🕺🏾 📡 🎮 Http पैरामीटर संदूषण (अधिक) ⛹🏿 🏒 👩🏼‍🤝‍👨🏾

Http पैरामीटर संदूषण (HPC) के हमले के अध्ययन को जारी रखते हुए, मैंने उन वातावरणों में आदिम फ़ज़िंग को शामिल किया, जो अपने मूल अध्ययन में इवान मार्कोविक से प्रभावित नहीं थे। यह तुरंत ध्यान दिया जाना चाहिए कि कुछ भी नया नहीं मिला। दूसरी ओर, पायथन दुभाषिया की एक दिलचस्प विशेषता सामने आई थी, साथ ही टॉमकैट सर्वर के संबंध में सेवा से इनकार करने के लिए प्राप्त मुकाबला विभाजन :) लेकिन बाद के अनुसार, अभी तक गैर प्रकटीकरण।

परिणाम नीचे दिए गए चित्र में प्रस्तुत किए गए हैं।

* चरित्र "\ 0" का अर्थ है कि नल-बाइट को एप्लिकेशन द्वारा सही ढंग से संसाधित किया गया है।

सबसे दिलचस्प विशेषताओं को गहरे लाल रंग में हाइलाइट किया गया है। कम दिलचस्प, लेकिन उल्लेखनीय, हल्के लाल रंग में हाइलाइट किए गए हैं। परिणामों पर अधिक विस्तार से विचार करें।

हमलावर के लिए सबसे बड़ा मूल्य एक एएसपी वेब एप्लिकेशन द्वारा आने वाले डेटा को संसाधित करने की विशेषता है। तथ्य यह है कि एक एएसपी एप्लिकेशन पैरामीटर नाम में "%" वर्ण का सामना करता है या इसके मूल्य में बस इसे हटा देता है यदि यह बदले में, URL डिकोडिंग के दौरान "सही" चरित्र नहीं बनाता है । यह आपको आने वाले डेटा को संसाधित करने से पहले उपयोग किए जाने वाले विभिन्न सुरक्षा फ़िल्टर और वेब एप्लिकेशन फ़ायरवॉल को आसानी से बायपास करने की अनुमति देता है। इवान मार्कोविच अपने अध्ययन में पथ ट्रैवर्सल भेद्यता का शोषण करते समय Mod_Security नियमों को दरकिनार करने के निम्नलिखित उदाहरण देते हैं:

192.168.2.105/test.asp?file=.%./bla.txt

IIS प्लेटफ़ॉर्म के लिए अधिक महत्वपूर्ण MSSQL DBMS का उपयोग और SQL इंजेक्शन जैसे एप्लिकेशन में कमजोरियों की उपस्थिति है। इस प्रकार, इस पद्धति का उपयोग करके, आप इसी Mod_Security नियमों को दरकिनार कर इस भेद्यता का लाभ उठा सकते हैं:

आईडी? 1; सेलेक% टी + @% @ संस्करण--
id = 1; selec% t + कन्वर्ट (int, (selec% t + table% _name +) (selec% t + row_number () + over + (ऑर्डर + बाय + टेबल% _name) + के रूप में पंक्तिबद्ध% m, तालिका % _name + से + info_schema.tables) + as + t + जहाँ + t.rownu% m = 1%) -
...

यहां यह आरक्षण करने योग्य है कि हम केवल mod_Security (आधार नियम) के आधार नियमों को दरकिनार करने की बात कर रहे हैं। उन्नत नियमों (वैकल्पिक और प्रयोगात्मक) का उपयोग करने के मामले में, इस तरह के संकेत अब पास नहीं होते हैं।

एक और, आने वाले डेटा को संसाधित करने की कोई कम उपयोगी विशेषता PHP दुभाषिया में नहीं पाई जाती है। यह एक अंतर्निहित प्रकार का रूपांतरण है (; परम [] = 123 -> परम = सरणी ), जिसे हर किसी को लंबे समय तक जानना चाहिए और सरणी को नियंत्रित करने की क्षमता $ _SERVER ["argv"] ( ? 1? 2 2 "मान" register_argc_argv "के साथ सेट की गई? «पर»। हमलावर विभिन्न प्रतिबंधों को बायपास करने के लिए PHP की पहली सुविधा का लाभ ले सकता है (उदाहरण के लिए, जब अनुमानित रूप से चर की तुलना), साथ ही एक त्रुटि संदेश (वेब सर्वर की रूट निर्देशिका को खोलने के लिए) को मजबूर करने के लिए। PHP की दूसरी विशेषता आपको वेब सर्वर के माध्यम से स्क्रिप्ट का उपयोग करने की अनुमति देती है और इसके लिए पैरामीटर पास करती है कि स्क्रिप्ट कमांड लाइन से स्वीकार करती है।

PHP की एक कम दिलचस्प विशेषता अक्षर "+", "", "[", और "स्पेस" का एक अंडरस्कोर ("_") के साथ प्रतिस्थापन है। यह इतना खतरनाक क्यों नहीं है? तथ्य यह है कि इस तरह के PHP व्यवहार केवल वेब सर्वर को दिए गए मापदंडों के नामों में ही देखे जाते हैं, लेकिन उनके मूल्यों में नहीं। यह "वन्यजीव" में इस सुविधा का उपयोग करने की संभावना को बहुत कम करता है।

और आखिरी चीज जिस पर मैं ध्यान देना चाहता था वह था पायथन दुभाषिया। फ़ज़िंग के दौरान, यह पाया गया कि पायथन ने 80-% FF की सीमा से वर्णों का सामना करते हुए एक त्रुटि संदेश दिया (ala प्रकटीकरण ... और blah blah):

(एप्लिकेशन)
परीक्षण के लिए, स्क्रिप्ट नीचे सूचीबद्ध हैं।

पीएचपी:

<? php
$ G = & $ _ GET;
foreach ($ G $ k => $ v के रूप में)
{
$ k प्रिंट करें। "="। $ v;
}
?>

एएसपी:
<%
प्रत्येक संस्करण के लिए Request.QueryString में
Response.Write (var & "=" & Request.QueryString (var))
अगला
%>

जावा:
<%
java.util.Enumeration names = request.getParameterNames ();
जबकि (नाम .hasMoreElements ()) {
स्ट्रिंग keyx = names.nextElement ()। ToString ();
out.println (keyx + "=" + request.getParameter (keyx)); }
%>

PERL:
CGI का उपयोग करें;
मेरी $ cgi = new CGI;
my @params = $ cgi-> परम ();
प्रिंट << ENDOFTEXT;
HTTP / 1.0 200 ठीक है
सामग्री-प्रकार: पाठ / html

ENDOFTEXT
मेरे $ पैरामीटर को छाँटो (@params तरह) {
$ पैरामीटर प्रिंट करें। "="। $ cgi-> परम ($ पैरामीटर);
}

अजगर:
आयात cgi, os

प्रिंट ('स्थिति: 200 ठीक है')
प्रिंट ('सामग्री-प्रकार: पाठ / html; चारसेट = utf-8?')
प्रिंट करें ("")

क्वेरी = os.environ.get ('QUERY_STRING')

जोड़े = cgi.parse_qs (क्वेरी)

कुंजी के लिए, pair.items में मान ():
प्रिंट (कुंजी, मूल्य)

Http पैरामीटर संदूषण (अधिक)

More articles: