DEFCON CHINA世界頂級黑客大會
全球頂級安全會議“御·見未來”2018首屆DCCB(DEF CON CHINA Baidu)安全行業(yè)國際峰會在北京正式開幕�����,大會由DEF CON和百度安全聯(lián)合主辦���。DEF CON是全球安全領(lǐng)域的頂級會議,被譽為安全界“奧斯卡”���,由全球最具影響力形象最正面的極客Jeff Moss創(chuàng)辦,迄今已有25年歷史��。大會共設(shè)議題演講,CTF比賽���、Hack Villages三大板塊�。本屆DEF CON CHINA將延續(xù)DEF CON傳統(tǒng)議程和賽制,召集全球網(wǎng)絡(luò)頂尖安全專家與技術(shù)愛好者匯集于此�,分享時下前沿安全技術(shù)與課題研究成果��。
開幕首日����,議題演講的現(xiàn)場就爆滿��,用people mountain people sea來形容,絕不夸張���。
安全客將會對大會的議題演講和Hack Villages進(jìn)行系列報道����,Now��,讓我們一起來了解今天呆子不開口老師分享的議題《你上了我的賬號》。
正常攻擊者的思維都是找到漏洞����,主動攻擊�,但是呆子不開口老師為我們提供了一個新的思路����。使用常見的漏洞誘導(dǎo)受害者主動上勾登陸攻擊者的賬號���,再結(jié)合一些其他的漏洞��,進(jìn)而竊取受害者的信息��。
講師介紹
呆子不開口�,資深安全從業(yè)者
擅長web漏洞挖掘和安全架構(gòu)
錘子手機軟文大賽一等獎獲得者
喜歡的運動是足球
喜歡的球星是厄齊爾
《你上了我的賬號》議題概要
本議題介紹了一些互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號的方式�,以及由此產(chǎn)生的一些漏洞和攻擊場景,同時也會聊聊如何修復(fù)此類問題�����。這種安全風(fēng)險往往被人忽視����,但它可以給某些漏洞利用過程提供重要的幫助,甚至結(jié)合csrf�、selfxss�����、oauth�����、sso的一些低危漏洞或特性可以形成盜取登錄憑證��、第三方后門賬號���、竊取隱私���、釣魚攻擊、盜取資源��、冒用身份等攻擊�。
未知攻焉知防��,不因善小而不為,不以洞小就不修!
開場呆子不開口老師先介紹了曾經(jīng)發(fā)現(xiàn)的“上別人賬號”的漏洞����,仔細(xì)一看�����,互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號的方式真是五花八門�,各有門路�。
互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號的方式
1����、login csrf
登錄表單沒有做csrf防護(hù),可以直接讓受害者使用攻擊者的用戶密碼登錄
例如:瀏覽器會記錄用戶的上網(wǎng)行為����,如果用戶登陸了攻擊者的賬號�,那么他的上網(wǎng)行為就會被攻擊者了解�。
2�、Setcookie
一些網(wǎng)站有setcookie的接口���,可以用來設(shè)置登錄cookie
http://www.website.com/setcookie.php?key=XXXXXXXX
3���、鏈接傳遞登陸憑證
一些網(wǎng)站或者app有接受票據(jù)的接口�,可以用來完成登陸
http://login.website.com/sso.php?token=XXXXXXXX
URL Scheme傳遞密碼或憑證
4�、二維碼掃描登陸
本地調(diào)接口生成二維碼��,掃描授權(quán)��,輪詢查詢接口后拿到授權(quán)成功后的鏈接��,讓受害者訪問鏈接完成登錄�,比如
https://wx.website.com/cgi-bin/mmwebwx-bin/webwxnewloginpage?ticket=XXXXXX&uuid=gab7NVa-HA==&lang=zh_CN&scan=1525192841
5��、第三方賬號登陸
先登錄攻擊者的賬號��,再利用可能存在缺陷的地第三方攻擊者賬號登陸
6��、社會工程學(xué)
直接和目標(biāo)用戶進(jìn)行物理接觸�����,比如線下網(wǎng)友見面�,直接面對面溝通套取對方的姓名/生日/年齡/住址等信息�。
產(chǎn)生的一些漏洞和攻擊場景
登錄攻擊者的網(wǎng)站賬號
場景一:上網(wǎng)行為
用戶產(chǎn)生行為,攻擊者來讀取
搜索網(wǎng)站的搜索記錄
一些視頻網(wǎng)站的瀏覽記錄
攻擊者寫入內(nèi)容���,影響用戶行為
影響搜索記錄,變相內(nèi)容推薦
可能的釣魚攻擊����,郵件引導(dǎo)用戶打開網(wǎng)站,內(nèi)容是由攻擊者控制的
場景二:用戶輸入
用戶不知情輸入內(nèi)容�����,攻擊者讀
對方在支付時�����,輸入信用卡號
釣魚郵件誘導(dǎo)用戶在合法頁面輸入收貨地址
記事本類網(wǎng)站輸入日程安排和隱私信息
場景三:第三方網(wǎng)站交互
第三方跨域提交�,攻擊者讀
第三方站敏感信息讀取
攻擊者寫����,第三方跨域使用
比如第三方站點www.mepsite.com跨域從www.website.com獲取信息���,可能導(dǎo)致xss攻擊
通過Oauth授權(quán)綁定第三方賬號的場景����,可能導(dǎo)致受害者綁定了攻擊者的第三方賬號
Oauth授權(quán)綁定第三方賬號
1、某站綁定某微博網(wǎng)站登陸的請求為http://www.website.com/oauth/redirect/bind/weibo?next=/oauth/callback此請求并未做csrf防護(hù)�,攻擊者可以在第三方網(wǎng)頁中偽造此請求
2、某微博的授權(quán)有如下特點�,如果當(dāng)前登陸的微博曾經(jīng)授權(quán)過此應(yīng)用����,那么就會無需用戶確認(rèn)��,會自動完成授權(quán)過程����,網(wǎng)站會自動綁定此微博賬號
3����、所以我們可以找一個此微博站登陸的csrf漏洞,誘導(dǎo)受害者自動登陸攻擊者的微博�。然后再讓用戶訪問綁定請求����,這樣就完成了對攻擊者微博的綁定��。這樣攻擊者使用他的微博登陸就可以進(jìn)入受害者的網(wǎng)站賬號http://www.website.com/oauth/bindweibo?platform=weibo&state=XXXXXXX&code=XXXXXXXXXXXX
一些實用的小技巧
1�����、有些授權(quán)頁要求強行登錄���,可以嘗試修改參數(shù)為forcelogin=false
2�、有的callback請求沒有校驗state��������?梢灾苯邮褂孟旅骀溄油瓿山壎╤ttps://api.mouweibo.com/oauth2/authorizeclient_id=3977697501&redirect_uri=xxxxxxxxx&response_type=code&state=xxxx&forcelogin=false
3、有的state校驗是校驗cookie的���,也可能有setcookie的接口����。曾有個站:State存在cookie中,而且存儲格式是這樣XXXXXX=state�����,只要能控制value即可
登錄攻擊者的網(wǎng)站賬號
場景一:利用對方上網(wǎng)環(huán)境
1���、對方的員工或者內(nèi)網(wǎng)的白名單IP或白名單瀏覽器的突破
2�、盜號后對溯源的干擾
3、利用網(wǎng)友的環(huán)境惡意發(fā)帖
場景:場外的人
攻擊者賬號的內(nèi)容被其他人看到�����,比如對方女友��,或者警察���。可以誣陷受害人
登錄關(guān)聯(lián)賬號
如果被攻擊者惡意綁定���,相當(dāng)于被盜號����。
攻擊方式:logincsrf
例如
1��、一些網(wǎng)站允許用戶綁定另外一個站內(nèi)其他賬號����,然后可以同時管理兩個賬號;
2�、一些網(wǎng)站允許用戶綁定第三方賬號,和第三方站可以互相登錄;
登錄瀏覽器賬號
可以竊取隱私����、安裝惡意插件。
攻擊方式:logincsrf��、偽造自動登錄鏈接�����、社工
例如
1、瀏覽器的云賬號�����,可以同步收藏夾和擴展,或者同步瀏覽器配置
2����、模擬瀏覽器賬號登錄界面的請求,在一些特定頁中可以實現(xiàn)瀏覽器的登錄
app類攻擊場景
如果受害者的網(wǎng)盤�����、備忘錄類app登錄了攻擊者賬號����,從此手機端信息同步給攻擊者,比如照片、日程等等
攻擊方式
Webview登錄�、url schemes接收憑證
后臺配置類攻擊場景
配置數(shù)據(jù)庫賬號�、ftp賬號、memcache等存儲服務(wù)的賬號
攻擊方式:csrf
登錄路由器云賬號
攻擊者登錄app�,可以獲得隱私信息、劫持DNS…
攻擊方式:社工���、logincsrf
例如
1�����、路由器管理界面可以配置云賬號。路由器可以通過app來管理
2�、攻擊者可以獲取受害者的上網(wǎng)終端信息��,修改受害者的上網(wǎng)配置信息
智能家居
可以偷拍���、監(jiān)控出軌….(當(dāng)然也可以是別的)
攻擊方式:社工���、漏洞接口
例如
1����、攝像頭的云賬號可以查看實時畫面
2���、體重秤的云賬號可以查看體重記錄
攻擊者賬號的內(nèi)容有selfxss
selfxss的雞肋:盜取cookie和對自己的資源操作是無意義的
還可以做很多事����,例如
1、瀏覽器端存儲的操作(存儲xss���、污染緩存……)
2���、同源策略可以攻擊其他域
3、釣魚偷取密碼
4����、偷其他域傳遞過來的信息
selfxss攻擊需要對方先登錄攻擊者賬號
Selfxss操作瀏覽器端存儲
1���、A.website.com的自動登錄+A.website.com的selfxss+B. website.com的cookiexss=B. website.com的reflect xss
2����、localstorage污染等等
selfxss
如果B.weisite.com的document.domain=weisite.com
A.weisite.com同源策略可以攻擊B.weisite.com
selfxss釣魚
釣魚偷取密碼
釣魚進(jìn)行詐騙
selfxss偷其他域傳遞過來的信息
http://sso.mepsite.com/login.php?appurl=http://A.website.com/selfxss.php
sso.mepsite.com給A.website.com傳遞了ticket
1�����、http://A.website.com/selfxsspage.php?ticket=XXXXXXXX
selfxss獲取Window.location
2、http://A.website.com/login.php?ticket=XXXXXXXX js跳轉(zhuǎn)到http://A.website.com/selfxsspage.php
selfxss獲取referer
3�����、http://A.website.com/login.php?ticket=XXXXXXXX 302跳轉(zhuǎn)到http://A.website.com/selfxsspage.php
selfxss先種超長cookie
再創(chuàng)建iframe,src=http://sso.mepsite.com/login.php?appurl=http://A.website.com/selfxss.php
http://A.website.com/login.php?ticket=XXXXXXXX會加載失敗��,然后使用iframe.contentWindow.location.href讀取最后的iframe的當(dāng)前地址����,從而得到ticket
拒絕服務(wù)還有個好處��,突破某些ticket有防重放的保護(hù)
修復(fù)方案
敲黑板!未知攻焉知防��,了解攻擊思路,最重要的是提醒大家不要放過任何漏洞�,盡量杜絕所有可能出現(xiàn)的安全隱患哇!
1�、登錄表單、換取憑證�、退出登錄等請求都需要做csrf防護(hù)��、來源簽名校驗等
2、頁面醒目顯示登錄用戶名
3��、不因善小而不為�,不以洞小就不修
歡迎對web漏洞挖掘和安全架構(gòu)方向感興趣和對如何能做一個優(yōu)雅的段子手感興趣的同學(xué)們,關(guān)注一波!
呆子不開口老師博客 :http://lvwei.me�,以及微博 http://weibo.com/lvwei 。
聲明:本文經(jīng)安全客授權(quán)發(fā)布���,轉(zhuǎn)載請聯(lián)系安全客平臺���。
鏈接:https://www.anquanke.com/post/id/144685?from=singlemessage&isappinstalled=0
鄂公網(wǎng)安備 42112402000149號