全站首页设为首页收藏本站

西虹市网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

社区广播台

    查看: 100|回复: 6
    打印 上一主题 下一主题

    最新:利用Xray+BurpSuite自动挖掘带sign签名的漏洞

    [复制链接]
    跳转到指定楼层
    楼主
    发表于 2022-2-27 13:41:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    西虹网 西虹网  一、起因:
    西虹网 西虹网

    西虹网 西虹网
    西虹网 西虹网  Xray是一个非常好的自动化漏洞挖掘工具。我们通常在进行漏洞挖掘的时候,都会通过BurpSuite+Xray进行自动化的漏洞挖掘,官方也给了配置和使用方法,链接放到参考文献中,感兴趣的朋友也可以自己搜索一下。智能告警系统的其他知识和内容也可以到网站具体了解一下,我们是领域内专业的企业平台,欢迎您的关注和了解!
    西虹网 西虹网
    西虹网 西虹网  工具虽然好用,但这次遇到的是一个有签名算法的目标,在这种情况下,上面的这套组合就显得有气无力了。尝试扫了一下,虽然发送了很多payload,但没有发现任何漏洞。
    西虹网 西虹网
    西虹网 西虹网  由于从事于漏洞挖掘工作,总有一种感觉(感觉很重要,大家都懂得),这个东西有漏洞。
    西虹网 西虹网
    西虹网 西虹网  最后通过自己努力和改造,终于挖到了XSS漏洞。这篇文章主要给大家说说我是怎么挖到这个漏洞的。
    西虹网 西虹网
    西虹网 西虹网  XSS是web安全中最为常见的漏洞,XSS全称是Cross Site Script。XSS攻击通常指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而控制用户浏览的一种攻击。这里的跨站访问,可以是从正常的网站跨到黑客的服务器,也可以是黑客的服务器跨到正常的网站。XSS漏洞经常出现在需要用户输入的地方,这些地方一旦对输入不进行处理,黑客就可以进行HTML注入,进而篡改网页。
    西虹网 西虹网
    西虹网 西虹网  先放一张成功后的图片。
    西虹网 西虹网
    西虹网 西虹网  二、必备工具:
    西虹网 西虹网
    西虹网 西虹网  操作系统: WIN10_X64
    西虹网 西虹网
    西虹网 西虹网  1. BurpSuite(Community)
    西虹网 西虹网
    西虹网 西虹网  渗透神器,如果你还不知道这个,那么只能说明你不是圈内人,赶快去百度一下吧。
    西虹网 西虹网
    西虹网 西虹网  2. xray(免费社区版):
    西虹网 西虹网
    西虹网 西虹网  是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
    西虹网 西虹网
    西虹网 西虹网  3. jadx:
    西虹网 西虹网
    西虹网 西虹网  jadx是个人比较喜欢的一款反编译利器,同时支持命令行和图形界面,能以最简便的方式完成apk的反编译操作。
    西虹网 西虹网
    西虹网 西虹网  4. Jython:
    西虹网 西虹网
    西虹网 西虹网  Jython本质上是一个Java应用程序,它允许编码人员使用Java编码调用Python库反之,也可以使用Python调用Java的库。
    西虹网 西虹网
    西虹网 西虹网  5. Python:
    西虹网 西虹网
    西虹网 西虹网  我使用的是Python3.7
    西虹网 西虹网
    西虹网 西虹网  三、原理:
    西虹网 西虹网
    西虹网 西虹网  分析一下原因,通过服务器端都是url的请求,应该是这样的处理方法(python伪代码):
    西虹网 西虹网
    西虹网 西虹网  通过上面的图我们可以看出浏览器发出的链接都是直接发送到xray的,所以如果加入了签名算法,那么就直接返回了,根本到不了核心的逻辑。
    西虹网 西虹网
    西虹网 西虹网  从上面的图可以看到,先把url发到xray,由xray转发到BurpSuite,在Burp中加入了ptyhon插件对url计算sign,替换了原有的url,这样就可以跳过签名的检测了。
    西虹网 西虹网
    西虹网 西虹网  知道了原理。我们就可以行动了。
    西虹网 西虹网
    西虹网 西虹网  四、最佳实践:
    西虹网 西虹网
    西虹网 西虹网  这里是的目标是apk文件,打开BurpSuite进行抓包,找到需要渗透测试的请求,发现请求中有sign的字段,应该是有签名校验的。形式如下:
    西虹网 西虹网
    西虹网 西虹网  关于怎么找算法,不是这篇文章的重点,这里简单介绍一下,无论是apk还是web都是一样的,apk的加密算法通常都放到so文件或者直接在java代码中;web的签名算法,通常都会写到js脚本中,作为一名合格的渗透人员,相信这个应该都不是难事。
    西虹网 西虹网
    西虹网 西虹网  本文的目标算法比较简单,作者把算法直接写到了apk中,使用jadx,搜索sign的字段,很容易就找到了算法:
    西虹网 西虹网
    西虹网 西虹网  我们不造轮子,直接用官方的插件来修改。从Github上下载官方python插件,地址:
    西虹网 西虹网
    西虹网 西虹网  官方有详细的API介绍文档,大家可以参考:
    西虹网 西虹网
    西虹网 西虹网  贴上我修改后的源码的关键部分:
    西虹网 西虹网
    西虹网 西虹网  五、总结:
    西虹网 西虹网
    西虹网 西虹网  通过本文的介绍,相信大家以后遇到有sign校验的目标时,又多了一种处理的方式。当然也可以利用其他的组合,比如:xray+mitmproxy,burpsuite+scan等,总之方法有很多,适合自己就行,在这里只是抛砖引玉一下。只要是能达到目的就可以。
    西虹网 西虹网
    西虹网 西虹网  做为一个渗透测试人员,相信大家手上有很多优秀的渗透测试工具,这些工具的组合,就类似于我们手中的魔方,可以任意组合使用,使用的好,就可以事半功倍。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 转播转播 分享分享
    回复

    使用道具 举报

    沙发
    发表于 2022-2-27 14:10:42 | 只看该作者
    没看完~~~~~~ 先顶,好同志
    回复 支持 反对

    使用道具 举报

    板凳
    发表于 2022-2-27 17:03:53 | 只看该作者
    有道理。。。
    回复 支持 反对

    使用道具 举报

    地板
    发表于 2022-2-27 19:32:09 | 只看该作者
    路过,支持一下啦
    回复 支持 反对

    使用道具 举报

    5#
    发表于 2022-2-28 00:38:36 | 只看该作者
    相当不错,感谢楼主无私分享精神!
    回复 支持 反对

    使用道具 举报

    6#
    发表于 2022-2-28 06:55:48 | 只看该作者
    帮帮顶顶!!
    回复 支持 反对

    使用道具 举报

    7#
    发表于 2022-2-28 10:59:29 | 只看该作者
    路过,学习下
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表