DEFCON CHINA議題解讀 | 你上我的帳號(hào)！你要干啥？

　　DEFCON CHINA世界頂級(jí)黑客大會(huì)

　　全球頂級(jí)安全會(huì)議“御·見(jiàn)未來(lái)”2018首屆DCCB(DEF CON CHINA Baidu)安全行業(yè)國(guó)際峰會(huì)在北京正式開(kāi)幕，大會(huì)由DEF CON和百度安全聯(lián)合主辦。DEF CON是全球安全領(lǐng)域的頂級(jí)會(huì)議，被譽(yù)為安全界“奧斯卡”，由全球最具影響力形象最正面的極客Jeff Moss創(chuàng)辦，迄今已有25年歷史。大會(huì)共設(shè)議題演講，CTF比賽、Hack Villages三大板塊。本屆DEF CON CHINA將延續(xù)DEF CON傳統(tǒng)議程和賽制，召集全球網(wǎng)絡(luò)頂尖安全專家與技術(shù)愛(ài)好者匯集于此，分享時(shí)下前沿安全技術(shù)與課題研究成果。

　　開(kāi)幕首日，議題演講的現(xiàn)場(chǎng)就爆滿，用people mountain people sea來(lái)形容,絕不夸張。

　　安全客將會(huì)對(duì)大會(huì)的議題演講和Hack Villages進(jìn)行系列報(bào)道，Now，讓我們一起來(lái)了解今天呆子不開(kāi)口老師分享的議題《你上了我的賬號(hào)》。

　　正常攻擊者的思維都是找到漏洞，主動(dòng)攻擊，但是呆子不開(kāi)口老師為我們提供了一個(gè)新的思路。使用常見(jiàn)的漏洞誘導(dǎo)受害者主動(dòng)上勾登陸攻擊者的賬號(hào)，再結(jié)合一些其他的漏洞，進(jìn)而竊取受害者的信息。

　　講師介紹

　　呆子不開(kāi)口，資深安全從業(yè)者

　　擅長(zhǎng)web漏洞挖掘和安全架構(gòu)

　　錘子手機(jī)軟文大賽一等獎(jiǎng)獲得者

　　喜歡的運(yùn)動(dòng)是足球

　　喜歡的球星是厄齊爾

　　《你上了我的賬號(hào)》議題概要

　　本議題介紹了一些互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號(hào)的方式，以及由此產(chǎn)生的一些漏洞和攻擊場(chǎng)景，同時(shí)也會(huì)聊聊如何修復(fù)此類問(wèn)題。這種安全風(fēng)險(xiǎn)往往被人忽視，但它可以給某些漏洞利用過(guò)程提供重要的幫助，甚至結(jié)合csrf、selfxss、oauth、sso的一些低危漏洞或特性可以形成盜取登錄憑證、第三方后門賬號(hào)、竊取隱私、釣魚(yú)攻擊、盜取資源、冒用身份等攻擊。

　　未知攻焉知防，不因善小而不為，不以洞小就不修!

　　開(kāi)場(chǎng)呆子不開(kāi)口老師先介紹了曾經(jīng)發(fā)現(xiàn)的“上別人賬號(hào)”的漏洞，仔細(xì)一看，互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號(hào)的方式真是五花八門，各有門路。

　　互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號(hào)的方式

　　1、login csrf

　　登錄表單沒(méi)有做csrf防護(hù)，可以直接讓受害者使用攻擊者的用戶密碼登錄

　　例如：瀏覽器會(huì)記錄用戶的上網(wǎng)行為，如果用戶登陸了攻擊者的賬號(hào)，那么他的上網(wǎng)行為就會(huì)被攻擊者了解。

　　2、Setcookie

　　一些網(wǎng)站有setcookie的接口，可以用來(lái)設(shè)置登錄cookie

　　http://www.website.com/setcookie.php?key=XXXXXXXX

　　3、鏈接傳遞登陸憑證

　　一些網(wǎng)站或者app有接受票據(jù)的接口，可以用來(lái)完成登陸

　　http://login.website.com/sso.php?token=XXXXXXXX

　　URL Scheme傳遞密碼或憑證

　　4、二維碼掃描登陸

　　本地調(diào)接口生成二維碼，掃描授權(quán)，輪詢查詢接口后拿到授權(quán)成功后的鏈接，讓受害者訪問(wèn)鏈接完成登錄，比如

　　https://wx.website.com/cgi-bin/mmwebwx-bin/webwxnewloginpage?ticket=XXXXXX&uuid=gab7NVa-HA==&lang=zh_CN&scan=1525192841

　　5、第三方賬號(hào)登陸

　　先登錄攻擊者的賬號(hào)，再利用可能存在缺陷的地第三方攻擊者賬號(hào)登陸

　　6、社會(huì)工程學(xué)

　　直接和目標(biāo)用戶進(jìn)行物理接觸，比如線下網(wǎng)友見(jiàn)面，直接面對(duì)面溝通套取對(duì)方的姓名/生日/年齡/住址等信息。

