利用基於 NTP 的 TOTP 演算法缺陷繞過 WordPress 登陸驗證
近日,國外安全研究人員 Gabor 發表了兩篇關於如何利用基於 NTP (Network Time Protocol)的驗證演算法缺陷繞過 WordPress 登陸驗證的文章,這兩篇文章分別介紹了基於 NTP 的驗證演算法缺陷以及如何利用該缺陷繞過 WordPress 登陸驗證並給出了 POC 和相關工具。以下內容是對這兩篇文章的彙總介紹。 ;)
0x00 WordPress 外掛 Google Authenticator 驗證演算法介紹
關於 NTP 相關的知識,可以在這裡進行了解。
基於 NTP 的 TOTP 演算法
現在以 WordPress 的一款外掛 Google Authenticator 為例來說明一般的 token 生成程式生成一次性密碼(TOTP)的實現細節。
如下圖所示,程式會使用一個金鑰種子與當前伺服器的時間戳進行 TOTP 演算法後得出一個 6 位純數字的 Token,該 Token 每 30 秒更換一次,其實這就是我們常見的 “動態口令”。
在這個動態口令生成過程中所存在的問題就在於每次使用相同的金鑰種子和時間戳的組合總會生成一個相同的動態口令。而金鑰種子是個不變數同時在攻擊中不可控,因此只要控制了時間戳那麼即可生成任意時間戳所對應的動態口令。
圖 1 :基於 NTP 的 TOTP 演算法
修改伺服器時鐘進行攻擊
從目前來看有很多使用 NTP 的網路都沒有對 NTP 傳輸過程進行加密驗證。因此,攻擊者就可以修改 NTP 傳輸的資料進行中間人攻擊,給 NTP 客戶端提供一個偽造的時間戳。 Gabor 在文章中提到了幾個早先對 NTP 進行安全研究的文章資料和工具。
- Delorean 是一個可以對 NTP 客戶端傳送偽造的時間戳的工具。
- Attacking the Network Time Protocol 這篇文章提供了其他幾種針對 NTP 的攻擊向量。
- Jose Selvi’s presentation at DEF CON 23 是一個在 DEF CON 23 中對 NTP 研究的議題影片(需翻牆)。
結合以上工具以及多種中間人攻擊技術就可以透過 NTP 控制遠端伺服器的時鐘。
在 Unix 中設定時間的 ntpd 服務不會接受一個偽造的虛假時間戳,所以無法進行時間戳的偽造攻擊。不過,可以結合 CVE-2015-5300 漏洞進行攻擊。
另外一種設定時間的方法是 ntpdate。這種設定方式非常簡單,也是 Ubuntu Wiki 中推薦的方式。因此,在很多地方都使用了這種方式進行時間設定。你可以參考官方手冊 和 這篇博文進行設定。
設定的方式極其簡單,在 corntab 中執行 ntpdate <hostname> 即可。但是值得注意的是 ntpdate 會接受任何來自於 NTP 服務的資料流!。
幾個有名的開源專案,如 Yocto Project,OpenWRT,Startups,還有託管在 GitHub 上的無數配置指令碼,以及 5 萬多 Docker 使用者,甚至包括 VPS 提供商 都使用了 ntpdate 進行時間同步設定。
早在 2002年 就有人提出使用 corntab 執行 ntpdate 不是一個好主意。
0x01 繞過 WordPress 登陸驗證
透過上述描述,讓我們來總結一下攻擊 NTP 的現有條件:
- ntpd 和 ntpdate 都容易遭到 MITM 攻擊
- 已經有現成的工具可以對 NTP 進行攻擊
- 可以控制並修改 TOTP 演算法的時間戳
WordPress 中的外掛 Google Authenticator 可以對 WordPress 後臺登入開啟雙重驗證。如下圖所示:
圖 2 :Google Authenticator 外掛對 WordPress 後臺登入開啟雙重驗證
由於可以利用中間人攻擊設定伺服器的時間一直為指定的時間,因此,可以使用暴力破解的手段對動態口令進行破解。大約最多需要一百萬次的破解嘗試。
攻擊測試
搭建如下網路環境:
- 3 臺 Ubuntu 虛擬機器
- Delorean NTP 伺服器
- WordPress v4.3.1 並安裝 Google Authenticator 外掛 v3.8.11
- 雙重驗證爆破工具 WPBiff(支援 Google Authenticator 和 WP Google Authenticator 外掛)
整個網路非常簡單,三臺 Ubuntu 虛擬機器需要處於同一個子網中。如下圖所示:
圖 3 :搭建攻擊網路環境
為了模擬中間人攻擊以篡改 NTP 傳輸資料,我們首先需要修改 WordPress 伺服器的 /etc/hosts 檔案,如下圖所示:
圖 4 :修改 /etc/hosts 檔案
其次,我們假設管理員使用計劃任務每隔一分鐘同步一次時間(事實上很多人都是這麼做的),如下圖所示:
圖 5 :管理員每隔一分鐘同步一次時間
然後,我們使用預先設定的時間作為引數執行 Delorean ,同時 WordPress 伺服器依舊會每隔一分鐘同步一次時間。
圖 6 :使用預先設定的時間作為引數執行 Delorean
現在,我們在另外一臺虛擬機器中,也就是攻擊者的機器中執行 WPBiff。設定 WordPress 後臺登入使用者名稱和密碼,以及與上圖相同的時間戳作為執行引數。如下圖所示:
圖 7 :執行 WPBiff 開始攻擊
在 WPBiff 執行了 39 分鐘後,成功的爆破出了 6 位純數字動態口令,同時 dump 出了有效的登陸 WordPress 後臺的 session cookies。如下圖所示:
圖 8 :成功爆破出了動態口令
由於外掛不允許動態口令的重用,所以可以使用 dump 出來的 session cookies 直接登入 WordPress 後臺。 在額外的三次測試中,又分別花費了 51分鐘,57分鐘,83分鐘 爆破出了動態口令。
圖 9 :成功登陸 WordPress 後臺
0x02 參考 & 引用
- https://blog.gaborszathmari.me/2015/11/11/tricking-google-authenticator-totp-with-ntp/
- https://blog.gaborszathmari.me/2015/11/11/bypassing-wordpress-login-pages-with-wpbiff/
相關文章
- 基於TOTP的雙向認證演算法演算法
- 不存資料庫生成驗證碼(totp演算法)資料庫演算法
- 關於httpclient 請求https (如何繞過證書驗證)HTTPclient
- 關於ORACLE登陸認證Oracle
- curl模擬請求、登陸以及帶驗證碼登陸
- 基於TOTP演算法的Github兩步驗證2FA(雙因子)機制Python3.10實現演算法GithubPython
- 實現基於JWT的Token登入驗證功能JWT
- APEX 通過資料庫中使用者資訊驗證登陸資料庫
- 純基於PHP的單點登陸PHP
- sqlnet.ora 驗證oracle 登陸方式SQLOracle
- 關於HttpClient繞過SSL認證以及NTLM認證HTTPclient
- SpringSceurity(5)---簡訊驗證碼登陸功能Spring
- 登陸介面模組解析——生成圖片驗證碼
- 9.Django之登陸註冊驗證登出Django
- jquery登陸表單簡單驗證程式碼jQuery
- 存在至少10年!主動利用的漏洞繞過數百萬路由器上的身份驗證路由器
- WordPress如何修改後臺登陸地址,提高WordPress安全性
- 新!Web身份驗證新標,支援免密登陸Web
- AJAX+JAVA使用者登陸註冊驗證Java
- 1.python+selenium利用cookie,跳過驗證碼直接登入PythonCookie
- Duo Security 研究人員對PayPal雙重驗證的繞過
- vue+webpack繞過QQ音樂介面對host的驗證VueWeb
- oracle登陸認證方式Oracle
- 基於 TrueLicense 的專案證書驗證
- 基於python的新浪微博模擬登陸薦Python
- web前端培訓之雙token的神奇功效-登陸驗證Web前端
- 使用者登陸驗證資訊的資料結構設計資料結構
- 淺談利用session繞過getshellSession
- 登陸認證框架:SpringSecurity框架SpringGse
- 解決Mysql中只能通過localhost登陸不能通過ip登陸的問題MySqllocalhost
- 太囂張了!他竟用Python繞過了“驗證碼”Python
- 清除Windows 盜版提示資訊,繞過WGA盜版驗證Windows
- 自己整理的oracle登陸的認證方式。Oracle
- 利用WordPress搭建屬於自己的網站網站
- sql 注入越過登入驗證例項SQL
- 自定義基於XML的驗證器XML
- Apache基於MySQL的身份驗證(轉)ApacheMySql
- Asp.net中基於Forms驗證的角色驗證授權ASP.NETORM