳转漏洞(1)
		
    转载 https://landgrey.me/open-redirect-bypass/ 0x00:漏洞场景 URL跳转漏洞的出现场景还是很杂的,出现漏洞的原因大概有以下5个: 1. 写代码时没有考虑 ...
    
		
    2. 
						
  2. Web安全之url跳转漏洞及bypass总结
		
    0x01 成因 对于URL跳转的实现一般会有几种实现方式: META标签内跳转 javascript跳转 header头跳转 通过以GET或者POST的方式接收将要跳转的URL,然后通过上面的几种方式 ...
    
		
    3. 
						
  3. URL跳转漏洞
		
    URL跳转原理: 由于越来越多的需要和其他第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如 ...
    
		
    4. 
						
  4. Url跳转漏洞常见
		
    Url跳转漏洞常见出现点: 1.用户登录.统一身份认证处,认证完后会跳转. 2.用户分享.收藏内容过后,会跳转. 3.跨站点认证.授权后,会跳转. 4.站内点击其它网址链接时,会跳转. Url跳转漏洞 ...
    
		
    5. 
						
  5. WEB安全番外第一篇--其他所谓的“非主流”漏洞:URL跳转漏洞与参数污染
		
    一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirect ...
    
		
    6. 
						
  6. Django < 2.0.8 任意URL跳转漏洞(CVE-2018-14574)
		
    影响版本 Django < 2.0.8 抓包 访问http://192.168.49.2:8000//www.example.com,即可返回是301跳转到//www.example.com
    
		
    7. 
						
  7. URL重定向及跳转漏洞
		
    URL跳转漏洞 URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞. 使用场景    现在 Web 登录很多都接入了QQ ...
    
		
    8. 
						
  8. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
		
    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...
    
		
    9. 
						
  9. java代码审计中的一些常见漏洞及其特征函数
		
    文章来源:https://xz.aliyun.com/t/1633 最近在先知上看到之前有篇关于java代码审计的文章总结的蛮好,记录以下特征函数,方便查阅,同时自己也会将在平时代码审计过程中积累的函 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. The SDK platform-tools version ((23)) is too old to check APIs compiled with API 26;
			
    好像是更新过啥SDK之后,项目一直在包名的那一行显示红线,不过是不报编译错误的,就是看着老扎心老扎心的,开始以为是指定的SDK版本的问题,修改后发现无效,最后找到方法解决: 打开SDK Manager ...
    
			
    2. 
						
  2. j解决sparkr中使用某些r的原生函数 发生错误Error: class(objId) == "jobj" is not TRUE的问题
			
    Create table function in Spark in R not working João_Andre  (3) 询问的问题 | 2016年12月10日 06:03BLUEMIXRSPA ...
    
			
    3. 
						
  3. pymysql.err.InternalError: (1054, "Unknown column 'None' in 'field list'")
			
    错误提示: Traceback (most recent call last): File "D:/projectwc/test/dd.py", line 43, in <m ...
    
			
    4. 
						
  4. Numpy 的ndarray
			
    创建ndarray 使用array函数 创建一维数组 创建二维数组 并查看有几个列表,每个列表有几个值  查看类型 生成全是0的或者全是1的 具体方法作用
    
			
    5. 
						
  5. 【Python】windows电脑 python3.6安装lxml库
			
    1.下载lxml的wheel文件 https://download.lfd.uci.edu/pythonlibs/t5yhk4lc/lxml-4.2.1-cp36-cp36m-win32.whl 其他 ...
    
			
    6. 
						
  6. (笔记)Linux下的简单CGI编程
			
    为什么要进行CGI编程?  在HTML中,当客户填写了表单,并按下了发送(submit)按钮后,表单的内容被发送到了服务器端,一般的,这时就需要有一个服务器端脚本来对表单的内容进行一些处理,或者是把它 ...
    
			
    7. 
						
  7. 安卓横竖屏切换时activity的生命周期
			
    关于Activity横竖屏切换的声明周期变化: 1.新建一个Activity并把各个生命周期打印出来 2.运行Activity,得到如下信息 onCreate-->onStart-->on ...
    
			
    8. 
						
  8. iPhone开发中,关于视图跳转的总结(转)
			
    iPhone开发中,关于视图跳转的总结 iPhone开发中从一个视图跳到另一个视图有三种方法: 1. self.view addSubView:view .self.window addSubView ...
    
			
    9. 
						
  9. c#  生成随机时间
			
    Random random = new Random((int)(DateTime.Now.Ticks)); ; ) { , ); , ); , ); string tempStr = string. ...
    
			
    10. 
						
  10. Sql Server数据库监听 c#代码
			
    using AnfiniL.SqlServerTools.Data; using SqlServerTools; using SqlServerTools.Data; using System; us ...
    
			
    11.