Dec
22
注: 发表在了第四期 Webzine,文中肯定有缺点,或者不好的地方。更多的访问:
http://secinn.appspot.com/pstzine/read?issue=4
文/woyigui
目录:
一、前言
二、发现漏洞
三、漏洞利用
四、环境影响
五、漏洞原因
六、后记
七、参考
一、前言
前一段墨西哥同学发现了一个关于http request header过长造成的一个server limit dos,
他那个是对cookie 写入一个超长的数据造成的。那么,我们可以根据此方法形成新的利用方法,Fuzzer http
头部进行攻击。只要造成WEB服务器返回40X 错误就行了。比如,向http的GET 头部信息的URL值设置特殊的符号,
服务器就会返回错误:
会引起问题的符号:" < > %
同样情况,任何http头部字段都可伪造,进行超长、特殊构造,让服务器返回错误。但是,此类的攻击只是单次的,不能引起持久性攻击。就不符合我们本文的目的。
根据http协议看到,用于持久化保存用户状态的一共有4 种方式,分别为:Cookies、Flash Local shared objects、userdata、DOM storage。因为这几
种方法可以持久保存用户的状态,所以在重新打开浏览器的同时,依然可以保持,也就是说假如我们攻击成功,就可以实现持久性的 ddos 攻击了。一般情况,我们大多数
都是利用XSS 漏洞进行 ddos 客户端,所以以下方法我们都使用 Javascript 脚本进行设置各种对象,以实现各类的ddos攻击。
二、发现漏洞
http://secinn.appspot.com/pstzine/read?issue=4
文/woyigui
目录:
一、前言
二、发现漏洞
三、漏洞利用
四、环境影响
五、漏洞原因
六、后记
七、参考
一、前言
前一段墨西哥同学发现了一个关于http request header过长造成的一个server limit dos,
他那个是对cookie 写入一个超长的数据造成的。那么,我们可以根据此方法形成新的利用方法,Fuzzer http
头部进行攻击。只要造成WEB服务器返回40X 错误就行了。比如,向http的GET 头部信息的URL值设置特殊的符号,
服务器就会返回错误:
GET /settings.aspx%22 HTTP/1.1 //此处
Host: cn.bing.com
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.1.5) Gecko/20091109 Ubuntu/9.10 (karmic) Firefox/3.5.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: _HOP=I=1&TS=1260805184; OVR=flt=0&DomainVertical=omdublin&Cashback=cbtest4&MSCorp=kievfinal&GeoPerf=0&Release=dsf3
Cache-Control: max-age=0
Host: cn.bing.com
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.1.5) Gecko/20091109 Ubuntu/9.10 (karmic) Firefox/3.5.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: _HOP=I=1&TS=1260805184; OVR=flt=0&DomainVertical=omdublin&Cashback=cbtest4&MSCorp=kievfinal&GeoPerf=0&Release=dsf3
Cache-Control: max-age=0
会引起问题的符号:" < > %
同样情况,任何http头部字段都可伪造,进行超长、特殊构造,让服务器返回错误。但是,此类的攻击只是单次的,不能引起持久性攻击。就不符合我们本文的目的。
根据http协议看到,用于持久化保存用户状态的一共有4 种方式,分别为:Cookies、Flash Local shared objects、userdata、DOM storage。因为这几
种方法可以持久保存用户的状态,所以在重新打开浏览器的同时,依然可以保持,也就是说假如我们攻击成功,就可以实现持久性的 ddos 攻击了。一般情况,我们大多数
都是利用XSS 漏洞进行 ddos 客户端,所以以下方法我们都使用 Javascript 脚本进行设置各种对象,以实现各类的ddos攻击。
二、发现漏洞
Dec
8
除了用户手工通过IE8 的 Internet 选项,来关闭 XSS 过滤器之外,还可以通过服务器端脚本添加 http 头部信息来关闭XSS功能,当添加如下 http header 以后,XSS filter 将不起作用:
PHP:
ASP.net web.config:
更多参考:http://msdn.microsoft.com/zh-cn/library/dd565647%28en-us,VS.85%29.aspx
PHP:
header("x-xss-Protection:0");
ASP.net web.config:
<system.webServer>
<httpProtocol>
<customHeaders>
<clear />
<add name=" X-XSS-Protection" value="0" />
</customHeaders>
</httpProtocol>
</system.webServer>
<httpProtocol>
<customHeaders>
<clear />
<add name=" X-XSS-Protection" value="0" />
</customHeaders>
</httpProtocol>
</system.webServer>
更多参考:http://msdn.microsoft.com/zh-cn/library/dd565647%28en-us,VS.85%29.aspx
Dec
6
今天入手了一台 ThinkPad T400-2767 R84,期待一年的愿望终于让我给弄到手了,辛苦了一年不容易呀。同时感谢添总的大力支持,开车陪我去,哈哈。。配置如下:
目前还没鼠标,今天熟练了一些小红指,挺爽。最近几天,我该倒腾它了。。
CPU:Core 2 Duo P8700主频:2.53G/内存:2048MB DDR3/硬盘:320G 7200转/显示屏:14.1寸
分辨率:1440*900 LED/显卡:ATI Radeon 3470HD 256M/光驱:DVDRW/蓝牙/指纹/摄像头/无线网卡:Intel 802.11bgn /6芯锂电池/2G迅盘
分辨率:1440*900 LED/显卡:ATI Radeon 3470HD 256M/光驱:DVDRW/蓝牙/指纹/摄像头/无线网卡:Intel 802.11bgn /6芯锂电池/2G迅盘
目前还没鼠标,今天熟练了一些小红指,挺爽。最近几天,我该倒腾它了。。
Dec
4
在现有的XSS攻击中,一般目的就是偷取cookie等重要用户信息、实现worm传播等功能等,却没有拿它做更有破坏力的攻击。
该想法源于139 mail worm,但是在编写过程中只实现了在计算机网络中进行自我传播(这也是目前XSS利用的常见目的。),虽然它自带了接口给手机发短信,但因当时功能不可用,没完善起来。所以,目前来看,只能用于计算机网络中的扩散传播。那么,如果利用XSS worm进行传播,然后利用网站应用发送短信到手机(如果有的话),就可以达到在手机中进行传播的目标,实现计算机网络攻击到手机攻击的转变,当时我是想写一篇叫做"XSS 攻击最大化"的文章,当然,在很多情况,不像139有这样环境的。基本流程是这样的:
xss Vulnerability --- > 计算机中传播 ----> 发送恶意手机短信 ---> 用户浏览后触发恶意代码,获取电话薄,隐藏群发短信、拔打电话等操作。
之所以研究WAP WTAI协议文档,就是为了实现这个想法。在写出 DEMO 的时候,是可以实现打电话、发短信的。但是当出现发送短信、或者拔打号码的时候,必须由用户进行确认,不过当大家把焦点转移到手机应用上面的时候,该应用上面的漏洞也会出现很多的,就可以实现在用户不知情的情况下实现某些操作。
上面只是计算机与手机进行连接实现攻击,另一方面,随着多媒体家庭的普及,计算机网络已经和家庭无线设备连接起来。近段时间同样了解一些家庭设备无线远程控制的资料,目前来看,国内家庭电子设备还是采用红外线进行发送信号的。因其设备的瓶径,红外发送的距离以及强度,小白大牛给出了如下实现流程:
从无线接收模块起,后面的都是在被控端进行布蜀,但这就会违背攻击的意图,被控端部分只能等科技的发展,家庭媒体的网络化再做调整了。如果按这种流程,制作出一款高强度通用控制信号发射器,就可以实现同城所有家电设备远程控制了。在国外,已经有一些高强度小型遥控器,比如:http://www.amazon.com/Logitech-Harmony-Advanced-Universal-Control/dp/B000CS1TLE
我想,随着科技发展,计算机网络终会和无线通讯设备、家庭无线媒体结合。那么到那时候,计算机网络攻击同样会其他的网络攻击结合起来发展起来。另外,本文的想法并不成熟,只是假想,也有可能有牛人早已想到,希望大家可以与我交流。由于近段时间的研究,发现想涉足另一行业是非常坚难的,单片机开发不说,无线协议是一定会的,所以还要慢慢的来。
该想法源于139 mail worm,但是在编写过程中只实现了在计算机网络中进行自我传播(这也是目前XSS利用的常见目的。),虽然它自带了接口给手机发短信,但因当时功能不可用,没完善起来。所以,目前来看,只能用于计算机网络中的扩散传播。那么,如果利用XSS worm进行传播,然后利用网站应用发送短信到手机(如果有的话),就可以达到在手机中进行传播的目标,实现计算机网络攻击到手机攻击的转变,当时我是想写一篇叫做"XSS 攻击最大化"的文章,当然,在很多情况,不像139有这样环境的。基本流程是这样的:
xss Vulnerability --- > 计算机中传播 ----> 发送恶意手机短信 ---> 用户浏览后触发恶意代码,获取电话薄,隐藏群发短信、拔打电话等操作。
之所以研究WAP WTAI协议文档,就是为了实现这个想法。在写出 DEMO 的时候,是可以实现打电话、发短信的。但是当出现发送短信、或者拔打号码的时候,必须由用户进行确认,不过当大家把焦点转移到手机应用上面的时候,该应用上面的漏洞也会出现很多的,就可以实现在用户不知情的情况下实现某些操作。
上面只是计算机与手机进行连接实现攻击,另一方面,随着多媒体家庭的普及,计算机网络已经和家庭无线设备连接起来。近段时间同样了解一些家庭设备无线远程控制的资料,目前来看,国内家庭电子设备还是采用红外线进行发送信号的。因其设备的瓶径,红外发送的距离以及强度,小白大牛给出了如下实现流程:
电脑——单片机——无线发射模块——无线接收模块——红外发射——红外接收——单片机——控制电器
从无线接收模块起,后面的都是在被控端进行布蜀,但这就会违背攻击的意图,被控端部分只能等科技的发展,家庭媒体的网络化再做调整了。如果按这种流程,制作出一款高强度通用控制信号发射器,就可以实现同城所有家电设备远程控制了。在国外,已经有一些高强度小型遥控器,比如:http://www.amazon.com/Logitech-Harmony-Advanced-Universal-Control/dp/B000CS1TLE
使用无线电频率(RF)和红外线(IR)无线信号来提供强大的完全控制您的家庭娱乐系统。凭借高达100英尺的无线范围内,该设备发射无线电指令到一个无线接收器,然后再由红外线接收执行指令。
我想,随着科技发展,计算机网络终会和无线通讯设备、家庭无线媒体结合。那么到那时候,计算机网络攻击同样会其他的网络攻击结合起来发展起来。另外,本文的想法并不成熟,只是假想,也有可能有牛人早已想到,希望大家可以与我交流。由于近段时间的研究,发现想涉足另一行业是非常坚难的,单片机开发不说,无线协议是一定会的,所以还要慢慢的来。
Nov
28
找了一份资料,WTAI 协议的,应该手机攻击是一个趋势。。在可注入WML代码的时候用于攻击,让受害者打电话、发短信等。比如利用139 mail worm 向所有开通 139 邮箱的人发送恶意代码到手机,接着当受害者收到短信后,通过链接或者其他方法直接点击链接进行访问(假如可以的话),然后被攻击。如:
多了就不说了,我也不会。先看看书研究研究。一份不错的文档,非常详细的讲解了 WTAI 协议的。就像Javascript新出的那个可以访问本地文件的新规范一样,攻击的危害都是随着正常脚本的强大而强大,WML可以做什么,那么攻击成功的话,攻击者就可以做什么。
下载文件 (已下载 275 次)
<a href="wtai://wp//mc;10086">拨打10086 </a>
<a href="wtai://wp/ap;10086;">将10086存储至电话簿 </a>
<a href="sms:10086">发短信到10086 </a>
<a href="wtai://wp/ap;10086;">将10086存储至电话簿 </a>
<a href="sms:10086">发短信到10086 </a>
多了就不说了,我也不会。先看看书研究研究。一份不错的文档,非常详细的讲解了 WTAI 协议的。就像Javascript新出的那个可以访问本地文件的新规范一样,攻击的危害都是随着正常脚本的强大而强大,WML可以做什么,那么攻击成功的话,攻击者就可以做什么。
下载文件 (已下载 275 次)
Nov
4
Author:[sh0wrun],[woyigui]
Date:2009-09-09
声明:该漏洞已报告并已修复,切勿用于非法目的。
原理分析:
我们经常会用到的mail.139.com,由于对邮件正文过滤不严,导致存在xss漏洞。他们尽管实现了对style="xss:expression"进行过滤,但是可以通过添加/* */绕过,如:
同时,经过分析发现,mail.139.com中发送邮件的功能存在CSRF弱点;可以通过Ajax技术获取发送邮件所需要的mid值。另外邮箱的“通信录“中的联系人邮件可以直接通过javascript取出。
满足了编写csrf worm的3个条件,接下来的工作,就是通过编写javascript代码来实现了。
跨站代码:
该部分要实现的功能就是,触发浏览器去读取远端的js脚本,并且执行该脚本:
Date:2009-09-09
声明:该漏洞已报告并已修复,切勿用于非法目的。
原理分析:
我们经常会用到的mail.139.com,由于对邮件正文过滤不严,导致存在xss漏洞。他们尽管实现了对style="xss:expression"进行过滤,但是可以通过添加/* */绕过,如:
<IMG STYLE="xss:expr/*xss*/ession(alert(/xss/))">。
在添加/* */后,该脚本能够在IE浏览器执行。同时,经过分析发现,mail.139.com中发送邮件的功能存在CSRF弱点;可以通过Ajax技术获取发送邮件所需要的mid值。另外邮箱的“通信录“中的联系人邮件可以直接通过javascript取出。
满足了编写csrf worm的3个条件,接下来的工作,就是通过编写javascript代码来实现了。
跨站代码:
该部分要实现的功能就是,触发浏览器去读取远端的js脚本,并且执行该脚本:
Oct
30
今天看到留言,外甥留着,要求我加他友情链接。哈哈,那么,就记录一下。
今天是 2009 年 10 月 30 日。希望他能够有时间多写写文章什么的,并且坚持下去。刚看了一下,他用了baidu的blog,也罢,等以后他自己有点技术了,自己做站吧。
还是很欣慰的~~ 对,他 blog 地址:http://hi.baidu.com/645043054不知道这个地址会用多久。
今天是 2009 年 10 月 30 日。希望他能够有时间多写写文章什么的,并且坚持下去。刚看了一下,他用了baidu的blog,也罢,等以后他自己有点技术了,自己做站吧。
还是很欣慰的~~ 对,他 blog 地址:http://hi.baidu.com/645043054不知道这个地址会用多久。
Oct
14
取自Ajax security,记录:
