Web浸透测验中比较难的便是测验那些交互较少的使用了,当你尝试了各种缝隙使用办法而无效之后,很或许就会抛弃了。但有时分,这种花费时刻的投入和研讨,对白帽本身的技能进步来说,仍是十分有用的。这儿我就共享一下,我在对比特币赌博网站bustabit的浸透测验中发现的两个缝隙,由此我也收成了$12,000赏金。比特币公司便是豪气。
布景
曩昔几周,我一向在对比特币赌博网站bustabit进行浸透测验。在该网站中,玩家自己决定要投注的金额和付出倍数,跟着赔率和倍数的上升,在游戏强行停止前自行停止游戏即可胜出,可是在游戏强行停止时还未能退出竞赛,一切玩家的赌注都会输掉。
bustabit网站使用中存在一些有意思的功用,但我觉得其间的用户谈天沟通功用或许存在问题,所以我也花了很多时刻来研讨剖析它。注册登录之后,点击这儿的链接https://www.bustabit.com/play,在左下角的CHAT框内就可与各路玩家进行实时谈天。
缝隙1:用户客户端的拒绝服务(DoS)缝隙 – $2,000 美金
当我阅读检查谈天音讯时,发现了一件有意思的事,便是当链接被张贴进入时,谈天使用服务会主动为其创立一个超链接进行跳转。原因是因为网站采用了一个特别且又风险的HTML完成元素,进犯者能够采纳以下办法履行歹意操作:
:2
理论上,该处首要会存在以下三种歹意使用:
假如输入未做严厉的安全过滤,则能够把 :1 的当地替换为 ” onmouseover=alert(1) a=” 构成触发;
假如输入未做严厉的安全过滤,还能够把 :1 的当地替换为 javascript:alert(1) 构成触发;
假如输入未做严厉的安全过滤,则能够把 :2 的当地替换为 alert(1) 构成触发。
可在这儿,这些当地的替换终究无法构成有用使用。谈天使用服务形似不是直接对外部URL网站进行超链接转化,例如在谈天窗口中输入的外部URL网站是www.google.com,这儿的谈天使用将会把其修改为以下款式的终究跳转链接:
https://www.bustabit.com/external?url=https://www.google.com
当然,在谈天窗口中点击以上这个终究链接之后,会发作以下正告:
假如谈天窗口中输入的外部URL网站是bustabit本身网站会怎样?
经测验发现,bustabit本身并不会把自己的网站链接当成外部URL网站进行转发,例如在谈天窗口中输入www.bustabit.com/a后,因为它是同一个网站,它并不会像上述那样,终究转化为www.bustabit.com/external?url=www.bustabit.com/a 这样的跳转链接。
但结合之前的 :2 HTML可使用之处,能够在其间结构参加 www.bustabit.com/a :
www.bustabit.com/a
那要是变为上述的跳转链接,在其间参加www.google.com/a又会是怎样呢?咱们能够这样来结构:
https://www.bustabit.com/external?url=https://www.google.com/a“>https://www.google.com/a
这个结构链接中有亮点的部份是,它没有对整个域更行超链接,而仅仅是对https://www.google.com/a进行了超链接,终究点击它后,又会跳转到https://www.bustabit.com/external?url=https://www.google.com/a :
由此,进犯者能够使用双斜线功用来跳转恳求相似以下的外部资源,完成进犯Payload加载:
https://www.bustabit.com//attacker.com/hacked
终究能够这样结构:
www.bustabit.com//attacker.com/hacked
经验证,这种办法是可行的:
以下的HTML和上述的 //hacker.com/ 相似,请注意终究的结构作用是它会跳转到一个非 samcurry.net 网站的外部链接上。这儿的技能原理与一致资源标识符(URI)相关,点此参阅。
就像下图中在谈天室中输入bustabit.com//whywontyouload.com之后,这种办法看上去能够绕过HTML解析机制的 Link Filter,因为这是一个纯JavaScript的使用,需求 onclick 事情而不必主动履行改写就能加载whywontyouload.com,可是终究作用不是太抱负。
即便在客户端写好了PoC脚本,它也只会悬停在指向whywontyouload.com的操作上,点击URL链接也没有任何反响。所以,我就来好好看看究竟发作了什么。
通过一番研讨,我重复用不同的Payload来测验跳转到外部域的机制,偶尔就发现了能让网站变灰不显现任何东西的状况。本来,是我在自己的客户端中发送了以下链接:
https://www.bustabit.com/%0t
因为其间包含了 %0t, JavaScript 不知怎么处理解析,所以导致了整个网站的失效呼应。即便改写了整个页面,我发现,我的客户端还处于溃散状况。这也便是说,使用程序会主动把一切超链接发送到某个JavaScript函数,假如其间存在像 %0t 的这种失效参数,就会形成整个程序的溃散。
[1] [2] 黑客接单网
TA505以运用歹意垃圾邮件和不同的歹意软件来进犯金融安排和零售企业而臭名远扬。研究人员在曩昔2个月检测到与TA505相关的进犯活动。在该安排的最近活动中,运用了HTML附件来传达歹意XLS文件,XL...
Metasploit是一个十分受欢迎的浸透测验结构,被视为安全测验人员手中的一把利器。但在另一方面由于他过于强壮,因而也常常被一些歹意攻击者所运用。当然,在本文咱们首要评论的是关于内存取证,这对于咱们...
本地文件包括(LFI)缝隙,常被入侵者用来提取站点地点服务器上的不同文件内容,如passwd,hosts等。但你有没有想过将它提升到另一个层级?即经过本地文件包括来获取服务器上的浏览器shell(c9...
因为一向在做 Web 缝隙扫描器的开发, 那么就必定少不了 Web 的缝隙测验环境, 其中就包含 bWAPP、DVWA、OWASP WebGoat 等这些国际品牌。 这些缝隙环境一般建立比较繁琐, 并...
在开端咱们的MongoDB“注入之旅”之前,咱们需求先知道和其他数据库比较,为什么咱们更乐意选MongoDB——由于MongoDB并不是SQL作为查询句子,所以人们可能会认为这样的数据库难以进行注入进...
在此前,咱们了解了关于侵略打印机的一些原理及方法,如《运用无人机或吸尘器黑掉企业无线打印机》、《我是怎么黑掉惠普打印机的?》,现在居然有人对衔接公共网络的打印机成功施行了侵略。Andrew Auer...