تشن Siyu (RickGray)

Qihoo 360 باحث أمني رفيع

Qihoo 360، واحدة فريق الهجومية والدفاعية أعضاء الويب 0keeTeam. التركيز على الجوانب البحثية من نقاط الضعف ويب، مثل دراسة أنواع جديدة من نقاط الضعف وطرق الهجوم.

1 مقدمة

0KeeTeam 360 من الكتاب من وزارة أمن المعلومات. وتركز الكتاب ويب على تطوير أدوات التعدين وتحليل هشاشة الأوضاع والأمن. هذا المزيج قوائم المادة الثانية الضعف في الكواليس، حول كيفية النظر في هذه النقاط الضعف عرضة للتشغيل والصيانة من وجهة نظر القراصنة.

2، المشهد الأول: هجوم SSRF Geshandaniu خدمة Readis

هل لديك مثل هذا الشك، وهناك شبكات الأعمال مكشوفة عندما تعرضوا للهجوم، ومتطلبات الزملاء قطاع الأمن للتحرك داخل الشبكة والتشغيل والصيانة اللازمة لنقل مباشرة إلى وظيفة عمل ضمن شبكة من خلال بعض الممارسات بسيطة.

• مشكلة واحدة: هذا النهج آمنة حقا؟
• المشكلة الثانية: ملزم في خدمة رديس المحلية، لماذا المتسللين بطريقة ما السوداء؟
• السؤال الثالث: كيفية الخروج من خلال وصلة الشبكة الداخلية؟

سوف تستخدم الأمثلة المقبلين مزيج من الضعف الحقيقي، مشيرا إلى النقطة التي هي هذه المشاكل في.

2.1 SSRF مبدأ الضعف

كيف الهجمات SSRF داخل الشبكة لخدمة رديس؟

ربما نحن ليس من الواضح جدا ما هو SSRF، وهذا هو نهاية طلب خدمة التزوير، وأنا استخدم عملية بسيطة إلى الحديث عن مبدأ الضعف SSRF ومظاهره محددة.

الخادم O1 خارج واجهة الشبكة لتوفير وكالة الصورة، لتزويد المستخدمين مع وصلة الى الصورة O1. عنوان O1 الموارد طلب، ومحتوى محددا للمستخدم.

المنطق هو المستخدم العادي، ثم عنوان الطلب هو الصورة، التي اتخذت في خادم المحتوى C1. عاد O1 الموارد المطلوبة مباشرة إلى المستخدم على C1، وهي وظائف المنطق العادي.

منطق غير طبيعي، هاكر أو المهاجم بعد رؤية عنوان الاتصال هو كيف نفعل ذلك؟

الانخراط في أفراد الأمن للقيام بذلك، لم يتم توصيل الصورة إلى استبدال صورة اتصال الموارد، أو عنوان داخل الشبكة. O1 في هذا الوقت إذا لم يكن هناك طلب للقيام ببعض القيود على الموارد، والتي سوف تذهب إلى المورد المطلوب على خوادم الشبكة الداخلية للمكتب، والعودة إلى المهاجم أو القراصنة.

اكتبوا الثغرات في هذه العملية، قد يكون القراصنة لماذا الموارد ضمن طلب الشبكة والعودة إلى المهاجم؟

أولا،  صور O1 ليست من النوع إصدار حكم على الاتصال.

ثانيا،  أم لا نقطة اتصال لتحديد الموارد هو صورة

ثالثا،  تحديد ما إذا كان المورد المطلوب ليس ضمن النطاق المسموح به، قد يكون العنوان داخل الشبكة، قد تكون حساسة لعنوان الخادم.

إذا مهاجم ليحل محل المعلمات عنوان الشبكة الداخلية، O1 دون تحفظ عنوان الطلب، يتم إرجاع محتوى المصدر إلى المهاجم. وهذا هو مبدأ بسيط من نقاط الضعف وأشكال SSRF.

2.2 SSRF تستغل الطريق

أولا، يمكننا استخدام SSRF مسح المنفذ ضمن كشف الشبكة والبصمات الويب. إذا كان المنفذ عنوان شبكة الاتصال المطلوبة موجودة، المعلومات إرجاع الملقم إلى المهاجم، فإنه قد يكون 500 أو رمز حالة الخطأ، هذه العلامات يمكن تحديد عن طريق مسح المنفذ مفتوح أو مغلق.

