欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

厚客户端渗透介绍(二):网络测试

admin2020-06-04106技术

概述

上一篇文章中,我们介绍了厚客户端GUI方面的问题,本篇文章我们继续来测试网络方面的问题,以及在不同的架构中它是如何运行的。

BetaFast是采用三层架构编写的:

第一层:客户端显示和采集数据

第二层:服务端接受web请求并处理业务逻辑

第三层:数据库服务器修改和获取应用服务器的数据

Beta Bank采用双层架构编写:

第一层:客户端显示和采集数据

第二层:数据库服务器处理业务逻辑,执行客户端数据查询和修改

单层架构也是存在的,客户端,业务逻辑,数据存储都在同一台系统上,本文就不去讲解单层架构了。当然也有三层以上的架构,下面介绍的工具和方法也都是适用的。

双层架构

wireshark工具

一般我开始测试厚客户端时,第一件事就是分析网络请求流量。通常都是用wireshark来捕获和过滤网络流量。


这个例子中,我会测试Beta Bank这个应用。设置好合适的过滤规则,就可以在客户端中进行操作了,如提交表单,浏览应用程序,修改数据等,然后查找wireshark看是否有敏感信息:

· 数据库连接是否未加密?

· 社保账号和医疗信息等敏感信息是否明文传输?

有一次我使用blogger这个用户尝试进行认证,然后再wireshark的数据包流量中搜索blogger,blogger显示在一个登录过程中,这就表明在数据库连接时,用户名未加密,能够访问这个网络的人,都可以轻易的捕获这个数据,好在密码是加密的,这样攻击者就访问不到我的账户了。


真的访问不到吗?

从客户端发送的任何形式的密码,无论是明文的,加密的,还是hash值,其实都可以算是密码。虽然密码加密了,但是获取到这个密码,然后发送到服务端,就可以通过应用的认证。可以看到除了参数值混淆外,没有其他的防御措施,整个传输过程没有进行安全地加密。通过wireshark还观察到登录过程中的输出参数GUID,在应用程序的认证部分,这个过程接受GUID参数。


这个GUID就是我们业务中常说的会话ID,有了这个值,只要blogger用户会话保持在线,攻击者就可以执行通过认证的操作。

即便如此,攻击者没有拿到账号或权限,也已经造成一定的影响了。

Echo Mirage工具

在这个例子中,我是一个精通电脑的高手,并且从登陆过程中,嗅探到了blogger的用户名和加密的密码。

现在我们要用到echo mirage这款软件,这款软件可以截获并修改tcp流量。我们首先输入用户名blogger和任意密码,然后截获数据包:


然后修改密码为刚才我们用wireshark截获到的密码:


发送请求之后,可以看到我们已经成功登录,现在我们来看看这个账户余额有多少钱。


尴尬了,一分都没有,啥也不是。没关系,我们接着看看Beta Bank还有哪些客户。

如下图,取钱按钮已经禁用了,不过上篇文章中讲过一种技术,我们可以启用这个按钮。


抓包,观察wireshark,可以看到这个函数执行了一个sql查询:


Echo Mirage可以直接修改sql语句,虽然不能改变数据包的长度,但是可以注释掉后面的sql语句:


服务端响应了用户表信息,显然,连接到数据库的这个账户权限过高,现在我们获取到了每个用户的信息:


现在攻击面就更加广泛了。数据库层面还有很多可以挖掘和修改的,不过The_Chairman这个账户吸引了我的注意,一听名字就知道是个有钱人,精英人士,那就登录去看看吧:

这么多钱,吓得我一个激灵

三层架构

Burpsuite

Burpsuite可能是我在测试过程中用的最多的工具。在测试过程中,可以进行抓包代理,测试HTTP请求和响应方面,堪称神器。如果你没用过的话,可以参考这篇指南。

如果厚客户端采用三层架构编写,网络部分的测试其实跟web应用差不多,设置代理,在代理选项中设置监听端口,我就不多啰嗦了。


接下来我们设置系统代理,不是浏览器代理:


可能会有很多流量是不属于被测试应用的,所以我们需要知道哪些流量是来自厚客户端的,只要我们知道跟应用程序交互的主机和地址后,设置一个scope就可以了。比如测试BetaFast,我们发现它只向http://www.betafast.net:8080发请求,那我们把它添加到scope就可以了。


其他操作就跟web测试一样,抓包,查看请求。如下,我发现了一个请求,并发送到repeater,并尝试fuzz,发现了一个sql注入:

总结

网络是非常重要的,所以在测试厚客户端应用的时候,不要只关注于客户端。

Beta Bank和BetaFast如何保护他们的系统呢?措施肯定有很多,这里我提出以下几条作为参考:

Beta Bank修复措施

· 加密数据库连接—加密连接,隐藏敏感数据,防止网络窃取。只要执行了安全加密,也可以保护流量无法被修改。

· 最小权限原则—因为Beta Bank使用高权限用户连接数据库,因此当攻击者找到漏洞并加以利用,就可以完全控制数据库,执行任意操作。如果连接数据库的用户只拥有最小权限,那么攻击者只能执行权限以内的正常功能,可以减小危害。

· 密码加盐或者进行hash存储—加密本质上是可以逆向的。在接下来的文章中,我们会重点讲到。

· 强化身份验证逻辑—不要直接把通过网络发送的密码与数据库中存储的密码比对,这样的话,如果攻击者嗅探到密码,甚至不需要解密和破解hash,就可以直接利用。首先密码应该加密传输,然后服务器端对密码进行加盐或者hash处理,再与数据库中加盐过或经过hash加密的密码进行比对。

BetaFast修复措施

· 输入验证和参数化查询—跟Beta Bank不同,不是流量拦截和修改的问题,BetaFast问题出在应用服务器处理用户输入上。客户端输入的任何数据,服务端都应该进行验证,而且sql语句应该采用参数化查询。

ok,本篇文章就到这里,如果想要实战的话,可以去我们的github主页下载BetaFast和Beta Bank。各位表哥们,下篇文章见。

本文翻译自:https://blog.netspi.com/introduction-to-hacking-thick-clients-part-2-the-network/

伊朗金龟子APT组织对科威特和沙特阿拉伯航空和政府部门的攻击活动

CaFer-APT是一个具有明显伊朗特征的威胁组织。从2014起,人们就知道它在活跃,专注于网络间谍活动,BITDeDeNever已经发现了针对中东的关键基础设施,大概是为了收集情报。 ButdFrand研究人员发现了这个攻击者在中东地区的攻击,最早可以追溯到2018年,攻击活动用到了一些工具,包括开源工具,这使得溯源变得困难,使用了不同的黑客工具和定制后门。 被分析的攻击活动的受害者符合这个攻击者主要是中东的航空运输和政府部门。 • 攻击目标是航空运输与政府。 • 攻击活动发生在周末。 • 在科威特攻击中,威胁者创建了自己的用户帐户。 • 沙特阿拉伯的攻击使用了社会工程来入侵受害者。 • 两种攻击的最终目标都是得到数据。 0x01 攻击活动分析 回顾这一威胁组织,我们已经确定了来自科威特和沙特阿拉伯两个国家的

网友评论