實戰
章　前端安全性漏洞2
1.1　前端防禦從入門到棄坑—CSP
　 　的變遷2
1.1.1　前端防禦的開始2
1.1.2　CSP3
1.1.3　CSP的繞過5
1.1.4　CSP困境以及升級8
1.1.5　防禦建議11
1.2　從老漏洞到新漏洞—iMessage
　 　0day挖掘實錄（CVE-2016-1843）11
1.2.1　背景11
1.2.2　CVE-2016-1764漏洞分析12
1.2.3　從老漏洞（CVE-2016-1764）
　 　　到0day漏洞16
1.2.4　修復建議18
1.2.5　參考連結19
1.3　從CVE-2018-8495看PC端
　 　URL Scheme的安全問題19
1.3.1　概述19
1.3.2　創建URL Scheme20
1.3.3　安全隱患21
1.3.4　作業系統中的問題22
1.3.5　流覽器參數注入23
1.3.6　應用程式的問題26
1.3.7　防禦建議27
1.3.8　參考連結27
1.4　iOS中的BadURLScheme28
1.4.1　概述28
1.4.2　漏洞詳情28
1.4.3　實際案例29
1.4.4　漏洞披露29
1.4.5　防禦建議30
1.4.6　參考連結30
1.5　從Drupal 1-click到RCE 分析30
1.5.1　無尾碼文件寫入30
1.5.2　Phar反序列化RCE33
1.5.3　漏洞觸發要求35
1.5.4　漏洞補丁35
1.5.5　總結35
1.5.6　防禦建議36
1.5.7　參考連結36
1.6　代碼審計從0到1—
　　 Centreon One-click To RCE36
1.6.1　概述37
1.6.2　Centreon代碼基本結構37
1.6.3　代碼分析38
1.6.4　過濾處理44
1.6.5　路徑44
1.6.6　從One-click到RCE45
1.6.7　防禦建議50
1.6.8　參考連結50
1.7　MyBB 18.20：從存儲型XSS
　 　漏洞到RCE漏洞分析50
1.7.1　漏洞觸發要求50
1.7.2　漏洞分析51
1.7.3　漏洞複現59
1.7.4　補丁分析61
1.7.5　防禦建議63
1.7.6　參考連結63
1.8　Chrome擴展安全問題63
1.8.1　Chrome外掛程式體系63
1.8.2　CVE-2019-1259263
1.8.3　CSP問題68
1.8.4　防禦建議73
1.8.5　參考連結73
第2章　後端安全性漏洞74
2.1　從WordPress SLi到PHP
　 　格式化字串問題74
2.1.1　漏洞概述74
2.1.2　漏洞分析74
2.1.3　漏洞原理77
2.1.4　PHP格式化字串78
2.1.5　利用條件79
2.1.6　WordPress 4.8.2補丁問題 80
2.1.7　修復方案 81
2.1.8　參考連結81
2.2　Joomla 3.7.0 Core SL注入漏洞
　 　（CVE-2017-8917）分析81
2.2.1　漏洞概述82
2.2.2　漏洞複現82
2.2.3　修復建議85
2.2.4　參考連結86
2.3　vBulletin MEDIA UPLOAD SSRF
　 　漏洞（CVE-2016-6483）分析86
2.3.1　漏洞概述87
2.3.2　漏洞複現87
2.3.3　漏洞修復94
2.3.4　參考連結94
2.4　Discuz! x3.4前臺SSRF分析94
2.4.1　漏洞概述94
2.4.2　漏洞複現94
2.4.3　任意URL跳轉99
2.4.4　漏洞利用100
2.4.5　修復建議101
2.4.6　參考連結101
2.5　利用Exchange SSRF漏洞和
　 　NTLM中繼淪陷獲取域控101
2.5.1　漏洞概述101
2.5.2　漏洞複現101
2.5.3　漏洞利用104
2.5.4　修復建議107
2.5.5　參考連結108
2.6　Joomla未授權創建特權用戶
　 　漏洞（CVE-2016-8869）分析108
2.6.1　漏洞概述108
2.6.2　漏洞複現109
2.6.3　修復建議113
2.6.4　參考連結114
2.7　Joomla許可權提升漏洞（CVE-
　 　2016-9838）分析114
2.7.1　漏洞概述114
2.7.2　漏洞複現115
2.7.3　修復方案123
2.7.4　參考連結123
2.8　DedeCMS v5.7密碼修改漏洞
　 　分析124
2.8.1　漏洞概述124
2.8.2　漏洞複現125
2.8.3　代碼分析129
2.8.4　修復方案133
2.8.5　參考連結134
2.9　ES檔流覽器安全性漏洞
　　（CVE-2019-6447）分析134
2.9.1　漏洞概述134
2.9.2　漏洞複現135
2.9.3　漏洞分析 136
2.9.4　補丁分析139
2.9.5　總結141
2.9.6　參考連結142
第3章　檔讀取漏洞143
3.1　MySL用戶端任意文件讀取
　 　攻擊鏈拓展143
3.1.1　Load data infile語法144
3.1.2　漏洞利用原理和流程分析145
3.1.3　PC50
3.1.4　演示151
3.1.5　影響範圍151
3.1.6　從檔讀取到遠端命令執行157
3.1.7　修復方式163
3.1.8　總結165
3.1.9　參考連結165
3.2　Confluence 檔讀取漏洞
