Download as PDF, PPTX
![LongCat Voting System
[1.01]
สมัคร!
[1.011]
ล็อคอิน!
[1.03]
ใสสิทธิ์
user
ธรรมดา
ล็อคอินตอนที่
ขั้นตอนสมัครแคใส
user/pass
เขาไปในฐานขอมูล
user
แตยังไมไดใสสิทธิ์เ
ปน user ธรรมดา!
[1.02]](https://image.slidesharecdn.com/exploitingwebappraceconditionvulnerability-150605172447-lva1-app6891/85/Exploiting-WebApp-Race-Condition-Vulnerability-101-38-320.jpg)
Exploiting WebApp Race Condition Vulnerability 101
- 1. Race Condition 101 ชองโหวที่แขงกับเวลาและเงื่อนไข Copyright© 2015 by Pichaya Morimoto. แจกจายหรือนําไปใชไดเต็มที่ไมตองขอแคลงเครดิตไวก็พอ Mr. Pichaya Morimoto June 5, 2015
- 2.
- 3. การทํางานตามลําดับของโคดสวน A ที่(อาจ) ทํางานรวมกับโคดสวนอื่นซึ่ง อาจใช ทรัพยากร (ไฟล, ขอมูล, อุปกรณ ฯลฯ) รวมกัน แตในระหวาง "เวลา" ที่โคด A กําลังทํางานตามลําดับอยูนั้น ถา ทรัพยากร ถูกแกไขจากโคดหรือโปรแกรม อื่นที่ทํางาน ในขณะเดียวกันจะอาจทําใหทํางานผิดพลา ดได ถาโคดสวน A ไมไดคํานึงถึงปญหานี้ไว Race Condition คือ?
- 4.
- 5. ตัวอยาง: ถอนเงินในบัญชี สมศรี สมชาย เงินเดือนเดือนนี้ออกแลวว เอามาฝากที่เคากอน เดี๋ยว โอนใหใชวันละ 50 บาทนะ #หะ ถาใชแลวเหลือกลับ บานมาหยอดกระปุก ดวยนะ
- 6. ตัวอยาง: ถอนเงินในบัญชี สมศรี โอนเงินแพบ เงินคงเหลือ ในบัญชีสมศรี 15,000 บาท 14,950บาท เงินคงเหลือ ในบัญชีสมชาย 0 บาท 50 บาท
- 7. ตัวอยาง: ถอนเงินในบัญชี สมศรี โอนเงินแพบ เงินคงเหลือ ในบัญชีสมศรี 15,000 บาท 14,950บาท เงินคงเหลือ ในบัญชีสมชาย 0 บาท 50 บาท Timing Window Code Sequence == การโอนเงิน 1. ตองถอนจากบัญชีสมศรี 2. แลวโอนเขาบัญชีสมชาย Shared Resource == เงินในระบบ
- 8. ตัวอยาง: ถอนเงินในบัญชี เงินคงเหลือ ในบัญชีสมชาย Total: 50บาท สมชาย 50 บาท...ใชไงใหพอเนี่ย เรียนสอนแฮกเว็บแบบแมว ๆ มาแลว ลองหนอยดีกวา.. สิ่งที่เกิดขึ้นตอนถอนเงิน?
- 9. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่คนกดเงินคิด ฉันมีเงินในบัญชี 50บาท ฉันนําออกมาใช 50 บาท ฉันเหลือเงิน 0 บาทในบัญชี
- 10. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่โปรแกรมเมอรคิด var เงินที่จะถอน= 50; var เงินในบัญชี = 50; if (เงินในบัญชี >= เงินที่จะถอน) f_ถอนเงิน(50){ t_ลบเงินในบัญชี(50); t_เงินออกจากตู(50); } } Thread 1, 2 ทําพรอมกัน
- 11. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่แฮกเกอรคิด var เงินที่จะถอน= 50; var เงินในบัญชี = 50; if (เงินในบัญชี >= เงินที่จะถอน) f_ถอนเงิน(50){ t_ลบเงินในบัญชี(50); t_เงินออกจากตู(50); } } ใชเวลา 3 วินาที วิ 1 วิ 2 วิ 3 Thread 1, 2 ทําพรอมกัน
- 12. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่แฮกเกอรคิด var เงินที่จะถอน= 50; var เงินในบัญชี = 50; if (เงินในบัญชี >= เงินที่จะถอน) f_ถอนเงิน(50){ t_ลบเงินในบัญชี(50); t_เงินออกจากตู(50); } } วิ 1 วิ 2 วิ 3 จะเกิดอะไรขึ้น ถาวินาทีที่ 2 ถอนเงินอีกตู จากบัญชีเดียว กันพรอม ๆ กัน?
- 13. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่แฮกเกอรคิด var เงินที่จะถอน= 50; var เงินในบัญชี = 50; if (เงินในบัญชี >= เงินที่จะถอน) f_ถอนเงิน(50){ t_ลบเงินในบัญชี(50); t_เงินออกจากตู(50); } } var เงินที่จะถอน = 50; var เงินในบัญชี = 50; if (เงินในบัญชี >= เงินที่จะถอน) f_ถอนเงิน(50){ t_ลบเงินในบัญชี(50); t_เงินออกจากตู(50); } } var เงินที่จะถอน = 50; var เงินในบัญชี = 50; if (เงินในบัญชี >= เงินที่จะถอน) f_ถอนเงิน(50){ t_ลบเงินในบัญชี(50); t_เงินออกจากตู(50); } } วินาทีที่ 1 ถอนเงินตู 1 วินาทีที่ 2 ถอนเงินตู 2 วินาทีที่ 2 ถอนเงินตู 3
- 14. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่แฮกเกอรคิด วินาทีที่ 1 ถอนเงินตู1 โจร 1 ไดเงิน 50 บาท วินาทีที่ 2 ถอนเงินตู 2 โจร 2 ไดเงิน 50 บาท วินาทีที่ 2 ถอนเงินตู 3 โจร 3 ไดเงิน 50 บาท
- 15. ตัวอยาง: ถอนเงินในบัญชี สิ่งที่แฮกเกอรคิด มีเงินในบัญชี 50 บาท ถอน3 ครั้งพรอม ๆ กันไดเงิน 150 บาท!!!
- 16. ตัวอยาง: ถอนเงินในบัญชี ที่มา: http://thehackernews. com/2012/10/1-million-dollar-hacked- in-60-seconds.html,http://www.fbi. gov/sandiego/press- releases/2012/fourteen-charged-in- million-dollar-gone-in-60-seconds- bank-fraud
- 17. ตัวอยาง: ถอนเงินในบัญชี ที่มา: http://thehackernews.com/2012/10/1-million-dollar-hacked-in-60-seconds.html,http://www.fbi. gov/sandiego/press-releases/2012/fourteen-charged-in-million-dollar-gone-in-60-seconds-bank- fraud ใชเวลา 60 วินาที กวาระบบธนาคาร จะอัพเดทวาเงินถูกถอนเงินไปแลว
- 18. Race Condition กรณีอื่นๆ ? C, C++Privilege Escalation
- 19. VMware Local PrivilegeEscalation using Race Condition (CVE-2010-4295)
- 20. VMware Local PrivilegeEscalation using Race Condition (CVE-2010-4295) User Root User LongCat ใช vmware-mount ทํางาน !@#$%^&( บายโมง 10 นาที 20 วินาที => สราง /tmp/vmxxx.sh => ใสโคด => รันดวยสิทธิ์ root => ลบไฟลออก => จบการทํางาน Server: Company A
- 21. VMware Local PrivilegeEscalation using Race Condition (CVE-2010-4295) User Root User LongCat ใช vmware-mount ทํางาน !@#$%^&( บายโมง 10 นาที 20 วินาที => สราง /tmp/vmxxx.sh => ใสโคด => รันดวยสิทธิ์ root => ลบไฟลออก => จบการทํางาน Server: Company A บายโมง 10 นาที 19 วินาที เขียนสคริปทวนลูป ใสโคด “sudo usermod -aG sudo longcat” เขาไปในไฟล /tmp/vmxxx. sh รัว ๆ!! อิอิกํา
- 22.
- 23. ที่มา: Josip Franjković http://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html ชองโหวRace Condition ใน Facebook ระบบรีวิวของ แฟนเพจ
- 24. ที่มา: Josip Franjković http://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html ชองโหวRace Condition ใน Facebook เฟซบุกจายคาหาชองโหวเจอให 3000 USD (1 แสนกวาบาท)
- 25. ที่มา: Josip Franjković http://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html ชองโหวRace Condition ใน Facebook เปลี่ยนชื่อ
- 26. ชองโหว Race Condition ในเว็บDigital Ocean ที่มา: Josip Franjković http://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html
- 27. ชองโหว Race Condition ในเว็บDigital Ocean ที่มา: Josip Franjković http://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html ใช Promo Code 1 อัน แลวยิงเขาไปพรอมกันในเสี้ยววินาทีเดียวเปนสิบ ๆ thread เพื่อเติม Promo Code ในระบบทําใหจากเดิมกดไดครั้งเดียวเปนหลายครั้ง ปมเงิน!
- 28. ดรามา Race Conditionในระบบ StarBucks Gift Card ที่มา: Egor Homakov http://sakurity.com/blog/2015/05/21/starbucks.html, http://arstechnica. com/security/2015/05/researcher-who-exploits-bug-in-starbucks-gift- cards-gets-rebuke-not-love/
- 29. ดรามา Race Conditionในระบบ StarBucks Gift Card ที่มา: Egor Homakov http://sakurity.com/blog/2015/05/21/starbucks.html, http://arstechnica.com/security/2015/05/researcher- who-exploits-bug-in-starbucks-gift-cards-gets-rebuke-not-love/
- 30. ★ Ghost inthe ShellCode 2015 ★ Name: aart ★ Category: Web ★ Points: 200 LongCat Voting System ที่มา: http://ghostintheshellcode.com/
- 31. LongCat Voting System ★สมัคร User Account ได ★ ล็อคอินได (แตบอกไมใชแอดมิน) ★ สงลิ้งรูปกับชื่อรูปมาที่หนาแ รกได ★ หนาแรกไมจํากัดรูปที่ถูกสง มา (ตอนหลังจํากัดเปน 1000 แลวก็ 100 รูปลาสุดแทนเพราะคนเลนเ ยอะ) ★ แตละรูปสามารถโหวตคะแน นขึ้นหรือลงได
- 32.
- 33.
- 34.
- 35.
- 36. Recap: VMware RaceCondition User Root User LongCat ใช vmware-mount ทํางาน !@#$%^&( บายโมง 10 นาที 20 วินาที => สราง /tmp/vmxxx.sh => ใสโคด => รันดวยสิทธิ์ root => ลบไฟลออก => จบการทํางาน Server: Company A บายโมง 10 นาที 19 วินาที เขียนสคริปทวนลูป ใสโคด “sudo usermod -aG sudo longcat” เขาไปในไฟล /tmp/vmxxx. sh รัว ๆ!! อิอิกํา
- 37.
- 38.
- 39. LongCat Voting System flag{rac4c0nd1t1on} Write-upจาก https://kitctf.de/writeups/gits2015/aart/
- 40.
- 41.
- 42.
- 43. ปองกัน Race Condition? ★Atomicity ○ Transaction ○ Locks ○ Roll-back ○ Double-Check