Recommandé
Recommandé
Contenu connexe
Plus de Pichaya Morimoto
From Web Vulnerability to Exploit in 15 minutes
- 1. From Web Vulnerability to Exploit in 15 minutes Pichaya Morimoto a.k.a. longcat Code Mania 10 June 27, 2015
- 2. ★ Impact of a Hacking Incident ★ PHP Object Serialization ★ PHP Magic Method ★ DEMO: Teleport Portal ★ CodeIgniter’s Session Cookie ★ Secure Code Review: POP Gadgets ★ Inspect Requests by BurpSuite ★ Write Exploit Code ○ Python ○ Metasploit Overview 2 นาที 5 นาที 3 นาที 5 นาที รวม: 15 นาที
- 4. ★ A1 Injection ★ A2 Broken Authentication and Session Management ★ A3 Cross-Site Scripting (XSS) ★ A4 Insecure Direct Object References ... ★ A10 Unvalidated Redirects and Forwards OWASP Top 10 - 2013 SQL queries, LDAP queries, XPath queries, OS commands, program arguments, etc.
- 5. unserialize( [User Input Data ] ); + Classes: POP Gadgets POI: PHP Object Injection
- 7. ★ $number = 1234; ★ $text = 'codemania'; ★ $fruits = array('apple', 'banana', 'orange'); class FooController { public $foo='bar'; function doX() { ... } } ★ $a = new FooController; PHP Object Serialization serialize ([<คา]); unserialize ([คา>]);
- 8. ★ $fruits = array('apple', 'banana', 'orange'); PHP Object Serialization a:3:{i:0;s:5:"apple";i:1; s:6:"banana";i:2;s:6:" orange";} O:13:"FooController": 1:{s:3:"foo";s:3:" bar";} class FooController { public $foo = 'bar'; } ★ $a = new FooController; serialize ([<คา]);
- 9. PHP Object DeSerialization User Input $_POST $_GET $_COOKIE $_SERVER ... class FooController { public $foo = 'bar'; } $a = unserialize($_GET['a']); unserialize ([คา>]); ***?
- 10. __construct() __destruct() __sleep() __wakeup() __toString() __call(), __callStatic() __get(), __set() ... PHP Magic Method POP Gadget
- 11. PHP Magic Method __sleep: เวลา serialize แลวเอา ตัวแปรบางตัวออก __wakeup: เวลา unserialize แลวเอา ตัวแปรอื่นมาใสแทน __destruct: ถามีขอความเออเรอเก็บไวใ หแสดงกอนจบการทํางาน
- 12. unserialize( [User Input Data ] ); + Classes: POP Gadgets POI: PHP Object Injection
- 15. ci_session ? Session Data (serialized format)
- 16. unserialize( [User Input Data ] ); + Classes: POP Gadgets POI: PHP Object Injection ***?
- 17. ci_session ? Session Data (serialized format) MAC / Signature (MD5)
- 18. Create a new session system/libraries/Session.php 1 2 3
- 19. Write the session cookie 4 5 6 system/libraries/Session.php encryption_key
- 20. Encryption Key
- 21. ★ บางแอพพัฒนาจาก CI แลวคนเอาไปใชไมเปลี่ยน ★ Offline Bruteforce ★ รีวิวโคด / ขโมยโคด ★ ชองโหวอื่นๆ ไมรู Encryption Key ทําไง
- 22. Fetch the current session data system/libraries/Session.php1 2 3 4 5
- 23. unserialize( [User Input Data ] ); + Classes: POP Gadgets POI: PHP Object Injection
- 25. unserialize( [User Input Data ] ); + Classes: POP Gadgets POI: PHP Object Injection
- 26. PoC สราง Object serialize แลวก็ตอ key มา md5 หาคา MAC URL Encoding MAC
- 27. PoC
- 29. Write an Exploit สราง ci_session สราง HTTP Request ยิง Req 1 2 3
- 30. Exploit
- 33. ★ อยารับ User Input เขา unserilize() โดยตรง ใช json_encode(), json_decode() แทน ★ ใช Web Framework ก็ตองอัพเดทเวอรชั่นใหม ★ Encryption Key สําคัญมาก สุมกอนใช ★ คอยอัพเดทเทคนิคการแฮกใหม ๆ สรุป เพจ: สอนแฮกเว็บแบบแมวๆ https://www.facebook.com/longhackz