開發學校雲端服務的奇技淫巧（Tips for Building Third-Party School Service）

March 18, 2017

480

開發學校雲端服務的奇技淫巧（Tips for Building Third-Party School Service）

想替自己學校開發雲端服務卻無從上手起嗎？議程教學如何在學校電算中心未開放任何 API 下實作出屬於自己的學校雲端服務。本議程將演示一個義守大學廣獲好評第三方熱門服務，並解釋如何實作同步學生當天課程、Moodle 課程、Moodle作業狀況，並且在前端即可實作跨域名繞過 CSP 瀏覽器安全限制替學校 Moodle 登入，議程末將釋出整份專案開源於 Github 上。
議程內容涉及外掛開發、資訊安全相關領域的技術內容、電算中心防外掛偵測點與應對技術。

adr

March 18, 2017

Tweet

More Decks by adr

Skrull Like A King: 從重兵看守的天眼防線殺出重圍

3

1.3k

Rebuild The Heaven's Gate: from 32 bit Hell back to Heaven Wonderland

0

970

重建天堂之門：從 32bit 地獄一路打回天堂聖地

0

350

Reversing In Wonderland: Neural Network Based Malware Detection Techniques

2

670

CYBERSEC: 唉唷，你的簽章根本沒在驗啦。

1

3.7k

SITCON: Playing Win32 Like a K!NG ;)

2

1k

NTUST [2019]: Windows Reversing

0

1.1k

Duplicate Paths Attack: Get Elevated Privilege from Forged Identities

0

1.4k

SDN Final Report

0

430

Other Decks in Technology

See All in Technology

継続的な改善 x ⾮連続的な進化

3

150

開発パフォーマンスを最大化するための開発体制

2

230

レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22

3

1.3k

Azure Container Apps + Bicep 〜こんな感じで運用しています

2

450

Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法

0

290

web-application-security

matsuihidetoshi

0

140

プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8

1

340

DevOpsDays History and my DevOps story

9

2.5k

コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える / Scalable and Secure Infrastructure as Code Pipeline for a Compound Startup

4

4.7k

SPI原点回帰論：事業課題とFour Keysの結節点を見出す実践的ソフトウェアプロセス改善 / DevOpsDays Tokyo 2024

visional_engineering_and_design

4

1.9k

VSCodeの拡張機能を作っている話

1

300

Databricks における『MLOps』

databricksjapan

2

170

Featured

See All Featured

11

4.5k

A Modern Web Designer's Workflow

689

190k

We Have a Design System, Now What?

