解析Joomla GoogleMap插件“反射”式DDoS攻擊
責編:admin |2015-04-16 11:04:161.漏洞發(fā)布日期
(1) FREEBUF原文
原文鏈接:http://www.freebuf.com/news/59587.html
(2) 啟明星辰漏洞報告
原文鏈接:http://www.venustech.com.cn/NewsInfo/124/21883.Html
可見,F(xiàn)REEBUF原文和啟明星辰漏洞報告中的漏洞發(fā)布時間并不一致。但總而言之,該漏洞并不是新出現(xiàn)的漏洞,利用該漏洞進行的攻擊也是在很久前就存在的。
2.漏洞成因
(1) Joomla Googlemap插件漏洞
該插件允許服務(wù)器作為代理,去請求第三方(攻擊目標)的頁面內(nèi)容。這種攻擊中“反射”的概念與以往不同,以往的“反射”是指針對于UDP協(xié)議,通過修改源IP地址的方法來反射,因此需要很高的系統(tǒng)權(quán)限。而利用Joomla Googlemap插件漏洞進行的“反射”式DDoS攻擊并不需要修改源IP地址,也不需要特殊的系統(tǒng)權(quán)限,攻擊者只需請求一個URL即可完成攻擊。
(2) “反射”的過程
存在漏洞的Joomla服務(wù)器作為反射服務(wù)器,攻擊者向Joomla服務(wù)器發(fā)送請求,之后Joomla服務(wù)器請求攻擊目標的頁面內(nèi)容。攻擊的一次請求過程如下:
例如,在瀏覽器里請求連接: http://server.com/Joomla/plugins/system/plugin_googlemap3/plugin_googlemap3_proxy.php?url=target.com
實際的過程如圖:
反射服務(wù)器端的http報文信息:
說明:192.168.222.1為攻擊者IP地址,192.168.222.128為Joomla服務(wù)器IP地址,192.168.222.130為攻擊目標IP地址。
(3) 版本
Joomla Googlemap插件的版本有許多,然而并不是所有的版本都具有這個漏洞。目前(2015年3月)該插件的最新版本為v3.2版,存在漏洞的插件版本為:v3.2/v3.0/v2.18及之前所有版本,在v3.1/v2.20/v2.19的版本中,代理的功能被移除,因此不具有該漏洞。
3. 攻擊實現(xiàn)
分別從三方總結(jié)圖4中的流量:
由表1可知,直接請求攻擊目標的根域名,無論是上行流量還是下行流量,攻擊者和反射服務(wù)器所承受的代價都超過了攻擊目標,這樣是實現(xiàn)不了DoS的目的的。因此需要修改請求URL來請求攻擊目標中的一個較大的文件:
例如,在瀏覽器里請求連接:http://server.com/Joomla/plugins/system/plugin_googlemap3/plugin_googlemap3_proxy.php?url=target.com/large_file.xxx
服務(wù)器端的http報文信息:
分別從三方總結(jié)圖5中的流量:
表2中的數(shù)據(jù)看起來不但比表1沒有優(yōu)化,而且代價更加夸張。但是,這里需要注意的是,這只是在瀏覽器中的請求,而在實際的攻擊中,最后一個http數(shù)據(jù)包完全不需要,因此,真正的攻擊看起來應該是這樣的:
說明:192.168.222.129為攻擊者IP,其他不變
分別從三方總結(jié)圖5中的流量:
可見,流量數(shù)據(jù)已經(jīng)有了改進,但是這里還存在一個問題,反射服務(wù)器和攻擊目標承受的流量幾乎相同。在對攻擊目標進行大流量攻擊的同時,反射服務(wù)器可能會率先掛掉。這時,“DDoS”中的第一個“D”便發(fā)揮了用處。分布式攻擊能夠很好的將流量分散,也即所有的分布式反射服務(wù)器的流量加起來才與攻擊目標承受的流量相同。例如,使用2個具有漏洞的Joomla 服務(wù)器進行攻擊:
說明:192.168.222.128為反射服務(wù)器1,192.168.222.131為反射服務(wù)器2,其他不變
分別從三方總結(jié)圖5中的流量:
可見攻擊目標承受的流量幾乎跟所有反射服務(wù)器加起來一樣,所以只要有大量的反射服務(wù)器,便可以針對攻擊目標發(fā)動很大流量的攻擊。
更確切的說,這是一種耗盡攻擊目標機器性能和上行帶寬的DDoS攻擊。
4.攻擊效率
本文統(tǒng)計了分別請求攻擊目標中不同大小的文件的攻擊效率,這里用了一臺Joomla反射服務(wù)器(windows),一臺攻擊目標(Linux),一臺攻擊機(Kali Linux)。下面是統(tǒng)計信息:
(1) 請求500KB的txt文件,每秒請求19次
攻擊目標網(wǎng)絡(luò)流量:
Joomla反射服務(wù)器網(wǎng)絡(luò)流量:
(2) 請求1MB的txt文件,每秒請求18次
攻擊目標網(wǎng)絡(luò)流量:
Joomla反射服務(wù)器網(wǎng)絡(luò)流量:
(3) 請求1.5MB的txt文件,每秒請求19次
攻擊目標網(wǎng)絡(luò)流量:
Joomla反射服務(wù)器網(wǎng)絡(luò)流量:
(4) 請求2MB的txt文件,每秒請求18次
攻擊目標網(wǎng)絡(luò)流量:
Joomla反射服務(wù)器網(wǎng)絡(luò)流量:
(5) 請求2.5MB的txt文件,每秒請求18次
攻擊目標網(wǎng)絡(luò)流量:
Joomla反射服務(wù)器網(wǎng)絡(luò)流量:
(6) 攻擊效率小節(jié)
可見,這種攻擊的效率是很高的。僅用一臺反射服務(wù)器,每秒請求19次,便能消耗攻擊目標近50M/s的帶寬。若進一步提高每秒請求的次數(shù),以及請求更大的文件,或許僅需幾百臺這樣的反射服務(wù)器便能產(chǎn)生超過百G的流量攻擊。
注:具體實驗方法與漏洞重現(xiàn)請參考ArkTeam官網(wǎng)及微信公眾平臺。
5.攻擊缺陷
(1) 大文件
要想達到很好的攻擊效率,要求在攻擊目標中存在一個較大的文件,雖然文件格式不限,但是在尋找大文件時仍會比較困難,可能需要通過爬行或遍歷目錄來尋找。若攻擊目標中不存在大文件,那么攻擊效率就會大打折扣。
(2) 服務(wù)器緩存
由于該種攻擊方式是耗盡攻擊目標的上行帶寬,同時反射服務(wù)器會下載相應的大文件,但若反射服務(wù)器采用了某種緩存技術(shù),在第一次下載后便不再下載,這時攻擊效率仍會大打折扣。
(3) 反射服務(wù)器數(shù)量
FREEBUF原文中說到:
這意味著,有15萬臺Joomla服務(wù)器存在這種漏洞,也就意味著所有Joomla服務(wù)器的數(shù)量應該遠遠大于15萬。但是,根據(jù)調(diào)研,收集到的Joomla服務(wù)器(所有)的數(shù)量如下:
只有oshadan中識別到的Joomla服務(wù)器較多,若對oshadan提供的搜索結(jié)果進行爬取和插件驗證,則能夠得到一份反射服務(wù)器列表,可用于攻擊。
6. 思路抽象與擴展
Open Redirect
這種攻擊其實是Open Redirect的一種特例,也就是說,具有Open Redirect特性的服務(wù)器都能用作反射服務(wù)器。Open Redirect是指能夠使得反射服務(wù)器向任意網(wǎng)址轉(zhuǎn)發(fā)請求,這里的任意很重要。
舉一個大家都很熟悉的例子:
愛站就是其中之一。我們所查詢的網(wǎng)站包含在了URL之中,而且,每查詢一次,愛站就會向目標網(wǎng)站查詢一次標題。因此若是能夠收集到許多這樣的網(wǎng)站,也能夠用作反射服務(wù)器。
轉(zhuǎn)載來自FreeBuf黑客與極客(FreeBuf.COM)
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