　　（CVE-2019-3394）分析165
3.2.1　背景165
3.2.2　漏洞影響166
3.2.3　補丁對比166
3.2.4　流程分析167
3.2.5　嘗試利用173
3.2.6　修復方案175
3.2.7　參考連結175
3.3　WebSphere XXE漏洞（CVE-
　 　2020-4643）分析175
3.3.1　概述175
3.3.2　補丁175
3.3.3　漏洞分析176
3.3.4　修復建議183
3.3.5　參考連結183
3.4　WebLogic CVE-2019-2647、
　 　CVE-2019-2648、CVE-2019-
　 　2649、CVE-2019-2650 XXE
　 　漏洞分析183
3.4.1　補丁分析183
3.4.2　分析環境184
3.4.3　WsrmServerPayloadContext
　　 　漏洞點分析184
3.4.4　UnknownMsgHeader漏洞點
　　 　分析193
3.4.5　WrmSequenceContext 漏洞點
　 　　分析194
3.4.6　修復建議196
3.4.7　參考連結196
3.5　WebLogic EJBTaglibDescriptor
　 　XXE漏洞（CVE-2019-2888）
　 　分析197
3.5.1　分析環境197
3.5.2　漏洞分析197
3.5.3　漏洞複現199
3.5.4　修復建議200
3.5.5　參考連結201
3.6　印象筆記Windows 6.15版本
　 　本地檔讀取和遠端命令執行
　 　漏洞（CVE-2018-18524）202
3.6.1　概述202
3.6.2　演示模式下的Node.js代碼
　　　注入202
3.6.3　本地檔讀取和遠端命令
　　　執行的實現203
3.6.4　通過分享功能攻擊用戶205
3.6.5　修復建議206
3.6.6　參考連結206
第4章　滲透測試207
4.1　紅隊後滲透測試中的檔案傳輸207
4.1.1　搭建HTTP伺服器207
4.1.2　從HTTP伺服器下載檔案208
4.1.3　配置PUT伺服器209
4.1.4　上傳文件到HTTP PUT
　　　伺服器211
4.1.5　利用 Bashdev/tcp 進行
　　　檔案傳輸211
4.1.6　利用SMB協議進行檔
　　　傳輸212
4.1.7　利用 whois 命令進行檔
　　　傳輸212
4.1.8　利用 ping 命令進行檔案傳輸213
4.1.9　利用 dig 命令進行檔案傳輸213
4.1.10　利用 NetCat 進行檔案傳輸214
4.1.11　參考連結216
4.2　協定層的攻擊—HTTP請求
　　走私216
4.2.1　背景216
4.2.2　發展時間線217
4.2.3　產生原因 217
4.2.4　HTTP走私攻擊實例—
　　CVE-2018-8004223
4.2.5　攻擊實例240
4.2.6　參考連結250
4.3　自動化靜態代碼審計工具250
4.3.1　自動化代碼審計250
4.3.2　動態代碼審計工具的特點
　　　與局限250
4.3.3　靜態代碼審計工具的發展252
4.3.4　參考連結259
4.4　反制Webdriver—從Bot向
　　　RCE 進發260
4.4.1　什麼是Webdriver260
4.4.2　Chromedriver的攻擊與利用261
4.4.3　參考連結270
4.5　捲入.NET Web271
4.5.1　調試271
4.5.2　如何找漏洞案例和審函281
4.5.3　參考連結282
4.6　攻擊SAML 2.0282
4.6.1　SAML 2.0282
4.6.2　通過OpenSAML請求包看
　　　SAML SSO283
4.6.3　通過OpenSAML源碼看
　　　SAML SSO細節294
4.6.4　參考連結305
4.7　Apache Axis 1與 Axis 2
　　WebService的漏洞利用305
4.7.1　Apache Axis 1306
4.7.2　Apache Axis 2332
4.7.3　參考連結338
第二部分　防禦方法
第5章　防禦規則342
5.1　什麼是 Pocsuite 3342
5.2　什麼是 Suricata343
5.3　Suricata 安裝343
5.4　Suricata規則343
5.4.1　Action 344
5.4.2　Header 344
5.4.3　元關鍵字/補充資訊346
5.4.4　Rule347
5.5　如何在PoC中編寫流量規則351
5.5.1　示例一351
5.5.2　示例二353
5.5.3　示例三354
5.5.4　示例四356
5.6　參考連結357
第6章　防禦演示環境與防禦處置358
6.1　防禦演示環境358
6.2　模擬攻擊358
6.3　Pocsuite 3365
6.4　Suricata & pfSense365
6.5　pfSense 導入自訂Suricata
　 　規則368
6.6　總結370
第7章　防禦研究工具371
7.1　代碼審計371
7.2　供應鏈安全373
7.3　防火牆375
7.4　堡壘機377
7.5　日誌審計系統379
7.6　終端安全380
7.7　資產掃描382
7.8　入侵偵測系統384
7.9　蜜罐系統385
7.10　惡意軟體沙箱386