赏金猎人系列-如何测试sso相关的漏洞

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

前言

前面写过一篇有关sso绕过的相关文章:你所不知道的sso绕过tips,而本文主要总结的是sso漏洞相对比较系统的的测试方法,限于篇幅,这里会分为两篇来叙述,今天为第一篇;

正文

第一种情况

SSO 重定向可能具有欺骗性,在重定向之前尝试扫描 SSO 接口:

如果子域名(eg:internal.company.com )重定向至SSO(eg:auth.company.com ).请尝试模糊测试:

例如:

root@mine:~#ffuf -w wordlist.txt -u https://www.company.com/FUZZ -fc 302,404

在bugcrowd上面的P1级别的漏洞:(考虑删除???)

https://host =>403 forbiddenhttps://host/app =>Redirect to corporate SSOhttps://host/app/main.js =>IP:8005 和 Api_keyhttps://IP:8005/ => https://IP:8005/swagger/ui/index#/AdminUse key in swagger=> 信息泄露

第二种情况

如果子域名(eg:internal.company.com )重定向至SSO(eg:auth.company.com ).请尝试暴力破解:

例如: sub.domain.../sub/fuzz

GET /internal/FUZZ HTTP/1.1
Host: internal.company.com
User-Agent: Mozilla/5.0
Referer: https://previous.com/path
Origin: https://internal.company.com

第三种情况

如果company.com/internal重定向到SSO,比如:谷歌登录,尝试在internal之前插入public,例如company.com/public/internal获得访问内部的权限

测试步骤:

 company.com/internal  重定向至  Google登陆利用public来实现破解绕过:company.com/public/internal

第四种情况

在Burp Suite中安装SAMLRaider这个插件:

测试步骤:

1.安装SAMLRaider

2.打开你的终端

3.输入以下命令产生 X.509 Certificate

openssl req -x509 -newkey rsa:4096 -keyout /tmp/key.pem -out cert.pem -days 365 -nodes

4.将cert.pem导入至SAML Raider插件

5.保存然后自行登陆

第五种情况

尝试用令牌制作SAML请求并将其发送到服务器,并弄清楚服务器如何与之交互

测试步骤:

1.利用令牌创建在文件中的SAML请求,例如File.xml

2.创建一个Bash脚本,这里设为pwn.sh

#!/bin/sh
xml=`base64 file.xml`
curl -v 'https://www.company.com/sso' --data "RelayState=/path"
--data-urlencode "SAMLResponse=$xml"

3.打开打开你的终端

4.输入命令:

Chmod +x pwn.sh && ./pwn.sh

第六种情况

如果在令牌请求中有AssertionConsumerServiceURL,请尝试插入域名,例如http://me.com作为值来窃取令牌

测试步骤:

1.使用Burp Suite来拦截SAML 请求

2.发现存在 AssertionConsumerServiceURL

3.有参数接受URL作为值

4.插 http://me.com作为值

第七种情况

如果令牌请求中有AssertionConsumerServiceURL,尝试对AssertionConsumerServiceURL的值做模糊测试(如果它与Origin不类似)

测试步骤:

1.使用Burp Suite来拦截SAML 请求

2.发现存在 AssertionConsumerServiceURL

3.假设你的源请求是 auth.comapny.com,但是AssertionConsumerServiceURL的值是internal.company.com

4.尝试在internal.company.com上面做模糊测试

root@mine:~#ffuf -w wordlist.txt -u https://www.company.com/FUZZ -fc 302,404

跟多内容请关注公宗号: growing0101

参考

https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/

https://github.com/CompassSecurity/SAMLRaider

https://mishresec.wordpress.com/2017/10/13/uber-bug-bounty-gaining-access-to-an-internal-chat-system/

https://web.archive.org/web/20170910200953/http://www.economyofmechanism.com/

https://web-in-security.blogspot.com/2015/04/on-security-of-saml-based-identity.html

https://blog.fadyothman.com/how-i-discovered-xss-that-affects-over-20-uber-subdomains/

赏金猎人系列-如何测试sso相关的漏洞相关推荐

  1. PDF签名系列(1):PDF签名机制的漏洞分析

    来源:PDF签名系列(1):PDF签名机制的漏洞分析 - 知乎 研究PDF文件的签名机制有一段时间了,刚开始学习的时候就看到有提到说,被签名的PDF内容的Range gap,会成为这个机制的漏洞,但是 ...

  2. 对可编程控制器的专有协议进行模糊处理找到影响物理控制相关的漏洞

    对可编程控制器的专有协议进行模糊处理找到影响物理控制相关的漏洞 原文 Fuzzing proprietary protocols of programmable controllers to find ...

  3. 【web-渗透测试方法】(15.6)测试基于输入的漏洞

    目录 一.测试基于输入的漏洞 1.1.模糊测试所有清求参数 1.2.测试SQL注入 1.3.测试XSS和其他响应注入 确定反射型请求参数 测试反射型XSS 测试HTTP消息头注入 测试任意重定向 测试 ...

  4. Lake Shore 8400 系列霍尔效应测试系统

    Lake Shore 8400 系列可与直流和交流场霍尔测量方法一起使用,以促进最广泛的研究应用.该系统包括完全集成的仪器.磁铁和电源,以及可显着帮助您提高研究效率并提供值得信赖的结果的软件. 当与 ...

  5. Java相关框架漏洞

    文章目录 Fastjson Fastjson简介 历史漏洞 FastJson < 1.2.41 FastJson < 1.2.42 FastJson < 1.2.47 FastJso ...

  6. PostgreSQL 使用 pgbench 测试 sysbench 相关case

    PostgreSQL 使用 pgbench 测试 sysbench 相关case 作者 digoal 日期 2016-10-31 标签 PostgreSQL , sysbench , pgbench ...

  7. SAP PM 初级系列17 - 维修工单相关的Task List

    SAP PM 初级系列17 - 维修工单相关的Task List 1). 在IW33 显示维护工单的界面,在Planning选项卡, 可以看到与整个维修工单相关的所有task list, 以及最后一次 ...

  8. SAP PM 初级系列10 - 维护通知单相关的配置

    SAP PM 初级系列10 - 维护通知单相关的配置 1,定义维护通知单类型 2,定义维护通知单的编号范围 3,Allowed Change of Notification Type 这里定义哪种类型 ...

  9. SAP PM 初级系列6 - 任务清单相关的配置

    SAP PM 初级系列6 - 任务清单相关的配置 1,定义任务清单的编号范围 2,定义任务清单的用途 这个usage出现在task list主数据里,如下IA03界面, -完- 2021-2-2 写于 ...

最新文章

  1. R语言ggplot2可视化删除所有分面图(facet_wrap可视化的facet结果)的标签实战(Remove facet_wrap labels)
  2. plus flink add.php,不想要dede5.7织梦链只要修改模板里几行代码
  3. 传智播客视频学习 ---- 字符串含义( C 语言中)
  4. Orleans学习总结(二)--创建工程
  5. Handling Errors Exceptionally Well in C++ 在C++中良好地捕获意外的错误
  6. 五大原则之----里氏替换原则(LSP)
  7. java操作字符串——CSDN博客
  8. java中单例模式的3种实现
  9. python私有成员和保护成员,喜大普奔!Maya 2022来了?!
  10. 网络对抗技术——密码破解技术
  11. 图解设计模式(二)适配器模式
  12. python的快捷键总结
  13. 考研408笔试栈和队列问题
  14. 隐藏式超远无线充电,可隔空5~10公分正常充电。
  15. IEEE754 16进制浮点型 转为十进制
  16. 汇编语言使用GPIO模拟IIC通信
  17. 青岛房产证信息查询步骤
  18. 笔记本电脑怎么做计算机题吗,笔记本怎么重装系统 笔记本重装电脑简单教程【图文教程】...
  19. 超级壁纸android,超级壁纸大全app下载
  20. 内存踩踏/memcopy

热门文章

  1. Android高仿微信头像裁剪
  2. python统计汉字个数是_python统计中文字符数量的两种方法
  3. readmemh函数引用的txt格式_[转载](zz)用于读取和写入文本文件Verilog代码
  4. 删除页面引入的js或者css文件
  5. 【CentOS】CentOS7最小安装版 VMware Tools安装
  6. Linux设备驱动编程第三版-笔记
  7. 数据结构(C语言版 第2版)课后习题答案 严蔚敏 等 编著
  8. 西北农林科技大学计算机系运动会,西北农林科技大学召开2018年学院春季运动会...
  9. 集合竞价规则及集合竞价的产生条件
  10. cell数据如何删除重复项