43

6.7k

GraphQLとの向き合い方2022年版

32

12k

Into the Great Unknown - MozCon

10

990

Building Flexible Design Systems

yeseniaperezcruz

319

37k

Rails Girls Zürich Keynote

91

13k

Building an army of robots

300

41k

Let's Do A Bunch of Simple Stuff to Make Websites Faster

501

140k

For a Future-Friendly Web

172

9k

How GitHub (no longer) Works

304

140k

Design by the Numbers

274

18k

Transcript

Tips for Building Third-Party School Service 開發學校雲端服務的奇技淫巧 [email protected]
Ma Sheng-Hao (aaaddress1, aka adr) TDOHacker 資安社群核⼼心成員 Debug Guy Speaker
‣ TDOHConf 2016 議程組長 ‣ HITCON CMT 2015 ‣ SITCON 2016 ‣ HITCON CMT 2016 Lightning Talk ‣ 台灣科技⼤大學新型態資安實務課程 ‣ BSidesLV ‣ ICNC ‣ MC2015 ‣ 全國資安會議 C/C++, C#, VB, MASM, Python, Swift, Node.js, Java 專研於 Windows 上平台特性與程式弱點與逆向⼯工程分析知名作品涉及楓之⾕谷外掛, 神魔之塔外掛, 義守管家, cuteRansomware, Adr'sFB
Sorry, Node.js 要攻佔天下惹
None
例如說本來我標題叫做奇淫技巧
什麼 CoC 原則的啦什麼不該說的啦都忘惹吧 O__Q
murmur
None
聲控表情
身為⼀個靠北⼯程師....
None
None
None
各種奇技淫巧
當然以上都是屁話只是合理化「想要記錄所有同學密碼」的需求
HTTP 網⾴流量分析
HTTP 網⾴流量分析你的⽬目標？
User Application Browser Mobile Apps HTTP 網⾴流量分析
User Application Browser Mobile Apps 今天談論的主軸是瀏覽器 HTTP 網⾴流量分析
Browser HTTP 網⾴流量分析瀏覽器瀏覽器的作⽤用⼀一般來來說： 1. 跟伺服器取得網⾴頁原始碼 2. 分析原始碼，建立出物件樹 3.
物件佈局位置分析 4. 將每⼀一個物件樹的物件渲染顯⽰示在⾴頁⾯面上 5. 主流瀏覽器現在⼀一般都⾃自帶有流量量分析⼯工具 e.g. Chrome, Firefox, Safari
Browser 分析⼿手段 1. 閱讀網⾴頁原始碼（靜態） 2. 監聽網路路流量量，分析 Cookie、Header、Body …等（動態分析） HTTP 網⾴流量分析
瀏覽器
HTTP 網⾴流量分析瀏覽器（靜態）
Browser HTTP Traffic Analytics Browser (Static)
HTTP 網⾴流量分析瀏覽器（靜態）
HTTP 網⾴流量分析瀏覽器（靜態）
HTTP 網⾴流量分析瀏覽器（動態）
None
HTTP 網⾴流量分析瀏覽器（動態）
HTTP 網⾴流量分析瀏覽器（動態）
1. 學校網⾴寫得太美我不敢看 2. 不是很通熟網⾴怎麼撰寫的
None
None
None
HTTP 網⾴流量分析瀏覽器（動態）
HTTP 網⾴流量分析瀏覽器（動態）
⼀般第三⽅服務 BOT （應⽤程式）
⼀般第三⽅服務 BOT Application 模擬⼀一般使⽤用者的瀏覽器⾏行行為去對伺服器收發 POST/GET 要求
Application School Server POST /Login HTTP/1.1  usr=adr&pass=handsome HTTP/1.1 200 OK
Set-Cookie: gg=ininder; … ⼀般第三⽅服務 BOT
Application School Server GET /helloWorld HTTP/1.1 Cookie: gg=ininder;  HTTP/1.1 200
OK <p>hello world! adr<p> Cookie: gg=ininder; （⾝身份資訊）⼀般第三⽅服務 BOT
Application School Server GET /helloWorld HTTP/1.1 Cookie: gg=ininder;  HTTP/1.1 200
OK <p>hello world! adr<p> Cookie: gg=ininder; 收到伺服器回應的網⾴頁原始碼，分析並更更新 UI 顯⽰示給使⽤用者⼀般第三⽅服務 BOT
Application School Server GET /timeTable HTTP/1.1 Cookie: gg=ininder;  HTTP/1.1 200
OK <table><tr><td>english</td> … Cookie: gg=ininder; 收到伺服器回應課表原始碼，分析課程內容並顯⽰示⼀般第三⽅服務 BOT
Application School Server 請求回應 Cookie: gg=ininder; ⼀般第三⽅服務 BOT
Application School Server Cookie: gg=ininder; ⼀般第三⽅服務 BOT 請求回應
None
Android Windows iOS
Android Windows iOS App.java App.cpp App.swift
None
如果我們能把這樣功能的機器⼈人寫成雲端服務，我們就可以更更多時間去陪女朋友惹（不對，我沒有女朋友...）
建⽴⼀個第三⽅雲端服務
建⽴⼀個第三⽅服務 Application (User Side) School Server Cookie: gg=ininder; 請求回應
Application User Side School Server 請求回應 Cookie: gg=ininder; 回應
請求 Cookie: gg=ininder; 建⽴⼀個第三⽅服務
透過 Node.js + Express 建⽴服務
None
None
建⽴雲端服務 Application User Side Cookie: gg=ininder; 回應請求
HTTP Basic POST /?act=InInDer HTTP/1.1 HOST: big.gg.com girls=will&love=it
HTTP Basic POST /?act=InInDer HTTP/1.1 HOST: big.gg.com adr=have&cat=dog Header
HTTP Basic POST /?act=InInDer HTTP/1.1 HOST: big.gg.com adr=have&cat=dog Query
HTTP Basic POST /?act=InInDer HTTP/1.1 HOST: big.gg.com adr=have&cat=dog Body (POST)
None
None
Node.js + Request 模擬使⽤者瀏覽器⾏為
None
None
BOT ⾏為 School Server 請求回應 Cookie: gg=ininder;
None
傳遞使⽤者的連線身份
連線身份資訊保存由單⼀應⽤程式記憶 Application (User Side) School Server Cookie: gg=ininder; 請求
回應
變成針對不同使⽤者須使⽤不同的連線身份去請求學校伺服器 Application School Server 請求回應 Cookie: gg=ininder; 回應
請求 Cookie: gg=ininder;
⽅法⼀後端使⽤ Session 的⽅式記憶使⽤者的身份資訊
雲端服務架構 Application School Server 請求回應 Cookie: gg=ininder; 回應請求
Cookie: gg=ininder;
雲端服務架構 Application School Server 請求回應 Cookie: key=9487; 回應請求
Cookie: gg=SESSION[9487];
SESSION 會把你所有需要的資料保存在 RAM 裡⾯面⼀一旦同時連線⼈人數過多、來來不及釋放、忘記釋放然後就...
SESSION 會把你所有需要的資料保存在 RAM 裡⾯面⼀一旦同時連線⼈人數過多、來來不及釋放、忘記釋放然後就... HTTP
Status 500 爆炸啦
⽅法⼆使⽤者登入後把身份資訊存回使⽤者瀏覽器的 Cookie 中
⽅法⼆需要時再從使⽤者 Cookie 中領回身份資訊並以此向學校伺服器請求
將登入成功的身份資訊保存入使⽤者端的 Cookie 中
從使⽤者瀏覽器取出上⼀次身份資訊
從網⾴原始碼取出關鍵資訊
從網⾴原始碼中取出關鍵資訊 1. JS ⽂文字處理理函數: substr, split, charAt, slice, … 2.
正規表達法: ^123([\d]+)$ 3. Cheerio.js
JS ⽂字處理函數 var Str = ‘<title>Hello world</title>’ > Str =
Str.slice(Str.indexOf('>') + 1) > Str = Str.slice(0, Str.indexOf(‘<')) > Str.split(' ')[1] 'world'
正規表達法 var Str = ‘<title>Hello world</title>’ > Str.match(/<title>[^\x20]+([^<]+)/)[1] ' world'
Cheerio.js var Str = ‘<title>Hello world</title>’ > Str = require(‘cheerio’).load(Str)('title').text()
> Str.split(‘\x20')[1] 'world'
aaaddress1/m00d1e.js
學校電算中⼼常玩的檢測機制
請求 Header 分析
表單中按鈕的⽂字
表單中按鈕的⽂字
封包請求時間
CAPTCHA
教育部青年發展協署
教育部青年發展協署
None
CAPTCHA
商⽤驗證碼辨識套件
30cm.tw/?p=512
None
CAPTCHA
CAPTCHA
CAPTCHA
CAPTCHA
CAPTCHA
CAPTCHA
CAPTCHA
CAPTCHA
aaaddress1/easyChptchaOCR
當然，還有更智障的⽅法
當然，還有更智障的⽅法
當然，還有更智障的⽅法 ✖ ✖ ✖
當然，還有更智障的⽅法 ✖ ✖ ✖ ✖ ✖
當然，還有更智障的⽅法 ✖ ✖ ✖ ✖ ✖ ✖ ✖
當然，還有更智障的⽅法 ✖ ✖ ✖ ✖ ✖ ✖ ✖ ✖
感謝被⼤同⼤學退學的丹尼同學提供如此寶貴的建議
None
奇技淫巧（⼀）跨域名登入Moodle
Browser User Side School Server 請求回應 Cookie: gg=ininder; 回應
請求 Cookie: gg=ininder; 第三⽅方服務
Browser User Side School Server 請求 Cookie: gg=ininder; 請求 Cookie:
gg=ininder; 第三⽅方服務
Browser User Side School Server 請求 Cookie: gg=ininder; 第三⽅方服務 Cookie:
gg=ininder; Cross-site request forgery
Content Security Policy (CSP)
沒有任何解決辦法？有ㄛ蒸蚌！
None
isu.30cm.tw/isuMoodle
isu.30cm.tw/isuMoodle
Cross Domain Login Moodle
Browser User Side School Server Cookie: gg=ininder; 第三⽅方服務回應
Browser User Side Cookie: gg=ininder; 第三⽅方服務回應在使⽤用者⾴頁⾯面上建立起⼀一個 iframe 在內部寫入
moodle 登入畫⾯面的帳號密碼欄欄位最後以 Javascript 模擬點擊登入
IFRAME User Side Moodle 請求 USERNAME = usr & PASSWORD
= pass
IFRAME User Side Moodle 回應 Cookie: gg=ininder;
Browser User Side Moodle 回應 Cookie: gg=ininder;
Browser User Side Moodle 請求 Cookie: gg=ininder; 回應
github.com/aaaddress1/isuMaster-NodeJS
奇技淫巧（⼆）無痕模式下記憶帳密
github.com/Valve/ﬁngerprintjs
None
None
None
None
github.com/aaaddress1/isuMaster-NodeJS
莫風徵伴侶
QA [email protected]