快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

挖洞经验 | 看我怎么样发现比特币赌博网站漏洞并收获$12000赏金

01.png

Web渗透排泄测试中比较难的就是测试那些交互较少的应用了,当你尝试了种种漏洞行使要领而无效以后,极可能就会抛却了。但无意候,企业黑客,这莳花费时间的投入以及研究,对白帽自身的手艺提高来说,照样无比有效的。这里我就分享一下,我在对比特币赌博网站bustabit的渗透排泄测试中发现的两个漏洞,由此我也收获了$12,000赏金。比特币公司就是英气。

违景

过去几周,我始终在对比特币赌博网站bustabit进行渗透排泄测试。在该网站中,玩家本人决定要投注的金额以及支付倍数,随着赔率以及倍数的上升,在游戏强行停止前自行停止游戏即可胜出,然则在游戏强行停止时还未能退出比赛,所有玩家的赌注都会输掉。

bustabit网站应用中存在一些故意思的功能,但我以为其中的用户聊天交流功能可能存在问题,所以我也花了好多时间来研究阐发它。注册登录以后,点击这里的链接https://www.bustabit.com/play,在左下角的CHAT框内就可与各路玩家进行实时聊天。

0000000000.png

漏洞1:用户客户端的拒尽服务(DoS)漏洞 – $2,000 美金

当我阅读查看聊天新闻时,发现了一件故意思的事,就是当链接被粘贴进入时,聊天应用服务会自动为其创建一个超链接进行跳转。缘故起因是由于网站采用了一个特殊且又惊险的HTML完成元素,攻击者可以采取下列方式执行恶意操作:

<a href=”:1″>:2</a>

理论上,该处首要会存在下列三种恶意行使:

要是输入未做严格的安全过滤,则可以把 :1 之处替代为 ” onmou搜刮引擎优化ver=alert(1) a=” 形成触发;

要是输入未做严格的安全过滤,还可以把 :1 之处替代为  javascript:alert(1) 形成触发;

要是输入未做严格的安全过滤,则可以把 :2 之处替代为 <script>alert(1)</script> 形成触发。

可在这里,这些地方的替代终极没法形成有用行使。聊天应用服务貌似不是直接对外部URL网站进行超链接转化,例如在聊天窗口中输入的外部URL网站是www.google.com,这里的聊天应用将会把其修改成下列样式的终极跳转链接:

https://www.bustabit.com/external?url=https://www.google.com

03.png当然,在聊天窗口中点击以上这个终极链接以后,会发生下列正告:04.png

要是聊天窗口中输入的外部URL网站是bustabit自身网站会若何?

经测试发现,bustabit自身并不会把本人的网站链接当成外部URL网站进行转发,例如在聊天窗口中输入www.bustabit.com/a后,由于它是同一个网站,它并不会像上述那样,终极转化为www.bustabit.com/external?url=www.bustabit.com/a 如许的跳转链接。

但结合之前的 <a href=”:1″>:2</a> HTML可行使的地方,可以在其中组织加入 www.bustabit.com/a :

<a href=”/a”>www.bustabit.com/a</a>

那若是变为上述的跳转链接,在其中加入www.google.com/a又会是若何呢?我们可以如许来组织:

<a href=”https://www.bustabit.com/external?url=https://www.google.com/a“>https://www.google.com/a</a>

这个组织链接中有亮点的部份是,它没有对全部域更行超链接,而仅仅是对https://www.google.com/a进行了超链接,终极点击它后,又会跳转到https://www.bustabit.com/external?url=https://www.google.com/a :

由此,攻击者可以行使双斜线功能来跳转要求类似下列的外部资源,完成攻击Payload加载:

https://www.bustabit.com//attacker.com/hacked

终极可以如许组织:

<a href=”//attacker.com/hacked”>www.bustabit.com//attacker.com/hacked</a>

经验证,这类要领是可行的:

05.png下列的HTML以及上述的  //hacker.com/ 类似,请注意终极的组织结果是它会跳转到一个非  samcurry.net 网站的外部链接上。这里的手艺道理与统一资源标识符(URI)相干,点此参考。

就像下图中在聊天室中输入bustabit.com//whywontyouload.com以后,这类要领看上去可以绕过HTML解析机制的 Link Filter,由于这是一个纯JavaScript的应用,需要 onclick 事故而不用自动执行革新就能加载whywontyouload.com,然则终极结果不是太理想。06.png

即使在客户端写好了PoC脚本,它也只会悬停在指向whywontyouload.com的操作上,点击URL链接也没有任何反应。所以,我就来好悦目看到底发生了什么。

经过一番研究,我反复用不同的Payload来测试跳转到外部域的机制,有时就发现了能让网站变灰不显示任何器械的情形。原来,是我在本人的客户端中发送了下列链接:

https://www.bustabit.com/%0t

由于其中包含了 %0t, JavaScript 不知怎么样处理解析,所以导致了全部网站的失效响应。即使革新了全部页面,我发现,我的客户端还处于崩溃状态。这也就是说,应用程序会自动把所有超链接发送到某个JavaScript函数,要是其中存在像 %0t 的这类失效参数,就会造成全部程序的崩溃。

07.png

由于bustabit网站中所有下注的用户名称在网站右上角都是地下的,攻击得可以向任何下赌注的人发送此类新闻,导致受害者用户客户端崩溃,没法实现有用参赌或赌资兑现。另外,攻击者还能向网站主聊天窗口中发送恶意链接,导致所有效户没法形成有用的新闻连接,终极用户形成不了交互,游戏就长时间不可玩。PoC视频以下:

https://www.youtube.com/watch?v=jxBVZtB2z4Q

漏洞2:XSS以及Click Jacking(点击挟制)- $10,000赏金

在漏洞1中,我们提过,在聊天窗口中输入www.google.com以后,聊天应用会形成下列跳转链接:

https://www.bustabit.com/external?url=https://www.google.com

08.png另外,测试发现,要是在其中输入简单的 JavaScript URI 以后,也能形成XSS,因为聊天中总会需要别人点击某些链接,所以,这类漏洞无处不在。就像在聊天窗口中输入Javascript:alert(1)以后,终极会跳转到https://www.bustabit.com/external?url=Javascript:alert(1),形成XSS攻击: 09.png这类情况下,可以深入对XSS漏洞进行行使,如其支持<iframe>标记插入,那么,可以行使 Samy Kamkar的工具,形成点击挟制攻击。经测试发现,确凿可以向聊天应用中插入<iframe>标记,就此,我能用 Click here to continue 字段形成一个点击挟制页面:

10.png而且,在现实行使处景中,我们还可配合下列这类用户登录页面形成深入的漏洞行使:11.png那么, 这类XSS能做什么呢?当然是Session窃取了。Web接口中的会话会被存储在用户的内陆阅读器中,攻击者可以配合该XSS漏洞迷惑用户登录要求某个恶不测部链接,由此间接窃取到用户cookie以及session等信息,攻击者行使用户cookie信息就能登录用户账户。12.png

总结

很多人在做漏洞众测项目时,总会用一些四平八稳或浅尝辄止的方式来进行测试,虽然从攻击广度上来说可能会取得一些实质性结果,然则有一点要清楚,像 aquatone  或 dirsearch这些你能用的开源工具别人同样能下载行使。所以,要是你想在竞争激烈的众多白帽中脱颖而出,最佳的要领就是去深入挖掘发现目标网站的某些功能应用缺点漏洞。

*参考来源:samcurry,clouds 编译,

您可能还会对下面的文章感兴趣: