Race Condition
Last updated
Last updated
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Για να αποκτήσετε βαθιά κατανόηση αυτής της τεχνικής, ελέγξτε την αρχική αναφορά στο https://portswigger.net/research/smashing-the-state-machine
Το κύριο εμπόδιο στην εκμετάλλευση των race conditions είναι η διασφάλιση ότι πολλές αιτήσεις χειρίζονται ταυτόχρονα, με πολύ μικρή διαφορά στους χρόνους επεξεργασίας τους—ιδανικά, λιγότερο από 1ms.
Εδώ μπορείτε να βρείτε μερικές τεχνικές για τη Συγχρονισμό Αιτήσεων:
HTTP/2: Υποστηρίζει την αποστολή δύο αιτήσεων μέσω μιας μόνο σύνδεσης TCP, μειώνοντας την επίδραση του jitter στο δίκτυο. Ωστόσο, λόγω παραλλαγών στην πλευρά του διακομιστή, δύο αιτήσεις μπορεί να μην είναι αρκετές για μια συνεπή εκμετάλλευση race condition.
HTTP/1.1 'Συγχρονισμός Τελευταίου Byte': Επιτρέπει την προ-αποστολή των περισσότερων τμημάτων 20-30 αιτήσεων, κρατώντας ένα μικρό τμήμα, το οποίο αποστέλλεται στη συνέχεια μαζί, επιτυγχάνοντας ταυτόχρονη άφιξη στον διακομιστή.
Η προετοιμασία για τον Συγχρονισμό Τελευταίου Byte περιλαμβάνει:
Αποστολή κεφαλίδων και δεδομένων σώματος χωρίς το τελικό byte χωρίς να τερματίσετε τη ροή.
Παύση για 100ms μετά την αρχική αποστολή.
Απενεργοποίηση TCP_NODELAY για να χρησιμοποιήσετε τον αλγόριθμο Nagle για την ομαδοποίηση των τελικών πλαισίων.
Ping για να ζεστάνετε τη σύνδεση.
Η επόμενη αποστολή των συγκρατημένων πλαισίων θα πρέπει να έχει ως αποτέλεσμα την άφιξή τους σε ένα μόνο πακέτο, επαληθεύσιμο μέσω Wireshark. Αυτή η μέθοδος δεν ισχύει για στατικά αρχεία, τα οποία δεν εμπλέκονται συνήθως σε επιθέσεις RC.
Η κατανόηση της αρχιτεκτονικής του στόχου είναι κρίσιμη. Οι διακομιστές front-end μπορεί να δρομολογούν τις αιτήσεις διαφορετικά, επηρεάζοντας το χρονοδιάγραμμα. Η προληπτική θέρμανση της σύνδεσης στην πλευρά του διακομιστή, μέσω ασήμαντων αιτήσεων, μπορεί να κανονικοποιήσει το χρονοδιάγραμμα των αιτήσεων.
Frameworks όπως ο χειριστής συνεδριών PHP σειριοποιούν τις αιτήσεις κατά συνεδρία, ενδεχομένως αποκρύπτοντας ευπάθειες. Η χρήση διαφορετικών tokens συνεδρίας για κάθε αίτηση μπορεί να παρακάμψει αυτό το ζήτημα.
Εάν η θέρμανση της σύνδεσης είναι αναποτελεσματική, η πρόκληση καθυστερήσεων περιορισμού ρυθμού ή πόρων στους διακομιστές ιστού σκόπιμα μέσω πλημμύρας ψεύτικων αιτήσεων μπορεί να διευκολύνει την επίθεση μοναδικού πακέτου προκαλώντας καθυστέρηση στην πλευρά του διακομιστή που ευνοεί τις race conditions.