ثانيا، إن الهجوم على خدمات تطبيق الشبكة، يمكنك إرسال طلب Struts2. في عدد من نقاط الضعف التطبيق، يمكن أن تبدأ مباشرة طلب GET. خوادم الشبكة SSRF لها خدمة الدعامات، يمكننا محاولة للهجوم داخل خدمات الشبكة Struts2 مباشرة من خلال SSRF. إذا كان هناك حقا الضعف، المهاجم استخدام غير مباشر من SSRF كانوا يفعلون هذه التطبيقات.

وأخيرا اتفاق التحويل. بناء على طلب SSRF تنفيذ الأساسي إلى الملقم، عادة ما تنفذ باستخدام الضفيرة، يمكن للمستخدم التحكم في قيمة رابط. إذا كنا نتحدث عن بروتوكول http العادية تحويلها إلى بروتوكول الملف، وطلب الذهاب إلى الملفات المحلية أو الموارد داخل الشبكة، والعودة إلى المهاجم.

بروتوكول غوفر، ونحن يمكن أن تنقل أي منفذ البيانات باستخدام غوفر بروتوكول طبقة التطبيقات. ولقد أدرجت مثال بسيط، وطلب بروتوكول غوفر ملحوظ التالية باستخدام FIG.

يبدأ غوفر البروتوكول، يليه عنوان طلب خدمة، تليها الميناء. الدليل إلى انخفاض كبداية مفتاح الخط، ويتبع البيانات عن طريق احتياجات طبقة التطبيقات المحددة لإرسالها. SSRF قد تستخدم في نقل البيانات إلى طبقة التطبيق من خلال أي بروتوكول غوفر ميناء، والتي هي أكثر أهمية.

2.3 رديس الضعف الوصول غير المصرح به

رديس هي خدمة تخزين الشعبية. نحن نعرف نقاط الضعف رديس، والوصول غير المصرح به، نحن فهم للغاية.

الوصول غير المصرح به إلى هذا الضعف، لأنه في بلدي نوع رأي موظفي التشغيل والصيانة أو المطور سببها تكوين غير صحيح. لديهم بعض التطبيقات رسمية لمنح إذن، ولكن موظفي التشغيل والصيانة والتطوير في استخدام عملية التكوين، وليس وفقا للتنفيذ الرسمي للتوصيات الأمنية.

2.4 رديس الوصول غير المصرح به يستغل الطريق

يمكننا إجراء وصول مهاجم غير المصرح به إلى ما تناقلته بعض الهجمات؟ بيانات خدمة رديس العبث، وتطهير تدمير البيانات.

ويمكن إجراء عمليات الكتابة ملف من قبل وظيفة النسخ الاحتياطي قاعدة البيانات. يمكنك الهجوم متناول ثائق مكتوبة تحت أي ظروف؟ يحتاج المستخدمون تشغيل خدمات رديس لديك بعض السلطة، يمكنك إرسال ملف إلى قاعدة البيانات تحت المسار الذي قمت بنسخها احتياطيا.

عندما تعليمات التكوين رديس فقط استخدام قاعدة بيانات النسخ الاحتياطي. ومن هنا بالفعل سرد حفظ والتكوين. عن طريق الكتابة إلى ملف العمليات، لكتابة مهمة مجدولة على الخادم، وهذا هو حكم إعدامه لاحقا المهام المجدولة.

تعيين اسم الملف المحفوظة، قال عادل لعبت خدمة رديس، يكون لديك أذونات الملف المناسبة للعمل في هذا المسار، نستطيع داخل بنجاح الكتابة. وفيما يلي لقطة مكتوبة بنجاح.

مجرد وسيلة لاستخدام رديس الوصول غير المصرح به. ووفقا لاحصاءات غير مكتملة، في الآونة الأخيرة بعد الفحص للعثور على أنه لا تزال هناك تساؤلات حول وجود 15،000 وحدة خادم في الشبكة العامة.

يتعرض إلى الإنترنت رديس العام هناك الكثير، وبعض من بيئة الاختبار مؤسسة خدمة رديس أو استخدام التجاري الداخلي هو أيضا كثيرا.

2.5 يستغل استخدام مزيج من الاثنين معا خدمات الشبكة

كيف يمكننا مهاجمتهم في شبكة الخدمة رديس؟

SSRF يمكن استخدام الشبكة لإرسال البيانات طبقة التطبيقات التعسفية، ونحن سوف الضعف SSRF والضعف غير المصرح به رديس معا، يمكننا محاولة للهجوم من قبل SSRF الداخل شبكة خدمة رديس.

هناك يتم استيفاء شرطين، هناك أول SSRF خوادم الضعيفة يجب أن دعم بروتوكول غوفر، يمكن أن يكون بنجاح إلى منفذ خادم شبكة لنقل البيانات. ليس لدى الشبكة الثانية وجود خدمة معتمد من رديس.

