在开始编写 PoC 之前,深入了解漏洞的特性、触发条件以及潜在影响是至关重要的。只有对漏洞有全面的理解,才能编写出准确率更高的 PoC。
其次,应该充分测试和验证编写的 PoC。确保 PoC 在目标环境中能够可靠地重现漏洞,并产生一致的结果。
此外,及时更新和维护 PoC。随着时间的推移,漏洞的修复和新的检测方式可能会出现,因此,定期检查和更新编写的 PoC,以确保其仍然有效是很有必要的。
在编写 PoC 进行漏洞检测时,难免会遇到误报和漏报的情况,然而,我们可以通过下面的一些有效的方式来降低误报和漏报的发生。
对一个确定存在漏洞的网站或靶场编写的 PoC 往往十分容易忽略一些误报场景。编写 PoC 时应该不止局限于只对靶场的测试。
确保 PoC 能够通过唯一确定的标识来判断漏洞是否存在是非常重要的。以下是几种常见的方式来实现这一目标:
关键字匹配:在响应数据包中搜索特定的关键字或字符串,这些关键字通常与漏洞的存在相关。例如,特定错误消息、异常行为或系统返回的特定标识符。如果关键字存在于响应中,可以判断漏洞存在。
特征码识别:根据漏洞的特征码或指纹来识别漏洞。漏洞通常会导致特定的响应模式或标识符,如特定的HTTP响应状态码、HTTP头部。通过匹配这些特征码,可以确定漏洞是否存在。
可预测的变化检测:某些漏洞可能会导致响应数据包中的可预测变化。例如,通过在请求中使用不同的参数值来检测是否存在注入漏洞。通过观察响应数据包的变化,可以确定漏洞是否存在。
一个合理的PoC不应当只使用上面中的一种方法进行判断,应当合理地结合多个条件来进行是否存在漏洞的断言,现在我们就以上的一些判断方式进行展开说明。
关键字匹配在 PoC 的检测中是十分常见的,但是关键字匹配可能会存在一些问题,我们以 ThinkPHP 为例,使用如下 payload进行检测,随后通过匹配一些 phpinfo页面的关键字来断言漏洞是否存在:
# ThinkPHP5 RCE PoC
s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
但是如果目标网站的页面本身就是一个打印phpinfo的页面,那么此时就会产生误报。
同样的,很多使用 echo {{randstr(16)}} 随后匹配这串随机字符串也同样会有很大的误报问题,最为常见的情况就是,目标网站将你的输入,原样的输出在返回的body中,此时就会产生一条误报
我们使用 httpbin.org 来进行演示:
和 echo同理的还有一些各种语言的一些打印函数,如 print 等等
特征码识别则更为简单,比如通过判断HTTP响应状态码这种方式是极其不建议的行为,必然会产生误报,十分不建议在 PoC 中只使用状态码进行漏洞是否存在的依据
通过预测结果的方式进行检测,是相对推荐的做法。比如我们已经知道了 123 md5 后的值,那么我们可以通过 echo md5({{randstr(16)}}) 的方式进行漏洞的判断
在这里给出一些有回显可预测变化的一些检测方法
代码执行
print({{randint(8)}} * {{randint(8)}}),匹配相乘后的结果
print("{{randstr(8)}}" + "{{randstr(8)}}" ),匹配字符串拼接后的结果
print(md5({{randstr(16)}})),匹配 md5 后的结果
printf("{{randstr(16)}}%%{{randstr(16)}}")实际输出会少一个百分号,检出时只需要匹配 {{randstr(16)}}%{{randstr(16)}}即可
命令执行
Linux 下可以使用
expr {{randint(8)}} - {{randint(7)}},匹配相减后的数字即可
echo aaaa""bbbb,echo aaaa''bbbb,匹配 aaaabbbb 即可
echo aaaa\bbbb,匹配 aaaabbbb 即可
Windows 下可以使用
set /a result={{randint(8)}}-{{randint(7)}} && call echo %result%,匹配相减后的数字即可
SQL 注入类型
select md5({{randstr(16)}}),匹配 md5 后的结果
select concat('{{randstr(8)}}','{{randstr(8)}}'),匹配字符串拼接后的结果
文件读取
Linux 下
root:.*:0:0:,使用正则进行匹配
在编写 PoC 时,确保 Payload或包含的检测代码兼顾各个环境或平台的考虑是很重要的。以下是一些关键原则:
尝试构建通用的 Payload:尽量编写通用的 Payload,可以在多个环境或平台上使用。这意味着避免使用仅适用于特定版本、配置或目标的代码。通过使用通用的技术和标准协议,可以提高 PoC 的适用性和可移植性。
考虑常见的安全防护机制:在编写 PoC 时,要考虑到目标环境可能存在的常见安全防护机制,如防火墙、入侵检测系统(IDS),语言本身的防护机制等。确保所使用的 Payload 不会被这些机制拦截或干扰,以提高漏洞检测的成功率。
无法通用检测时:考虑编写不同平台对应的 Payload分别发送检测。
现在我们就以上的一些编写原则进行展开说明。
在编写 PoC 时,我们要进行一点的思考,比如,能通过代码执行的漏洞,就不要再通过代码调用系统命令来执行。举例说明如图:
上图是 ThinkPHP 代码执行漏洞,使用 system 去执行命令来进行检测,这种方式存在很多的弊端
不够通用,Windows下和 Linux下可能没有足够通用的命令用于检测,使用 PHP 自带的输出函数加上算数运算来验证,如前文中提出的print、printf
没有考虑安全防护机制,比如 PHP 经常存在的 disable_functions以及一些 WAF 之类的
推荐的检测方式:
这种检测方式更加通用,同时也不容易触发防护机制。
