Trainning
  • WEEK 2
    • Tìm hiểu các thành phần hệ điều hành
    • TryHackMe| Abusing Windows Internals
  • WEEK 3
    • Một số phương thức Persistence
    • Các Phương thức tấn công Process nâng cao
    • Implement tấn công
  • week 4
    • Linux
      • Basic Concept Linux
      • Symlink
      • Linux Persistence
      • Notes
    • PROCESS LIST
    • Network
      • OSI MODEL(OPEN SYSTEMS INTERCONNECTION MODEL)
      • Các giao thức phổ biến trong môi trường enterprise
        • SMB - Server Message Block
        • LDAP - Lightweight Directory Access Protocol
          • LDAP Injection
        • SSH - Secure Shell
        • RDP - Remote Desktop Protocol
        • ICMP - Internet Control Message Protocol
        • DNS - Domain Name System
        • DHCP - Dynamic Host Configuration Protocol
        • HTTP/HTTPS
  • WEEK 5
    • Các dạng tấn công trong network phổ biến (SYNC Flood, MAC flood,...)
    • Reconnaissance
    • Active Directory
      • Group Policy
    • NTLM vs Kerberos
      • Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
      • Path The Hash
      • ASREPRoast
        • Demo
      • Kerberoasting
        • Demo
      • Silver Ticket
        • Demo
      • Golden Ticket
        • Demo
      • Tóm tắt
    • Stealing Windows Credentials
      • Mimikatz
      • Custom SSP
    • LLMNR Poisoning, NTLM Replay
  • WEEK 6 + 7
    • DOM-based vulnerabilities
      • DOM-based open redirection
    • SQL Injection
      • Lab: Retrieving hidden data
      • Lab: Subvering application logic
      • SQL injection UNION attacks
        • Lab: SQL injection UNION attack, determining the number of columns returned by the query
        • Lab: SQL injection UNION attack, finding a column containing text
        • Lab: SQL injection UNION attack, retrieving data from other tables
        • Lab: SQL injection UNION attack, retrieving multiple values in a single column
      • Blind SQL Injection
        • Lab: Blind SQL injection with conditional responses
        • Lab: Blind SQL injection with conditional errors
        • Lab: Visible error-based SQL injection
        • Lab: Blind SQL injection with time delays
        • Lab: Blind SQL injection with time delays and information retrieval
        • Lab: Blind SQL injection with out-of-band interaction
        • Lab: Blind SQL injection with out-of-band data exfiltration
      • Examining the database
        • Lab: SQL injection attack, querying the database type and version on Oracle
        • Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
        • Lab: SQL injection attack, listing the database contents on non-Oracle databases
        • Lab: SQL injection attack, listing the database contents on Oracle
      • Che dấu cuộc tấn công bằng Encode
        • Lab: SQL injection with filter bypass via XML encoding
    • Authentication
      • Lỗ hổng trong đăng nhập bằng mật khẩu
        • Lab: Username enumeration via different responses
        • Lab: Username enumeration via subtly different responses
        • Lab: Username enumeration via response timing
        • Lab: Broken brute-force protection, IP block
        • Lab: Username enumeration via account lock
        • Lab: Broken brute-force protection, multiple credentials per request
      • Lỗ hổng trong xác thực đa nhân tố
        • Lab: 2FA simple bypass
        • Lab: 2FA broken logic
        • Lab: 2FA bypass using a brute-force attack
      • Các lỗ hổng trong cơ chế xác thực khác
        • Lab: Brute-forcing a stay-logged-in cookie
        • Lab: Offline password cracking
        • Lab: Password reset broken logic
        • Lab: Password brute-force via password change
        • Lab: Password brute-force via password change
      • Lỗ hổng xác thực OAuth 2.0
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Forced OAuth profile linking
        • Lab: OAuth account hijacking via redirect_uri
        • Lab: Stealing OAuth access tokens via an open redirect
        • Lab: Stealing OAuth access tokens via a proxy page
        • Lab: SSRF via OpenID dynamic client registration
    • Access Control
      • Lab: Unprotected admin functionality
      • Lab: Unprotected admin functionality with unpredictable URL
      • Lab: User role controlled by request parameter
      • Lab: User role can be modified in user profile
      • Lab: URL-based access control can be circumvented
      • Lab: Method-based access control can be circumvented
      • Lab: User ID controlled by request parameter
      • Lab: User ID controlled by request parameter, with unpredictable user IDs
      • Lab: User ID controlled by request parameter with data leakage in redirect
      • Lab: Insecure direct object references
      • Lab: Multi-step process with no access control on one step
      • Lab: Referer-based access control
    • Path Traversal
      • Lab: File path traversal, simple case
      • Lab: File path traversal, traversal sequences blocked with absolute path bypass
      • Lab: File path traversal, traversal sequences stripped non-recursively
      • Lab: File path traversal, traversal sequences stripped with superfluous URL-decode
      • Lab: File path traversal, validation of start of path
      • Lab: File path traversal, validation of file extension with null byte bypass
    • Command Injection
      • Lab: OS command injection, simple case
      • Lab: Blind OS command injection with time delays
      • Lab: Blind OS command injection with output redirection
      • Lab: Blind OS command injection with out-of-band interaction
      • Lab: Blind OS command injection with out-of-band data exfiltration
    • File uploads
    • Server-side request forgery (SSRF)
    • Cross-site scripting
      • Reflected XSS
      • Stored XSS
      • DOM-based XSS
      • Cross-site scripting contexts
    • Cross-site request forgery (CSRF)
      • Bypassing CSRF token validation
      • Bypass SameSite cookie restrictions
      • Page 2
    • Insecure deserializaton
    • Burp Suite
    • Tóm tắt
  • Week 8
    • Rà soát mã độc
Powered by GitBook
On this page
  • Giải mã theo ngữ cảnh cụ thể
  • Sự khác biệt trong giải mã
  • Che dấu qua URL encoding
  • Che dấu thông qua URL encoding hai lần
  • Che dấu thông qua HTML encoding
  • Số 0 đứng đầu
  • Che dấu thông qua XML encoding
  1. WEEK 6 + 7
  2. SQL Injection

Che dấu cuộc tấn công bằng Encode

Giải mã theo ngữ cảnh cụ thể

Cả máy khách và máy chủ đều sủ dụng nhiều loại encode khác nhau để truyền dữ liệu giữa các hệ thống. Muốn sử dụng dữ liệu thì cần decode trước. Trình tự chính xác của bước decode phụ thuộc vào ngữ cảnh mà dữ liệu xuất hiện.

Khi xây dựng một cuộc tấn công, nên nghĩ về vị trí mà payload được tiêm, từ đó suy ra cách dầu vào được giả mã nhằm xác định các cách thay thế để biểu diễn cùng một payload.

Sự khác biệt trong giải mã

Các cuộc tấn công tiêm thường sử dụng các mẫu nhận diện như thẻ HTML, hàm JavaScript hoặc lệnh SQL. Các trang web thường cài đặt biện pháp ngăn chặn các yêu cầu có chứa các mẫu này. Tuy nhiên, nếu quá trình giải mã khi kiểm tra đầu vào khác với giải mã khi sử dụng dữ liệu, kẻ tấn công có thể lợi dụng để chèn payload thông qua mã hóa khác nhau.

Che dấu qua URL encoding

Trong URL, các ký tự đặc biệt như "&" có nghĩa riêng và được mã hóa thành ký tự "%" kèm mã hex 2 chữ số, như "Fish & Chips" thành "Fish+%26+Chips". Máy chủ sẽ giải mã URL này về dạng ban đầu. Kẻ tấn công có thể lợi dụng điều này để chèn dữ liệu độc hại mà không bị phát hiện bằng cách đưa dữ liệu được URL encoding qua URL và nó thường vẫn được back-end ứng dụng diễn giải chính xác.

Thỉnh thoảng, bạn có thể thấy rằng WAF và các chương trình tương tự không giải mã URL đúng cách khi kiểm tra đầu vào của bạn. Trong trường hợp này, bạn có thể lén đưa các payload vào ứng dụng back-end chỉ bằng cách mã hóa bất kỳ ký tự hoặc từ nào bị đưa vào danh sách đen.

Che dấu thông qua URL encoding hai lần

Một số máy chủ giải mã URL hai lần. Nếu các cơ chế bảo mật đầu vào chỉ giải mã một lần, kẻ tấn công có thể mã hóa payload hai lần để vượt qua bộ lọc.

[...]/?search=%253Cimg%2520src%253Dx%2520onerror%253Dalert(1)%253E

Che dấu thông qua HTML encoding

Trong tài liệu HTML, một số ký tự cần phải được thoát hoặc mã hóa để ngăn trình duyệt hiểu sai chúng là một phần của đánh dấu. Điều này đạt được bằng cách thay thế các ký tự vi phạm bằng một tham chiếu, ví dụ: dấu hai chấm có thể được biểu diễn bằng : hay : hay :

Khi trình duyệt hiển thị trang, nó sẽ giải mã các ký tự này và thực thi payload.

<img src=x onerror="&#x61;lert(1)">

Số 0 đứng đầu

Khi mã hóa theo kiểu thập phân hoặc hex trong HTML, có thể thêm số 0 phía trước mã mà vẫn không ảnh hưởng đến kết quả giải mã. Một số WAF không kiểm tra kỹ điều này, cho phép payload vượt qua.

<a href="javascript&#00000000000058;alert(1)">Click me</a>

Che dấu thông qua XML encoding

XML hỗ trợ mã hóa ký tự tương tự HTML, cho phép chèn payload vào văn bản mà không gây lỗi cú pháp. Các payload này được giải mã bởi máy chủ, hữu ích để bỏ qua WAF và các bộ lọc khác khi tấn công SQL Injection qua dữ liệu XML.

PreviousLab: SQL injection attack, listing the database contents on OracleNextLab: SQL injection with filter bypass via XML encoding

Last updated 8 months ago

SQL injection with filter bypass via XML encoding