• XSS.stack #1 – первый литературный журнал от юзеров форума

Мануал/Книга [BlackHat USA 2024] Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!

Отслеживать
weaver

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3
Забанен
Регистрация
19.12.2018
Сообщения
3 301
Решения
11
Реакции
4 622
Депозит
0.0001
Пожалуйста, обратите внимание, что пользователь заблокирован
Description
Apache HTTP Server, as a cornerstone of the entire World Wide Web, accounts for about one-third of the web server market share worldwide. It's not an overstatement to say that its security is synonymous with the security of the Internet. However, while delving into the source by chance, we discovered that the coding style of this open-source project seemed a little bit… open? This research was thus born!

The Apache Httpd is comprised of dozens of different modules, which are coupled together. When a new HTTP request arrives, all modules uphold and maintain a colossal structure, collaborating in harmony to complete the request. While this cooperation might sound ideal, the reality reveals a significant challenge: the modules are not entirely familiar with each other, especially regarding the implementation details. However, they are asked to collaborate to fulfill the task. If any module has an incorrect understanding of any fields of this huge structure, it could potentially lead to fatal issues.

This observation led us to focus on interactions between modules and discover this new attack surface. Let's see how a seemingly harmless structure modification can be passed through layers, amplifying the impact and affecting other modules to become vulnerabilities. This novel attack surface unearthed two distinct types of Confusion Attacks, which allow us to navigate easily between Httpd modules, generating various attacks based on the different functionalities of modules: from the simplest arbitrary source code disclosure to misinterpreting a normal image as malicious scripts, bypassing ACL, and enabling unlimited SSRF. Of course, we won't forget about RCE, we will demonstrate how a long-underestimated bug type can be transformed into code execution by leveraging Httpd's internal features!

By understanding this talk, attendees won't be surprised at how we've managed to teach an old dog new tricks. Developers will understand how to avoid writing problematic Httpd modules. Server Admins can utilize this knowledge to examine their sites for potential vulnerabilities, and security researchers are able to explore more hidden issues in this direction. It's a scenario where everyone wins!
blackhat.com/us-24/briefings/schedule/index.html#confusion-attacks-exploiting-hidden-semantic-ambiguity-in-apache-http-server-pre-recorded-40227

slides

article
https://blog.orange.tw/2024/08/confusion-attacks-en.html
 
weaver сказал(а):
Description

blackhat.com/us-24/briefings/schedule/index.html#confusion-attacks-exploiting-hidden-semantic-ambiguity-in-apache-http-server-pre-recorded-40227

slides

article
https://blog.orange.tw/2024/08/confusion-attacks-en.html
Спасибо! Это потрясающе!
Побольше бы в таком формате!
Очень странно что 0 комментариев.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
zdestuta сказал(а):
Очень странно что 0 комментариев.
Стесняются, либо ленивые или же не понимают .
 
Пожалуйста, обратите внимание, что пользователь заблокирован
weaver сказал(а):
Стесняются
те, кто понимают, помалкивают. любой ТТP, код или эксплоит whatever ушедший в массы теряет свою ценность, не полностью но значительно. то во что цай ткнул пальцем и так знали
 
Последнее редактирование:
weaver сказал(а):
Стесняются, либо ленивые или же не понимают .
А правильно ли я понял по слайдам, что грамотная вставка %0d%0a в URL в Апаче позволяет инжектить Location или Content-Type хэдеры так что Апач внутри думает что это уже его хэдеры ответа, а не прилетевшие хэдеры запроса? 🙀
(это про handler invocation по Content-Type вопрос)

Обход ACL с помощью ? (%3f) прям конкретно "доставил", надо побаловаться...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
zdestuta сказал(а):
А правильно ли я понял по слайдам,
Смотри статью, там выше статья есть кроме слайдов...

zdestuta сказал(а):
что грамотная вставка %0d%0a в URL в Апаче позволяет инжектить Location или Content-Type хэдеры так что Апач внутри думает что это уже его хэдеры ответа, а не прилетевшие хэдеры запроса? (это про handler invocation по Content-Type вопрос)

Первоначально mod_cgi выполняет CGI и сканирует его вывод, чтобы установить соответствующие заголовки, такие как Status и Content-Type. Если возвращено Status 200 и Location заголовок начинается с /, ответ рассматривается как перенаправление на стороне сервера и должен быть обработан внутренне.

Внедрение CRLF - %0d%0a в заголовки ответов CGI, позволяющее перезаписывать существующие HTTP заголовки новыми строками.

Таким образом, в Server-Side Redirects, если вы управляете заголовками ответа, вы можете вызвать любой обработчик модуля в Httpd
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх