Gr36_,男,阿里云云盾先知平臺白帽子貢獻排行榜排名第一的白帽子。
從 2016 年開始,Gr36_ 在先知平臺活躍,也在國內其他眾測平臺「挖洞」。他對自己身份的定義是「眾測玩家」。雖然 Gr36_ 在先知平臺已經累計拿到 285950 元的獎金,他表示,賺取額外收入只是他成為眾測玩家的原因之一,他在三年前接觸眾測,像玩遊戲一樣,愛上了這項「勞動」,有樂趣,還能交到好朋友,一起提升技能。
Gr36_認為,眾測多方共贏的模式可以改變很多人的生活。
《葵花寶典》傷身,挖洞秘籍有益。
3月24日,Gr36_ 在 2017 先知白帽大會上,就傳授了這種有益身心的挖洞寶典。以下為 Gr36_ 的秘籍實錄,雷鋒網在不修改原意的基礎上略有修訂和刪節,PPT 截圖為 Gr36_ 授權雷鋒網(公眾號:雷鋒網)發布。
[Gr36_ 在 2017 先知白帽大會上]
0x00 信息搜集:眾裡尋他千百度我們都知道打仗時搜集情報是重中之重,安全測試中前期的信息搜集工作也是關係著整個項目成敗的關鍵因素。
眾測時拿到一個給定的測試範圍,比如,一個主域名,獲取到的各種信息越多,拓展出去的測試範圍越廣,能挖到高危漏洞的概率也越大。有一些做常規信息搜集的手段,如,IP埠掃描、子域名的爆破。但是,我要介紹一些平常容易被忽略的信息。
微信公眾號時下,微信已經成為全新的社交方式,大大小小的公司也開始運營自己微信公眾號,很多公司採用第三方微信公眾平臺,有的自己研發微商城、微官網這樣的系統。
這樣的系統往往存在問題,如果遇到的測試背景是第三方微信公眾平臺,需要多花一些精力,這樣會得到比較好的效果。通過微信公眾號的搜索功能,直接搜索到測試目標微信公眾平臺的測試程序,我發現了很多安全漏洞。
公司系統經過長久的測試與開發,安全係數越來越高,我們挖到安全漏洞的難度也越來越大。相對而言,APP 作為最近幾年才興起的新鮮事物,很多公司在該領域的安全投入稍微欠缺,APP 也很容易成為測試過程中的突破口,因為可能用同樣的業務邏輯,APP 有可能也存在安全問題。
這是WEB系統的密碼找回最後一步的流程,整個流程在找回輸入註冊時候預留的郵箱,系統會將密碼找回的連結,輸入了密碼以後抓包,就可以來到這一步,正常而言,KEY 的參數應該是隨機生成的,但當時測試幾次後發現KEY是不變的,那麼 KEY 會不會是和用戶身份相關的標識呢?能夠從系統中找到用戶的ID和KEY的對應關係,就可以重置任意一個用戶的密碼,但是我在整個系統中都沒有找到相關蹤跡,這時我把眼光投向了移動 APP ,果不其然,我在移動 APP 登錄請求發現了一些蛛絲馬跡,經過比對和之前密碼找回的 KEY是一樣的,把這兩個請求組合起來就能做到——知道用戶名就可重置任意用戶的密碼了!
passive dns先看一個命令執行漏洞的案例。這個漏洞的奇葩之處不在於漏洞本身的利用方式有多複雜,就是一個稀疏平常的,由於拼接 os 命令造成的命令執行,關鍵的地方在於這個子域名是如何發現的。像這種多級子域名,光靠字典爆破是很難跑出來的,這裡就是用 passive dns 數據獲取到子域名數據。
通俗而言,passive dns 就是 dns 解析記錄的歷史數據。國內外都有提高 dns 解析歷史數據的網站,利用這些網站提供的查詢功能或 api ,可以獲取到很多利用暴力猜解沒辦法獲取到的子域名數據。
歷史漏洞我有一個非常深刻的感受:漏洞從來不單獨出現,某個系統出現了某種類型的漏洞,說明負責開發這個系統的程式設計師的安全意識不強,安全編碼不規範,有非常大的概率,在系統中還隱藏著沒有被我們找到的漏洞。最好的例子是,前段時間肆虐各大網站的 strusts 2 命令執行漏洞,大家可以猜一下 st2 命令執行漏洞的編號會達到多少?所以,歷史漏洞在眾測中可以給我們提供很多參考。通過漏洞平臺的歷史漏洞數據,能得到很多的啟示和參考。
0x01 精騖八極,心遊萬仞我認為,挖洞是一項非常需要想像力的活動,在測試的過程中應該多考慮一些特殊的情景,多開腦洞。
雙編碼注入和寬字節注入,這兩種在 PHP 原始碼審計中比較的常見,但是按照經驗,眾測過程中,在黑盒時也可以碰到這種非常規注入,測試注入時如果只是用單引號、雙引號做測試,這兩種特殊的注入就跟你無緣了。
排序注入,為什麼要把排序注入單獨拿出來說?對大多數的程式設計師而言,參數化查詢、預編譯處理可以解決絕大部分注入處理,但是,排序注入比較特殊,預編譯處理對它無效,這種注入特別容易成為漏網之魚。
在系統中只要輸入單引號系統就會返回一個空,這種情形應該不存在注入,但是,這裡是不是存在全局過濾機制?遇到單引號或者是其他的特殊字符系統就返回空?我把請求變成 POST 請求,經過這樣的變換,發現這個系統是可以注入的,用這種方式可以繞過程序全局的過濾。
