Race Condition
Tumia Trickest kujenga na kutumia workflows kwa urahisi zinazotumia zana za jamii ya juu zaidi duniani. Pata Ufikiaji Leo:
Ili kupata uelewa wa kina wa mbinu hii, angalia ripoti ya asili kwenye https://portswigger.net/research/smashing-the-state-machine
Kuboresha Mashambulizi ya Hali ya Mashindano
Kizuizi kikuu katika kutumia mashindano ya hali ni kuhakikisha kuwa maombi mengi yanashughulikiwa wakati huo huo, na tofauti ndogo sana katika nyakati zao za usindikaji—ideally, chini ya 1ms.
Hapa unaweza kupata baadhi ya mbinu za Kusawazisha Maombi:
Shambulio la Pakiti Moja ya HTTP/2 dhidi ya Ushirikiano wa Herufi ya Mwisho ya HTTP/1.1
HTTP/2: Inasaidia kutuma maombi mawili kupitia muunganisho mmoja wa TCP, kupunguza athari ya mtikisiko wa mtandao. Hata hivyo, kutokana na tofauti za upande wa seva, maombi mawili hayatoshi kwa kudukua mashindano kwa njia thabiti.
HTTP/1.1 'Ushirikiano wa Herufi ya Mwisho': Inawezesha kutuma sehemu kubwa ya maombi 20-30, ikizuia kipande kidogo, ambacho kisha hutumwa pamoja, kufikia kuwasili kwa wakati mmoja kwenye seva.
Maandalizi ya Ushirikiano wa Herufi ya Mwisho yanajumuisha:
Kutuma vichwa na data ya mwili isipokuwa herufi ya mwisho bila kumaliza mto.
Kusimamisha kwa 100ms baada ya kutuma awali.
Kulemaza TCP_NODELAY kutumia algorithm ya Nagle kwa kubatilisha fremu za mwisho.
Kutuma ping kwa kuchemsha muunganisho.
Kutuma kwa fremu zilizozuiliwa baadaye inapaswa kusababisha kuwasili kwao kwenye pakiti moja, inayoweza kuthibitishwa kupitia Wireshark. Mbinu hii haitumiki kwa faili za tuli, ambazo kawaida hazihusiki katika mashambulizi ya RC.
Kuzoea Miundo ya Seva
Kuelewa miundo ya lengo ni muhimu. Seva za mbele zinaweza kupeleka maombi kwa njia tofauti, zikiathiri wakati. Kuchemsha muunganisho wa upande wa seva mapema, kupitia maombi yasiyo na maana, kunaweza kawaidaisha wakati wa maombi.
Kushughulikia Kufunga kwa Msingi wa Kikao
Mifumo kama kushughulikia kwa kikao cha PHP inaserializa maombi kwa kikao, ikificha mara nyingi udhaifu. Kutumia vitambulisho tofauti vya kikao kwa kila ombi kunaweza kuzunguka tatizo hili.
Kupita Vikwazo vya Kiwango au Rasilmali
Ikiwa kuchemsha muunganisho hakufanikiwa, kusababisha kwa makusudi kucheleweshwa kwa vikwazo vya kiwango au rasilmali vya seva za wavuti kupitia mafuriko ya maombi bandia kunaweza kurahisisha shambulio la pakiti moja kwa kusababisha kucheleweshwa kwa upande wa seva yanayofaa mashindano.
Mifano ya Mashambulizi
Tubo Intruder - shambulio la pakiti moja la HTTP2 (kituo 1): Unaweza kutuma ombi kwa Turbo intruder (
Extensions
->Turbo Intruder
->Send to Turbo Intruder
), unaweza kubadilisha katika ombi thamani unayotaka kudungua kwa%s
kama katikacsrf=Bn9VQB8OyefIs3ShR2fPESR0FzzulI1d&username=carlos&password=%s
na kisha chaguaexamples/race-single-packer-attack.py
kutoka kwenye menyu ya kunjua:
Ikiwa unakwenda kutuma thamani tofauti, unaweza kubadilisha nambari na hii inayotumia orodha ya maneno kutoka kwa ubao wa kunakili:
Ikiwa wavuti haiungi mkono HTTP2 (tu HTTP1.1) tumia Engine.THREADED
au Engine.BURP
badala ya Engine.BURP2
.
Tubo Intruder - Shambulio la pakiti moja la HTTP2 (Vipengele vingi): Kwa hali ambapo unahitaji kutuma ombi kwa kipande 1 na kisha vingine kwa vipande vingine ili kuzindua RCE, unaweza kubadilisha script ya
race-single-packet-attack.py
na kitu kama:
Pia inapatikana katika Repeater kupitia chaguo jipya la 'Tuma kikundi kwa pamoja' katika Burp Suite.