　　產(chǎn)生的一些漏洞和攻擊場(chǎng)景

　　登錄攻擊者的網(wǎng)站賬號(hào)

　　場(chǎng)景一：上網(wǎng)行為

　　用戶產(chǎn)生行為，攻擊者來(lái)讀取

　　搜索網(wǎng)站的搜索記錄

　　一些視頻網(wǎng)站的瀏覽記錄

　　攻擊者寫入內(nèi)容，影響用戶行為

　　影響搜索記錄，變相內(nèi)容推薦

　　可能的釣魚(yú)攻擊，郵件引導(dǎo)用戶打開(kāi)網(wǎng)站，內(nèi)容是由攻擊者控制的

　　場(chǎng)景二：用戶輸入

　　用戶不知情輸入內(nèi)容，攻擊者讀

　　對(duì)方在支付時(shí)，輸入信用卡號(hào)

　　釣魚(yú)郵件誘導(dǎo)用戶在合法頁(yè)面輸入收貨地址

　　記事本類網(wǎng)站輸入日程安排和隱私信息

　　場(chǎng)景三：第三方網(wǎng)站交互

　　第三方跨域提交，攻擊者讀

　　第三方站敏感信息讀取

　　攻擊者寫，第三方跨域使用

　　比如第三方站點(diǎn)www.mepsite.com跨域從www.website.com獲取信息，可能導(dǎo)致xss攻擊

　　通過(guò)Oauth授權(quán)綁定第三方賬號(hào)的場(chǎng)景，可能導(dǎo)致受害者綁定了攻擊者的第三方賬號(hào)

　　Oauth授權(quán)綁定第三方賬號(hào)

　　1、某站綁定某微博網(wǎng)站登陸的請(qǐng)求為http://www.website.com/oauth/redirect/bind/weibo?next=/oauth/callback此請(qǐng)求并未做csrf防護(hù)，攻擊者可以在第三方網(wǎng)頁(yè)中偽造此請(qǐng)求

　　2、某微博的授權(quán)有如下特點(diǎn)，如果當(dāng)前登陸的微博曾經(jīng)授權(quán)過(guò)此應(yīng)用，那么就會(huì)無(wú)需用戶確認(rèn)，會(huì)自動(dòng)完成授權(quán)過(guò)程，網(wǎng)站會(huì)自動(dòng)綁定此微博賬號(hào)

　　3、所以我們可以找一個(gè)此微博站登陸的csrf漏洞，誘導(dǎo)受害者自動(dòng)登陸攻擊者的微博。然后再讓用戶訪問(wèn)綁定請(qǐng)求，這樣就完成了對(duì)攻擊者微博的綁定。這樣攻擊者使用他的微博登陸就可以進(jìn)入受害者的網(wǎng)站賬號(hào)http://www.website.com/oauth/bindweibo?platform=weibo&state=XXXXXXX&code=XXXXXXXXXXXX

　　一些實(shí)用的小技巧

　　1、有些授權(quán)頁(yè)要求強(qiáng)行登錄，可以嘗試修改參數(shù)為forcelogin=false

　　2、有的callback請(qǐng)求沒(méi)有校驗(yàn)state�？梢灾苯邮褂孟旅骀溄油瓿山壎╤ttps://api.mouweibo.com/oauth2/authorizeclient_id=3977697501&redirect_uri=xxxxxxxxx&response_type=code&state=xxxx&forcelogin=false

　　3、有的state校驗(yàn)是校驗(yàn)cookie的，也可能有setcookie的接口。曾有個(gè)站：State存在cookie中，而且存儲(chǔ)格式是這樣X(jué)XXXXX=state，只要能控制value即可

　　登錄攻擊者的網(wǎng)站賬號(hào)

　　場(chǎng)景一：利用對(duì)方上網(wǎng)環(huán)境

　　1、對(duì)方的員工或者內(nèi)網(wǎng)的白名單IP或白名單瀏覽器的突破

　　2、盜號(hào)后對(duì)溯源的干擾

　　3、利用網(wǎng)友的環(huán)境惡意發(fā)帖

　　場(chǎng)景：場(chǎng)外的人

　　攻擊者賬號(hào)的內(nèi)容被其他人看到，比如對(duì)方女友，或者警察。可以誣陷受害人

　　登錄關(guān)聯(lián)賬號(hào)

　　如果被攻擊者惡意綁定，相當(dāng)于被盜號(hào)。

　　攻擊方式：logincsrf

　　例如

　　1、一些網(wǎng)站允許用戶綁定另外一個(gè)站內(nèi)其他賬號(hào)，然后可以同時(shí)管理兩個(gè)賬號(hào);

　　2、一些網(wǎng)站允許用戶綁定第三方賬號(hào)，和第三方站可以互相登錄;

　　登錄瀏覽器賬號(hào)

