黑基网 首页 资讯 安全圈 查看内容

我是如何把50刀的漏洞变成9000刀

2016-10-27 21:07| 投稿: son850318

摘要: 简介本文描述Slack漏洞悬赏项目中,使用黑盒渗透测试,从一个50刀的server status泄露变成9000刀的敏感信息泄露和垂直权限绕过的过程。信息收集为了弄清基础架构、获取关于所用的框架的信息,我开始检查HTTP响应头, ...

简介


本文描述Slack漏洞悬赏项目中,使用黑盒渗透测试,从一个50刀的server status泄露变成9000刀的敏感信息泄露和垂直权限绕过的过程。

信息收集


为了弄清基础架构、获取关于所用的框架的信息,我开始检查HTTP响应头,发现Slack在使用的是Apache httpd服务器。于是我尝试识别常见的Apache目录和指令,比如“/icons/README”、“/manual/”、“/server-info”和“/server-status”。


我可以访问你的内部数据吗?


Slack在服务器上运行mod_status。这个模块能使服务器管理员发现他们的服务器表现如何以及哪个ip地址请求了哪些资源。攻击者可能会利用这种信息来计划对网络服务器的攻击。

https://secalert-hackerone.slack.com/server-status

当我尝试访问服务器状态指令时,服务器将我重定向到*.tinyspeck.com域名的一个登录页面。所以这个路径是受保护的。

超出范围的域名!又是什么问题?

如果你很懒,请注意Slack漏洞悬赏项目是禁止暴力破解的。于是一般人会尝试用一些注入技术绕过登录页面,但不幸的是登录页面本身位于一个允许范围之外的完全限定域名(FQDN)上,所以这个办法行不通。我必须找到一个方法留在secalert-hackerone.slack.com 的允许范围之内。


路由?筛选?——黑盒测试


一开始我觉得如果他们在用Apache httpd和mod_status,那么用重写模块会触发重定向。mod_rewrite模块是Apache的一个很强大的模块,用于在运行中重写URL。然而强大的能力伴随着高风险。配置mod_rewrite时容易产生错误,引发安全问题。以mod_rewrite文件中的一项配置为例:

1
RewriteRule ^/somepath(.*) /otherpath$1 [R]

如果是这样的话,他们可能会在重写规则中配置出错,因此我可以仅仅添加一个斜杠就绕过它。为什么?请求

http://yourserver/somepath/secalert

会重定向,不出所料地返回页面http://yourserver/otherpath/secalert。然而,请求

http://yourserver//somepath/secalert

会绕过这一项重写规则。针对Slack而言,这种方式绕过是不可能的。所以我必须打开思路。

为了绕过潜在的基于简单字符串的过滤保护,我尝试了斜杠的很多表示形式。

https://secalert-hackerone.slack.com/%2fserver-status%2f

https://secalert-hackerone.slack.com/%252fserver-status

为了绕过过滤,我使用RTLO序列进行了尝试,提交了其后为反向字符串的RTLO序列。

1
https://secalert-hackerone.slack.com/{u+202e here}sutats-revres
1
https://secalert-hackerone.slack.com/%e2%80%aesutats-revres


绕过访问控制!


几番测试之后,我觉得他们可能在框架中使用了路由策略,我可以通过添加多个正斜杠来绕过这种路由机制或访问控制。应用的过滤方法检查是否以特定的字符串开头,然后去掉一个正斜杠,但没有能递归地去掉所有的斜杠。这招终于管用了。

1
https://secalert-hackerone.slack.com/////server-status

成功!

结语


要有耐心!有时你可能会发现一个在技术层面上微不足道的缺陷,但它可能会对受影响的公司产生巨大的商业冲击或者严重的数据隐私问题,因此他们对这些风险的评估可能和你你一开始的想法不一样。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文搜集整理自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,请我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部