20181227 橘子大大講挖🐛🐛換💰💰 ===== 台科大資安研究社 【 107-1 第十二次社課——挖洞洞換錢錢！】 ■ 時間：12/27 (四) 19:00-21:00 ■ 地點：TR-309 ■ 講師：Orange https://www.facebook.com/ntust.hacking/photos/a.1623576601227886/2188357831416424/ {%hackmd AllzV6PnT-uf-VDwmid5Jw %}  ## 開始 **Red Team** 全範圍的弱點檢測與測試 **Bug Bounty** 在官方所提供的規則範圍下，讓獨立研究人員可以自由尋找系統漏洞並提供獎勵 真實的攻擊但又不會損害企業利益，比傳統PT來說面向更廣泛 **PT** 對特定目標進行詳細且深入的滲透測試，範圍明確 https://hackerone.com/reports/391217 阿喵： 老司機想要挖漏洞有這四個 program 可以玩喔（ * https://hackerone.com/pornhub * https://hackerone.com/redtube * https://hackerone.com/youporn * https://hackerone.com/chaturbate 台灣的Bug Bounty https://zeroday.hitcon.org/ ## 流派 * 邏輯漏洞流（改錢流） * 前端安全流（XSS） * DNS流（自動化流程） * 後端安全流 ### 邏輯漏洞流（改錢流）：最容易第一步找到的 * 改錢 * 平行權限 * 垂直權限 * 商業邏輯漏洞 改錢 改金額、改數量、加減乘除、進階 [HMAC](https://zh.wikipedia.org/wiki/%E9%87%91%E9%91%B0%E9%9B%9C%E6%B9%8A%E8%A8%8A%E6%81%AF%E9%91%91%E5%88%A5%E7%A2%BC) 平行/垂直權限 任意刪照片、幫別人發文、變身成其他人 舉個🌰 噗浪，使用Burp getFriends: offset/limit/user_id <- 如果換掉會怎樣？ delete post: plurk_id <- 如果換成別人的文章編號會怎樣？ 某通訊軟體：大頭貼雖然只有提供上傳功能，但實際上有沒有被記錄的delete api point 換掉user uuid就可以發動攻擊換掉別人的頭貼 商業邏輯漏洞 * 驗證碼破解 https://www.tnpd.gov.tw/chinese/home.jsp?serno=201012130068&mserno=201012130066&menudata=TncgbMenu&contlink=ap/mail4.jsp&level2=Y *  * 亂數有規律、定單流水號 * 灌票 / 密碼加密 * 找回密碼流程 * FB * 重設密碼漏洞 - 重設密碼時的驗證碼可被暴力破解嗎？ * beta.facebook.com 沒有加上rate limit * 中Ｏ電信 * 使用密碼提示來設定新密碼 * 使用常用信箱取得密碼 * 錢 _ KTV * 綁定手機app與密碼，可以遙控特定包廂點歌喀歌 * LoginKey A-Z0-9 1679616種組合 * ASP.NET web service * 有個API可以查到密碼 * RoomNo好解決，BillNo: 1605170010 年月日流水號 * 可以幫任意包廂點歌跟發訊息ＸＤ * 不會消失的訊息：「不客氣，啾咪^_<」 * Fuzzy了所有字元，只有底線有問題，有可能是後端分隔字元用的是底線 * 社交工程 ### 前端安全流 * XSS * 到處插 "><script>alert("1")</script>" * svg/onload * http://orange.tw/xss_example * 如何跳窗？ * 如何繞過Chrome XSS Auditor? * 網址內若有危險pattern又出現在網頁內，就會被Chrome攔截 * 看情況做事 不是正常顯示的ascii code * 丟奇怪的字元，JSON自動encode了起來，造成一點不同，進一步繞過XSS Auditor * 過濾雙引號，又用雙引號擋起來 * hidden field * tag優先權：即便在雙引號裡面，iframe frame script的優先權還是比較高，會優先被瀏覽器解釋，這個弱點拿了五萬台幣 * 如何更進一步利用？ * 子域名下的XSS * 只能偷Cookie * 無法取得secure.lemon.com or *.lemon.com [CORS保護](https://developer.mozilla.org/zh-TW/docs/Web/HTTP/CORS) * 但可以幫父Domain設定cookie...奇妙 * 如何更進一步利用？ * oauth讓你可以用FB或Google認證，就不用自己架會員系統 * redirect_uri如果可以被竄改就可以偷cookie, 是很嚴重的漏洞 * accessToken - App有這組認證就可以隨時存取你授權的資料，所以如果你沒有用這個app的話，記得要去刪掉。取得這組token的人就可以利用你的身份 * 立馬拍照ＸＤ * 訪問時會設定一組CSRF Token於Cookie/Session中，防止CSRF攻擊 * 子域名下可以透過JS去做，自己設定父域名的cookie然後自己打oauth request, 誘使點擊同意，完成操作取得token * 進一步：持久化：試圖取得AccessToken * 跳轉的時間太短無法控制，js可能還來不及執行 * cookie bomb - 設置太大的cookie可能對方Server會拒絕，導致跳轉到413/400 error code，跳轉就會被終止，你就可以去撈👍 * CSRF * HTML Injection * ...... ### 自動化流 * 慢慢列域名掃 * Google hacking, whois, subdomain bruitforce, ip, ssl cert, ... * 自動打自動送bug bounty XD * crt.sh : 列出網域跟憑證，可以以此開始挖弱點 #### 子域名劫持 雲端服務想要使用自己的域名，如github pages 如果github repo被移除了，我建立一個新的repo並設定相同的cname.. xXx: 透過 crt.sh 發現某個s3 bucket，但aws上已經刪除。我可以註冊一個自己的bucket來劫持這個域名 ### 後端安全流 * 打進伺服器就對了，比較硬，但很有效 * globalsight.xxxxxxx.com * google hacking * 找到source code, code review * Java的應用 * 下往上：找到危險的函數 * 上往下：找他的入口點與參數，看會不會進入到危險的函數裡 * web.xml * 自己架一套，找到方法黑了他，對正式主機比照辦理 * 找到一個函數有寫入檔案，寫檔的路徑與內容皆從Request來，還不用過認證，抓到啦 * 利用這個弱點寫入一隻jsp後門 ## 總結 花時間下去就對了 一整天去把每個參數都家XSS 一整晚把ID改成別人的