走向内网的邪恶之路

议题简介
介绍一种“新”的基于浏览器访问发起对内部网络攻击的技术。这种攻击方式有点类似传统的“挂马”攻击,但是最大的区别及特点就是发起攻击不需要利用浏览器的“漏洞”…
全新的一种APT攻击模式!!!
WTF!!!!???

.

.

WTF
基于客户端(浏览器)发起的攻击。
类似挂马,但≠挂马(不需要浏览器“漏洞”)?!!
目标:内网!
全新攻击模式?!

.

忽悠从CSRF开始

CSRF
CSRF是一种漏洞类型(对应用程序而言)
CSRF是一种攻击模式(对攻击流程来说)

QQ图片20140708105418QQ图片20140708105433

攻击是通过浏览器发起的,但是没有使用浏览器漏洞
攻击目标是内网:路由器
攻击方法:CSRF(类似“挂马”)
攻击效果:修改了路由器DNS设置

“果然是大忽悠!”

“一叶障目,不见泰山!”

思维定势:局限在CSRF是一种漏洞Tp-link
忽视了CSRF其实是一种攻击模式
换句话说:我们可以通过同样的手法攻击其他应用(Tp-link web管理也是一个应用程序)

QQ图片20140708122849

也就是:通过CSRF的攻击方式直接对内网的应用程序发起攻击
所谓“新”只是一种思维模式上的转变!而非强调“技术”
如果不改变思维模式,就无法解决当前的思维模式所创建的问题--阿尔伯特.爱因斯坦

QQ截图20140708122959

识别内网(获取内网ip)
老方法:

QQ截图20140708123102

“新”方法:WebRTC
Local IP discovery with HTML5 WebRTC
Local IP discovery with HTML5 WebRTC: Security and privacy risk?(2013 by twitter.com/einaros)

QQ截图20140708123413

目前支持WebRTC的浏览器
官方:
http://www.webrtc.org/
PC桌面OS:(windows、OSx、ubuntu等)Yes
移动OS:
android Yes
iOS No
IE、Safari 不支持

WebRTC的能力
支持虚拟网卡IP(PS:Chrome曾经支持)
parallels Yes
vmware fusion Yes
Vbox No
支持VPN

ii、内网应用
URL结构

QQ图片20140708123621

内网应用访问的URL
http://192.168.1.102:80/phpcms_v9_UTF8/install_package/index.php?m=admin&c=index

IP段搞定了,但是还有端口及安装的应用程序路径未知!
解决方案:暴力猜解

QQ图片20140708123912

iii、发起CSRF攻击
浏览器能发起内网(跨域)请求的tag
GET:常用<img>、<script>、<iframe>等
POST:常用<from>表单提交
被遗忘的AJAX
浏览器同源策略限制了不能跨域获取内容
但是可以发送请求

QQ图片20140708124024

从weibo.com直接向内部ip(192.168.1.102)发送了http请求包
xmlhttp的优点:
1、能GET、也能POST
2、效果要比img、iframe高(要暴力一个ip段)
3、img等在chrome下可导致一些拦截

万事具备,只缺漏洞!

========================================================

什么样的“漏洞”最摇摆
攻击模式决定了漏洞需求
暴力盲打,选用的漏洞影响越大越好!
CSRF只能发包,不能得到返回!
最摇摆漏洞:命令(代码)执行漏洞
Struts 2 漏洞系列:如s2-016
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

获取交互的数据的最好方法:反弹shell

QQ图片20140708124132

演示没有考虑windows系统
要求目标机器能连外网特殊漏洞:ElasticSearch远程执行漏洞检测(CVE-2014-3120)
本身代码执行结果用json格式返回
直接利用json hijacking 获得返回数据

QQ截图20140708124239

SQL注入漏洞的利用
通过SQLi直接执行命令[xp_cmdshell](同上)
SQLi转XSS[这种需要解析html(利用img发送数据),只有需要使用iframe去发动CSRF]
注:这个思维也可以用在其他漏洞上比如命令执行时候输出一个xss语句
mysql_error() XSS(SQL报错注入)

QQ截图20140708124336

Union Select 注入

QQ截图20140708124336

SQL注入的一些其他技巧(纯SQL注入技巧)
通过DNS或者数据库的一些网络函数发送数据(甲骨文:utl_http.request MSSQL:linkserver)

QQ截图20140708124539

盲注与时间差(实战效果有限)

QQ截图20140708124629

XSS漏洞
反射XSS [同样只适合iframe调用]
内部Web应用管理员身份是主要目标
<iframe src=‘http://192.168.1.102/bbs/forum.php?a=xss’> 内网论坛管理在登陆后,通过触发后台一些漏洞执行命令或者代码(获取webshell)存储XSS
需要应用程序出现存储XSS点,同样存在csrf漏洞
有可能完全不需要借助CSRF(著名的XSS盲打)

==========================

WebShell 控制[同样是要解决数据获取问题]
<script> +(json)方案:QQ截图20140708124629

iframe+“xss”的方案[同上]
Ajax+Cross-Origin Resource SharingQQ截图20140708124629================================================================================

其他方法

各种Demo泄露(如演示截图、动画演示、poc代码等)
实际案例
参考《WEB2.0下的渗透测试》

二次入侵(内网入侵、xss盲打等收集到的信息)

===============================================================================

跨协议的CSRF

跨协议通信《Inter-Protocol Communication》意义:从http协议攻击其他协议变为可能!
<script>
gibson = document.createElement("form");
gibson.setAttribute("name","B");
gibson.setAttribute("target","A");
gibson.setAttribute("method","post");
gibson.setAttribute("action","http://127.0.0.1:6677");
gibson.setAttribute("enctype","multipart/from-data");
crashoverride = document.createElement("textarea");
crashoverride.setAttribute("name","C");
postdata = "USER A B C D \nNick xxxx\n";
crashoverride.setAttribute("value",postdata);
crashoverride.innerText = postdata;
crashoverride.innerHTML = postdata;
gibson.appendChild(crashoverride);
document.body.appendChild(gibson);
gibson.submit();

QQ截图20140708124629

Inter-Protocol Communication(2006年Wade Alcorn )
BeEF
The Browser Hacker's Handbook
2014 Wade Alcorn , Christian Frichot , Michele Orru

QQ截图20140708124629===============================================================================

实践是检验真理的唯一标准

很多的知识点都是老的,实战需要填各种“坑”
The Browser Hacker's Handbook提到了大部分知识点[但是BeEF被认为只是一种xss攻击框架]
实战利用也是一种“艺术”[各种组合]
One-Time Xss attack [2010年]vs One-Time Click attack
当技术达到一定瓶颈时“思维(跨纬)为王”
今天我说的是CSRF并不是XSS
也就是说直接通过传统的“挂马”(水坑)就可以实现攻击内网

===========================================================================

启示:
您还认为内网隔离可以高枕无忧吗

Last modification:February 23rd, 2018 at 11:39 pm

One comment

  1. cc

    大神你的桌面好好玩。

Leave a Comment