سوف نقوم فقط رديس لكتابة سلسلة من التعليمات جدولة مهمة، يتم تغليف بواسطة بروتوكول غوفر. ثم من خلال ضعف SSRF واجهة، مهاجم ستحل محل هذه المعلمة إلى بروتوكول غوفر، O1 بروتوكول غوفر عزم، لمهاجمتها في بيئة إنترانت خدمة رديس.

إذا كانت خدمة رديس على وجود الوصول غير المصرح به الهدف L2، ولها الأذونات المناسبة، وهذه المرة المهاجم ستحقق بنجاح الهجوم.

SSRF قطعة أثرية تسمى هجمات الشبكة، والدوائر الأمنية. هذه هي خدمات الشبكة هجوم SSRF Geshandaniu.

3، المشهد 2: خطير التسلسل بالتزامن عرضة للهجمات الوسيطة وزعت العقد

الخطر التسلسل البيانات 3.1

استخدام تسلسل سيلة لمهاجمة مجموعة الموزعة. ويمكن إجراء تسلسل البيانات خارج أو استدعاء أسلوب يمر كائن بين تطبيقات مختلفة.

هنا وهناك تطبيق A، التطبيق يحتوي على كائن A1، بعد تجسيد التسلسل، تنتقل البيانات المتسلسلة لبرنامج B، برنامج B B1 التي حصلت عليها عملية إلغاء التسلسل.

تحت طبيعة معينة، A1 و B1 نوعان من الكائنات يعادل، والذي يتضمن الكائنين وبعض قيم العقارات أسلوب المقابلة. ما عدا، إلا أنها على التطبيقات المختلفة أو عنوان أساسي مختلف.

كانت هناك العديد من المشاكل التي تسببها المضادة للتسلسل في التاريخ. لديها PHP بعض المشاكل التي يتعين استغلالها من قبل المهاجمين، بينما رمز الكامنة لتحقيق المقرر أن عمليات إلغاء التسلسل غير آمنة، مما أدى إلى مشاكل تنفيذ الأمر بعد.

جلسة السيطرة على المشكلة في إطار جانغو. جافا إلغاء التسلسل الضعف عندما يتعلق الأمر العديد من المكونات، والإطار الخارجي للمكتبات تمديد المقبلة جافا جافا وتنفيذ إشكالية الأمر البعيد.

في حالة وجود مزيج من الضعف. وهذا مثال جافا تشغيل إلغاء تسلسل، ما سبق هو رمز بسيط. إن القيم المدخلة من قبل المستخدم إلغاء تسلسل العملية من خلال عملية بسيطة. التعليمة البرمجية التالية يمر سلسلة من هيكل خاص ناجح دون ضعف تنفيذ الأمر الزناد من خلال. هذا المثال يتحدث عن هجوم وإطار الموزعة.

3.2 الكرفس قائمة انتظار الرسائل تجسس

الكرفس هو إطار بيثون شعبية جدا لمهمة توزيعها. الكرفس بين قوائم انتظار الرسائل، لتحقيق مهمة انخفض توزيعها في شكل قائمة الانتظار. وبما أن هناك تسليم وتوزيع الرسائل، سوف ينطوي على رسالة الحزمة.

يجب أن يكون بنية موزعة العامة لهذين الأمرين، في إطار الكرفس أنه يدعم الرسائل الوسيطة ديه RabbitMQ، رديس، MongoDB، فإنه يدعم الرسائل الحزم، والمخلل، سلمان، msgpack، YAML.

مهام محددة يؤديها سلسلة من حزمة المعلومات العملية، ومن ثم تنتقل إلى عضو المتوسطة وفق محددة توجيه رسالة المعلومات المرسلة إلى مجموعة محددة بتوزيع الرسالة، وتنفيذه.

الكرفس كتبت للتو وصولا الى مهمة الشعر في عملية وتكوين إطار ذكرت للتو، وأنا لا أعرف إذا وجدنا أن هناك أكثر وضوحا خطرا على السلامة. إذا رديس والمخلل هناك مخاطر أمنية، وكيفية الجمع بين وتقع هاتين المجموعتين وراء الهجوم عليه؟

الكرفس رديس كما الوسيطة متى وكيف يتم تخزينها في شكل رسالة؟ بعد إزالة الحقول الضرورية، يمكننا أن نرى الرسائل المخزنة في JSON رديس. المقارنة من المجالات الرئيسية، هو الكرفس الجسم مخازن الحقل المعلومات التي قدمت في مهمة تحقيق هذه الغاية، فإن البيانات حزمة شكلت من قبل سلسلة من تجسيد.

