Web滲透測(cè)試中比較難的就是測(cè)試那些交互較少的應(yīng)用了，當(dāng)你嘗試了各種漏洞利用方法而無效之后，很可能就會(huì)放棄了。但有時(shí)候，這種花費(fèi)時(shí)間的投入和研究，對(duì)白帽自身的技術(shù)提高來說，還是非常有用的。這里我就分享一下，我在對(duì)比特幣賭博網(wǎng)站bustabit的滲透測(cè)試中發(fā)現(xiàn)的兩個(gè)漏洞，由此我也收獲了$12,000賞金。比特幣公司就是豪氣。
背景
過去幾周，我一直在對(duì)比特幣賭博網(wǎng)站bustabit進(jìn)行滲透測(cè)試。在該網(wǎng)站中，玩家自己決定要投注的金額和支付倍數(shù)，隨著賠率和倍數(shù)的上升，在游戲強(qiáng)行終止前自行終止游戲即可勝出，但是在游戲強(qiáng)行終止時(shí)還未能退出比賽，所有玩家的賭注都會(huì)輸?shù)簟?/span>
bustabit網(wǎng)站應(yīng)用中存在一些有意思的功能，但我覺得其中的用戶聊天交流功能可能存在問題，所以我也花了好多時(shí)間來研究分析它。注冊(cè)登錄之后，點(diǎn)擊這里的鏈接https://www.bustabit.com/play，在左下角的CHAT框內(nèi)就可與各路玩家進(jìn)行實(shí)時(shí)聊天。

漏洞1：用戶客戶端的拒絕服務(wù)（DoS）漏洞 – $2,000 美金
當(dāng)我瀏覽查看聊天消息時(shí)，發(fā)現(xiàn)了一件有意思的事，就是當(dāng)鏈接被粘貼進(jìn)入時(shí)，聊天應(yīng)用服務(wù)會(huì)自動(dòng)為其創(chuàng)建一個(gè)超鏈接進(jìn)行跳轉(zhuǎn)。原因是由于網(wǎng)站采用了一個(gè)特殊且又危險(xiǎn)的HTML實(shí)現(xiàn)元素，攻擊者可以采取以下方式執(zhí)行惡意操作：
:2
理論上，該處主要會(huì)存在以下三種惡意利用：
如果輸入未做嚴(yán)格的安全過濾，則可以把 :1 的地方替換為 ” onmouseover=alert(1) a=” 形成觸發(fā)；
如果輸入未做嚴(yán)格的安全過濾，還可以把 :1 的地方替換為  javascript:alert(1) 形成觸發(fā)；
如果輸入未做嚴(yán)格的安全過濾，則可以把 :2 的地方替換為 alert(1) 形成觸發(fā)。
可在這里，這些地方的替換最終無法形成有效利用。聊天應(yīng)用服務(wù)貌似不是直接對(duì)外部URL網(wǎng)站進(jìn)行超鏈接轉(zhuǎn)化，例如在聊天窗口中輸入的外部URL網(wǎng)站是www.google.com，這里的聊天應(yīng)用將會(huì)把其修改為以下樣式的最終跳轉(zhuǎn)鏈接：
https://www.bustabit.com/external?url=https://www.google.com

當(dāng)然，在聊天窗口中點(diǎn)擊以上這個(gè)最終鏈接之后，會(huì)發(fā)生以下警告：

如果聊天窗口中輸入的外部URL網(wǎng)站是bustabit自身網(wǎng)站會(huì)怎樣？
經(jīng)測(cè)試發(fā)現(xiàn)，bustabit自身并不會(huì)把自己的網(wǎng)站鏈接當(dāng)成外部URL網(wǎng)站進(jìn)行轉(zhuǎn)發(fā)，例如在聊天窗口中輸入www.bustabit.com/a后，由于它是同一個(gè)網(wǎng)站，它并不會(huì)像上述那樣，最終轉(zhuǎn)化為www.bustabit.com/external?url=www.bustabit.com/a 這樣的跳轉(zhuǎn)鏈接。
但結(jié)合之前的 :2 HTML可利用之處，可以在其中構(gòu)造加入 www.bustabit.com/a ：
www.bustabit.com/a
那要是變?yōu)樯鲜龅奶�轉(zhuǎn)鏈接，在其中加入www.google.com/a又會(huì)是怎樣呢？我們可以這樣來構(gòu)造：
https://www.bustabit.com/external?url=https://www.google.com/a“>https://www.google.com/a
這個(gè)構(gòu)造鏈接中有亮點(diǎn)的部份是，它沒有對(duì)整個(gè)域更行超鏈接，而僅僅是對(duì)https://www.google.com/a進(jìn)行了超鏈接，最終點(diǎn)擊它后，又會(huì)跳轉(zhuǎn)到https://www.bustabit.com/external?url=https://www.google.com/a ：
由此，攻擊者可以利用雙斜線功能來跳轉(zhuǎn)請(qǐng)求類似以下的外部資源，實(shí)現(xiàn)攻擊Payload加載：
https://www.bustabit.com//attacker.com/hacked
最終可以這樣構(gòu)造：
www.bustabit.com//attacker.com/hacked
經(jīng)驗(yàn)證，這種方法是可行的：