Tubo Intruder - Επίθεση HTTP2 μοναδικού πακέτου (1 endpoint): Μπορείτε να στείλετε την αίτηση στο Turbo intruder (Extensions
-> Turbo Intruder
-> Send to Turbo Intruder
), μπορείτε να αλλάξετε στην αίτηση την τιμή που θέλετε να σπάσετε για %s
όπως στο csrf=Bn9VQB8OyefIs3ShR2fPESR0FzzulI1d&username=carlos&password=%s
και στη συνέχεια να επιλέξετε το examples/race-single-packer-attack.py
από την αναπτυσσόμενη λίστα:
Εάν πρόκειται να στείλετε διαφορετικές τιμές, μπορείτε να τροποποιήσετε τον κώδικα με αυτόν που χρησιμοποιεί μια λίστα λέξεων από το πρόχειρο:
Εάν ο ιστότοπος δεν υποστηρίζει HTTP2 (μόνο HTTP1.1) χρησιμοποιήστε Engine.THREADED
ή Engine.BURP
αντί για Engine.BURP2
.
Tubo Intruder - HTTP2 επίθεση μεμονωμένου πακέτου (Πολλές τελικές διαδρομές): Σε περίπτωση που χρειαστεί να στείλετε ένα αίτημα σε 1 τελική διαδρομή και στη συνέχεια πολλαπλά σε άλλες τελικές διαδρομές για να ενεργοποιήσετε το RCE, μπορείτε να αλλάξετε το σενάριο race-single-packet-attack.py
με κάτι σαν:
Είναι επίσης διαθέσιμο στο Repeater μέσω της νέας επιλογής 'Αποστολή ομάδας παράλληλα' στο Burp Suite.
Για limit-overrun θα μπορούσατε απλά να προσθέσετε το ίδιο αίτημα 50 φορές στην ομάδα.
Για connection warming, θα μπορούσατε να προσθέσετε στην αρχή της ομάδας κάποια αιτήματα σε κάποιο μη στατικό μέρος του web server.
Για delaying τη διαδικασία μεταξύ της επεξεργασίας ενός αιτήματος και ενός άλλου σε 2 υποστάσεις βημάτων, θα μπορούσατε να προσθέσετε επιπλέον αιτήματα μεταξύ και των δύο αιτημάτων.
Για ένα multi-endpoint RC θα μπορούσατε να αρχίσετε να στέλνετε το αίτημα που πηγαίνει στην κρυφή κατάσταση και στη συνέχεια 50 αιτήματα αμέσως μετά που εκμεταλλεύονται την κρυφή κατάσταση.
Automated python script: Ο στόχος αυτού του script είναι να αλλάξει το email ενός χρήστη ενώ συνεχώς το επαληθεύει μέχρι να φτάσει το verification token του νέου email στο τελευταίο email (αυτό συμβαίνει επειδή στον κώδικα παρατηρήθηκε μια RC όπου ήταν δυνατό να τροποποιηθεί ένα email αλλά να σταλεί η επαλήθευση στο παλιό γιατί η μεταβλητή που υποδεικνύει το email ήταν ήδη γεμάτη με το πρώτο). Όταν η λέξη "objetivo" βρεθεί στα ληφθέντα emails, γνωρίζουμε ότι λάβαμε το verification token του αλλάγμένου email και τερματίζουμε την επίθεση.
Στην αρχική έρευνα εξηγείται ότι αυτή η επίθεση έχει όριο 1,500 bytes. Ωστόσο, σε αυτή την ανάρτηση, εξηγήθηκε πώς είναι δυνατόν να επεκταθεί ο περιορισμός των 1,500 bytes της επίθεσης μοναδικού πακέτου στο 65,535 B παράθυρο περιορισμού του TCP χρησιμοποιώντας κατακερματισμό επιπέδου IP (διαχωρισμός ενός μοναδικού πακέτου σε πολλαπλά πακέτα IP) και στέλνοντάς τα σε διαφορετική σειρά, επιτρέποντας την αποφυγή ανασυγκρότησης του πακέτου μέχρι να φτάσουν όλα τα θραύσματα στον διακομιστή. Αυτή η τεχνική επέτρεψε στον ερευνητή να στείλει 10,000 αιτήσεις σε περίπου 166ms.
