Hello there, ('ω')ノ

OWASP TOP10 2021について。

A02：2021の暗号化の失敗には、29のCWEがあって。

これには、

　弱い暗号化アルゴリズムの実装

　不十分または緩いキー生成

　暗号化の実装または証明書の検証の失敗

　クリアテキストでのデータの送信　など

データの転送中または保存中のセキュリティ障害が含まれていて。

よくあるのがパスワードのリセットの際のトークンで。

２つのメールアドレスで試してみて。

　hbothra22+1@gmail.com

　hbothra22+2@gmail.com

２つのリセットトークンを比較してみるとメカニズムがわかったりと。

　アカウント１のリンクをリセット：

　　https://target.com/reset_password？token=zbp.nwavaqjbeptho％401+neugboufenu

　アカウント2のリンクをリセット：

　　https://target.com/reset_password？token=zbp.nwavaqjbeptho％402+neugboufenu

ちなみに％40⇦@で。

その他のケースだと、同じように２つのアドレスを用意して。

　vasuyadav1@gmail.com
　vasuyadav2@gmail.com

アカウントのパスワードのリセットをリクエストして。

メールでリンクを受け取ると。

最後に「==」が表示されるとBase64である可能性があるので。

それをデコードしてみると。

２つのアカウントでの違いがメールアドレスの違いだとわかったりと。

Best regards, (^^ゞ

Hello there, ('ω')ノ

特権の昇格を。

脆弱性：

　特権の昇格

記事：

　https://shahjerry33.medium.com/privilege-escalation-hello-admin-a53ac14fd388

概要 ：

今回は、脆弱なプラグインを使用しているWordPressWebサイトで。

特権昇格を見つけた方法を紹介することに。

特権昇格とは、アクセスできないはずの何かにアクセスするための。

特権を取得することを意味して。

攻撃者は、さまざまな特権昇格手法を使用して。

許可されていないリソースにアクセスして。

プラグインが「wp_set_auth_cookie()」と呼ばれる脆弱な関数を使用していたため。

特権の昇格が可能で。

wp_set_auth_cookie()関数とは、認証Cookieの有効期限をフィルタリングして。

接続が安全かどうかも確認して。

また、ログインCookieを保護するためにも使用されて。

認証Cookieが設定される直前に起動して。

構文：

ユーザーIDに基づいて認証Cookieを設定して。

　wp_set_auth_cookie( int $user_id, bool $remember=false, bool|string $secure=’’, string $token=‘‘)

説明 ：

　$Rememberパラメータは、Cookieが保持される時間を増やして。

　覚えていない状態でCookieが保持されるデフォルトは２日で。

　$Rememberが設定されている場合、Cookieは１４日または２週間保持されて。

パラメータ：

　$user_id

　　(int) （必須）ユーザID

　$remember

　　(bool)（オプション）ユーザーを記憶するかどうか

　　デフォルト値：false

　$secure

　　(bool|string) （オプション）認証CookieをHTTPS経由でのみ送信するかどうか

　　これは、is_ssl()の値が使用されることを意味して

　　デフォルト値：''

　$token

　　(string) （オプション）このCookieに使用するユーザーのセッショントークン

　　デフォルト値：''

Vulnerable Code：

この脆弱性を見つける方法：

１．WordPressCMSを使用しているターゲットWebサイトに移動して。

２．wpscanツールを使用して、古いプラグイン、テーマ、デフォルトの。

　クレデンシャルなどを確認して。

My command :

wpscan --url https://target.com --disable-tls-check --enumerate u

    --url : URLを渡して
    --disable-tls-check : SSL / TLS証明書の検証を無効にして
    --enumerate u : ユーザを列挙して

スキャンが完了すると、古くて脆弱なものの結果が得られて。

３．結果、「WP Support Plus Responsive Ticket System」に対して脆弱で。

４．他に見つけたことは、デフォルトのユーザ名で。

５．googleで脆弱性を検索すると。

　https://www.exploit-db.com/で、エクスプロイトを見つけて。

　https://www.exploit-db.com/exploits/41006

６．エクスプロイトコードを確認すると。

　単純なHTMLログインフォームで。

<form method="post" action="http://target.com/wp-admin/admin-ajax.php">
    Username: <input type="text" name="username" value="admin">
    <input type="hidden" name="email" value="EMAIL">
    <input type="hidden" name="action" value="loginGuestFacebook">
    <input type="submit" value="Login">
</form>

Then go to admin panel.

これを.htmlとして保存し、スクリプトを実行したものの。

その前に、これを悪用するには電子メールが必要であることがわかったので。

「theharvester」ツールで、サイトを列挙して。

４通のメールのうち１通はエクスプロイトを成功させるのに役立って。

　https://github.com/laramies/theHarvester

７．ポート80を介してファイルを転送するためのPythonスクリプトを実行すると。

　Python -m SimpleHTTPServer 80

８．htmlとして保存したエクスプロイトを実行すると。

　管理者へのログインに成功して。

９．パスワードを知らなくても管理者としてログインして。

　これは、wp_set_auth_cookie()の誤った使用が原因で発生して。

Best regards, (^^ゞ

Hello there, ('ω')ノ

ブロックされたアカウントのロックを解除するにはどうすればよいかを。

脆弱性：

　パスワードリセットの欠陥

　HTTPパラメータの汚染

　IDOR

記事：

　https://infosecwriteups.com/how-i-unlocked-the-blocked-accounts-545e9b7d7be1

ブルートフォースの脆弱性をチェックするために自分のパスワードを。

ブルートフォース攻撃し始めると４〜５回の試行後にブロックされて。

会社はアカウントのロックを解除するためにかなりの金額を請求してきて。

なので、自分のアカウントを取り戻したかったので。

アカウントへのアクセスを取り戻すことができる脆弱性を探し始めることに。

パスワードリセット機能のテストを開始して。

ブロックされている場合でも、パスワードレストリンクは送信されたままで。

しかしながら、リンクをクリックしたとき。

ウェブページで次のようなメッセージを受け取って。

「セキュリティ上の理由により、アカウントがブロックされて申し訳ありません」

そこで、ブロックされたアカウントリンクから。

パスワードリセットトークンをコピーして。

有効なアカウントのパスワードリクエストで。

Burp Suiteでトークンをブロックされたアカウントトークンに置き換えると。

パスワードのリセットは成功して、アカウントを取り戻すことができて。

数か月後、元のリクエストで、次のようなリクエストに。

別のパラメータを追加すると。

再び成功しまして、ブロックされたアカウントを取り戻すことができて。

　例：password_rest_token=blockedaccounttoken

Best regards, (^^ゞ