0x02 天下大事,必作於細細節決定成敗,在測試過程中不僅要膽大而且要心細,多注意一些細枝末節,有時,會有一些比較意外的發現。我有個比較良好的習慣,喜歡察看網頁的原始碼。
上述案例中,我當時是以普通用戶權限登錄到系統中,察看網頁源碼中發現有一堆注釋,注釋包含著一些連結,這些連結看上去是管理員功能的連結,最後這個連結普通用戶也可以訪問,這是屬於垂直權限的越權漏洞。
類似的 JS 源碼也是隱藏著一些看不到的信息,這些信息往往可以往往可以打開測試的局面,我當時在測試過程中遇到後臺系統,這個系統沒有帳號,經過暴力破解也沒有成功進入系統中,這時我去查閱系統加載的 JS 文件,其中一個文件中發現這樣一個函數,看上去應該是註冊函數,根據裡面的邏輯拼接成一個請求,最後發現利用這個請求確實能夠註冊一個後臺系統的帳號密碼,然後就可以進一步登錄後臺系統進行測試。
奇葩的支付漏洞,電商網站選購完商品最後一步進行結算支付,當時選擇的支付方式是網銀在線,這個請求輸入一個訂單號,系統會返回一個表單,最終會拼接成網銀在線的最終支付連結,如果不仔細看可能就不會發現裡面多了一點東西。看 KEY參數,在一般支付寶或者是網銀支付連結裡,肯定有一個參數校驗的過程,為了防止用戶篡改支付過程的金額和訂單號會做參數交驗, KEY 會不會就是參數交驗過程中遇到的密鑰?當時我找到網銀在線的文檔,經過仔細研究,猜想 KEY 可能是參數交驗所需要的密鑰,根據規則結合前面的 KEY ,自己手動構造一個算參數交驗,自己算出來的數值和系統反饋回來的數值一樣,印證了我的猜想是正確的,我就可以結合這個規則和 KEY 構造出任意金額的支付連結,而且可以保證支付連結完完全全合法有效,所以,這可以算是真真正正的任意金額支付漏洞。
0x03 朝高危漏洞出發,不破樓蘭終不還測試過程中要有挖高危漏洞的心,如果是挖到低危或者是中危漏洞也要想方設法把它變成高危的漏洞。
某次測試中找到某個系統存在 PHP 文件包含漏洞,經過測試發現這個系統沒有任何上傳點,文件包含是本地文件包含,意味著無法通過上傳或者是遠程文件包含拿到 web shell ,這時通過文件包含漏洞繼續讀系統原始碼,最後在某一個文件中發現了這麼一行代碼,這行代碼意味著可以控制 session 變量,PHP的 session 保存伺服器某個固定的路徑下,而且文件名是固定的前綴加上 session ID,路徑可以知道,session 的變量也可以控制,可以通過這個頁面往 session 文件裡寫一句話,最終通過包含session文件的方式獲取到web shell。
論壇程序,在眾測的過程中遇到很多,對於這種程序大家都有自己的方法,有些是用社工管理員的帳號,或者是利用歷史漏洞去入手,自帶統一管理的程序。
如果仔細看過漏洞詳情,就會知道 UC 有很多的 API 設計非常不安全,利用 API 爆破 UC 創始人的密碼,這個爆破不受驗證碼請求次數的研製,爆破創始人密碼可以登錄 UC 的後臺,相當於可以獲得論壇至高無上的權限,我在眾測過程中發現很多廠商對這裡有一些加固,可能會做訪問的限制,比如,針對源 IP 的限制,出現這種情況可以回到這裡,在拿到創始人密碼情況下,可以獲得論壇對應的 uc key,可以結合之前UC 的漏洞進行選項,還可以進行注入,注入寫本地的中轉腳本,可以利用自動化工具完成。
0x04 工欲善其事,必先利其器很多白帽子在眾測的時候都用自己的專屬的工具包,有些是自己定製化開發的工具,我平常使用比較多的是一款基於被動式的掃描工具,在這種被動式掃描工具出現之前,也有大牛開源了一款工具,但是要經過注入檢測,我推薦的這款適用範圍更廣一些,技術差不多也是利用現成的輪子組合,技術含量不是很高,主要是分享一些思路。
程序搭載的流程,訪問代理伺服器可以抓取用戶所有的請求流量,可以對流量進行存儲,後端的掃描程序再對流量進行安全檢測。
程序分三部分,對於 host 欄位網站的域名和 IP ,會進行埠服務的識別,根據服務識別的結果再系統自動匹配調用相關的漏洞掃描的插件。系統掃描結果發現目標完善運行一個服務,自動從系統中調用爆破之類的檢測腳本檢測,url 會進行外部指紋的識別,識別目標網站使用中間件,系統會自動調用一些反序列化弱密碼的爆破之後進行檢測。對於動態頁面,會調用文件包含之類的常規的外部掃描的插件進行檢測。完整的流程走下來可以省去很多煩瑣重複性的勞動,也可以提高掃描的效率,提高漏洞發現的準確度,達到事半功倍的效果。
用到兩個框架,Tornado、Twisted,意味著在資源比較少的情況下,單機情況下都可以獲得比較不錯的掃描效率。
關注雷鋒網,獲得更多關於2017 先知白帽大會的信息。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。