Σημειώστε ότι αν και αυτή η βελτίωση καθιστά την επίθεση πιο αξιόπιστη σε RC που απαιτεί εκατοντάδες/χιλιάδες πακέτα να φτάσουν ταυτόχρονα, μπορεί επίσης να έχει κάποιους περιορισμούς λογισμικού. Ορισμένοι δημοφιλείς διακομιστές HTTP όπως οι Apache, Nginx και Go έχουν αυστηρή ρύθμιση SETTINGS_MAX_CONCURRENT_STREAMS
σε 100, 128 και 250. Ωστόσο, άλλοι όπως οι NodeJS και nghttp2 το έχουν απεριόριστο.
Αυτό σημαίνει βασικά ότι ο Apache θα εξετάσει μόνο 100 HTTP συνδέσεις από μια μοναδική TCP σύνδεση (περιορίζοντας αυτή την επίθεση RC).
Μπορείτε να βρείτε μερικά παραδείγματα χρησιμοποιώντας αυτή την τεχνική στο repo https://github.com/Ry0taK/first-sequence-sync/tree/main.
Πριν από την προηγούμενη έρευνα, αυτά ήταν μερικά payloads που χρησιμοποιήθηκαν και απλώς προσπαθούσαν να στείλουν τα πακέτα όσο το δυνατόν πιο γρήγορα για να προκαλέσουν μια RC.
Επαναλήπτης: Ελέγξτε τα παραδείγματα από την προηγούμενη ενότητα.
Εισβολέας: Στείλτε το αίτημα στον Εισβολέα, ρυθμίστε τον αριθμό νημάτων σε 30 μέσα στο μενού Επιλογών και, επιλέξτε ως payload Null payloads και δημιουργήστε 30.
Turbo Intruder
Python - asyncio
Αυτός είναι ο πιο βασικός τύπος συνθήκης αγώνα όπου ευπάθειες που εμφανίζονται σε μέρη που περιορίζουν τον αριθμό των φορών που μπορείτε να εκτελέσετε μια ενέργεια. Όπως η χρήση του ίδιου κωδικού έκπτωσης σε ένα διαδικτυακό κατάστημα πολλές φορές. Ένα πολύ εύκολο παράδειγμα μπορεί να βρεθεί σε αυτή την αναφορά ή σε αυτό το σφάλμα.
Υπάρχουν πολλές παραλλαγές αυτού του είδους επίθεσης, συμπεριλαμβανομένων:
Εξαργύρωση μιας δωροκάρτας πολλές φορές
Αξιολόγηση ενός προϊόντος πολλές φορές
Ανάληψη ή μεταφορά χρημάτων πέρα από το υπόλοιπο του λογαριασμού σας
Επαναχρησιμοποίηση μιας μόνο λύσης CAPTCHA
Παράκαμψη ενός περιορισμού ρυθμού κατά της βίαιης επίθεσης
Η εκμετάλλευση σύνθετων συνθηκών αγώνα συχνά περιλαμβάνει την εκμετάλλευση σύντομων ευκαιριών για αλληλεπίδραση με κρυφές ή μη προγραμματισμένες υποκαταστάσεις μηχανής. Να πώς να προσεγγίσετε αυτό:
Εντοπίστε Πιθανές Κρυφές Υποκαταστάσεις
Ξεκινήστε εντοπίζοντας σημεία που τροποποιούν ή αλληλεπιδρούν με κρίσιμα δεδομένα, όπως προφίλ χρηστών ή διαδικασίες επαναφοράς κωδικού πρόσβασης. Επικεντρωθείτε σε:
Αποθήκευση: Προτιμήστε σημεία που χειρίζονται μόνιμα δεδομένα στον διακομιστή σε σχέση με αυτά που χειρίζονται δεδομένα στον πελάτη.
