0x00 前言

本次学习的是2020 Blackhat 的一篇文章When TLS Hacks you,简单来说,作者提出了一种新的SSRF攻击思路:利用DNS重绑定和TLS协议的会话恢复进行攻击。具体可参考:Blackhat - When TLS Hacks you

Lots of people try to attack the security of TLS. But, what if we use TLS to attack other things? It's a huge standard, and it turns out that features intended to make TLS fast have also made it useful as an attack vector. Among other things, these features provide a lot of flexibility for Server-Side Request Forgery (SSRF). While past work using HTTPS URLs in SSRF has relied upon platform-specific bugs such as SNI injection, we can go further. In this talk, I present a novel, cross-platform way of leveraging TLS to target internal services. By Joshua Maddux

0x01 前置知识

SSRF攻击

SSRF全称是服务器端请求伪造。在各种Web应用程序中,这是一个非常普遍的漏洞,攻击者可以在其中代表服务器伪造网络请求。假如,具有以下URL:https://example.com/?ping=www.xxx.com我们可以从中得出什么?它像是一个ping参数,可以通过某种方式与www.xxx.com 进行通信。也许它下载了文件,也许它向它发送了其他一些HTTP请求。看到这样的URL,攻击者可能会检查是否可以通过这种方式访问其他内部文件。

攻击者还将检查路径是否可以使用完整的主机名扩展,例如ping=http://127.0.0.1/。这将导致服务器去连接本地IP地址,或者去连接外界无法进行访问的内网地址,这是由于攻击者代表Web服务器伪造了该请求。这种攻击可能导致各种危害:包括执行端口探测,内网主机探测,或在本地主机上与可用的服务进行交互。

如果没有任何防御措施,也可以使用file:///C:/windows/win.ini语句访问本地文件。

TLS 会话恢复

当两个通信方发起TLS会话时,正在交换握手。在握手期间,双方会相互验证并建立加密算法以及会话密钥。完成后,加密的通信将继续。为了节省时间和资源(协商和创建会话密钥需要占用大量CPU资源),服务器会发送一个所谓的会话ID给客户。重新连接的客户端可以在ClientHello消息过程中提供此会话ID,并重新使用以前建立的会话密钥。这被称为会话恢复,因为双方已经协商了要使用的算法和密钥,因此可以显着加快通信的速度。重要的一点是,在握手期间,客户端会显示服务器提供的会话ID值。

详情可参考之前的文章,TLS 1.3 与 TLS 1.2 的会话恢复

DNS重绑定攻击

整个攻击过程类似于之前讲过的DNS重绑定攻击,攻击内网设备。不同地方是在这里利用的是TLS的会话恢复。

详情可参考之前的文章,详解DNS 重绑定攻击

0x02 攻击原理

原理图:

攻击流程:

  1. 攻击者首先诱使受害者打开一个网站(钓鱼或者广告页面都可以实现),会向攻击者的TLS 服务器 https://ssltest.jmaddux.com:11211 请求页面。
  2. 受害者打开网站后,客户端发出DNS查询,查找 ssltest.jmaddux.com域名的IP地址,攻击者准备的DNS权威域名服务器接收到查询,进行响应。
  3. 此时,返回的DNS响应报文是TLS sever的真实IP地址,并且设置TTL 为0
  4. 受害者客户端发送Hello 消息尝试进行TLS握手(在这之前进行了TCP三次握手,这里省略没写,不是重点)
  5. TLS服务器端响应Hello消息,并将会话id设置为payload 发送给受害者
  6. 当TLS握手全部完成之后,进行HTTPS通信,TLS服务器通过301重定向状态码,重定向到https://ssltest.jmaddux.com:11211 (重新进行再次访问)
  7. 客户端重新加载https://ssltest.jmaddux.com:11211 页面。
  8. 由于之前设置的DNS缓存记录,TTL为0,在很短的时间内就失效,所以受害者客户端会再次向攻击者DNS服务器请求IP地址
  9. 此时,攻击者拥有的DNS服务器返回解析结果为127.0.0.1,TTL为0。(127.0.0.1代表本机)
  10. 客户端尝试去恢复会话,带着之前的payload 会话ID,与127.0.0.1:11211 进行会话恢复,于是payload 发送给了客户端本身。
  11. 此时会话重用失败,会返回一个TLS error,但攻击者的目的已经达成。

0x03 影响范围

借用作者的原图,下图是易受攻击的HTTPS客户端应用:

下图是可以攻击的目标,以及可利用的方式:

0x04 参考资料

TLS-poison github

Black Hat USA 2020 Highlights: When TLS Hacks You

DNS Rebinding 攻击绕过 ssrf 限制

从0到1认识DNS重绑定攻击

为什么 HTTPS 需要 7 次握手以及 9 倍时延

TLS Poison - When TLS Hack you的更多相关文章

  1. 线程本地存储(动态TLS和静态TLS)

    线程本地存储(TLS) 对于多线程应用程序,如果线程过于依赖全局变量和静态局部变量就会产生线程安全问题.也就是一个线程的使用全局变量可能会影响到其他也使用此全局变量的线程,有可能会造成一定的错误,这可 ...

