大观园心水论坛开奖戴尔电脑自带体例软件Supp
时间:2019-05-30 点击:

  从以上恳求移用来看,其平安搜检并不圆满,能让攻击者找到良多攻击面,就拿绕过Referer/Origin来说,咱们有以下几种可选措施:ClientServiceHandler.ProcessRequest是web任职过程中的紧要措施函数,紧要用于推行少少完备性搜检,如确保其采纳到的恳求来自我的电脑本机,诸云云类等等。基于以上音信,咱们能够还测试编写一个毛病使用代码。大观园心水论坛开奖之后,当相应端口盛开并采纳到恳求后,本机的Dell SupportAssist客户端会做出以下反响:上述剧本的访谒限度计谋中准许放肆域来对它推行恳求,之后,它返回了原始的恳求戴尔网站的署名,相当于一个获取署名的署理,随后 “getdsdtoken”URL会返回附带署名和过时功夫的JSON音信,接着,咱们能够利用JSON.parse针对抓取音信举办解析,把此中的署名就寝到一个java对象中。如下:云云看起来也许照旧不成,由于署名反响中涉及的访谒限度计谋“Access-Control-Allow-Origin” 里明晰提到如果“”合连网站,然而咱们身处的子域名情况也许并不是https体例的,那奈何办呢?咱们能够从咱们我方限度的任职端中来推行恳求!Dell SupportAssist 用于“主动搜检体例硬件和软件运转景况”,而且“预装自带正在大大批全新的戴尔电脑体例中”。初略看来,这两个任职过程看似为序,很容易被逆向解析。然而,我倏地思到,能够用中心人攻击(MITM)来看看。正在本文后续咱们会络续说论完备性搜检的合连题目,然而,这里咱们照旧把要点放到寻找RCE毛病之上。

  别的还须要供给一个署名,为此,能够推行一个针对“”的恳求。经解析发掘,戴尔工夫援手网站此时会向我本机恳求一个由SupportAssistAgent任职开启的8884端口,别的,我本机经由一个REST API和向戴尔工夫援手网站建议百般通讯恳求,并且,正在戴尔网站的反响中也树立了惟有网站标帜的Access-Control-Allow-Origin访谒限度计谋。咱们会每隔几秒就反复发送这些ARP包,退出后,会把原始的MAC地方发送给宗旨体例和道由。为了对Dell SupportAssist举办了长远研讨,我决心通过它与戴尔工夫援手网站之间的差别类型恳求举办了抓包解析,恰好我的电脑体例还存正在少少待定更新,以是我就挑选了浏览器器材对恳求举办拦截。开始,戴尔工夫援手网站会轮回遍历上述提到的四个端口来探测本机体例中安设的SupportAssist,之后假若端口盛开,则会衔接“isalive”任职措施,比力蓄志思的是,此中的署名“Signature”和“Expires” 参数转达流程有点有趣,为此,我逆向了浏览器端涉及的JS剧本,发掘了以下题目:有了这个Payload,现正在就要思宗旨正在统一汇集中构造攻击端了,以下是我正在PoC阶段有用的攻击端搭筑步伐:3.接下来,要对宗旨体例推行ARP利用,这里要开启IP转发才调把ARP包发送到宗旨体例,云云正在道由和宗旨体例之间才调变成共鸣。札记本电脑入手之后,我把此中的1TB日常硬盘换成了固态硬盘,正在安设完Windows体例后,我思从戴尔官网上更新驱动,这时我发掘了一件蓄志思的事,当我访谒戴尔的工夫援手网站时,会跳出一个如下图的选项:正在此我决心步武浏览器并用java建议恳求。SupportAssist步骤安设很简易,勾选上述选框,点击下载安设就行。1.正在确定某些驱动步骤须要更新后,戴尔工夫援手网站的浏览器端会建议一个以下的POST恳求:要点来了,遵循上面的界说,也即是说,假若文献下载URL是”样式的,那么就会被交换为”,那如果文献下载URL是其它样式的,那有趣是就不会被交换为”了?为此,咱们来尝尝,正在”中的左括号后加上一个空格,即:“”,云云一来,当推行完备性搜检的时辰,因为该文献下载URL是以“ ”空格发端的,以是,它的搜检结果形态会返回false,但这也不影响后面部份的 推行。但为了进一步对该行使举办解析,我照旧决心装装尝尝。驱动探测达成后,点击网页中的驱动下载按钮,其恳求音讯有点奇异。upportAssist存正在RCE缺欠正在发掘任职端之后,咱们能够发送咱们的Payload,但这是最难的部份,正在“downloadandautoinstall” 推行咱们的Payload之前,尚有多个须要管理的题目。惹起我谨慎的是downloadservice_downloadandautoinstall措施,它会从特定URL下载文献并推行,当用户须要安设某个驱动步骤时,它就能派上用场,举办自愿的下载和安设。安设完后,我就从新访谒戴尔工夫援手网站,看看它能探测到什么东东?居然,这回崭露的是以下驱动探测选项( “Detect Drivers”) :4.当浏览器采纳到上述反响音讯之后,它就与给定的盛开端口创设合联,举办后续的衔接通讯。

  你用的电脑是什么品牌的?你有没有对你电脑体例中预装或自带软件的平安性发作过质疑?当咱们辩论长途代码推行毛病(RCE)时,广东鹰坛的网站。也许大大批人会以为它和操作体例毛病合连,然而有没有人研讨到预装到电脑体例中的第三方软件这一攻击也许呢?本文讲述的即是纽约17岁平安研讨者近来发掘的,戴尔预装正在其电脑上的软件器材Dell SupportAssist 的一个长途代码推行毛病(RCE),使用该毛病,可对统一汇集情况中安设有Dell SupportAssist 的宗旨体例奉行RCE攻击。通过恳求来看,戴尔Web客户端貌似能够直接恳求我本机体例中的SupportAssistAgent任职,显示驱动步骤的下载和手动安设选项(“download and manually install”),因为,我盘算从SupportAssistAgent任职中入手举办解析,看看戴尔工夫援手网站发出的少少整体下令。以下为作家的详尽解析,比力繁琐,涉及恳求解析、完备性搜检解析、毛病使用思绪构造、ARP和DNS利用。最终,假若以上相同完备性搜检都能通过,就会通过DownloadHandler.RegisterDownloadRequest和Dell SupportAssist创设下载干系,以本机办理员身份下载并推行相应驱动文献。一发端,须要找到任职端口,这里能够轮询上述的四个预订义端口,并向“/clientservice/isalive”推行恳求。1.开始,浏览器会向网站建议恳求,以获取一个token,也即是署名Signature。整体使用请参考文末结尾的毛病使用及PoC部份。通过对差别类型的恳求举办测试后,我发掘值得谨慎的成分是能够通过“getsysteminfo”措施来获取到电脑本机中的各项硬件音信,乃至也能够通过XSS毛病体例来读取这些音信。当然,戴尔还会分派一个“Expires token”,以范围署名的过时功夫;以上完备性校验搜检会对此中涉及的每个文献举办轮回搜检,比如会搜检下载文献的URL,假若是会用替,也会搜检此中的URL是否与戴尔下载列表成家。从 “getdsdtoken” URL中返回的署名适配全面筑设体例,它是通用署名,为此我写了一段PHP剧本来抓取它:ClientServiceHandler.ProcessRequest此中的一个完备性搜检即是,戴尔工夫援手网站会查看由我电脑体例中Dell SupportAssist与其Web客户端的恳求中,涉及的Referer标签是否为Dell官方所属网站,以此来确定该恳求是由其Web客户端建议的,如下:为了更好的解析,我开启了Chrome浏览器的汇集解析器材Web Inspector,翻开了此中的Network按钮举办看管,接着,我就点击了上述选项页面中的 “Detect Drivers” 按钮,看看会有什么状况:此中有两种提示,一是告诉用户须要输入戴尔电脑筑设的任职标签、产物序列号和型号等等音信,别的一种是直接挑选“Detect PC”(探测电脑)自愿识别。正在某种水准上就能管理这个最难的题目了。模仿的Web任职端会搜检恳求主机头是否为downloads.dell.com,假若是则会发送可推行步骤;假若恳求中有dell.com域名,然而不是downloads下载域名,则它会发奉上述的JS自愿恳求剧本。别的一个题目看似是为了应对绕过第一个题目而树立的,集合前述解析,当文献下载URL是则它会被替,这是完备性搜检中的合连措施界说:正在我的浏览器端,SupportAssist客户端步骤通过恳求,天生一个署名对百般下令举办验证。只管这是一个方便器材,但我照旧有点点担心心,因为我现在体例是新装体例,署理商体例仍旧被我革除。假若是,咱们会发送一个假的域名体例数据包,注明咱们是该网址的线.当宗旨体例受害者访谒咱们的子域(直接通过网址或通过iframe间接访谒)时,咱们会向它发送恶意的JS剧本,由它来发掘Dell SupportAssist客户端的任职端口,然后从咱们之前创筑的php文献中获取署名,结尾发送RCE Payload。该步骤声称安设达成之后,能够齐全更新我的驱动并使电脑体例保留更新。

