黑客街 黑客街 黑客街 黑客街
  • 职业导航
    • CTF
    • 程序员
  • 黑客推荐
  • 漏洞平台
    • Src众测
    • 国内平台
    • 国外平台
    • 乌云镜像站
  • 安全街
    • 安全资讯
    • 安全峰会
    • 区块链安全
    • 安全团队
    • 交流社区
    • 安全博客
    • PC安全
    • 服务器安全
  • 安全在线
    • 安全思维脑图
    • 在线学习
    • CTF
    • 实战靶场
    • 教育培训
  • 安全感知
    • 威胁情报
    • 勒索病毒
    • 文件分析
    • 被黑统计
  • 黑客神器
    • 搜索引擎
    • 加解密
    • ip检测
    • 短信接码
    • 邮箱伪造
    • web漏洞检测
    • web查询
    • 指纹识别
    • 二进制
  • APT
    • 学习哟
    • 信息收集
    • 木马免杀
    • 流量代理
    • 横向渗透
    • 远程控制
  • 墙外翻
    • 搜索
    • 暗网
    • 影频
  • 黑客工具
    • 综合工具
    • 代理隧道
    • webshell管理
黑客街 黑客街
  • 首页
  • 漏洞库
  • 街头小贩
  • 安全聚合
  • 安全博客
  • 黑客小镇
    • 匿名代理追踪
    • 杀软对比查询
    • 匿名聊天室
    • 反弹shell
    • 密码查
  • 行业导航
    • 程序员导航
    • CTF导航
    • 安全书籍
    • 娱乐导航
    • 自定义导航
  • 更多
    • 商务合作
    • 关于本站
    • 我有好建议
    • 申请收录

漏洞库

OA
    万户
    • 万户OA download_old.jsp 任意文件下载漏洞
    • 万户OA download_ftp.jsp 任意文件下载漏洞
    • 万户OA fileUpload.controller 任意文件上传漏洞
    • 万户OA showResult.action 后台SQL注入漏洞
    • 万户OA downloadhttp.jsp 任意文件下载漏洞
    • 万户OA smartUpload.jsp 任意文件上传漏洞
    泛微
    • 泛微OA E-cology <= 9.0 WorkflowServiceXml RCE
    • 泛微OA DBconfigReader.jsp 数据库配置信息泄漏漏洞
    • 泛微OA E-Bridge saveYZJFile 任意文件读取漏洞
    • 泛微OA E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204
    • 泛微OA WorkflowCenterTreeData SQL注入漏洞
    • 泛微OA weaver.common.Ctrl 任意文件上传漏洞
    • 泛微OA V9 uploadOperation.jsp 任意文件上传
    • 泛微OA sysinterfacecodeEdit.jsp 任意文件上传漏洞
    • 泛微OA V8 ln.FileDownload 任意文件读取漏洞
    • 泛微OA V8 getdata.jsp SQL注入漏洞
    • 泛微OA E-Weaver SignatureDownLoad 任意文件读取漏洞
    • 泛微OA E-Office UserSelect 未授权访问漏洞
    • 泛微OA E-Office UploadFile.php 任意文件上传漏洞 CNVD-2021-49104
    • 泛微OA E-Office officeserver.php 任意文件读取漏洞
    • 泛微OA E-Office mysql_config.ini 数据库信息泄漏漏洞
    • 泛微OA E-Office group_xml.php SQL注入漏洞
    • 泛微OA E-Cology users.data 敏感信息泄漏
    • 泛微OA E-Cology LoginSSO.jsp SQL注入漏洞 CNVD-2021-33202
    • 泛微OA E-Cology HrmCareerApplyPerView.jsp SQL注入漏洞
    • 泛微OA E-Cology getSqlData SQL注入漏洞
    通达
    • 通达OA 部分漏洞信息整合
    • 通达OA v2014 get_contactlist.php 敏感信息泄漏漏洞
    • 通达OA-v2017-action_upload.php-任意文件上传漏洞
    • 通达OA v2017 video_file.php 任意文件下载漏洞
    • 通达OA v11.2 upload.php 后台任意文件上传漏洞
    • 通达OA v11.5 login_code.php 任意用户登录
    • 通达OA v11.5-8 logincheck_code.php 登陆绕过漏洞
    • 通达OA v11.5 swfupload_new.php SQL注入漏洞
    • 通达OA v11.6 print.php 任意文件删除&RCE
    • 通达OA v11.6 report_bi.func.php SQL注入漏洞
    • 通达OA v11.7 auth_mobi.php 在线用户登录漏洞
    • 通达OA v11.7 delete_cascade.php 后台SQL注入
    • 通达OA v11.8 api.ali.php 任意文件上传漏洞
    • 通达OA v11.8 getway.php 远程文件包含漏洞
    • 通达OA v11.8 update.php 后台文件包含XSS漏洞
    • 通达OA v11.8 update.php 后台文件包含命令执行漏洞
    • 通达OA v11.9 upsharestatus 后台SQL注入漏洞
    致远
    • 致远OA A6 config.jsp 敏感信息泄漏漏洞
    • 致远OA A6 createMysql.jsp 数据库敏感信息泄露
    • 致远OA A6 DownExcelBeanServlet 用户敏感信息泄露
    • 致远OA A6 initDataAssess.jsp 用户敏感信息泄露
    • 致远OA A6 setextno.jsp SQL注入漏洞
    • 致远OA A6 test.jsp SQL注入漏洞
    • 致远OA A8 htmlofficeservlet 任意文件上传漏洞
    • 致远OA A8 status.jsp 信息泄露漏洞
    • 致远OA ajax.do 任意文件上传 CNVD-2021-01627
    • 致远OA ajax.do上传文件漏洞
    • 致远OA getSessionList.jsp Session泄漏漏洞
    • 致远OA webmail.do 任意文件下载 CNVD-2020-62422
    • 致远OA 前台getshell
    • 致远OA-漏洞小汇总
    • 致远OA 默认密码
    蓝凌
    • 蓝凌OA admin.do JNDI远程命令执行
    • 蓝凌OA custom.jsp 任意文件读取漏洞
    • 蓝凌OA EKP 后台SQL注入漏洞 CNVD-2021-01363
    • 蓝凌OA sysSearchMain.do 远程命令执行漏洞
    • 蓝凌OA treexml.tmpl 远程命令执行漏洞
网络设备漏洞
    D-Link
    • D-Link AC管理系统 默认账号密码
    • D-LINK DAP-2020 webproc 任意文件读取漏洞 CVE-2021-27250
    • D-Link DAR-8000 importhtml.php 远程命令执行漏洞
    • D-Link DCS系列监控 账号密码信息泄露漏洞 CVE-2020-25078
    • D-Link Dir-645 getcfg.php 账号密码泄露漏洞 CVE-2019-17506
    • D-Link DSL-28881A FTP配置错误 CVE-2020-24578
    • D-Link DSL-28881A 信息泄露 CVE-2020-24577
    • D-Link DSL-28881A 未授权访问 CVE-2020-24579
    • D-Link DSL-28881A 远程命令执行 CVE-2020-24581
    • D-Link DSR-250N 万能密码漏洞
    • D-Link ShareCenter DNS-320 system_mgr.cgi 远程命令执行漏洞
    • D-Link DSL-3782 Code execution(CVE-2018-8941)
    • D-Link rce CVE-2019-16920
    小米路由器
    • 小米 路由器 c_upload 远程命令执行漏洞 CVE-2019-18370
    • 小米 路由器 extdisks 任意文件读取漏洞 CVE-2019-18371
    锐捷
    • 锐捷 EG易网关 branch_passw.php 远程命令执行
    • 锐捷 EG易网关 cli.php 远程命令执行漏洞