　　可以竊取隱私、安裝惡意插件。

　　攻擊方式：logincsrf、偽造自動(dòng)登錄鏈接、社工

　　例如

　　1、瀏覽器的云賬號(hào)，可以同步收藏夾和擴(kuò)展，或者同步瀏覽器配置

　　2、模擬瀏覽器賬號(hào)登錄界面的請(qǐng)求，在一些特定頁(yè)中可以實(shí)現(xiàn)瀏覽器的登錄

　　app類攻擊場(chǎng)景

　　如果受害者的網(wǎng)盤、備忘錄類app登錄了攻擊者賬號(hào)，從此手機(jī)端信息同步給攻擊者，比如照片、日程等等

　　攻擊方式

　　Webview登錄、url schemes接收憑證

　　后臺(tái)配置類攻擊場(chǎng)景

　　配置數(shù)據(jù)庫(kù)賬號(hào)、ftp賬號(hào)、memcache等存儲(chǔ)服務(wù)的賬號(hào)

　　攻擊方式：csrf

　　登錄路由器云賬號(hào)

　　攻擊者登錄app，可以獲得隱私信息、劫持DNS…

　　攻擊方式：社工、logincsrf

　　例如

　　1、路由器管理界面可以配置云賬號(hào)。路由器可以通過(guò)app來(lái)管理

　　2、攻擊者可以獲取受害者的上網(wǎng)終端信息，修改受害者的上網(wǎng)配置信息

　　智能家居

　　可以偷拍、監(jiān)控出軌….(當(dāng)然也可以是別的)

　　攻擊方式：社工、漏洞接口

　　例如

　　1、攝像頭的云賬號(hào)可以查看實(shí)時(shí)畫面

　　2、體重秤的云賬號(hào)可以查看體重記錄

　　攻擊者賬號(hào)的內(nèi)容有selfxss

　　selfxss的雞肋：盜取cookie和對(duì)自己的資源操作是無(wú)意義的

　　還可以做很多事，例如

　　1、瀏覽器端存儲(chǔ)的操作(存儲(chǔ)xss、污染緩存……)

　　2、同源策略可以攻擊其他域

　　3、釣魚(yú)偷取密碼

　　4、偷其他域傳遞過(guò)來(lái)的信息

　　selfxss攻擊需要對(duì)方先登錄攻擊者賬號(hào)

　　Selfxss操作瀏覽器端存儲(chǔ)

　　1、A.website.com的自動(dòng)登錄+A.website.com的selfxss+B. website.com的cookiexss=B. website.com的reflect xss

　　2、localstorage污染等等

　　selfxss

　　如果B.weisite.com的document.domain=weisite.com

　　A.weisite.com同源策略可以攻擊B.weisite.com

　　selfxss釣魚(yú)

　　釣魚(yú)偷取密碼

　　釣魚(yú)進(jìn)行詐騙

　　selfxss偷其他域傳遞過(guò)來(lái)的信息

　　http://sso.mepsite.com/login.php?appurl=http://A.website.com/selfxss.php

　　sso.mepsite.com給A.website.com傳遞了ticket

　　1、http://A.website.com/selfxsspage.php?ticket=XXXXXXXX

　　selfxss獲取Window.location

　　2、http://A.website.com/login.php?ticket=XXXXXXXX js跳轉(zhuǎn)到http://A.website.com/selfxsspage.php

　　selfxss獲取referer

　　3、http://A.website.com/login.php?ticket=XXXXXXXX 302跳轉(zhuǎn)到http://A.website.com/selfxsspage.php

　　selfxss先種超長(zhǎng)cookie

　　再創(chuàng)建iframe，src=http://sso.mepsite.com/login.php?appurl=http://A.website.com/selfxss.php

　　http://A.website.com/login.php?ticket=XXXXXXXX會(huì)加載失敗，然后使用iframe.contentWindow.location.href讀取最后的iframe的當(dāng)前地址，從而得到ticket

　　拒絕服務(wù)還有個(gè)好處，突破某些ticket有防重放的保護(hù)

　　修復(fù)方案

　　敲黑板!未知攻焉知防，了解攻擊思路，最重要的是提醒大家不要放過(guò)任何漏洞，盡量杜絕所有可能出現(xiàn)的安全隱患哇!

　　1、登錄表單、換取憑證、退出登錄等請(qǐng)求都需要做csrf防護(hù)、來(lái)源簽名校驗(yàn)等

　　2、頁(yè)面醒目顯示登錄用戶名

　　3、不因善小而不為，不以洞小就不修

　　歡迎對(duì)web漏洞挖掘和安全架構(gòu)方向感興趣和對(duì)如何能做一個(gè)優(yōu)雅的段子手感興趣的同學(xué)們，關(guān)注一波!

　　呆子不開(kāi)口老師博客 ：http://lvwei.me，以及微博 http://weibo.com/lvwei 。

　　聲明：本文經(jīng)安全客授權(quán)發(fā)布，轉(zhuǎn)載請(qǐng)聯(lián)系安全客平臺(tái)。

　　鏈接：https://www.anquanke.com/post/id/144685?from=singlemessage&isappinstalled=0