USDT第三方支付API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

When TLS Hacks You出了一个行使tls举行ssrf的姿势,而且赵师傅在西湖论剑2020 Web HelloDiscuzQ 题也做了一些新研究,很早之前就想学习一下这个,不外一直咕,趁现在空下来了,研究一下.

这个是一个ssrf的新姿势,若是可以行使的话,只要对方服务器可以行使https协议,就可以打内网服务.

然则打过去的payload会有一些垃圾字符,常见可以行使的是memcached,ftp和 *** tp,而redis据原作者所说,由于0字节会截断,不能攻击

前置知识

tls1.2握手和会话复用

上面这个图简朴的形貌了TLS握手历程,每个框都是一个纪录,多个纪录组成一个TCP包发送,在tcp握手之后,经由4个新闻,就可以完成TLS握手历程

在ServerHello新闻中,

会有一个sessionID字段,用于再次毗邻时的会话复用,

会话复用时,客户端发送发生首次毗邻时保留的来自服务器的会话id,找到后就直接用主密钥恢复会话状态,跳过证书验证和密钥交流阶段.

dns重绑定攻击

当dns的TTL(生计时间)是一个异常小的值的时刻,DNS回复仅在短时间内有用,攻击者DNS首次回复了有用的IP的地址,第二次恢复恶意地址,就会造成DNS重绑定攻击

AAAA纪录和A纪录

AAAA纪录是域名的ipv6地址,A纪录是域名的ipv4地址,可能由于现在对ipv6的支持问题,

curl会优先请求AAAA纪录的地址,若是无法毗邻,则会毗邻ipv4地址

攻击原理

概述

如上图,在TSL首次握手时,session_id来自服务端,尔后在一次新的毗邻时,在客户端会举行会话复用时,这时,session_id由客户端首先发给服务端.

原作者提出,在curl对会话复用的判断中,只判断了目的服务的域名、端口以及协议是否一致,没有判断ip

若是服务器是恶意攻击者控制的,session_id被设置成攻击者想发送的恶意payload,在客户端第二次请求时,将ip改成127.0.0.1, 既可行使恶意的session_id攻击客户端内陆的服务,

恶意的TLS服务器,只要一个正常的TLS服务器把sessionid改掉就好,现在问题是若何把客户端在第二次请求时目的ip改掉.这里有两种姿势.

ip改变的方式

dns重绑定

一个很简朴的想法就是行使dns重绑定,在第二次请求dns剖析时改变ip,这个也是When TLS Hacks You那篇议题原作者提出的方式,赵师傅在文章中提到curl对dns做了缓存,导致第二次请求时没有举行dns查询,导致无法行使,但实在原作在中心还加了一些处置,恶意的TLS服务端永远只返回的http301跳转,而且在返回前会sleep一段时间,curl在一次次的301跳转中耗尽dns缓存的时间,会重新举行dns查询.

这里有一个坑,根据原作者github搭出来的话,301跳转以后就会报一个unexpected message的错误,

导致无法一直301跳转举行行使,最终我行使赵师傅改的tlslite-ng,再次魔改,才完成复现.

可以看到这里跳转了5次,才改变了ip

AAAA和A纪录

赵师傅提出了一个新的改ip的姿势,

由于curl对AAAA和A纪录的特殊处置,我们只要设置AAAA纪录返回一个服务器ipv6的ip,A纪录返回127.0.0.1,,而且在curl第二次接见时,让服务端下线.

,

usdt支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

第一次服务器接见ipv6地址,在服务器第二次请求时接见ipv6的地址,发现无法无法接见,会转而请求ipv4地址,造成ip改变

具体操作可以参考赵师傅的文章.

复现

https://gitee.com/wendell_tong/tls_poison_study

设置域名的ns和a纪录

dns.example.com A 300 <DNS_IP>
tlstest.example.com NS 300 dns.example.com

启动dns服务器

python3 alternate-dns.py tlstest.example.com,127.0.0.1 -b 0.0.0.0 -t tlsserverip

127.0.0.1是要举行ssrf攻击目的的ip,这里我为了利便抓包设置了118.*的ip

然后在tlslite-ng/tlslite目录,启动TLS服务,注重证书要自己设置,

python3 tls.py server --max-ver tls1.2 -k 2_tlstest111.wetolink.com.key -c 1_tlstest111.wetolink.com_bundle.crt 0.0.0.0:11212

这时受害者主机以http接见

curl -4 -kvL https://tlstest.example.com:11212

就会被攻击,

注重要允许301跳转,而且使用tls1.2.

可以看到在多次跳转之后,curl改变了接见ip

在恶意的session_id被乐成发往服务端

影响局限

原作者pdf的图就说的挺清晰的,下图是受影响的客户端,

下图是可以攻击的目的,由于会有一些垃圾字符的滋扰,Memcached的行使是比较多的

参考资料

https://www.blackhat.com/eu-20/briefings/schedule/index.html

https://i.blackhat.com/USA-20/Wednesday/us-20-Maddux-When-TLS-Hacks-You.pdf

https://cqureacademy.com/conference-summary/bhus2020-1-when-tls-hacks-you

https://github.com/jmdx/TLS-poison

https://www.zhaoj.in/read-6681.html,i-5

https://mp.weixin.qq.com/s/GT3Wlu_2-Ycf_nhWz_z9Vw

极客时间<透视HTTP协议>

环球UG官网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt无需实名交易(www.caibao.it):BlackHat2020 议题 「When TLS Hacks You」 复现
发布评论

分享到:

usdt无需实名交易(www.caibao.it):南京公布落户新政!这四区持居住证、社保满半年可落户
1 条回复
  1. usdt交易
    usdt交易
    (2021-05-28 00:01:31) 1#

    AllbetGmaing客户端下载欢迎进入AllbetGmaing客户端下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。打包带走~

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。