Tấn công một công ty bằng cách bypass WAF của công ty thông qua một thiết bị bảo mật khác

Tấn công một công ty bằng cách bypass WAF của công ty thông qua một thiết bị bảo mật khác

[full_width]
Cách hack công ty bằng cách phá vỡ WAF của công ty thông qua việc lạm dụng một thiết bị bảo mật khác và giành được tiền thưởng lỗi

Này đợi đã! Tiền thưởng lỗi và thiết bị bảo mật mạng có điểm gì chung? Thường thì không có gì! Ngược lại, các thiết bị bảo mật cho phép thực hành vá lỗi ảo và tích cực tham gia để giảm số tiền thưởng lỗi cho các nhà nghiên cứu, nhưng đây là một câu chuyện ngược lại: tiền thưởng lỗi đã được trả cho chúng tôi nhờ một thiết bị bảo mật được định cấu hình sai. Chúng tôi sẽ không tiết lộ tên của công ty bị ảnh hưởng (ngoại trừ đó là Fortune 500) cũng không phải là một trong những thành phần dễ bị tổn thương. Tuy nhiên, chúng ta sẽ nói về kỹ thuật được sử dụng, bởi vì nó đơn giản đến mức đáng kinh ngạc.

Sự quan sát

Tất cả đã bắt đầu bằng cách duyệt những gì tại thời điểm đó chúng ta thậm chí còn chưa biết là mục tiêu có giá trị, chúng ta hãy gọi nó là https://targetdomainHồi. Gần như tình cờ, chúng tôi nhận thấy rằng một tên miền phụ chịu trách nhiệm xác thực trên trang web đó đã tiết lộ một số tài nguyên CSS và Javascript được quy cho một thành phần Java nổi tiếng là dễ bị tổn thương đối với RCE (Thực thi mã từ xa).
Điều kỳ lạ là bằng cách duyệt qua điểm cuối bị ảnh hưởng (một cái gì đó giống như Hồi, ) chúng tôi đã nhận được phản hồi HTTP 404 từ máy chủ, điều này khiến chúng tôi nghi ngờ sự hiện diện của Tường lửa ứng dụng Web. Tại sao điểm cuối cụ thể đó không thể truy cập được nếu tài nguyên trang trí nó (như tệp .css và .js ) là? Điều này rõ ràng khiến chúng tôi tin rằng chúng tôi đã ở trước một WAF. Sau một vài yêu cầu, tất cả đều bị chặn, chúng tôi đã xác nhận một số loại quy tắc WAF thực sự ngăn chúng tôi đạt đến điểm cuối mục tiêu.https://auth.targetdomain/vulnerable_endpoint?param=malicious_RCE_payload

Điều kỳ lạ của người Viking

Bằng cách duyệt một trong những ứng dụng được lưu trữ (tức là ), chúng tôi được mời xác thực với Chế độ Trong quá trình xác thực, chúng tôi nhận thấy một điều kỳ lạ khác. Tại một thời điểm nhất định, chúng tôi được chuyển hướng đến một URL như:https://targetdomain/appnamehttps//auth.targetdomain
https//targetdomain/?cfru=aHR0cHM6Ly90YXJnZXRkb21haW4vYXBwbmFtZQ==
với aHR0cHM6Ly90YXJnZXRkb21haW4vYXBwbmFtZQ==mã số rõ ràng là một chuỗi mã hóa base64. Tải trọng cơ sở64, sau khi giải mã, cho thấy không có gì khác là URL mà chúng tôi ban đầu đã yêu cầu quyền truy cập trước khi bắt đầu xác thực, đó là siêu hiệu ứng .https://targetdomain/appname
Nhưng thực sự thì cfruthông số đó là gì? Một số nghiên cứu nhanh trên mạng cho thấy nó là một phần của công nghệ lọc web Bluecoat, một thiết bị máy chủ proxy khét tiếng. Vì vậy, điều này cho chúng tôi biết thêm một chút về cơ sở hạ tầng từ xa. Các yêu cầu HTTP chúng tôi gửi đến mục tiêu chéo ít nhất một thiết bị WAF và máy chủ proxy Bluecoat trước khi đến máy chủ ứng dụng web và máy chủ ứng dụng, như được xây dựng lại bên dưới.


Ý tưởng

Một bóng đèn đã sáng lên trên đầu chúng tôi khi chúng tôi phát hiện ra rằng cfruthông số này có thể truy cập công khai, cụ thể là không yêu cầu xác thực cổng thông tin để chuyển tải trọng của chúng tôi đến nó. Do đó, chúng tôi đã bắt đầu mã hóa các URL cơ sở64 của các tên miền bên ngoài dưới sự kiểm soát của chúng tôi và cung cấp cfrutham số trong sách ăn liền với các chuỗi này. Hy vọng là để kích hoạt một số loại SSRF. Những gì chúng tôi nhận được ở cuối là tốt hơn nhiều.
Thật không may, tại thời điểm cụ thể đó, chúng tôi đã không nhận lại bất kỳ yêu cầu HTTP nào. Tuy nhiên, trong các máy tiếp xúc với internet của chúng tôi, chúng tôi có thể thấy quá trình phân giải DNS được bắt đầu từ mục tiêu tên miền của Wikipedia. Có vẻ như các kết nối gửi đi TCP từ trang web mục tiêu đã bị cấm. Điều duy nhất được ủy quyền là, như đã nói, lưu lượng DNS. Sau đó, thay vì cố gắng để kích hoạt yêu cầu SSRF đến máy chủ bên ngoài chúng ta chuyển sự chú ý của chúng tôi để các tên miền phụ bên trong ( , vv ...).https://auth.targetdomainhttps://blog.targetdomainhttps://www.targetdomain
Chúng tôi bắt đầu mã hóa một vài trong số các URL này vào cfrutham số của Cameron và gần như ngay lập tức nhận thấy sự kỳ lạ khác. Đối với một số URL, chúng tôi nhận được chuyển hướng HTTP 302 trở lại. Đối với một số người khác, chúng tôi không. Trong trường hợp sau này, thay vào đó, phần thân HTTP trong phần trả lời chứa mã HTML của tài nguyên được yêu cầu, như thể Bluecoat đã chuyển tiếp yêu cầu đến tài nguyên đích và trả lại nội dung của nó cho chúng tôi bằng cách hoạt động như một proxy web. Quan trọng nhất, hành vi này cũng được quan sát thấy khi chúng tôi mã hóa trong cfrutham số của Cảnh sát, tên miền phụ chịu trách nhiệm xác thực cổng thông tin ( ), cụ thể là hành vi mà chúng tôi tin là đang lưu trữ một thành phần Java dễ bị RCE.https//auth.targetdomain

Bước ngoặt

Đây là bước ngoặt! Chúng tôi đã đưa ra giả định sau đây. Nếu tài nguyên
https://auth.targetdomain/vulnerable_endpoint?param=malicious_RCE_payload
được duyệt trực tiếp, yêu cầu HTTP của chúng tôi ngay lập tức gửi đến WAF, nơi có cấu hình quy tắc nhận ra nỗ lực độc hại (tải trọng độc hại được chỉ ra bởi siêu hiệu param) và gửi lại lỗi HTTP 404, thực tế là chặn cuộc tấn công.
Nhưng nếu chúng ta mã hóa trong cơ sở64 thì URL
https://auth.targetdomain/vulnerable_endpoint?param=malicious_RCE_payload
tạo ra chuỗi base64 sau
“ aHR0cHM6Ly9hdXRoLnRhcmdldGRvbWFpbi92dWxuZXJhYmxlX2VuZHBvaW50P3BhcmFtPW1hbGljaW91c19SQ0VfcGF5bG9hZA==
và truyền nó cho cfrutham số của bản thân như sau?
https//targetdomain/?cfru=aHR0cHM6Ly9hdXRoLnRhcmdldGRvbWFpbi92dWxuZXJhYmxlX2VuZHBvaW50P3BhcmFtPW1hbGljaW91c19SQ0VfcGF5bG9hZA==
Trong trường hợp của chúng ta:
  1. Yêu cầu vượt qua WAF mà không có gì để phàn nàn.
  2. Sau đó, nó đã đến thiết bị Bluecoat, lần lượt giải mã cfruthông số Base64 và đưa ra yêu cầu GET cho máy chủ nội bộ https://auth.targetdomain/vulnerable_endpoint?param=malicious_RCE_payload.
  3. Điều này lần lượt kích hoạt lỗ hổng.

Chơi lô tô!

Và chơi lô tô! Chúng ta có thể thấy đầu ra của tải trọng độc hại của chúng tôi (không có gì khác ngoài hostnamelệnh của Wap () được thực hiện thông qua DNS (các kết nối TCP gửi đến máy chủ lưu trữ của chúng tôi trên internet thực sự đã bị chặn như đã nói trước đó).


Hơn nữa, chúng tôi đã chơi một chút với tải trọng độc hại của mình để có đầu ra của các lệnh được tiêm được trả lại trực tiếp như một phần của tiêu đề HTTP trong phản hồi của máy chủ.


Phần kết luận

Có ít nhất hai sai lầm có thể được phát hiện ở đây:
  • Thiết bị bluecoat hoạt động như một yêu cầu Chuyển tiếp trực tuyến, thay vì trả lời bằng chuyển hướng HTTP như đã xảy ra đối với các URL khác (điều đó sẽ khiến các yêu cầu khách tiếp theo bị WAF bắt và chặn).
  • Không có quy tắc nào được triển khai ở cấp WAF đã giải mã cfruthông số cơ sở 64 trước khi chuyển nó sang thiết bị Bluecoat, để phân tích xem nội dung của yêu cầu có khớp với một trong các quy tắc chặn được triển khai trong chính WAF hay không.
Tốt cho chúng ta! Chúng tôi đã thông báo lỗ hổng cho nhà cung cấp ngay lập tức và họ quyết định nhận ra cho chúng tôi một tiền thưởng lỗi tốt đẹp!
Điểm mấu chốt ở đây là vá lỗi ảo là ổn nếu bạn cần thêm một chút thời gian trước khi sửa một lỗ hổng nghiêm trọng. Nhưng nếu bạn sử dụng nó thay cho bản vá thực sự, thì đó chỉ là câu hỏi về thời gian trước khi bạn bị hack.
Nếu bạn muốn biết thêm về các kỹ thuật khai thác tương tự và các thủ thuật hack web khác, hãy xem các khóa học Blackhat Las Vegas của chúng tôi vào ngày 1-2 tháng 8 và 3-4 tháng 8 năm 2020, bởi vì đây sẽ là một trong những chủ đề được đề cập ở đó.

Nguồn: https://www.redtimmy.com/web-application-hacking/how-to-hack-a-company-by-circumventing-its-waf-through-the-abuse-of-a-different-security-appliance-and-win-bug-bounties/?fbclid=IwAR2p0AxD3OvdV7k6WEhomAVgx0e73qQrIAdOBGdh6S7oz_zalbfg2_OjRU0

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,161,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,16,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,35,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
Nhựt Trường - Chia sẻ kiến thức miễn phí: Tấn công một công ty bằng cách bypass WAF của công ty thông qua một thiết bị bảo mật khác
Tấn công một công ty bằng cách bypass WAF của công ty thông qua một thiết bị bảo mật khác
Tấn công một công ty bằng cách bypass WAF của công ty thông qua một thiết bị bảo mật khác
https://1.bp.blogspot.com/-cOBFG8qAjp4/XlduXQySq3I/AAAAAAAA0CE/Vu3M2Jty0GUe3lqQKEoKsSU8YpHew0f8ACLcBGAsYHQ/s320/nhuttruong%2Bcom.jpg
https://1.bp.blogspot.com/-cOBFG8qAjp4/XlduXQySq3I/AAAAAAAA0CE/Vu3M2Jty0GUe3lqQKEoKsSU8YpHew0f8ACLcBGAsYHQ/s72-c/nhuttruong%2Bcom.jpg
Nhựt Trường - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2020/02/tan-cong-mot-cong-ty-bang-cach-bypass.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2020/02/tan-cong-mot-cong-ty-bang-cach-bypass.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content