Хакерские секреты простых вещей

Мы профессиональная команда, которая на рынке работает уже более 2 лет и специализируемся исключительно на лучших продуктах.

У нас лучший товар, который вы когда-либо пробовали!

Наши контакты:

Telegram:

https://t.me/happystuff

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-03-2

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!

Настало время исправиться и вспомнить ряд проблем, типичных для ASP. Для нас интересна специфичная фишка ASP. NET под названием ViewState. С ней же связаны и некоторые атаки. Технология эта относительно старая и достаточно распространенная. Но для ее правильного понимания необходимы неплохие познания в ASP. Если очень упростить, то можно воспринимать ее как хранилище состояния данных для определенной страницы какого-то пользователя. Простейший пример — postback. Юзер заполняет форму, отправляет ее на сервер на тот же URL , и сервер ему возвращает ту же страницу с введенными данными. Тогда данные формы и будут храниться во ViewState. В каком-то виде это хранение сессионных данных пользователя на его стороне. Есть два основных последствия возможности изменения ViewState. Во-первых, это reflected XSS. Во-вторых, это различные логические атаки на приложение, когда мы подменяем данные. Например, смена цены на тот или иной товар. Суть ее заключается в том, что к сериализованной строке от элементов страницы добавляется некий секретный ключ, а потом значение хешируется. Хеш добавляется к сериализованной строке, кодируется в Base64 и пересылается клиенту. После получения ViewState проводит аналогичную операцию, но теперь уже сверяет хеш, который был, с тем, который получен от клиента. Как ты понимаешь, это сильно мешает проведению атаки. Не зная секретного ключа, пройти проверку MAC не получится. Однако существует ряд ситуаций, в которых MAC отключен. Во-первых, в старых версиях он может быть отключен по умолчанию. Во-вторых, включить его можно как для всего сайта, так и для конкретных страниц. Во втором случае есть шанс, что разработчик упустил где-то корректную настройку. В-третьих, его иногда отключают из-за некоторых технических ограничений. Для того чтобы определить, включен ли MAC, надо лишь декодировать Base64 и взглянуть на конец строки. Если есть там бинарщина, значит, MAC включен, если нет, то отключен. Здесь можно посмотреть информацию в более удобном виде см. Идея атаки через XXE появилась в самом начале х, но лишь в последние несколько лет были придуманы новые техники атаки и постэксплуатации включая различные техники Server Side Request Forgery. А количество уязвимых к XXE приложений в последнее время растет на глазах. Но, видя проблему, вендоры принялись закручивать гайки, и те же библиотеки libxml, на которых основываются парсеры большинства скриптовых языков PHP, Python, Perl , теперь изначально отключают inline DTD. С другой стороны, всякое коробочное ПО, где используются старые версии библиотек, я уверен, будут радовать нас еще ближайшие пару-тройку лет. И здесь хотелось бы поделиться еще одной небольшой, но интересной находкой компании NetSPI, которая позволит нам отыскать еще больше мест для атак через XXE. Есть такое общее понятие, как веб-сервис web service. Если очень упростить, то веб-сервис — это технология общения между приложениями. Простейший пример — мобильное приложение. Оно само ответственно за показ информации пользователю то есть это не сайт с HTML , но данные получает от работающего на сервере веб-сервиса или нескольких. Программист подключает и настраивает фреймворк и пишет бизнес-логику приложения. Фреймворк отвечает за управление доступом и за саму передачу данных. Пример на картинке показывает, как это бывает. Если в JSON запрос выглядел так:. В общем, ты теперь можешь проверять веб-сервисы на влияние различных типов контента. Тема атак на них очень богата, и мы продолжим разбирать ее в следующих номерах. Несмотря на то что соответствующим уязвимостям уже лет пятнадцать, они сидят настолько глубоко в технологиях Microsoft, что новые и новые варианты атак все продолжают появляться, несмотря на заплатки. Эксплуатации этих уязвимостей немало способствует и небезопасная настройка ОС по умолчанию. Windows поддерживает протокол NTLM, который представляет собой стандартный challenge-response:. Клиент отправляет запрос на аутентификацию. Сервер возвращает некое случайное значение challenge. Клиент хеширует challenge со своим паролем на самом деле с NT-хешем пароля, но это неважно и отправляет его на сервер. Сервер выполняет аналогичную операцию у себя и сравнивает хеши. Если они одинаковы, то аутентифицирует клиента. Достоинство этого протокола в том, что пароль пользователя не передается в открытом виде. Недостаток — возможность relay атак. Если мы заставим жертву аутентифицироваться у нас на хосте, а данные передадим на сервер, то сервер аутентифицирует подключение от имени жертвы. Кстати, есть еще версия протокола NTLMv2, которая, несмотря на усложнение, не защищает от этой атаки. Ну и последнее — автоматическая аутентификация в Windows. Есть ряд сервисов, на которых операционка автоматически пытается аутентифицироваться. Когда-то был и другой вариант атаки SMB Relay. Можно было заставить жертву подключиться к нам, а потом релейнуть ее обратно на тот же хост. И если у пользователя, который подключился к нам, были высокие права, то мы получали RCE. Но эта уязвимость была утеряна с патчем MS Зато с тех пор появилось кое-что новое и местами слегка мистическое. Этой весной Гугл опубликовал информацию о возможности локального повышения привилегий за счет использования NTLM-релея. Нужно выбрать порт с номером больше , так как на это не требуется привилегий больше, чем есть у обычного юзера. Так как есть запрос на аутентификацию, привилегированный процесс автоматически пытается залогиниться под собой. Данные от процесса мы релеим на нашу шару. У нас есть привилегированный доступ на нашу же шару. На серверных версиях он автоматически не включается, по крайней мере так было в моих недавних тестах. В Windows, начиная с восьмой версии, у обычного пользователя есть возможность напрямую указать путь до файла, который он хочет проверить антивирусом. В отчете предложен и proof of concept, который отлично работает. В качестве подтверждения на диск C записывается файлик dummy, что можно сделать только с высокими привилегиями. А UAC нам не мешает потому, что учетка, создающая файл, высокопривилегированная. Но хотелось бы еще подискутировать на тему причин и странных моментов, связанных с данной атакой. И, по мнению автора, именно поэтому атака и возможна. Утверждается, что патч MS прикрывает атаку только в рамках одного протокола. Но и давние, и недавние опыты показали, что аутентификация не проходит, если, например, мы заставляем жертву зайти на наш хост по HTTP, а сами релеим обратно на хост жертвы по SMB. Ваш e-mail не будет опубликован. Имя пользователя или e-mail. Если в JSON запрос выглядел так: Windows поддерживает протокол NTLM, который представляет собой стандартный challenge-response: Практически атака выглядит следующим образом. Таким образом, мы имеем практически универсальный способ поднять права в Windows. Добавить комментарий Отменить ответ Ваш e-mail не будет опубликован. Перейти к верхней панели Имя пользователя или e-mail Пароль Запомнить меня.

Метадон в Кропоткине