shikata ga nai

Private? There is no such things.

Unprivileged User with Read/Write permission to `User Access` can escalate their role to ADMINを訳してみた

Hello there, ('ω')ノ

 

ユーザアクセスへの読み取り/書き込み権限を持つ非特権ユーザは。

自分の役割をADMINにエスカレーションできるを。

 

脆弱性:

 特権の昇格

 

記事:

 https://ertugrull.medium.com/unprivileged-user-with-read-write-permission-to-user-access-can-escalate-their-role-to-admin-a217d2d280a8

 

パネル機能を閲覧しながら、チームビルディング機能があることを発見して。

最初の考えは、制限された権限を持つユーザを管理者にすることで。

最初に、ユーザデータの読み取り/書き込みのみを許可するロールを作成して。

作成したこのロールで、2番目の電子メールアドレスをチームに招待して。

 

2番目のアカウントでシステムにログインすると。

編集できるのは自分のロールと名前だけで。

ロールの編集リクエストを調べると。

POSTリクエストの本文にUUID形式でroleIdという名前のパラメータがあって。

 

f:id:ThisIsOne:20210724095108p:plain

 

管理者のロールを除くと。

自分のロールより下位のロールに切り替える許可があって。

作成されたそれぞれの異なるロールはカスタム作成されたため。

それらは、すべて異なるUUID値を持っていて。

ただし、基本的な管理者ロールのUUIDはなくて。


管理者のロールにUUID値がないことに気付いて。

roleIdパラメータにADMINと入力してリクエストを続行して。

 

f:id:ThisIsOne:20210724095145p:plain


リクエストを続行して、ページを更新すると管理者になって。

すべてのパネルコンテンツにアクセスできて。

他の管理者アカウントを削除できて。

 

Best regards, (^^ゞ

Accessing Restricted Documents With Extra JSON Body Contentを訳してみた

Hello there, ('ω')ノ

 

追加のJSON本文コンテンツを含む制限付きドキュメントへのアクセスを。

 

脆弱性:

 Mass Assignment

 承認の欠陥

 

記事:

 https://imranhudaa.medium.com/accessing-restricted-documentswith-extra-json-body-content-c59bc7224189

 

プログラムはBugcrowdで非公開で。

ユーザは、チーム内でドキュメントを簡単に送信、編集、および管理できて。

ここでは、管理者と通常のアカウントを使用して。

 

管理者アカウントからアクセスを許可しないドキュメントを作成して。

通常のアカウントからそのドキュメントにアクセスしようとすると。

すべてのAPIエンドポイントで、閲覧禁止の403エラーが発生して。

 

自分のアカウントで、ドキュメントを編集しているときに。

通常のアカウントから、リクエストのjson本体に。

documentIdが含まれていることに気付いて。


自分(通常)のアカウントドキュメントを編集しているときに。

リクエストのjson本体にdocumentIdが含まれていることに気付いて。

空白のドキュメントを作成するときに。

jsonリクエストの本文にAdmin documentIdを追加しようと思って。


下記が通常のリクエストで。

注意する点は、リクエストにdocumentIdがないことで。


POST /api/accounts/envelope/ HTTP/1.1
Host: redacted.com
{“enableResponsiveChoice”:false,”emailBlurb”:null,”emailSubject”:null,”autoNavigation”:false,”status”:”created”,”notification”:{“useAccountDefaults”:true}}

下記が、リクエストにdocumentIdを追加したもので。

リクエストすると管理ドキュメント情報を使用して新しいドキュメントが作成されて。


POST /api/accounts/envelope/ HTTP/1.1
Host: redacted.com
{“enableResponsiveChoice”:false,”emailBlurb”:null,”emailSubject”:null,”autoNavigation”:false,”status”:”created”,”notification”:{“useAccountDefaults”:true},”documentId”:”documentIdofAdmin”}

 

Best regards, (^^ゞ

Authentication Bypass | Easy P1 in 10 minutesを訳してみた

Hello there, ('ω')ノ

 

10分で簡単な認証バイパスを。

 

脆弱性:

 認証バイパス

 強制ブラウジング

 

記事:

 https://infosecwriteups.com/authentication-bypass-easy-p1-in-10-minutes-54d5a2093e54

 

この記事は、偵察とGoogle Dorksについて説明されていて。

ターゲットをredacted.comと仮定すると。

*.redacted.comがスコープで。

assetfindersubfinderhttpxのサブドメインの列挙とプロービングを開始すると。

 

https://github.com/tomnomnom/assetfinder

f:id:ThisIsOne:20210723132413p:plain

 

https://github.com/projectdiscovery/subfinder

f:id:ThisIsOne:20210723132514p:plain

 

https://github.com/projectdiscovery/httpx

f:id:ThisIsOne:20210723132553p:plain

 

https://git.infotech.redacted.comという1つのドメインが目に留まって。

アクセスするとGitlabインスタンスであって。

OktaLoginを利用したSAMLログインページにリダイレクトされて。

よって、社内のユーザーのみが。

会社のメールアドレス(email@redacted.com)を使用して。

そのGitLabインスタンスにログインできて。

 

f:id:ThisIsOne:20210723163812p:plain


デフォルトのクレデンシャルをいくつか試したものの、うまくいかず。

下記を使用してGoogle Dorksを試すと。

GitLabインスタンスのユーザ名とグループ名がみつかって。

 site:git.infotech.redacted.com ext:env

 

下記を試すと認証フローをバイパスして。

そこにあるソースコードに直接アクセスすることができて。

SQLクレデンシャルやLDAPクレデンシャルなどの機密データが見つけることができて。

 https://git.infotech.redacted.com/username

 https://git.infotech.redacted.com/groupname


偵察は常に役立つと。

Best regards, (^^ゞ

bWAPPでOther bugs-Insecure iFrame (Login Form)をやってみた

Hell there, ('ω')ノ

 

Insecure iFrame (Login Form)を。

 

f:id:ThisIsOne:20210722163537p:plain

 

ソースコードを確認するとiframeタグが。

 

f:id:ThisIsOne:20210722163733p:plain

 

URLは、異なるオリジンが指定されていて。

 http://192.168.0.16/evil/sandbox.htm

 

f:id:ThisIsOne:20210722163949p:plain

 

Burpでも指摘が。

同じオリジンのページのみによるフレーミングを許可する必要があって。

信頼できないWebサイトをフレーム化できる場合は。

SAME ORIGINヘッダを部分的にバイパスできるので注意が必要で。

 

f:id:ThisIsOne:20210722164546p:plain

 

さらには、iframeではattacker.comにデータをPOSTするフォームが含まれていて。

POSTを使用して、機密情報を別のドメインに転送することがあって。

 

f:id:ThisIsOne:20210722163757p:plain

 

f:id:ThisIsOne:20210722164206p:plain

 

POSTされるサイトは下記のとおりで。

 https://attacker.com/catch.php?

 

f:id:ThisIsOne:20210722163909p:plain

 

実際にログインしようとすると。

 

f:id:ThisIsOne:20210722164854p:plain

 

下記のように表示されて。

 

f:id:ThisIsOne:20210722164919p:plain


Best regards, (^^ゞ

sslscanをつかってみた

Hello there, ('ω')ノ

 

ボチボチとWSTGをまとめているのですが。

WSTG-CRYP-01に取り掛かろうとすると。

 

f:id:ThisIsOne:20210721133008p:plain

 

sslscanというツールに目がとまって。

 

f:id:ThisIsOne:20210721173850p:plain

 

標準でKali Linuxにインストールされているので起動して。

 

f:id:ThisIsOne:20210721113406p:plain

 

簡単に使用してみるとサイトで有効となっている通信プロトコルがわかって。

 

f:id:ThisIsOne:20210721113608p:plain

 

このようなサイトにアクセスすると下記のような警告が。

 

f:id:ThisIsOne:20210721131130p:plain

 

いつものOWASP BWAを起動して下記でスキャンすることに。

 sslscan 192.168.0.14

 

下記は、スキャン結果の見方で。

 TLS renegotiation:

 Heartbleed:

  すべてが正常のように見えtて。

 

 Supported Server Cipher(s):

  サーバが受け入れる暗号スイートを示して。

  現在、安全でないとみなされているDESなど。

  橙色のテキストは中程度の強度の暗号を意味して。

 

 SSL Certificate:

  サーバが使用する証明書に関する情報で。

  署名に中程度の強度のアルゴリズムと。

  弱いRSAキーを使用していることがわかって。

  キーは1024ビット長であるため弱いと言われて。

  現在、セキュリティ標準では少なくとも2048ビットが推奨されていて。

 

f:id:ThisIsOne:20210721171307p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain