هذه هي حصة صاحب عملية اختبار الاختراق، من خلال استخدام مجموعة من نقاط الضعف المختلفة، وفاز في نهاية المطاف الهند للتجارة الإلكترونية أذونات قاعدة بيانات شركة كبيرة. (وقد نشرت المقالات الشركات ذات الصلة الترخيص)

بدءا من نقاط الضعف LFI

الاستهداف مقارنة اختبارات الاختراق لتحديد، أولا، أنا أميل للعثور عليهم الضعف إدراج ملف محلي في (LFI)، ولذا فإنني سوف تركز على وظائف التفاعل ملف والميزات التي تجري في عمق اختبار تحليل من قبيل الصدفة، وجدت عرض شركة "جوجل الروبوت اللعب" و "آي فون المتجر" النفس صفحة التحميل APP للأجهزة النقالة المختلفة، على النحو التالي:

عند النقر على صفحة "اللعب الروبوت جوجل" و "مخزن تطبيق آي فون" على أي زر، ومن ثم سيتم الانتقال إلى صفحة التالي: http: //www.xxxx.com/downloadcallback/null:

ثم، فإنه سيتم على الفور إعادة توجيه إلى صفحة إشارة APP تحميل المناسبة (المرجع الصفحة). عندما أزلت صفحة المراجع في وضع التصفح المتخفي، لمعرفة أي نوع من الاستجابة، بعد أن طلب الخادم بإرجاع استجابة "404 الصفحة غير موجودة"، فمن الواضح أن ظروف معينة استفسار أو طلب المعلمات، قد اتبع نوعا من بسيطة إذا / منطق آخر. لمزيد من التفاصيل انظر إذا كان هناك غيرها من المعالم الإغفال، رأيت الصفحة مصدر HTML التالية:

منطق التعليمات البرمجية أعلاه واضح بالفعل، ومن المثير للاهتمام، في المربع الأحمر ملحوظ يمكن العثور على ملف يسمى "download_handler.php" ملف PHP، URL التي تظهر عند النقر على القفزة الأولى في - HTTP: // شبكة الاتصالات العالمية .xxxx.com / downloadcallback / لاغية، لا وجود ملف PHP، ولكن الملف المطلوب هو "مسار" PHP هي المعلمة مسار الطريق الذي URL كرمز finaldownloadlink وصفها، والتي "اسم" هو اسم nameURL. وهكذا، بعد إزالة الصفحة إشارة، فإنه سيعود في نهاية المطاف إلى "404 الصفحة غير موجودة" لا شيء لتحميل رد. إذا كنت تتبع الأحكام المذكورة أعلاه من قانون HTML، ثم URL النهائي ينبغي أن تبدو هذه:

downloadcallback / download_handler.php؟ مسار =

لذلك، حيث حاولت بطريق الخطأ الهجمات دليل قليلا اجتياز، مسار = .. / .. / .. / .. / الخ / باسود، نجاح باهر، وهناك القراءة والكتابة في الواقع الأذونات، بالإضافة إلى / الخ / باسود، ولكن أيضا قراءة أخذ وثائق حساسة إلى الطرف الآخر من الخدمة:

ويمكنني أيضا قراءة مختلفة لينكس نظام الملفات، ملفات التكوين وسجل الحصول على المعلومات، وبهذه الطريقة، يمكن الحصول على عمق الرمز المميز للمستخدم الوصول، والمعلمات، وغيرها من المعلومات أكثر حساسية، كل هذا هو المذنب " download_handler.php "هذا الملف:

SSRF في هجوم

يظهر أن هذا ببساطة تنفيذ ملفات PHP طلبت من إدخال المستخدم، ثم عاد في استجابة لطلب المدخلات، وهذا النموذج هو أيضا من السهل جدا في الوجود الضعف SSRF، مثل:

هنا، القراءة / الخ / بطريقة كلمة السر، ولكن أيضا مع ملف: /// تجسيد (الموافق لفتح نظام الملفات المحلي):

AWS ElasticBeanstalk وجدت المثال

وبالإضافة إلى ذلك، عندما اختبرت هذا LFI وSSRF الطريق، وعند قراءة الخادم / الخ / ملف MOTD (نشرة نظام شريط المعلومات)، وجدت أن أنظمة لينكس نشرت AWS ElasticBeanstalk:

على فكرة ذلك لدي لاختراق تقرير العميق، يمكننا استخدام ما ورد أعلاه طريقة SSRF للبحث عن بعض الأمثلة المحددة AWS، مثل الوصفية أو العضو البيانات:

SSRF باستخدام تجسيد الموصوفة أعلاه، فإن " API خدمة النظام، وأيضا حصلت عليها ورقم من AWS حساب سحابة المعلومات منطقة الخدمة، على النحو التالي:

عندما وجدت بلدي نظام التفتيش بيئة نشر AWS مطاطا شجرة الفاصولياء أيضا مكالمة API، يمكنك استخدامها للحصول على معلومات مهمة للتحقق من AWS مفتاح الوصول، سر مفتاح الوصول ورمز، وما إلى ذلك، هذا API هو:

مباشرة فوق الطريق SSRF، إضافة استدعاء API هذا، ردا على المعلومات التي يمكن العودة AWS مفتاح الوصول، سر مفتاح الوصول ورمز، وجدت سابقا بالتعاون مع معرف حساب، والوضع يزداد سوءا:

بعد ذلك، يمكننا التحقق من حساب هذه AWS، طالما لا تنتهي كلمة السر، يمكن تشغيلها في واجهة سطر الأوامر الأوس المبادرة القطرية، على النحو التالي:

تستطيع إدراج المعلومات حول تحميل S3 دلو أو البيانات إلى النظام المحلي، على النحو التالي:

الوصول إلى قاعدة البيانات

عندما تكون البيانات بعناية لمعرفة S3 دلو، ولقد وجدت بعض الوثائق الحساسة جدا، مثل database.js، config.js، app.js، payment.config، بالتأكيد بما فيه الكفاية، هذه الملفات تحتوي على مفتاح الشباك ذات الصلة الدفع، الملح والبيانات أوراق اعتماد كلمة المرور المخزون، استخدام الداخلي اسم الأداة وكلمة المرور المعلومات، وهلم جرا. ولقد وجدت مثيل MongoDB تشغيل، لا يوجد كلمة السر النص العادي الذي الشخصي، بعد أن متصلة، شارك فيها عدد من بيانات العملاء وجدت، كما هو مبين أدناه:

على الرغم من أنه لا يحتوي على كافة تفاصيل المستخدم، ولكن تتعلق هذه المعلومات لأكثر من 10،000 عميل. بعد ذلك، ذكرت والضعف للشركة، ونعلق أهمية كبيرة، بالنظر إلى الوقت المناسب إصلاحات الشوائب، وتناوب كل مفاتيح وأوراق المتضررة. في النهاية، وهذه المرة من LFI إلى SSRF، ثم إلى المثال مطاطا شجرة الفاصولياء، ثم في النهاية إلى الحصول على إذن للعمل قاعدة بيانات دلو S3، مما أسفر عن عشرات الآلاف من عملاء من الشركات الرئيسية المستهدفة الاعتماد تسرب معلومات حساسة.

* المرجع المصدر: المتوسطة والسحب المترجمة، يرجى تحديد مستنسخة من FreeBuf.COM