في هذا الفيديو التفصيلي، قمنا بتغطية غرفة الثغرات الأمنية في TryHackMe Upload حيث أظهرنا أساليب وتقنيات لاستغلال الثغرات الأمنية في تحميل الملفات بالإضافة إلى تجاوز مرشحات التحميل مثل استخدام الأرقام السحرية وتغيير امتداد الملف والمزيد.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
أصبحت القدرة على تحميل الملفات إلى الخادم جزءًا لا يتجزأ من كيفية تفاعلنا مع تطبيقات الويب. سواء كانت صورة ملف شخصي لأحد مواقع التواصل الاجتماعي، أو تقريرًا يتم تحميله على التخزين السحابي، أو حفظ مشروع على Github؛ تطبيقات ميزات تحميل الملفات لا حدود لها.
لسوء الحظ، عند التعامل بشكل سيء، يمكن أن تؤدي عمليات تحميل الملفات أيضًا إلى فتح ثغرات أمنية خطيرة في الخادم. يمكن أن يؤدي هذا إلى أي شيء بدءًا من المشكلات البسيطة والمزعجة نسبيًا؛ وصولاً إلى التنفيذ الكامل للتعليمات البرمجية عن بُعد (آر سي إي) إذا تمكن المهاجم من تحميل الصدفة وتنفيذها. من خلال الوصول غير المقيد للتحميل إلى الخادم (والقدرة على استرداد البيانات حسب الرغبة)، يمكن للمهاجم تشويه المحتوى الموجود أو تغييره بطريقة أخرى - بما في ذلك إدخال صفحات ويب ضارة، مما يؤدي إلى المزيد من نقاط الضعف مثل XSS أو CSRF. ومن خلال تحميل ملفات عشوائية، يمكن للمهاجم أيضًا استخدام الخادم لاستضافة و/أو تقديم محتوى غير قانوني، أو لتسريب معلومات حساسة. من الناحية الواقعية، فإن المهاجم الذي يتمتع بالقدرة على تحميل ملف من اختياره إلى الخادم الخاص بك - دون أي قيود - يعد أمرًا خطيرًا للغاية بالفعل.
الغرض من هذه الغرفة هو استكشاف بعض الثغرات الأمنية الناتجة عن المعالجة غير السليمة (أو غير الكافية) لعمليات تحميل الملفات. على وجه التحديد، سوف ننظر في:
- الكتابة فوق الملفات الموجودة على الخادم
- تحميل وتنفيذ الأصداف على الخادم
- تجاوز التصفية من جانب العميل
- تجاوز أنواع مختلفة من التصفية من جانب الخادم
- خداع عمليات التحقق من صحة نوع المحتوى
لذلك، لدينا نقطة تحميل الملفات على الموقع. كيف يمكننا المضي قدما في استغلالها؟
كما هو الحال مع أي نوع من أنواع القرصنة، فإن التعداد هو المفتاح. كلما زاد فهمنا لبيئتنا، زادت قدرتنا على ذلك يفعل معها. من الجيد النظر إلى الكود المصدري للصفحة لمعرفة ما إذا كان يتم تطبيق أي نوع من التصفية من جانب العميل. المسح باستخدام دليل Bruteforcer مثل جوبوستر عادةً ما يكون مفيدًا في هجمات الويب، وقد يكشف عن المكان الذي يتم تحميل الملفات إليه؛ لم يعد Gobuster مثبتًا بشكل افتراضي على Kali، ولكن يمكن تثبيته باستخدام سودو ملائمة تثبيت gobuster. اعتراض طلبات التحميل باستخدام بوربسويت سيكون مفيدًا أيضًا. ملحقات المتصفح مثل Wappalyser يمكن أن توفر معلومات قيمة في لمحة سريعة عن الموقع الذي تستهدفه.
من خلال الفهم الأساسي لكيفية تعامل موقع الويب مع مدخلاتنا، يمكننا بعد ذلك محاولة البحث ومعرفة ما يمكننا وما لا يمكننا تحميله. إذا كان موقع الويب يستخدم التصفية من جانب العميل، فيمكننا بسهولة إلقاء نظرة على الكود الخاص بالمرشح ومحاولة تجاوزه (المزيد حول هذا لاحقًا!). إذا كان موقع الويب يحتوي على تصفية من جانب الخادم، فقد نحتاج إلى تخمين ما يبحث عنه الفلتر، وتحميل ملف، ثم تجربة شيء مختلف قليلاً بناءً على رسالة الخطأ في حالة فشل التحميل. يمكن أن يساعد تحميل الملفات المصممة لإثارة الأخطاء في هذا الأمر. أدوات مثل Burpsuite أو OWASP يمكن أن يكون Zap مفيدًا جدًا في هذه المرحلة.
إجابات الغرفة
ما هو اسم ملف الصورة الذي يمكن الكتابة فوقه؟
تشغيل أ جوبوستر قم بالمسح الضوئي على موقع الويب باستخدام بناء الجملة من لقطة الشاشة أعلاه. ما الدليل الذي يبدو أنه يمكن استخدامه للتحميلات؟
(ملاحظة: هذه عادة جيدة يجب عليك اتباعها، وسوف تخدمك جيدًا في المهام القادمة...)
احصل إما على غلاف ويب أو غلاف عكسي على الجهاز.
ما هي العلامة الموجودة في دليل /var/www/ الخاص بالخادم؟
ما هي لغة البرمجة النصية السائدة تقليديًا من جانب الخادم؟
عند التحقق من صحة الملف بامتداده، ماذا تسمي قائمة الامتدادات المقبولة (حيث يرفض الخادم أي امتداد غير موجود في القائمة)؟
[بحث] ماذا MIME هل تتوقع رؤيته عند تحميل ملف CSV؟
ما هو العلم في /var/www/؟
ما هو العلم في /var/www/؟
احصل على العلم من /var/www/
اخترق الجهاز وانتزع العلم من /var/www/
تجول الفيديو