في التكوين الافتراضي، يتم استخدام الكرفس المخلل لتغليف الرسالة. بعد الحصول على رسالة نهاية المصنوع، وفقا إلغاء تسلسل مع التكوين المقابلة، هذه السلسلة من البيانات.

عامل في نهاية بسيطة يمكن استخدامها يشير هذا الرمز، حسب مجال بوبي المخلل deserializing في الرسالة.

إذا كانت لدينا إمكانية للسيطرة على الوسيطة والرسائل، ونحن نريد أن كتابة البيانات إلى، وهذه المرة نهاية الوقت المصنوع إلغاء التسلسل، فمن الممكن إلغاء تسلسل نحن حقن الرسالة.

هنا علينا أن السيطرة على الوسيطة، مهاجم يبني رسالة تحتوي على البيانات الخبيثة، فمن مساهمة في الوسيطة الرسائل، سيتم إرسال رسالة الوسيطة معلومات التوجيه المنتجة وفقا للمهاجم نهاية المصنوع، وفقا لنهاية التكوين المصنوع العابرة هذه السلسلة من سلسلة البيانات. إذا كنت ناجحا، ثم العملية برمتها، المصنوع هناك إلغاء التسلسل الضعف.

3.3 الوسيطة الهشة

في المثال السابق، ذكرت أيضا خدمة رديس عدد كبير من كشفها على الإنترنت، هناك مشكلة والوصول غير المصرح به. دعم الكرفس في التطبيقات الوسيطة، هناك رديس ومونجو، بل هو أيضا الأكثر تضررا من الوصول غير المصرح به.

إحصاءات المسح، هناك 14000 MongoDB الموقع الرسمي التعرض غير المصرح به. هناك رديس وMongoDB غير المصرح به الوجود غير المصرح به، وعدد كبير جدا. ويمكن اعتباره غير مصرح بها ورديس مونجو، وجود بعض التطبيقات الكرفس الوسيطة.

كيف من 29،000 خدمات غير مصرح بها، وتحديد ما إذا كانت هذه الخدمات وجود الكرفس الوسيطة. كيفية اكتشاف الكرفس رديس وMongoDB في الوسيطة. كنت أحمل على رديس وتحليل مونجو، الكرفس اسم قائمة الانتظار الافتراضي هو الكرفس، عند كتابة برنامج أو تنفيذ وظيفة قد يكون طوابير أخرى، أم أن هناك طابور طابور B، كومبو ملزمة يمكن أن توجد في هذا المكان.

3.4 الرقص على الإنترنت

لعبت المحلية خدمة رديس، والكرفس الوسيطة. الكرفس حسب نوع العرض والتخزين هو طابور مهمة محددة، وتخزينها في القائمة. Binding.Celery شكل القاموس للوجود، يتم تخزين المعلومات التوجيه في ذلك. الكرفس MongoDB في شكل الأداء، واسم ذكرت للتو. كيف يمكننا الجمع بين تأطير هذه الهجمات الأمنية محللون ذلك؟

يتطلب عدة شروط، وذلك باستخدام تنفيذ الكرفس إطار التطبيق، والمخلل يفعل رسالة تهيئة وتجهيز التغليف. ولكن بعد فهم أنه في حالة الكرفس 4.0.0 المخلل تستخدم لتغليف الرسالة.

ونحن قد التحكم الرسائل للرسائل عملية حقن الوسيطة، يمكننا فقط كتبت 1500014000 MongoDB ورديس، والعثور على التطبيق على أنها محاولة لمهاجمة الوسيطة الكرفس.

إذا كانت هذه سلسلة من العمليات على نحو سلس، عامل يحل لأحد المهاجمين الرسائل حقن والبيانات، مما اثار عملية إلغاء التسلسل ناجحة. وعامل نجاح تنفيذ التعليمات والأوامر المهاجم مسبقا تنجح بالتأكيد لم تتأثر.

عندما اكتشفنا لهذه الأوامر، وكيفية تحديد ما إذا كان الضعف قد تسبب ذلك. ونحن بحاجة إلى أن نعود بها مع خادم الشبكة، ونحن إجراء تنفيذ الأمر البعيد للكشف عند الأمر سوف نقوم بتنفيذ إلى النموذج محددة لإرسال في اتصال الخادم.

لقد جعل المصادقة شبكة كاملة، وضعت على السيرفر الخاص بي إلى بسيطة ظهر الارتباط. في علم معالجة تنفيذ الأوامر، ربط العودة إلى ما كان ليأتي الى حيث يكون المستخدم، نوع الوسيطة، IP ومهاجمة لي نعم.

أنا نوع من الهجوم هو رديس، أو MongoDB. أمامي عامل عندما مثلت ينفذ المستخدم، والذي هو عنوان IP للالوسيطة، وهو تطبيق نوع الوسيطة.

هذا هو الجانب من عنوان IP هو عنوان IP من النهاية الخلفية العمال مع الوقت حيث، من خلال مقارنة هذه الرسائل اثنين، يمكننا أن نرى متى 90،156 تم حقن، نهاية إلى هناك نوعان من مشغلات مختلفة العمال الضعف وأجريت ظهر ربط، xx.xx.78.211 وxx.xx.84.216.

أمثلة بسيطة في الواقع قادرة على ملزم لإلغاء تسلسل نقاط الضعف ومهاجمة حقن الكرفس إطار رسالة الموزعة. مشاكل حقن الرسالة لا يقتصر على إطار الكرفس وزعت، وهناك أيضا مشكلة في تطبيقات أخرى، واللغات، ولكن لم يتم استكشافها.

4، ملخص

لماذا هناك يستغل مشكلة، والسبب الأكبر هو أن على ضعف خدمة التواجد SSRF، ليس هناك موارد واجهة حد الوصول إليها، الأمر الذي سيؤدي في مهاجم يمكن التحكم في الاتصال الذي طلب، ثم قد تهاجم إلى ملقم شبكة الاتصال يحاول.

في الضعف SSRF، وبروتوكول غوفر التي تدعم سطح الهجوم أكثر اتساعا. هناك العديد من الخدمات كلمات سر ضعيفة داخل شبكة المؤسسة، وتطبيق كلمات مرور ضعيفة أو كلمة المرور فارغة. إذا رديس غير المصرح به، قد يكون هناك بعض الظروف غير مصرح أخرى.

هناك متسع من الوقت للقيام اختبار السلامة عند وجود الشركة التي نحاول هجوم من خارج الشبكة، وجدت ثغرة SSRF. وأنا أعلم أنه شبكة بسيطة للكشف، وجدت داخل الشبكة وهناك الكثير من تطبيقات جافا.

خلال ذلك الوقت في اندلاع جافا إلغاء التسلسل، وأنا أدرك أن لديهم لمهاجمة المشكلة. I الجمع بين مآثر SSRF في شبكة المؤسسة، مباشرة إلى خادم للحصول على إذن.

هذا الخادم وحفظ الجمهور لتسجيل الدخول وخادم إدارة المفتاح الخاص، أي ما يعادل كتلة حشد المنتشرة على الملقم، فإنه مباشرة إلى خادم عن إدارة أذونات ملقم التالية، ويمكن الوصول إليها.

ذات صلة إلى خادم الإنتاج. وصف إنترانت في هذه النقطة الضعيفة، ونحن بحاجة خاصة تولي اهتماما ل.

نقاط الضعف إلغاء تسلسل مع تشغيل وصيانة هذه العلاقة ليست كبيرة بشكل خاص. عندما مطورين لتطوير وظيفي، وغالبا ما تستخدم بعض الأساليب متاحة لديه مشاكل محتملة.

تشغيل وصيانة ولكن هناك بعض القضايا الأمنية في وقت التكوين، رديس هناك مشكلة كلمة المرور غير مصرح بها. مزيج من هذه المشاكل ويمكن الجمع بين لهجوم، فإنها يمكن أن تشكل لها تأثير كبير جدا.

هناك بعض الكلمات الرئيسية I المعلمة أن تشغيل وصيانة وإدارة الاهتمام يجب أن تدفع إلى هذه النقطة. إذا لم يكن هناك أذونات ترخيص الخادم، وتهيئتها بشكل غير صحيح، والهجمات غير المباشرة، التكوين الافتراضي، ومصادر غير مؤكدة من الموارد.

مثالين لتوضيح وتشغيل وصيانة وتأمل أصدقائي يمكن إيلاء المزيد من الاهتمام لسلامة، والانتباه إلى التشغيل والصيانة خلال تلك نقطة صغيرة، دون ترك أي خطر أمني.

إشارة المصدر: كفاءة تشغيل وصيانة، يرجى الإشارة من MottoIN

المادة الأصلية، كاتب: M0tto1n، ينبغي للطبع، يرجى الإشارة إلى المصدر: HTTP: //www.mottoin.com/article/intranet/102619.html