Aggregator

Jeff Warren of StealthBits and I were talking about this really cool idea he had a while back About detecting pass the hash attacks with a special kind of honey pot. Jeff is doing a webinar on this on Thursday August 9,  2018 and here’s more information about it and the links.

Pass-the-hash and pass-the-ticket attacks can be some of the most effective techniques for attackers to use to move laterally throughout your organization, and also the most difficult to detect. Most detections rely on differentiating between what is normal behavior for a user and what is abnormal. While this can be effective, it is also time consuming and results in lots of false positives. In this webinar, Jeff will explore how to use modern honeypot techniques to lay traps for attackers and emphatically detect the use of the pass-the-hash technique within your organization.

If you are unable to join the live webinar, register to receive a video recording after the event.

Use the links below to register for this very technical webinar:

https://go.stealthbits.com/Sb-webinar-detecting-pass-the-hash-honeypots

http://bit.ly/2vir0S3

With the tagline, “giving you the best of the internet in one place,” Reddit is a popular website designed for...

The post The Reddit Data Breach: What Consumers Need to Know appeared first on McAfee Blog.

More and more, ransomware attacks are targeting one specific industry – health care. As detailed in our McAfee Labs Threats...

The post Ransomware Hits Health Care Once Again, 45,000 Patient Records Compromised in Blue Springs Breach appeared first on McAfee Blog.

在做测试的时候会遇见这样几个漏洞场景：

1. JSONP跨域劫持
2. 反射XSS
3. GET请求类型攻击

但是，在相对安全的情况下，都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢？

Referer是请求头的一部分，假设A站上有B站的链接，在A站上点击B站的链接，请求头会带有Referer，而Referer的值为A站的链接；这也就是为什么上文所说的场景，遇见了Referer的限制就可能GG了。

一个实际场景：

先来说说一些常规化的东西：

• 子域名方式

使用子域名的方式进行绕过：

• 域名前增加

在域名前面增加随机的a-z和0-9也可以进绕过：

• ？号

将域名作为GET请求参数进行绕过：

之前在做测试的时候，将Referer头删除也可以绕过，但是在真正的利用中能不能去实现呢？是可以的。

在HTML标签中有这样一个标签<meta>，而这个标签是表示无Referer，就是如下的代码：

我原来的PoC为：

修改之后的PoC为：

在上文就提到了A站有B站的链接，在A站点击B站的链接，Referer就为A站的链接了。那么在这里我能否使用白名单域下的业务做超链接，链接地址为A站存在问题的链接再搭配一个点击劫持或者诱导的方式进行组合攻击？

例如gh0st.cn做了Referer的限制：

实际场景：

• 公开信息对外

在个人中心处可以编辑个人的微博地址：

微博地址是对外的公开信息：

那么结合一下点击劫持或者用户常规的点击了～那就GGGGGGG了～

• 论坛

现在很多厂商都有自己的开放论坛，特别是Discuz这种很多，而Discuz回复是可以使用超链接的：

回复这样的格式：[url=u]t[/url] u部分为地址，t部分为地址名字～

302跳转是否可以？NO，不可以。

这里的URL跳转是JavaScript的URL跳转。

常见的两个：

1. 这里我已经有一个存在任意URL跳转漏洞了：

http://test.vulkey.cn/link.php?url=http://www.hi-ourlife.com

1. 我有一个反射XSS漏洞：

http://vulkey.cn/jsonp.php?callback=vulkey

当 referer = a.com :

当 referer = vulkey.cn :

当 referer = *.vulkey.cn :

这个接口验证了Referer使用之前的方法没办法绕过，于是采用组合拳搭配。

于是有了如下的构建：http://test.vulkey.cn/link.php?url=http://vulkey.cn/jsonp.php?callback=vulkey<svg/onload=alert(1)>

这个案例是基于上面反射XSS案例的，现在已知的三个问题：

1. JSONP接口 http://vulkey.cn/jsonp.php?callback=vulkey 有Referer限制
2. 反射XSS http://vulkey.cn/jsonp.php?callback=vulkey<svg/onload=alert(1)> 有Referer限制
3. JavaScript URL跳转 http://test.vulkey.cn/link.php?url=http://www.hi-ourlife.com

一般JSONP跨域劫持的PoC是这样的：

但是因为有Referer限制，就不能在自己的站点上做PoC了，就只能利用反射XSS漏洞构建PoC：

http://vulkey.cn/jsonp.php?callback=%3Cscript%3Efunction+vulkey(data){alert(JSON.stringify(data));}%3C/script%3E%3Cscript+src=%22http://vulkey.cn/jsonp.php?callback=vulkey%22%3E%3C/script%3E

但仅仅如此是不够是因为XSS有Referer来源的限制，所以最终的PoC应该是这样的：

http://test.vulkey.cn/link.php?url=http://vulkey.cn/jsonp.php?callback=%253Cscript%253Efunction%2bvulkey%28data%29%7Balert%28JSON.stringify%28data%29%29%3B%7D%253C%2fscript%253E%253Cscript%2bsrc%3D%2522http%3A%2f%2fvulkey.cn%2fjsonp.php%3Fcallback%3Dvulkey%2522%253E%253C%2fscript%253E

也就是说在这里JS的URL跳转解决了XSS的Referer限制问题，而XSS又解决了JSONP接口的Referer限制问题，这是一个联合组合拳。如果你发现的XSS没有Referer限制则不需要这么”麻烦”。

文中总结一些小的TIPS，针对我遇到的实际案例进行了漏洞的复现截图，打开思维其实还有更多更好的思路，有机会后期会写出来。