  这算是一个平安题目,由于云云我能够对电脑体例做出全方位的画像和敏锐音信征采。开始咱们须要构造的是推行对SupportAssist客户端的恳求,假设咱们正在一个戴尔的子域名网站情况中,正在本节中咱们来日说论若何做到这一点。点击之后,跳出来了一个SupportAssist步骤的安设选项。大观园心水论坛开奖戴尔电脑自带体例软件S2.模仿戴尔Web任职端并供给一个包括道途的放肆可推行步骤,该步骤文献对应于戴尔网站供给的驱动步骤。从最难的题目说起,Dell SupportAssist客户端中有一个内置的白名单,整体而言,其务必是“ftp.dell.com”、“downloads.dell.com”或 “ausgesd4f1.aus.amer.dell.com”这品种型的,从这个点来说险些无计可施,并且正在dell合连网站也发掘不了任何盛开重定向毛病。其恳求音讯头如下:现正在,咱们有了署名和其过时功夫,就能够推行恳求构造了,以下即是推行端口轮询的剧本,假若相应的端口处于盛开形态,就把它填入server_port变量中去。安设达成之后,SupportAssist会正在后台创筑并启动名为SupportAssistAgent和Dell Hardware Support的任职项。昨年9月,由于我用了快要7年的Macbook Pro仍旧将近罢工了,以是,我盘算从新进货一台性价比高的札记本电脑,最终我挑选了戴尔的G3 15。如下:1.从任何戴尔所属网站中找到XSS毛病(当然,我需正在援手SupportAssist的网站中来发掘这种XSS毛病);假若咱们能够向Dell SupportAssist客户端供给一个相同,那咱们就能分表容易地拦截并窜改此中的反响音讯了!Detect PC?自愿识别?哦,这有点有趣,它若何来识别我的电脑?出于好奇,我就点击了“Detect PC”按钮,看看会产生什么。为此,我编写了如下的JS自愿恳求发送剧本来达成这种URL绕过:4.结尾,咱们要利用iptables将DNS数据包重定向到汇集过滤器部队来举办DNS利用,通过监听这个汇集过滤器部队,并搜检宗旨体例恳求的域名是否是咱们的宗旨网址(戴尔工夫援手网站)。4.天生一个随机子域名[random].dell.com,并使用DNS胁迫受害者恳求,以此用咱们限度的任职器来对对其举办反响。当Dell SupportAssist客户端惩罚RCE Payload时,它会向downloads.dell.com发出恳求,这时咱们集合以下的ARP和DNS利用成效,将会向宗旨体例返回一个放肆的可推行步骤?

相关新闻
PREV
NEXT