  2. 静态TLS和动态TLS

    静态TLS的使用方法: #include <Windows.h> #include <iostream> #include <iomanip> using name ...

  3. JavaMail: SSL vs TLS vs STARTTLS

    SSL vs TLS vs STARTTLS There's often quite a bit of confusion around the different terms SSL, TLS an ...

  4. TLS 与 python thread local

    TLS 先说TLS( Thread Local Storage),wiki上是这么解释的: Thread-local storage (TLS) is a computer programming m ...

  5. 线程本地存储TLS(Thread Local Storage)的原理和实现——分类和原理

    原文链接地址:http://www.cppblog.com/Tim/archive/2012/07/04/181018.html 本文为线程本地存储TLS系列之分类和原理. 一.TLS简述和分类 我们 ...

  6. SSL、TLS协议格式、HTTPS通信过程、RDP SSL通信过程

    相关学习资料 http://www.360doc.com/content/10/0602/08/1466362_30787868.shtml http://www.gxu.edu.cn/college ...

  7. [转载] TLS协议分析 与 现代加密通信协议设计

    https://blog.helong.info/blog/2015/09/06/tls-protocol-analysis-and-crypto-protocol-design/?from=time ...

  8. Android网络编程系列 一 JavaSecurity之JSSE(SSL/TLS)

    摘要:     Java Security在Java存在已久了而且它是一个非常重要且独立的版块,包含了很多的知识点,常见的有MD5,DigitalSignature等,而Android在Java Se ...

  9. TLS学习总结

    我们有知道 Immunity Debugger,OD 调试器,在调试程序时会设断在OEP(修改第一个字节0xcc).我在想,使用什么编程技术,代码可以在OEP前被执行.在网上找了些资料,在论坛上看到许 ...

随机推荐

  1. Linux系统编程【4】——文件系统

    pwd命令的作用 Linux的文件系统比较庞大,所以笔者从pwd这一命令入手,在实现的过程中加深对文件系统的了解. 输入:man pwd 从指导文档中可以看到,pwd命令的作用是显示出当前所处位置,以 ...

  2. python自动化测试生成HTML报告

    自动化测试结果执行完毕后,需要对测试结果进行查看,今天就来讲一讲如何生成HTML报告首先下载HTMLTestRunner.py文件,放在python安装目录的Lib文件夹下https://pan.ba ...

  3. 关于《Android编程权威指南》的MockWalker在模拟器中无法运行的解决方法

    1.打开模拟器中的Dev Settings应用. 2.选中Allow mock locations选项. 之后应该就能正常运行了.

  4. 如何快速开发Winform应用系统

    在实际的业务中,往往还有很多需要使用Winform来开发应用系统的,如一些HIS.MIS.MES等系统,由于Winform开发出来的系统界面友好,响应快速,开发效率高等各方面原因,还有一些原因是独立的 ...

  5. 鸿蒙开源第三方件组件——轮播组件Banner

    目录: 1.功能展示 2.Sample解析 3.Library解析 4.<鸿蒙开源第三方组件>系列文章合集 前言 基于安卓平台的轮播组件Banner(https://github.com/ ...

  6. 通达OA任意文件上传+文件包含GetShell/包含日志文件Getshell

    0x01 简介 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠.数据存取集中控制,避免了数据泄漏的可能.提供数据备份工具,保护系统数据安全.多级 ...

  7. FreeBSD 发布 2020 年 Q3 季度报告

    FreeBSD 几日前发布 Q3 季度报告,介绍了在过去第三季度里 FreeBSD 完成的工作和相关项目,涉及到架构支持.内核改进.持续集成和驱动程序优化等. 列举部分如下: FreeBSD 基金会目 ...

  8. 来,Consul 服务发现入个门(一看就会的那种)

    前言 在微服务架构中,对于一个系统,会划分出多个微服务,而且都是独立开发.独立部署,最后聚合在一起形成一个系统提供服务.当服务数量增多时,这些小服务怎么管理?调用方又怎么能确定服务的IP和端口?服务挂 ...

  9. android分析之智能指针

    智能指针是一个包装类,该类有一个指针指向真正的类对象 引用计数型智能指针,该引用计数是在应该被真正类所持有,而非包装类(智能指针) 为了方便,会将引用计数单独实现在一个类中,这样所有继承它的类都有计数 ...

  10. Win 10 下Pipenv源码安装 odoo12

    因为,本身电脑已经安装odoo8,9,10等odoo的版本,当时,没有考虑是直接是统一的环境很配置. 现在,在odoo11的环境下,需要Python 3的语言环境可以很好地支持odoo11的功能,所以 ...