Ενέργεια: Αναζητήστε λειτουργίες που τροποποιούν υπάρχοντα δεδομένα, οι οποίες είναι πιο πιθανό να δημιουργήσουν εκμεταλλεύσιμες συνθήκες σε σύγκριση με αυτές που προσθέτουν νέα δεδομένα.
Κλειδώματα: Οι επιτυχείς επιθέσεις συνήθως περιλαμβάνουν λειτουργίες που βασίζονται στον ίδιο αναγνωριστικό, π.χ., όνομα χρήστη ή διακριτικό επαναφοράς.
Διεξάγετε Αρχική Δοκιμή
Δοκιμάστε τα εντοπισμένα σημεία με επιθέσεις συνθήκης αγώνα, παρατηρώντας τυχόν αποκλίσεις από τις αναμενόμενες εκβάσεις. Απροσδόκητες απαντήσεις ή αλλαγές στη συμπεριφορά της εφαρμογής μπορεί να υποδηλώνουν μια ευπάθεια.
Δείξτε την Ευπάθεια
Στενέψτε την επίθεση στον ελάχιστο αριθμό αιτημάτων που απαιτούνται για να εκμεταλλευτείτε την ευπάθεια, συχνά μόλις δύο. Αυτό το βήμα μπορεί να απαιτεί πολλές προσπάθειες ή αυτοματοποίηση λόγω της ακριβούς χρονικής στιγμής που εμπλέκεται.
Η ακρίβεια στο χρονοδιάγραμμα των αιτημάτων μπορεί να αποκαλύψει ευπάθειες, ειδικά όταν χρησιμοποιούνται προβλέψιμες μέθοδοι όπως οι χρονικές σφραγίδες για διακριτικά ασφαλείας. Για παράδειγμα, η δημιουργία διακριτικών επαναφοράς κωδικού πρόσβασης με βάση τις χρονικές σφραγίδες θα μπορούσε να επιτρέψει ταυτόσημα διακριτικά για ταυτόχρονες αιτήσεις.
Για να Εκμεταλλευτείτε:
Χρησιμοποιήστε ακριβή χρονοδιάγραμμα, όπως μια επίθεση με ένα μόνο πακέτο, για να κάνετε ταυτόχρονες αιτήσεις επαναφοράς κωδικού πρόσβασης. Τα ταυτόσημα διακριτικά υποδηλώνουν μια ευπάθεια.
Παράδειγμα:
Ζητήστε δύο διακριτικά επαναφοράς κωδικού πρόσβασης ταυτόχρονα και συγκρίνετέ τα. Τα ταυτοποιημένα διακριτικά υποδηλώνουν ένα σφάλμα στη δημιουργία διακριτικών.
Δείτε αυτό PortSwigger Lab για να το δοκιμάσετε.
Δείτε αυτό το PortSwigger Lab για να δείτε πώς να πληρώσετε σε ένα κατάστημα και να προσθέσετε ένα επιπλέον αντικείμενο που δεν θα χρειαστεί να πληρώσετε γι' αυτό.
Η ιδέα είναι να επιβεβαιώσετε μια διεύθυνση email και να την αλλάξετε σε μια διαφορετική ταυτόχρονα για να διαπιστώσετε αν η πλατφόρμα επιβεβαιώνει τη νέα που έχει αλλάξει.
Σύμφωνα με αυτή την έρευνα, το Gitlab ήταν ευάλωτο σε κατάληψη με αυτόν τον τρόπο επειδή μπορεί να στείλει το διακριτικό επιβεβαίωσης email μιας διεύθυνσης email στην άλλη διεύθυνση email.
Δείτε αυτό PortSwigger Lab για να το δοκιμάσετε.
Εάν χρησιμοποιηθούν 2 διαφορετικές εγγραφές για να προσθέσουν πληροφορίες μέσα σε μια βάση δεδομένων, υπάρχει μια μικρή χρονική περίοδος όπου μόνο τα πρώτα δεδομένα έχουν γραφτεί μέσα στη βάση δεδομένων. Για παράδειγμα, όταν δημιουργείτε έναν χρήστη, το όνομα χρήστη και ο κωδικός πρόσβασης μπορεί να είναι γραμμένα και στη συνέχεια το διακριτικό για να επιβεβαιωθεί ο νεοδημιουργημένος λογαριασμός είναι γραμμένο. Αυτό σημαίνει ότι για μια μικρή χρονική περίοδο το διακριτικό για την επιβεβαίωση ενός λογαριασμού είναι κενό.
Επομένως, η εγγραφή ενός λογαριασμού και η αποστολή αρκετών αιτημάτων με ένα κενό διακριτικό (token=
ή token[]=
ή οποιαδήποτε άλλη παραλλαγή) για να επιβεβαιώσετε τον λογαριασμό αμέσως θα μπορούσε να επιτρέψει την επιβεβαίωση ενός λογαριασμού όπου δεν ελέγχετε το email.
Δείτε αυτό PortSwigger Lab για να το δοκιμάσετε.
Ο παρακάτω ψευδοκώδικας είναι ευάλωτος σε συνθήκη αγώνα επειδή σε πολύ μικρό χρονικό διάστημα η 2FA δεν επιβάλλεται ενώ δημιουργείται η συνεδρία:
Υπάρχουν αρκετοί παροχείς OAUth. Αυτές οι υπηρεσίες θα σας επιτρέψουν να δημιουργήσετε μια εφαρμογή και να πιστοποιήσετε χρήστες που έχει καταχωρίσει ο πάροχος. Για να το κάνετε αυτό, ο πελάτης θα χρειαστεί να επιτρέψει στην εφαρμογή σας να έχει πρόσβαση σε ορισμένα από τα δεδομένα τους μέσα στον παροχέα OAUth. Έτσι, μέχρι εδώ είναι απλώς μια κοινή σύνδεση με google/linkedin/github... όπου σας ζητείται μια σελίδα που λέει: "Η εφαρμογή <InsertCoolName> θέλει να έχει πρόσβαση στις πληροφορίες σας, θέλετε να το επιτρέψετε;"
authorization_code
Το πρόβλημα εμφανίζεται όταν το αποδέχεστε και αυτόματα στέλνει έναν authorization_code
στην κακόβουλη εφαρμογή. Στη συνέχεια, αυτή η εφαρμογή εκμεταλλεύεται μια Race Condition στον πάροχο υπηρεσιών OAUth για να δημιουργήσει περισσότερα από ένα AT/RT (Authentication Token/Refresh Token) από τον authorization_code
για τον λογαριασμό σας. Βασικά, θα εκμεταλλευτεί το γεγονός ότι έχετε αποδεχθεί την εφαρμογή να έχει πρόσβαση στα δεδομένα σας για να δημιουργήσει αρκετούς λογαριασμούς. Στη συνέχεια, αν σταματήσετε να επιτρέπετε στην εφαρμογή να έχει πρόσβαση στα δεδομένα σας, ένα ζευγάρι AT/RT θα διαγραφεί, αλλά τα άλλα θα παραμείνουν έγκυρα.
Refresh Token
Μόλις έχετε αποκτήσει ένα έγκυρο RT, μπορείτε να προσπαθήσετε να το εκμεταλλευτείτε για να δημιουργήσετε αρκετά AT/RT και ακόμα και αν ο χρήστης ακυρώσει τις άδειες για την κακόβουλη εφαρμογή να έχει πρόσβαση στα δεδομένα του, αρκετά RT θα παραμείνουν έγκυρα.
Στο WS_RaceCondition_PoC μπορείτε να βρείτε ένα PoC σε Java για να στείλετε μηνύματα websocket σε παράλληλη εκμετάλλευση Race Conditions και σε Web Sockets.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Μάθετε και εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε και εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)