Kwa kuzidi kikomo, unaweza tu kuongeza ombi moja mara 50 katika kikundi.
Kwa kuwasha uhusiano, unaweza kuongeza mwanzoni mwa kikundi baadhi ya maombi kwa sehemu isiyo ya kudumu ya seva ya wavuti.
Kwa kuchelewesha mchakato kati ya kusindika ombi moja na nyingine katika hatua 2 za substates, unaweza kuongeza maombi ya ziada kati ya maombi yote mawili.
Kwa RC yenye vituo vingi, unaweza kuanza kutuma ombi linaloenda kwenye hali iliyofichwa** na kisha maombi 50 mara baada ya hapo ambayo yanatumia hali iliyofichwa.
Skripti ya python iliyotuimishwa: Lengo la skripti hii ni kubadilisha barua pepe ya mtumiaji wakati ikithibitisha mara kwa mara hadi ishara ya uthibitisho wa barua pepe mpya inapofika kwenye barua pepe ya mwisho (hii ni kwa sababu katika nambari ilikuwa inaona RC ambapo ilikuwa inawezekana kurekebisha barua pepe lakini uthibitisho ulitumwa kwa ile ya zamani kwa sababu kipengele kinachoonyesha barua pepe tayari kilikuwa kimejazwa na ya kwanza). Wakati neno "objetivo" linapatikana katika barua pepe zilizopokelewa tunajua tumepokea ishara ya uthibitisho wa barua pepe iliyobadilishwa na tunamaliza shambulizi.
BF Mbichi
Kabla ya utafiti uliopita hizi ni baadhi ya mizigo iliyotumiwa ambayo ilijaribu kutuma pakiti haraka iwezekanavyo kusababisha RC.
Repeater: Angalia mifano kutoka sehemu iliyopita.
Mvamizi: Tuma ombi kwa Mvamizi, weka idadi ya nyuzi kuwa 30 ndani ya menyu ya Chaguo na, chagua mizigo ya Mizigo tupu na uzalishe 30.
Mvamizi wa Turbo
Python - asyncio
Mbinu ya RC
Kikomo-kuzidi / TOCTOU
Hii ni aina ya msingi kabisa ya hali ya mbio ambapo mapungufu yanayoonekana mahali ambapo kikomo cha idadi ya mara unaweza kufanya kitendo. Kama kutumia nambari ile ile ya punguzo katika duka la wavuti mara kadhaa. Mfano rahisi sana unaweza kupatikana katika ripoti hii au katika kosa hili.
Kuna mabadiliko mengi ya aina hii ya shambulio, ikiwa ni pamoja na:
Kukomboa kadi ya zawadi mara kadhaa
Kupima bidhaa mara kadhaa
Kutoa au kuhamisha pesa zaidi ya salio lako la akaunti
Kutumia suluhisho moja la CAPTCHA mara nyingi
Kupuuza kikomo cha kiwango cha anti-brute-force
Hali za siri
Kuendeleza hali ngumu za mbio mara nyingi kunahusisha kutumia fursa fupi za kuingiliana na hali za siri au hali za mashine zisizotarajiwa. Hivi ndivyo unavyoweza kukabiliana na hili:
Tambua Hali za Siri Zinazowezekana
Anza kwa kubainisha vituo vya mwisho vinavyobadilisha au kuingiliana na data muhimu, kama vile maelezo ya mtumiaji au michakato ya kurejesha nywila. Jikite katika:
Uhifadhi: Penda vituo vya mwisho vinavyobadilisha data endelevu upande wa seva kuliko vile vinavyoshughulikia data upande wa mteja.
Kitendo: Tafuta shughuli zinazobadilisha data iliyopo, ambazo zina uwezekano mkubwa wa kujenga hali zinazoweza kudukuliwa ikilinganishwa na zile zinazoongeza data mpya.
Ufunguo: Mashambulizi mafanikio kawaida hujumuisha shughuli zinazotegemea kitambulisho kimoja, kama vile jina la mtumiaji au ishara ya kurejesha.
Fanya Uchunguzi wa Awali
Jaribu vituo vilivyobainishwa na mashambulio ya hali ya mbio, ukitazama mabadiliko yoyote kutoka kwa matokeo yanayotarajiwa. Majibu yasiyotarajiwa au mabadiliko katika tabia ya programu yanaweza kuashiria mapungufu.
Onyesha Mapungufu
Punguza shambulio hadi idadi ndogo ya maombi inayohitajika kudukua mapungufu, mara nyingi ni mawili tu. Hatua hii inaweza kuhitaji majaribio mengi au uendeshaji wa moja kwa moja kutokana na wakati sahihi unaohusika.
Mashambulizi ya Wakati Wenye Hisia
Uakisi katika kutuma maombi kwa wakati unaweza kufunua mapungufu, hasa wakati mbinu za kutabirika kama vile alama za wakati hutumiwa kwa ishara za usalama. Kwa mfano, kutengeneza alama za kurejesha nywila kulingana na alama za wakati kunaweza kuruhusu alama sawa kwa maombi yanayofanyika wakati mmoja.
Kudukua:
Tumia uakisi wa wakati, kama shambulio la pakiti moja, kufanya maombi ya kurejesha nywila kwa wakati mmoja. Alama sawa zinaonyesha mapungufu.
Mfano:
Omba alama mbili za kurejesha nywila kwa wakati mmoja na uzilinganishe. Alama zinazolingana zinaonyesha kasoro katika utengenezaji wa alama.
Angalia hii PortSwigger Lab jaribu hili.
Uchunguzi wa Kesi za Hali za Siri
Lipa & ongeza Bidhaa
Angalia hii PortSwigger Lab kuona jinsi ya kulipa katika duka na kuongeza bidhaa ya ziada ambayo hutahitaji kulipa.
Thibitisha barua pepe nyingine
Wazo ni kuthibitisha anwani ya barua pepe na kuibadilisha kuwa tofauti wakati huo huo ili kugundua ikiwa jukwaa linathibitisha ile mpya iliyobadilishwa.
Badilisha barua pepe hadi anwani 2 zilizotegemea Vidakuzi
Kulingana na utafiti huu Gitlab ilikuwa na kasoro ya kuchukuliwa kwa njia hii kwa sababu inaweza kutuma ishara ya uthibitisho wa barua pepe ya barua pepe moja kwenda kwa barua pepe nyingine.
Angalia hii PortSwigger Lab jaribu hili.
Hali za Siri zilizofichwa / Kupuuza Uthibitisho
Ikiwa kuandika tofauti 2 hutumiwa kuongeza taarifa ndani ya hifadhidata, kuna sehemu ndogo ya wakati ambapo data ya kwanza tu imeandikwa ndani ya hifadhidata. Kwa mfano, wakati wa kuunda mtumiaji jina la mtumiaji na nywila inaweza kuandikwa na kisha ishara ya kuthibitisha akaunti mpya iliyoundwa inaandikwa. Hii inamaanisha kwamba kwa muda mfupi ishara ya kuthibitisha akaunti ni tupu.
Hivyo kujiandikisha akaunti na kutuma maombi kadhaa na ishara tupu (ishara=
au ishara[]=
au mabadiliko mengine yoyote) kuthibitisha akaunti mara moja inaweza kuruhusu kuthibitisha akaunti ambapo haukudhibiti barua pepe.
Angalia hii PortSwigger Lab jaribu hili.
Kupuuza 2FA
Msimbo wa pseudo ufuatao una kasoro ya hali ya mbio kwa sababu kwa muda mfupi sana 2FA haijatekelezwa wakati kikao kinajengwa:
Kudumu kwa muda mrefu wa OAuth2
Kuna watoa huduma wa OAuth kadhaa. Huduma hizi zitaruhusu uunda programu na kuthibitisha watumiaji ambao mtoa huduma amesajili. Ili kufanya hivyo, mteja atahitaji kuidhinisha programu yako ili kupata baadhi ya data yao ndani ya mtoa huduma wa OAuth. Kwa hivyo, mpaka hapa ni kama kuingia kawaida na google/linkedin/github... ambapo unaulizwa kwenye ukurasa unasema: "Programu <InsertCoolName> inataka kupata taarifa zako, unataka kuruhusu?"
Hali ya Mashindano katika authorization_code
authorization_code
Tatizo linatokea unapopokea na kutuma authorization_code
kiotomatiki kwa programu ya madhara. Kisha, programu hii inatumia Hali ya Mashindano katika mtoa huduma wa OAuth kuzalisha AT/RT zaidi ya moja (Authentication Token/Refresh Token) kutoka kwa authorization_code
kwa akaunti yako. Kimsingi, itatumia ukweli kwamba umekubali programu kupata data yako ili kuunda akaunti kadhaa. Kisha, ikiwa utaacha kuruhusu programu kupata data yako jozi moja ya AT/RT itafutwa, lakini zingine zitabaki halali.
Hali ya Mashindano katika Refresh Token
Refresh Token
Baada ya kupata RT halali unaweza kujaribu kuitumia vibaya kuzalisha AT/RT kadhaa na hata ikiwa mtumiaji ataghairi ruhusa kwa programu ya madhara kupata data yake, RT kadhaa bado zitabaki halali.
Hali ya Mashindano katika WebSockets
Katika WS_RaceCondition_PoC unaweza kupata PoC katika Java kutuma ujumbe wa websocket kwa pamoja kuitumia Hali za Mashindano pia katika Web Sockets.
Marejeo
Tumia Trickest kujenga na kutumia taratibu za kiotomatiki zinazotumia zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:
Last updated