    • 锐捷 EG易网关 download.php 任意文件读取漏洞
    • 锐捷 EG易网关 phpinfo.view.php 信息泄露漏洞
    • 锐捷 EG易网关 管理员账号密码泄露漏洞
    • 锐捷 ISG 账号密码泄露漏洞
    • 锐捷 NBR 1300G路由器 越权CLI命令执行漏洞
    • 锐捷e.web NBR路由器 远程命令执行漏洞 CNVD-2021-09650
    • 锐捷 RG-UAC 账号密码信息泄露 CNVD-2021-14536
    • 锐捷 Smartweb管理系统 密码信息泄露漏洞
    • 锐捷 SSL VPN 越权访问漏洞
    Tenda
    • Tenda W15E企业级路由器 RouterCfm.cfg 配置文件泄漏漏洞
    • Tenda 11N无线路由器 Cookie 越权访问漏洞
    • Tenda-AX1806路由器多处栈溢出
    • CVE-2018-18708:Tenda路由器缓冲区溢出
    TP-Link
    • TP-Link AC1750 预认证远程代码执行漏洞(CVE-2021-27246)
    • TP-Link TL-WR841N远程代码执行漏洞(CVE-2020-35576)
    • TP-Link WR2041 v1拒绝服务漏洞(CVE-2021-26827)
    • TP-link 栈溢出漏洞(CVE-2021-29302)
    HIKVISION
    • HIKVISION DS/IDS/IPC 等设备 远程命令执行漏洞 CVE-2021-36260
    • HIKVISION 流媒体管理服务器 user.xml 账号密码泄漏漏洞
    • HIKVISION 流媒体管理服务器 后台任意文件读取漏洞 CNVD-2021-14544
    • HIKVISION 视频编码设备接入网关 $DATA 任意文件读取
    • HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞
    • HIKVISION 联网网关 downdb.php 任意文件读取漏洞
    移动
    • 中国移动 禹路由 ExportSettings.sh 敏感信息泄露漏洞 CNVD-2020-67110
    • 中国移动 禹路由 simple-index.asp 越权访问漏洞 CNVD-2020-55983
    • 中国移动 HG6543C4
    电信
    • 电信 中兴ZXHN F450A网关 默认管理员账号密码漏洞
    • 电信 天翼网关F460 web_shell_cmd.gch 远程命令执行漏洞
    • 电信 网关配置管理系统 login.php SQL注入漏洞
    华为
    • HG659 lib 任意文件读取漏洞
    • DG8045 deviceinfo 信息泄漏漏洞
安全设备漏洞
    维盟
    • Wayos AC集中管理系统默认弱口令 CNVD-2021-00876
    • Wayos 防火墙 后台命令执行漏洞
    • Wayos 防火墙 账号密码泄露漏洞
    启明星辰
    • 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞
    • 启明星辰 天清汉马USG防火墙 默认口令漏洞
    • 天珣内网安全风险管理与审计系统V6.6.9.5 SQL注入漏洞
    • 天玥运维安全网关Sql注入漏洞
    奇安信
    • 网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞
    • 网康 下一代防火墙 router 远程命令执行漏洞
    • 网神 下一代极速防火墙 pki_file_download 任意文件读取漏洞
    • 天擎 - 2021年前版本 sql注入
    • 天擎 任意文件上传
    • 网康 (2014年)多个产品通杀漏洞
    深信服
    • 深信服上网行为管理系统多处漏洞(2013年)
    • 应用交付管理系统权限绕过(2012年)
    • SSL VPN Pre Auth 任意密码重置 (2020年)
    • 深信服 SSL VPN - Pre Auth 修改绑定手机 (2020年)
    • 深信服 SSL VPN 解密 (本地)
    • EDR远程命令执行 CNVD-2020-46552
    • 终端检测相应平台(EDR) 任意用户登陆漏洞
    • 终端检测相应平台(EDR) 任意命令执行漏洞(二)
    天融信
    • TopApp-LB enable_tool_debug.php 远程命令执行漏洞
    • opApp-LB 负载均衡系统Sql注入漏洞
    • OPAPP-LB 负载均衡命令执行
    • 数据防泄漏系统越权修改管理员密码
    安恒
    • 明御WEB应用防火墙 report.php 任意用户登录漏洞
    • 数据大脑 API 网关任意密码重置漏洞
    齐治堡垒机
    • (CNVD-2019-09593)齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞
    • (CNVD-2019-17294)齐治堡垒机 后台命令执行漏洞
    • (CNVD-2019-20835)齐治堡垒机 前台远程命令执行漏洞
    • 任意用户登录漏洞 (2020)
    绿盟
    • UTS绕过登录
    • uts信息泄露
    • BAS日志数据安全性分析系统 accountmanage 未授权访问漏洞
    Teleport堡垒机
    • get-file 后台任意文件读取漏洞
    • do-login 任意用户登录漏洞
    H3C
    • IMC dynamiccontent.properties.xhtm 远程命令执行 CNVD-2021-39067
    • SecParh堡垒机 data_provider.php 远程命令执行漏洞
    • SecParh堡垒机 get_detail_view.php 任意用户登录漏洞
    金山
    • 金山 V8 终端安全系统 get_file_content.php 任意文件读取漏洞
    • 金山 V8 终端安全系统 downfile.php 任意文件读取漏洞
    • 金山 V8 终端安全系统 pdf_maker.php 命令执行漏洞
    中远麒麟
    • iAudit堡垒机 get_luser_by_sshport.php 远程命令执行漏洞
应用漏洞
    向日葵
    • 向日葵 check 远程命令执行漏洞 CNVD-2022-10270
    VMware
    • VMware vRealize Operations Manager SSRF漏洞 CVE-2021-21975
    • VMware vCenter vid 任意文件读取漏洞
    • VMware Workspace ONE Access SSTI漏洞 CVE-2022-22954
    • CVE-2021-21972 vCenter Serve 任意文件上传
    • CVE-2021-22005
    • CVE-2021-44228 log4j漏洞
    Chrome
    • Chrome 远程命令执行漏洞
    openssl
    • 心脏滴血漏洞 CVE-2014-0160
    OpenSSH
    • 命令注入漏洞 CVE-2020-15778

渗透测试

应急响应
    第三章 应急响应之实战分析
    • SSH暴力破解
    • (Linux)挖矿木马分析
    • (linux)记一次与挖矿木马的较量
    • (web)记一次Windows下的应急过程
    • (windows)记一次简单的应急响应-驱动人生
    第二章 应急响应之日志分析
    • 数据库日志分析
    • 中间件日志分析
    • 系统日志分析
    第一章. 应急之排查方法
    • Windows 排查方法
    • Linux下排查方法
社工钓鱼
  • 社会工程学攻击
  • 邮件模板
    • 邮件模板-升级办公OA
    • 邮件模板-处罚通知模板
    • 邮件模板-放假通知
    • 邮件模板-学校网络学习平台升级通知
    • 邮件模板-产品升级公告通知
    • 邮件模板-员工涨薪通知
    社会工程学攻击-简单钓鱼文件制作
    • 利用Cobalt strike发送钓鱼邮件
    • Word邮件与 CSV注入
    • 自解压捆绑文件钓鱼
    社工钓鱼案例整理
    • 案例1--警惕:最新钓鱼邮件案例分析
    • 案例2–蓝队视角下的“HVV利剑”-钓鱼攻击案例分享与总结
    • 案例3-X站钓鱼邮件应急响应案例分析
    • 案例4-某大型攻防演练中红队钓鱼邮件攻击手法复盘
    • 案例5-币安钓鱼案例参考
    • 案例6-使用新冠疫情发起钓鱼攻击的最新案例
    • 案例7-上海交通大学案例参考
    • 案例8-钓鱼邮件模板
    • 案例9-上海理工大学案例参考
    • 案例10-钓鱼邮件常见小技巧
Web常见漏洞
  • Web常见漏洞描述及修复建议
  • Web漏洞集
    • SQL注入漏洞基本原理
    • 任意文件下载
    • 敏感文件
    • 文件包含
    • 文件上传
    • 命令执行rce
    • 代码执行
    • XML外部实体注入
    • 逻辑漏洞
      • 验证码逻辑
      • 支付漏洞
      • 越权访问
      • 会话劫持
      • 会话重放漏洞
      • 会话固定
      • 任意用户密码重置
      未授权访问
      • 常见的未授权访问漏洞
      • Redis未授权访问
      • MongoDB 未授权访问
      • Memcached 未授权访问
      • Zookeeper未授权访问
      • Rsync 未授权访问漏洞
      • Docker未授权访问
      • Jenkins未授权访问
      • Hadoop 未授权访问
      • JBOSS未授权访问漏洞
      • Druid未授权访问
      信息泄露
      • 敏感信息泄漏
      • 备份文件泄露
      • .DS_Store源码泄露
      • CVS泄漏
      • .hg源码泄漏
      • .SVN源码泄露
      • .Git源码泄露
      浏览器域
      • 同源策略-Jsonp劫持-CORS跨域
      • XSS跨站
      • CSRF
      • SSRF
  • Home
  • 知识文库
  • 渗透测试
  • Web常见漏洞
  • Web漏洞集
  • 逻辑漏洞
  • 会话重放漏洞

