Race Condition
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της παγκόσμιας κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Για να αποκτήσετε μια βαθιά κατανόηση αυτής της τεχνικής, ελέγξτε την αρχική αναφορά στο https://portswigger.net/research/smashing-the-state-machine
Ενίσχυση Επιθέσεων Ανταγωνιστικής Κατάστασης
Ο κύριος εμπόδιο στο να εκμεταλλευτείτε ανταγωνιστικές καταστάσεις είναι να βεβαιωθείτε ότι πολλαπλά αιτήματα χειρίζονται ταυτόχρονα, με πολύ μικρή διαφορά στους χρόνους επεξεργασίας τους - ιδανικά, λιγότερο από 1ms.
Εδώ μπορείτε να βρείτε μερικές τεχνικές για τον Συγχρονισμό των Αιτημάτων:
Επίθεση Ενός Πακέτου HTTP/2 έναντι Συγχρονισμού Τελευταίου Byte HTTP/1.1
HTTP/2: Υποστηρίζει την αποστολή δύο αιτημάτων μέσω μιας μόνο σύνδεσης TCP, μειώνοντας τον αντίκτυπο της διακύμανσης του δικτύου. Ωστόσο, λόγω ποικιλίας στην πλευρά του διακομιστή, δύο αιτήματα ενδέχεται να μην είναι αρκετά για μια συνεπή εκμετάλλευση ανταγωνιστικής κατάστασης.
HTTP/1.1 'Συγχρονισμός Τελευταίου Byte': Επιτρέπει την προ-αποστολή των περισσότερων τμημάτων 20-30 αιτημάτων, κρατώντας ένα μικρό κομμάτι, το οποίο στη συνέχεια στέλνεται μαζί, επιτυγχάνοντας την ταυτόχρονη άφιξη στο διακομιστή.
Η Προετοιμασία για τον Συγχρονισμό του Τελευταίου Byte περιλαμβάνει:
Αποστολή κεφαλίδων και δεδομένων σώματος χωρίς το τελευταίο byte χωρίς να τερματίσετε τη ροή.
Παύση για 100ms μετά την αρχική αποστολή.
Απενεργοποίηση του TCP_NODELAY για να χρησιμοποιήσετε τον αλγόριθμο Nagle για την ομαδοποίηση των τελικών πλαισίων.
Πινγκάρισμα για να ζεστάνετε τη σύνδεση.
Η επόμενη αποστολή των κρατούμενων πλαισίων θα πρέπει να οδηγήσει στην άφιξή τους σε ένα μόνο πακέτο, το οποίο μπορεί να επαληθευτεί μέσω του Wireshark. Αυτή η μέθοδος δεν ισχύει για στατικά αρχεία, τα οποία συνήθως δεν συμμετέχουν σε επιθέσεις RC.
Προσαρμογή στην Αρχιτεκτονική του Διακομιστή
Η κατανόηση της αρχιτεκτονικής του στόχου είναι κρίσιμη. Οι διακομιστές μπορεί να δρομολογούν αιτήματα διαφορετικά, επηρεάζοντας το χρονισμό. Η προεκτιμητική ζέστανση της σύνδεσης στην πλευρά του διακομιστή, μέσω ασήμαντων αιτημάτων, μπορεί να κανονικοποιήσει το χρονισμό των αιτημάτων.
Χειρισμός Κλειδώματος Βάσεων Δεδομένων βασισμένο σε Συνεδρίες
Τα πλαίσια όπως ο χειριστής συνεδριών του PHP σειριοποιούν τα αιτήματα ανά συνεδρία, πιθανώς αποκρύπτοντας ευπαθείς σημεία. Η χρήση διαφορετικών διακριτικών συνεδρίας για κάθε αίτημα μπορεί να παρακάμψει αυτό το ζήτημα.
Ξεπερνώντας Όρια Ρυθμού ή Πόρων
Αν η προεκτιμητική ζέστανση της σύνδεσης είναι αναποτελεσματική, η πρόκληση εσκεμμένως καθυστερήσεων ρυθμού ή περιορισμών πόρων στους διακομιστές ιστού μέσω μιας πλημμύρας ψεύτικων αιτημάτων μπορεί να διευκολύνει την επίθεση με ένα μόνο πακέτο, προκαλώντας μια καθυστέρηση στην πλευρά του διακομιστή που ευνοεί τις ανταγωνιστικές καταστάσεις.
Παραδείγματα Επίθεσης
Tubo Intruder - Επίθεση ενός πακέτου HTTP2 (1 σημείο άκρης): Μπορείτε να στείλετε το αίτημα στο Turbo intruder (
Επεκτάσεις
->Turbo Intruder
->Αποστολή στο Turbo Intruder
), μπορείτε να αλλάξετε στο αίτημα την τιμή που θέλετε να δοκιμάσετε με βία%s
όπως στοcsrf=Bn9VQB8OyefIs3ShR2fPESR0FzzulI1d&username=carlos&password=%s
και στη συνέχεια να επιλέξετε τοexamples/race-single-packer-attack.py
από την αναπτυσσόμενη λίστα:
Αν πρόκειται να στείλετε διαφορετικές τιμές, μπορείτε να τροποποιήσετε τον κώδικα με αυτόν που χρησιμοποιεί μια λίστα λέξεων από το πρόχειρο:
Αν η ιστοσελίδα δεν υποστηρίζει HTTP2 (μόνο HTTP1.1), χρησιμοποιήστε Engine.THREADED
ή Engine.BURP
αντί για Engine.BURP2
.
Tubo Intruder - Επίθεση με ενιαίο πακέτο HTTP2 (Πολλαπλά endpoints): Σε περίπτωση που χρειάζεστε να στείλετε ένα αίτημα σε 1 endpoint και στη συνέχεια πολλαπλά σε άλλα endpoints για να ενεργοποιήσετε το RCE, μπορείτε να αλλάξετε το σενάριο
race-single-packet-attack.py
με κάτι παρόμοιο:
Είναι επίσης διαθέσιμο στο Repeater μέσω της νέας επιλογής 'Αποστολή ομάδας παράλληλα' στο Burp Suite.
Για το limit-overrun θα μπορούσατε απλά να προσθέσετε το ίδιο αίτημα 50 φορές στην ομάδα.
Για το connection warming, θα μπορούσατε να προσθέσετε στην αρχή της ομάδας μερικά αιτήματα προς κάποιο μη στατικό μέρος του διακομιστή web.
Για τη καθυστέρηση της διαδικασίας μεταξύ της επεξεργασίας ενός αιτήματος και ενός άλλου σε 2 υποκαταστάσεις, θα μπορούσατε να προσθέσετε επιπλέον αιτήματα μεταξύ των δύο αιτημάτων.
Για ένα πολυ-τελικό σημείο RC θα μπορούσατε να ξεκινήσετε την αποστολή του αιτήματος που πηγαίνει στην κρυφή κατάσταση και στη συνέχεια 50 αιτήματα αμέσως μετά που εκμεταλλεύονται την κρυφή κατάσταση.
Αυτοματοποιημένο σενάριο python: Ο στόχος αυτού του σεναρίου είναι να αλλάξει το email ενός χρήστη ενώ συνεχίζει να το επαληθεύει μέχρι να φτάσει το τελευταίο email το διακριτικό επαλήθευσης του νέου email (αυτό συμβαίνει επειδή στον κώδικα είδε ένα RC όπου ήταν δυνατή η τροποποίηση ενός email αλλά η επαλήθευση στάλθηκε στο παλιό επειδή η μεταβλητή που υποδεικνύει το email ήταν ήδη γεμάτη με το πρώτο). Όταν βρεθεί η λέξη "objetivo" στα ληφθέντα emails γνωρίζουμε ότι λάβαμε το διακριτικό επαλήθευσης του αλλαγμένου email και τερματίζουμε την επίθεση.
Ακατέργαστο BF
Πριν από την προηγούμενη έρευνα, αυτά ήταν μερικά φορτία που χρησιμοποιήθηκαν που απλώς προσπάθησαν να στείλουν τα πακέτα τόσο γρήγορα όσο γίνεται για να προκαλέσουν έναν RC.
Repeater: Ελέγξτε τα παραδείγματα από την προηγούμενη ενότητα.
Intruder: Στείλτε το αίτημα στο Intruder, ορίστε τον αριθμό των νημάτων σε 30 μέσα στο μενού Επιλογές και, επιλέξτε ως φορτίο Κενά φορτία και δημιουργήστε 30.
Turbo Intruder
Πυθών - asyncio
Μεθοδολογία RC
Υπέρβαση Ορίου / TOCTOU
Αυτός είναι ο πιο βασικός τύπος race condition όπου ευπαθείες που εμφανίζονται σε σημεία που περιορίζουν τον αριθμό των φορών που μπορείτε να εκτελέσετε μια ενέργεια. Όπως η χρήση του ίδιου κωδικού έκπτωσης σε ένα κατάστημα στο διαδίκτυο πολλές φορές. Ένα πολύ εύκολο παράδειγμα μπορεί να βρεθεί σε αυτήν την αναφορά ή σε αυτό το σφάλμα.
