11 KiB
Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
Άλλοι τρόποι για να υποστηρίξετε το HackTricks:
- Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.
ECB
(ECB) Ηλεκτρονικό Βιβλίο Κωδικοποίησης - συμμετρικό σχήμα κρυπτογράφησης που αντικαθιστά κάθε μπλοκ του καθαρού κειμένου με το μπλοκ του κρυπτοκειμένου. Είναι το απλούστερο σχήμα κρυπτογράφησης. Η κύρια ιδέα είναι να διαιρέσετε το καθαρό κείμενο σε μπλοκ των N bits (εξαρτάται από το μέγεθος του μπλοκ των εισροών δεδομένων, αλγόριθμο κρυπτογράφησης) και στη συνέχεια να κρυπτογραφήσετε (αποκρυπτογραφήσετε) κάθε μπλοκ του καθαρού κειμένου χρησιμοποιώντας μόνο το κλειδί.
Η χρήση του ECB έχει πολλές ασφαλείας συνέπειες:
- Μπορούν να αφαιρεθούν μπλοκ από το κρυπτογραφημένο μήνυμα
- Μπορούν να μετακινηθούν μπλοκ από το κρυπτογραφημένο μήνυμα
Ανίχνευση της ευπάθειας
Φανταστείτε ότι συνδέεστε σε μια εφαρμογή αρκετές φορές και πάντα λαμβάνετε το ίδιο cookie. Αυτό συμβαίνει επειδή το cookie της εφαρμογής είναι <username>|<password>.
Στη συνέχεια, δημιουργείτε δύο νέους χρήστες, και οι δύο με το ίδιο μακρύ κωδικό πρόσβασης και σχεδόν το ίδιο όνομα χρήστη.
Ανακαλύπτετε ότι τα μπλοκ των 8B όπου οι πληροφορίες και των δύο χρηστών είναι ίδιες είναι ίσα. Σκέφτεστε ότι αυτό μπορεί να συμβαίνει επειδή χρησιμοποιείται η ECB.
Όπως στο παρακάτω παράδειγμα. Παρατηρήστε πώς αυτά τα 2 αποκωδικοποιημένα cookies έχουν αρκετές φορές το μπλοκ \x23U\xE45K\xCB\x21\xC8
\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8\x04\xB6\xE1H\xD1\x1E \xB6\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8+=\xD4F\xF7\x99\xD9\xA9
\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8\x04\xB6\xE1H\xD1\x1E \xB6\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8+=\xD4F\xF7\x99\xD9\xA9
Αυτό συμβαίνει επειδή το όνομα χρήστη και ο κωδικός πρόσβασης αυτών των cookies περιέχουν αρκετές φορές το γράμμα "α" (για παράδειγμα). Τα τμήματα που είναι διαφορετικά είναι τμήματα που περιέχουν τουλάχιστον 1 διαφορετικό χαρακτήρα (ίσως το διαχωριστικό "|" ή κάποια απαραίτητη διαφορά στο όνομα χρήστη).
Τώρα, ο επιτιθέμενος απλά χρειάζεται να ανακαλύψει αν η μορφή είναι <όνομα χρήστη><διαχωριστικό><κωδικός πρόσβασης> ή <κωδικός πρόσβασης><διαχωριστικό><όνομα χρήστη>. Για να το κάνει αυτό, μπορεί απλά να δημιουργήσει αρκετά ονόματα χρηστών με παρόμοια και μακριά ονόματα χρηστών και κωδικούς πρόσβασης μέχρι να βρει τη μορφή και το μήκος του διαχωριστικού:
| Μήκος ονόματος χρήστη: | Μήκος κωδικού πρόσβασης: | Συνολικό μήκος ονόματος χρήστη + κωδικού πρόσβασης: | Μήκος cookie (μετά την αποκωδικοποίηση): |
|---|---|---|---|
| 2 | 2 | 4 | 8 |
| 3 | 3 | 6 | 8 |
| 3 | 4 | 7 | 8 |
| 4 | 4 | 8 | 16 |
| 7 | 7 | 14 | 16 |
Εκμετάλλευση της ευπάθειας
Αφαίρεση ολόκληρων τμημάτων
Γνωρίζοντας τη μορφή του cookie (<όνομα χρήστη>|<κωδικός πρόσβασης>), για να προσομοιώσετε το όνομα χρήστη admin, δημιουργήστε ένα νέο χρήστη με το όνομα aaaaaaaaadmin και αποκτήστε το cookie και αποκωδικοποιήστε το:
\x23U\xE45K\xCB\x21\xC8\xE0Vd8oE\x123\aO\x43T\x32\xD5U\xD4
Μπορούμε να δούμε το πρότυπο \x23U\xE45K\xCB\x21\xC8 που δημιουργήθηκε προηγουμένως με το όνομα χρήστη που περιείχε μόνο το a.
Στη συνέχεια, μπορείτε να αφαιρέσετε τον πρώτο κομμάτι των 8B και θα λάβετε ένα έγκυρο cookie για το όνομα χρήστη admin:
\xE0Vd8oE\x123\aO\x43T\x32\xD5U\xD4
Μετακίνηση τμημάτων
Σε πολλές βάσεις δεδομένων είναι το ίδιο να αναζητήσετε WHERE username='admin'; ή WHERE username='admin '; (Σημειώστε τα επιπλέον κενά)
Έτσι, ένας άλλος τρόπος να προσποιηθείτε τον χρήστη admin θα ήταν:
- Δημιουργήστε ένα όνομα χρήστη που:
len(<username>) + len(<delimiter) % len(block). Με μέγεθος τμήματος8Bμπορείτε να δημιουργήσετε ένα όνομα χρήστη με το όνομα:username, με τον διαχωριστή|το τμήμα<username><delimiter>θα δημιουργήσει 2 τμήματα των 8Bs. - Στη συνέχεια, δημιουργήστε έναν κωδικό πρόσβασης που θα γεμίσει έναν ακριβή αριθμό τμημάτων που περιέχουν το όνομα χρήστη που θέλουμε να προσποιηθούμε και κενά, όπως:
admin
Το cookie αυτού του χρήστη θα αποτελείται από 3 τμήματα: τα πρώτα 2 είναι τα τμήματα του ονόματος χρήστη + διαχωριστής και το τρίτο είναι το τμήμα του κωδικού πρόσβασης (που προσποιείται το όνομα χρήστη): username |admin
Στη συνέχεια, απλά αντικαταστήστε το πρώτο τμήμα με το τελευταίο και θα προσποιείστε τον χρήστη admin: admin |username
Αναφορές
Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
Άλλοι τρόποι για να υποστηρίξετε το HackTricks:
- Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.