上一点中也提到过,对于 PoC 的编写,有别于 EXP ,建议点到即止,比如说,一个反序列化漏洞,在 PoC 中,建议选择打印随机字符串来进行检测,或其他的无害化的方式。确保能正常检出漏洞,当 PoC 的检测逻辑足够健壮时,EXP 利用失败,则只需要考虑是不是 Payload 被拦截了,尝试进行对应的一些绕过操作即可。
这种情况常见于命令执行、文件读取漏洞的情况,可以根据对应平台分别发送检测 Payload 进行检测,如发送两个检测包,第一个是针对 Windows 的,第二个是针对 Linux 的即可。
通过兼顾各个环境和平台的考虑,编写通用的 Payload 和检测代码,可以提高 PoC 的适用性、可靠性和实用性,从而更有效地进行漏洞检测和验证。
在 PoC 检测阶段,遵循无害性原则是很重要的。即使在执行一些敏感操作,如文件上传,我们希望确保这些操作是无害的并不会对目标系统产生不良影响。以下是一种方式来上传一个自删除的文件,以满足无害性要求:
确保编写的PoC不会对目标造成危害。包括但不限于,插入,删除,篡改等等直接或间接产生危害的操作。
对于文件上传类漏洞,请尝试清理PoC测试中产生的测试文件,即在访问该文件后删除自身,例如:
php:
<?php echo md5(233);unlink(__FILE__);?>
asp:
<%
Response.Write chr(101)&chr(49)&chr(54)&chr(53)&chr(52)&chr(50)&chr(49)&chr(49)&chr(49)&chr(48)&chr(98)&chr(97)&chr(48)&chr(51)&chr(48)&chr(57)&chr(57)&chr(97)&chr(49)&chr(99)&chr(48)&chr(51)&chr(57)&chr(51)&chr(51)&chr(55)&chr(51)&chr(99)&chr(53)&chr(98)&chr(52)&chr(51)
CreateObject("Scripting.FileSystemObject").DeleteFile(server.mappath(Request.ServerVariables("SCRIPT_NAME")))
%>
aspx:
<%@Page Language="C#"%>
<%
Response.Write(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM=")));System.IO.File.Delete(Request.PhysicalPath);
%>
jsp
<% out.println(new String(new sun.misc.BASE64Decoder().decodeBuffer("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM=")));new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>
jspx:
<jsp:root xmlns="http://www.w3.org/1999/xhtml" version="2.0" xmlns:jsp="http://java.sun.com/JSP/Page" xmlns:c="http://java.sun.com/jsp/jstl/core">
<jsp:directive.page contentType="text/html;charset=UTF-8" language="java" />
jsp:scriptlet out.println(new String(new sun.misc.BASE64Decoder().decodeBuffer("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM="))); new java.io.File(application.getRealPath(request.getServletPath())).delete(); </jsp:scriptlet> </jsp:root>
通过采用以上方法,在 PoC 检测阶段,可以实现无害的文件上传,并且在访问上传后的文件时触发自删除操作,既可以验证文件是否上传成功,也可以清理测试文件,确保对目标系统的安全性和完整性没有不良影响。
Payload 中不要出现一些固定的字符或者有关任何个人、公司的信息,尽量使用一些随机字符来进行检测,例如一段随机字符串、一段随机字符串的 Hash 值等等,这样做的好处有,提高PoC检测的准确性,以及避免被安全设备特征识别。
避免固定字符和个人信息:确保在编写 PoC 时避免使用固定的字符或与个人、公司相关的信息。这样可以防止泄露敏感信息或暴露特定目标的身份,同时也有助于提高 PoC 的通用性和适用性。
使用随机字符串或哈希值:尽量使用随机生成的字符串或哈希值来构造 Payload。这样可以增加 Payload 的多样性和复杂性,提高对目标系统的覆盖能力,使 PoC 更具准确性。
提高漏洞检测的准确性:通过使用随机字符,可以模拟真实攻击中的变化和随机性。这样可以更全面地测试目标系统的漏洞,提高检测的准确性。避免使用预测性、可被安全设备轻易识别的固定模式。
规避安全设备的特征识别:某些安全设备可能会使用特征识别技术来检测和拦截恶意攻击。通过使用随机字符和随机生成的值,可以规避这些特征识别机制,增加 PoC 的检出率。
增加兼容性和适用性:使用随机性可以使编写的 PoC 在不同环境、平台和版本之间具有更好的兼容性和适用性。随机生成的值可以适应各种情况和配置,从而提高 PoC 的可靠性和实用性。
本文作者:yaklang, 转自FreeBuf.COM
分享一个宝藏群聊~
家蒙哥的读者群,370多人,氛围超好,经常分享业务信息,知乎小红书居多;还有很多成长类、商业类的好文分享,挺干的
当初门票99元加进来的,已经是我每天必看的群了,现在还没涨价
推荐加入,超值
对付费敏感的,也可以免费看看家蒙哥的朋友圈,挺涨见识的,围观不用钱。