Υπάρχουν πολλές παραλλαγές αυτού του είδους επίθεσης, συμπεριλαμβανομένων:
Εξαργύρωση ενός κουπονιού δώρου πολλές φορές
Αξιολόγηση ενός προϊόντος πολλές φορές
Ανάληψη ή μεταφορά μετρητών υπέρ του υπολοίπου του λογαριασμού σας
Επαναχρησιμοποίηση μιας μόνο λύσης CAPTCHA
Παράκαμψη ενός ορίου ρυθμού αντίστασης σε βίαιες επιθέσεις
Κρυφές υποκαταστάσεις
Η εκμετάλλευση πολύπλοκων race conditions συχνά περιλαμβάνει την εκμετάλλευση σύντομων ευκαιριών για αλληλεπίδραση με κρυφές ή μη προσδιορισμένες υποκαταστάσεις μηχανών. Εδώ είναι πώς να προσεγγίσετε αυτό:
Αναγνωρίστε Πιθανές Κρυφές Υποκαταστάσεις
Ξεκινήστε εντοπίζοντας σημεία που τροποποιούν ή αλληλεπιδρούν με κρίσιμα δεδομένα, όπως προφίλ χρηστών ή διαδικασίες επαναφοράς κωδικού πρόσβασης. Εστιάστε σε:
Αποθήκευση: Προτιμήστε τα σημεία που χειρίζονται δεδομένα μόνιμα στον διακομιστή αντί για αυτά που χειρίζονται δεδομένα στον πελάτη.
Ενέργεια: Αναζητήστε λειτουργίες που τροποποιούν υπάρχοντα δεδομένα, τα οποία είναι πιο πιθανό να δημιουργήσουν εκμεταλλεύσιμες συνθήκες σε σύγκριση με αυτές που προσθέτουν νέα δεδομένα.
Κλειδώματα: Οι επιτυχημένες επιθέσεις συνήθως περιλαμβάνουν λειτουργίες που βασίζονται στο ίδιο αναγνωριστικό, π.χ., όνομα χρήστη ή διακριτικό επαναφοράς.
Πραγματοποιήστε Αρχική Εξερεύνηση
Δοκιμάστε τα εντοπισμένα σημεία με επιθέσεις race condition, παρατηρώντας για οποιεσδήποτε αποκλίσεις από τα αναμενόμενα αποτελέσματα. Απροσδόκητες απαντήσεις ή αλλαγές στη συμπεριφορά της εφαρμογής μπορούν να υποδείξουν μια ευπάθεια.
Αποδείξτε την Ευπάθεια
Περιορίστε την επίθεση στον ελάχιστο αριθμό αιτημάτων που απαιτούνται για να εκμεταλλευτείτε την ευπάθεια, συνήθως μόνο δύο. Αυτό το βήμα μπορεί να απαιτήσει πολλαπλές προσπάθειες ή αυτοματοποίηση λόγω του ακριβούς χρονισμού που απαιτείται.
Επιθέσεις Ευαίσθητου Χρόνου
Η ακρίβεια στο χρονισμό των αιτημάτων μπορεί να αποκαλύψει ευπάθειες, ειδικά όταν χρησιμοποιούνται προβλέψιμες μεθόδους όπως οι σημάνσεις χρόνου για τα ασφαλείας διακριτικά. Για παράδειγμα, η δημιουργία διακριτικών επαναφοράς κωδικού βάσει σημάνσεων χρόνου θα μπορούσε να επιτρέψει ταυτόσημα διακριτικά για ταυτόχρονα αιτήματα.
Για Εκμετάλλευση:
Χρησιμοποιήστε ακριβή χρονισμό, όπως μια επίθεση με ένα πακέτο, για να κάνετε ταυτόχρονα αιτήματα επαναφοράς κωδικού. Ταυτόσημα διακριτικά υποδεικνύουν μια ευπάθεια.
Παράδειγμα:
Ζητήστε δύο διακριτικά επαναφοράς κωδικού ταυτόχρονα και συγκρίνετέ τα. Τα ταυτόσημα δείχνουν ένα ελάττωμα στη δημιουργία διακριτικών.
Ελέγξτε αυτό το PortSwigger Lab για να δοκιμάσετε αυτό.
Περιπτώσεις μελέτης κρυφών υποκαταστάσεων
Πληρωμή & προσθήκη ενός αντικειμένου
Ελέγξτε αυτό το PortSwigger Lab για να δείτε πώς να πληρώσετε σε ένα κατάστημα και να προσθέσετε ένα επιπλέον αντικείμενο που δεν θα χρειαστεί να πληρώσετε γι' αυτό.
Επιβεβαίωση άλλων emails
Η ιδέα είναι να επιβεβαιώσετε μια διεύθυνση email και να την αλλάξετε σε μια διαφορετική ταυτόχρονα για να διαπιστώσετε αν η πλατφόρμα επιβεβαιώνει τη νέα που άλλαξε.
Αλλαγή email σε 2 διευθύνσεις email βασισμένη σε Cookie
Σύμφωνα με αυτή την έρευνα το Gitlab ήταν ευάλωτο σε μια επίθεση με αυτόν τον τρόπο επειδή θα μπορούσε να στείλει το διακριτικό επαλήθευσης email μιας διεύθυνσης email στην άλλη διεύθυνση email.
Ελέγξτε αυτό το PortSwigger Lab για να δοκιμάσετε αυτό.
Κρυφές καταστάσεις βάσης δεδομένων / Παράκαμψη Επιβεβαίωσης
Αν χρησιμοποιούνται 2 διαφορετικές εγγραφές για να προσθέσουν πληροφορίες μέσα σε μια βάση δεδομένων, υπάρχει ένα μικρό χρονικό διάστημα όπου μόνο η πρώτη δεδομένη έχει γραφτεί μέσα στη βάση δεδομένων. Για παράδειγμα, κατά τη δημιουργία ενός χρήστη το όνομα χρήστη και ο κωδικός πρόσβασης μπορεί να γραφτούν και στη συνέχεια το διακριτικό για να επιβεβαιώσει τον νεοδημιουργημένο λογαριασμό γράφεται. Αυτό σημαίνει ότι για ένα μικρό χρονικό διάστημα το διακριτικό για την επιβεβαίωση ενός λογαριασμού είναι κενό.
Επομένως, η εγγραφή ενός λογαριασμού και η αποστολή αρκετών αιτημάτων με ένα κενό διακριτικό (token=
ή token[]=
ή οποιαδήποτε άλλη παραλλαγή) για να επιβεβαιώσετε αμέσως τον λογαριασμό θα μπορούσε να επιτρέψει
Αιώνια διατήρηση OAuth2
Υπάρχουν αρκετοί παροχείς OAuth. Αυτές οι υπηρεσίες θα σας επιτρέψουν να δημιουργήσετε μια εφαρμογή και να πιστοποιήσετε χρήστες που έχει εγγράψει ο πάροχος. Για να το κάνετε αυτό, ο πελάτης θα χρειαστεί να επιτρέψει στην εφαρμογή σας να έχει πρόσβαση σε μερικά από τα δεδομένα τους μέσα στον πάροχο OAuth. Έτσι, μέχρι εδώ απλώς μια κοινή σύνδεση με google/linkedin/github... όπου σας ζητείται να επιτρέψετε σε μια σελίδα να αποκτήσει πρόσβαση στα δεδομένα σας: "Η εφαρμογή <InsertCoolName> θέλει να έχει πρόσβαση στα δεδομένα σας, θέλετε να το επιτρέψετε;"
Ανταγωνιστική Κατάσταση στο authorization_code
authorization_code
Το πρόβλημα εμφανίζεται όταν το αποδέχεστε και αυτόματα στέλνει ένα authorization_code
στην κακόβουλη εφαρμογή. Στη συνέχεια, αυτή η εφαρμογή εκμεταλλεύεται μια Ανταγωνιστική Κατάσταση στον πάροχο υπηρεσιών OAuth για να δημιουργήσει περισσότερα από ένα AT/RT (Authentication Token/Refresh Token) από το authorization_code
για το λογαριασμό σας. Βασικά, θα εκμεταλλευτεί το γεγονός ότι έχετε αποδεχτεί την εφαρμογή για να έχει πρόσβαση στα δεδομένα σας για να δημιουργήσει πολλούς λογαριασμούς. Στη συνέχεια, αν σταματήσετε να επιτρέπετε στην εφαρμογή να έχει πρόσβαση στα δεδομένα σας, ένα ζεύγος AT/RT θα διαγραφεί, αλλά τα υπόλοιπα θα παραμείνουν έγκυρα.
Ανταγωνιστική Κατάσταση στο Refresh Token
Refresh Token
Αφού έχετε λάβει ένα έγκυρο RT μπορείτε να προσπαθήσετε να το εκμεταλλευτείτε για να δημιουργήσετε πολλά AT/RT και ακόμα κι αν ο χρήστης ακυρώσει τις άδειες για την κακόβουλη εφαρμογή να έχει πρόσβαση στα δεδομένα του, πολλά RT θα παραμείνουν έγκυρα.
Ανταγωνιστική Κατάσταση στα WebSockets
Στο WS_RaceCondition_PoC μπορείτε να βρείτε ένα PoC σε Java για να στείλετε μηνύματα websocket παράλληλα για να εκμεταλλευτείτε Ανταγωνιστικές Καταστάσεις επίσης στα Web Sockets.
Αναφορές
Χρησιμοποιήστε το Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία κοινότητας στον κόσμο. Αποκτήστε πρόσβαση σήμερα:
Last updated