McAfee ePolicy Orchestrator中HTML注入漏洞的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)McAfee ePolicy Orchestrator中HTML注入漏洞的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

漏洞概述

低于5.10 Update 10版本的McAfee ePolicy Orchestrator (ePO)產(chǎn)品中被曝存在未經(jīng)驗(yàn)證的客戶(hù)端URL重定向漏洞，該漏洞可能會(huì)導(dǎo)致經(jīng)過(guò)身份驗(yàn)證的ePO用戶(hù)在ePO IFRAME中加載不受信任的站點(diǎn)，從而允許攻擊者竊取經(jīng)過(guò)身份驗(yàn)證的用戶(hù)的敏感信息。這將要求攻擊者想辦法誘使ePO用戶(hù)單擊惡意鏈接，同時(shí)利用目標(biāo)用戶(hù)單擊惡意鏈接時(shí)的瀏覽器登錄ePO服務(wù)器。

漏洞分析

在企業(yè)內(nèi)部安全評(píng)估活動(dòng)中，我的任務(wù)一般都是測(cè)試關(guān)鍵的公司基礎(chǔ)設(shè)施和軟件。在這一次，我們團(tuán)隊(duì)的任務(wù)則是測(cè)試我們公司所使用的McAfee ePolicy Orchestrator產(chǎn)品以及相關(guān)的部署情況。

在評(píng)估過(guò)程中，我注意到該產(chǎn)品使用了大量的postMessage和Websockets，但其中有一點(diǎn)引起了我們的主意，即地址欄中的URL構(gòu)造。

下面給出的是我們?cè)谠L(fǎng)問(wèn)McAfee ePolicy Orchestrator儀表盤(pán)時(shí)，瀏覽器地址欄中常規(guī)的IP/URL結(jié)構(gòu)：

https://epo-host:8443/core/orionNavigationLogin.do#/core/orionDefaultPage.do

/core/orionDefaultPage.do部分實(shí)際上是一個(gè)HTTP節(jié)點(diǎn)，跟其他HTTP節(jié)點(diǎn)一樣，它會(huì)在“頂部?jī)x表盤(pán)控制欄”下的一個(gè)IFRAME中呈現(xiàn)給用戶(hù)，但它同時(shí)也會(huì)呈現(xiàn)在其他的IFRAME種。

注意到這一點(diǎn)之后，我嘗試的第一件事就是注入一個(gè)簡(jiǎn)單的跨站腳本Payload然后查看結(jié)果：

https://epo-host:8443/core/orionNavigationLogin.do#//javascript:alert(1))

但是，Web應(yīng)用程序會(huì)正確過(guò)濾掉我們的Payload，以及我所嘗試注入的其他Payload。

于是我打算檢查一下用于執(zhí)行數(shù)據(jù)過(guò)濾的JavaScript代碼，然后我發(fā)現(xiàn)了下面這個(gè)東西：

https://epo-host:8443/core/orionNavigationLogin.do#//google.com

儀表盤(pán)現(xiàn)在將會(huì)在“頂部?jī)x表盤(pán)控制欄”下的一個(gè)IFRAME中顯示Google搜索頁(yè)面。通過(guò)使用這種簡(jiǎn)單的雙斜杠Payload，攻擊者將能夠向儀表盤(pán)中注入任何網(wǎng)站?？紤]到儀表盤(pán)給用戶(hù)呈現(xiàn)數(shù)據(jù)時(shí)所采用的方式，攻擊者不僅可以執(zhí)行成功率極高的網(wǎng)絡(luò)釣魚(yú)攻擊，而且還可以執(zhí)行NetNTLM哈希泄露攻擊。

網(wǎng)絡(luò)釣魚(yú)攻擊場(chǎng)景

下面給出的是McAfee ePolicy Orchestrator的常規(guī)IP/URL結(jié)構(gòu)：

https://epo-host:8443/core/orionNavigationLogin.do#/core/orionDefaultPage.do

攻擊者只需要將(#)之后的內(nèi)容替換為惡意URL/域名，并將URL發(fā)送給擁有儀表盤(pán)訪(fǎng)問(wèn)權(quán)限的用戶(hù)即可：

https://epo-host:8443/core/orionNavigationLogin.do#//evil.com/phish-page.php

這里需要注意的是，惡意域名托管的頁(yè)面不能將X-Frame-Options設(shè)置為“DENY”或“SAMEORIGIN”，以確保域名能夠正確地在儀表盤(pán)IFRAME中被加載。不過(guò)，惡意站點(diǎn)都是攻擊者控制的，這一點(diǎn)顯然不會(huì)成為問(wèn)題。

對(duì)于更實(shí)際的網(wǎng)絡(luò)釣魚(yú)攻擊，可以利用儀表板授權(quán)節(jié)點(diǎn)及其GET參數(shù)returnURL構(gòu)造可信度更高的URL：

https://epo-host:8443/SoftwareMgmt/enterLicenseKey.do?returnURL=%2f..%2fcore%2forionNavigationLogin.do%23%2f%2fevil.com%2fphish-page.php

上面的這個(gè)連接會(huì)將用戶(hù)導(dǎo)航到儀表盤(pán)中的“許可證密鑰”設(shè)置頁(yè)面中，在用戶(hù)執(zhí)行任何操作（保存或取消）后，他將被重定向到釣魚(yú)網(wǎng)頁(yè)：

https://epo-host:8443/core/orionNavigationLogin.do#//evil.com/phish-page.php

ePO用戶(hù)NetNTLM哈希泄露場(chǎng)景

攻擊者還可以設(shè)計(jì)一個(gè)惡意鏈接，并將其指向運(yùn)行了Responder或Inveigh的主機(jī)，并將其發(fā)送給具備儀表盤(pán)訪(fǎng)問(wèn)權(quán)限的用戶(hù)，來(lái)執(zhí)行NetNTLM哈希泄露攻擊：

https://epo-host:8443/core/orionNavigationLogin.do#//host-running-responder-or-inveigh

關(guān)于“McAfee ePolicy Orchestrator中HTML注入漏洞的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。