以下的HTML和上述的  //hacker.com/ 類似，請(qǐng)注意最終的構(gòu)造效果是它會(huì)跳轉(zhuǎn)到一個(gè)非  samcurry.net 網(wǎng)站的外部鏈接上。這里的技術(shù)原理與統(tǒng)一資源標(biāo)識(shí)符（URI）相關(guān)，點(diǎn)此參考。
就像下圖中在聊天室中輸入bustabit.com//whywontyouload.com之后，這種方法看上去可以繞過HTML解析機(jī)制的 Link Filter，由于這是一個(gè)純JavaScript的應(yīng)用，需要 onclick 事件而不用自動(dòng)執(zhí)行刷新就能加載whywontyouload.com，但是最終效果不是太理想。

即使在客戶端寫好了PoC腳本，它也只會(huì)懸停在指向whywontyouload.com的操作上，點(diǎn)擊URL鏈接也沒有任何反應(yīng)。所以，我就來好好看看到底發(fā)生了什么。
經(jīng)過一番研究，我反復(fù)用不同的Payload來測(cè)試跳轉(zhuǎn)到外部域的機(jī)制，偶然就發(fā)現(xiàn)了能讓網(wǎng)站變灰不顯示任何東西的情況。原來，是我在自己的客戶端中發(fā)送了以下鏈接：
https://www.bustabit.com/%0t
由于其中包含了 %0t， JavaScript 不知如何處理解析，所以導(dǎo)致了整個(gè)網(wǎng)站的失效響應(yīng)。即使刷新了整個(gè)頁面，我發(fā)現(xiàn)，我的客戶端還處于崩潰狀態(tài)。這也就是說，應(yīng)用程序會(huì)自動(dòng)把所有超鏈接發(fā)送到某個(gè)JavaScript函數(shù)，如果其中存在像 %0t 的這種失效參數(shù)，就會(huì)造成整個(gè)程序的崩潰。
由于bustabit網(wǎng)站中所有下注的用戶名稱在網(wǎng)站右上角都是公開的，攻擊得可以向任何下賭注的人發(fā)送此類消息，導(dǎo)致受害者用戶客戶端崩潰，無法完成有效參賭或賭資兌現(xiàn)。另外，攻擊者還能向網(wǎng)站主聊天窗口中發(fā)送惡意鏈接，導(dǎo)致所有用戶無法形成有效的消息連接，最終用戶形成不了交互，游戲就長(zhǎng)時(shí)間不可玩。PoC視頻如下：
https://www.youtube.com/watch?v=jxBVZtB2z4Q
漏洞2：XSS和Click Jacking（點(diǎn)擊劫持）- $10,000賞金
在漏洞1中，我們提過，在聊天窗口中輸入www.google.com之后，聊天應(yīng)用會(huì)形成以下跳轉(zhuǎn)鏈接：
https://www.bustabit.com/external?url=https://www.google.com

另外，測(cè)試發(fā)現(xiàn)，如果在其中輸入簡(jiǎn)單的 JavaScript URI 之后，也能形成XSS，因?yàn)榱奶熘锌倳?huì)需要?jiǎng)e人點(diǎn)擊某些鏈接，所以，這種漏洞無處不在。就像在聊天窗口中輸入Javascript:alert(1)之后，最終會(huì)跳轉(zhuǎn)到https://www.bustabit.com/external?url=Javascript:alert(1)，形成XSS攻擊：

這種情形下，可以深入對(duì)XSS漏洞進(jìn)行利用，如其支持標(biāo)記插入，那么，可以利用 Samy Kamkar的工具，形成點(diǎn)擊劫持攻擊。經(jīng)測(cè)試發(fā)現(xiàn)，確實(shí)可以向聊天應(yīng)用中插入標(biāo)記，就此，我能用 Click here to continue 字段形成一個(gè)點(diǎn)擊劫持頁面：

而且，在現(xiàn)實(shí)利用場(chǎng)景中，我們還可配合以下這種用戶登錄頁面形成深入的漏洞利用：

那么， 這種XSS能做什么呢？當(dāng)然是Session竊取了。Web接口中的會(huì)話會(huì)被存儲(chǔ)在用戶的本地瀏覽器中，攻擊者可以配合該XSS漏洞迷惑用戶登錄請(qǐng)求某個(gè)惡意外部鏈接，由此間接竊取到用戶cookie和session等信息，攻擊者利用用戶cookie信息就能登錄用戶賬戶。

總結(jié)
很多人在做漏洞眾測(cè)項(xiàng)目時(shí)，總會(huì)用一些面面俱到或淺嘗輒止的方式來進(jìn)行測(cè)試，雖然從攻擊廣度上來說可能會(huì)取得一些實(shí)質(zhì)性效果，但是有一點(diǎn)要清楚，像 aquatone  或 dirsearch這些你能用的開源工具別人一樣能下載利用。所以，如果你想在競(jìng)爭(zhēng)激烈的眾多白帽中脫穎而出，最好的方法就是去深入挖掘發(fā)現(xiàn)目標(biāo)網(wǎng)站的某些功能應(yīng)用缺陷漏洞。