会话重放漏洞

目录
  • 原理
  • 分类
  • 0x04 代码示例
  • 限制绕过
  • 0x06 测试过程
    • 测试案例1
    • 测试案例2

原理 #

重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者进行,也可以由拦截并重发该数据的攻击方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通信过程中都有可能发生。

重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。很多时候,网上传输的数据是经过加密的,此时窃听者无法得到数据的准确意义。但是如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。

例如,有些系统会将鉴别信息进行简单的加密后再传输,这时攻击者虽然无法获取到密码,但是他们可以先截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。再比如,假设网上存款系统中,一条消息表示用户支取了一笔存款,攻击者完全可以多次发送这条消息而偷窃存款。

攻击者也可以利用系统中POST请求的数据包针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库中插入海量数据,或无限制的上传文件到系统中,造成资源浪费。

重放漏洞是逻辑漏洞中常见的漏洞之一,攻击者通过嗅探受害者的数据包,将此数据包对服务器恶意重放从而造成危害,如截取登录时的数据包重放,就可直接登录系统;截取成功购买物品时的数据包重放,就有可能实现付1买10的操作。

分类 #

  1. 根据重放消息的接收方与消息的原定接收方的关系,重放攻击可分为3种:

a.** 直接重放,**即重放给原来的验证端,直接重放的发送方和接收方均不变;
b. 反向重放,将原本发给接收方的消息反向重放给发送方;
c. 第三方重放,将消息重放给域内的其他验证端。

  1. 考查攻击者对消息重定向,这种分类法称为目的地分类法,分类如下:

a. 偏转重放攻击,重放消息重新定向,发送给不同于原接收者的第三方。这种情形可进一步分为如下子类
①重放消息重定向,发送给原发送者,称为反射重放攻击。
②重放消息重定向,发送给第三方,即不同于发送者和原接收方的第三方。
b.攻击者通过延时的方法,将消息传送给目的地,称为直接重放攻击。

0x04 代码示例 #

以下代码一是对请求时间做了限制,请求时间超出时间范围的将被拒绝。二是缓存过期时间等于有效时间的跨度, 若缓存中已存在该随机数, 则拒绝,很好的防御了会话重放攻击。

 

@Resource
private ReactiveStringRedisTemplate reactiveStringRedisTemplate;

private ReactiveValueOperations<String, String> reactiveValueOperations;

@PostConstruct
public void postConstruct() {
    reactiveValueOperations = reactiveStringRedisTemplate.opsForValue();
}

@Override
protected Mono<Void> doFilter(ServerWebExchange exchange, WebFilterChain chain) {
    // 此处的`ATTRIBUTE_OPEN_API_REQUEST_BODY`是前面过滤器存入的
    OpenApiRequest<String> body 
        = exchange.getRequiredAttribute(ATTRIBUTE_OPEN_API_REQUEST_BODY);
    if (!ObjectUtils.allNotNull(body, body.getTimestamp(), body.getNonce())) {
        return fail(exchange);
    }
    Long gmt = System.currentTimeMillis();
    // (一)
    if (gmt + effectiveTimeRange < body.getTimestamp() || 
        gmt - effectiveTimeRange > body.getTimestamp()) {
        return fail(exchange);
    }
    // (二)
    return reactiveValueOperations.setIfAbsent(MessageFormat.format(
        KEY_REPLAY_NONCE, body.getAppId(), body.getNonce()),
                                               String.valueOf(System.currentTimeMillis()),
                                               Duration.ofMillis(effectiveTimeRange * 2L))
        .log(LOGGER, Level.FINE, true)
        .flatMap(approved -> approved ? 
                 chain.filter(exchange) : fail(FORBIDDEN, exchange)
                );

 

限制绕过 #

攻击前提条件

  1. 网站的服务器需是Windows主机;
  2. 攻击者需要有独立外网主机;
  3. 服务器存在漏洞,能执行命令(当然也可以通过钓鱼的方式),通过此漏洞能够远程桌面连接或命令执行;

漏洞利用

  1. 攻击端设置代理

攻击者通常处于内网,外网访问大多是映射出来的。为了获取受害者传来的数据包,所以需要设置BurpSuite的代理为任意ip过来的数据包,并且为了不引起用户的怀疑不要开启抓包功能(设置为Intercept is off)。

会话重放漏洞
  1. 开启目标服务器代理

利用前提条件中提及的获取的远程桌面连接,通过图形化界面设置IE代理(或通过命令执行设置IE代理)。

会话重放漏洞
  1. 获取敏感数据

等待用户登录服务器并使用浏览器访问部署的网站,因为使用了BurpSuite还有可能获取到用户在其他网站上的登录账户及密码等信息。如果用户已经登陆了网站,攻击者也可以利用他登录的cookie或者token等信息在本地进行重放利用。
等待后,用户已经登录了网站,BurpSuite也获取到了这些登录数据。

其实还可以将开启代理的批处理文件发给安全意识不高的人员。或者通过编程调用这些命令,到时就可以直接发送exe文件给受害者,这样的隐蔽性也相对较好。一旦他们点击,攻击者即可获取这些受害者访问网站的所有数据,登录时可以获取登录凭证、对于已经登录的情况下也可获取登录成功的cookie等进行本地的重放等。

会话重放漏洞

0x06 测试过程 #

使用BurpSuite的Repeater功能或自行编写脚本对数据包进行重放,验证是否存在短信轰炸、无限制刷评论、无限制点赞、无限制积分、无限制投票、无限制文件上传等业务逻辑问题。

测试案例1 #

  1. 访问将注册页面。
会话重放漏洞
  1. 截取注册页面数据包,通过重放几次发现系统对Cookie设置了2分限制。
会话重放漏洞 会话重放漏洞 会话重放漏洞
  1. 删除cookie,发送至Intruder模块进行测试,可绕过cookie限制,进行无限制会话重放。所以该系统注册账号处存在会话重放漏洞。
会话重放漏洞

测试案例2 #

  1. 访问具有获取验证码的功能模块。
会话重放漏洞
  1. 截取数据包,多次点击BurpSuite工具Repeater模块的“GO”按钮,进行会话重放。
会话重放漏洞
  1. 受害者手机收到多条验证码短信,遭遇短信轰炸攻击。所以该系统“诉求提交”功能处,存在会话重放漏洞。
会话重放漏洞
What are your Feelings
更新于 2022年10月4日
会话劫持会话固定
目录
  • 原理
  • 分类
  • 0x04 代码示例
  • 限制绕过
  • 0x06 测试过程
    • 测试案例1
    • 测试案例2
黑客街 黑客街
黑客街导航站是一款努力把互联网安全站点集接到一起,希望为每个小伙伴提供良好的"安全"体验。

街头小贩 匿名追踪 杀软对比

黑客街公众号黑客街

黑客街公众号

我要合作黑客街

我要合作

关于我们 免责说明 商务合作

Copyright © 2022 黑客街   豫ICP备19005024号    站点地图

  
常用
搜索
工具
社区
生活
求职
    热门推荐: