Shikata Ga Nai

Private? There is no such things.

Forced OAuth profile linkingをやってみた

Hello there, ('ω')ノ

 

今回は、強制的にOAuthプロファイルの連携を。

 

f:id:ThisIsOne:20210116120840p:plain

 

一応、exploit serverも立ち上げておいて。

 

f:id:ThisIsOne:20210116141053p:plain

 

まずは、当システムのブログにログインして。
 wiener/peter

 

f:id:ThisIsOne:20210116120941p:plain

 

Attach a social profileをクリックして。

 

f:id:ThisIsOne:20210116120754p:plain

 

今度は、紐づけするソーシャルメディアにログインして。

 peter.wiener/hotdog

 

f:id:ThisIsOne:20210116141234p:plain

 

Continueをクリックすると。

 

f:id:ThisIsOne:20210116141610p:plain

 

ソーシャルメディアアカウントを正常に紐づけできて。

 

f:id:ThisIsOne:20210116120705p:plain

 

Burpの履歴で、どのリクエストでURIを要求して。

次にどのリクエストで認証コードを送信して。

上記のレスポンスが返ってくるのかを確認して。

 

f:id:ThisIsOne:20210116142412p:plain

 

一旦、ログアウトして。

ソーシャルメディアにログインをクリックすると。

ログイン状態のままだと確認できて。

再度、Attach a social profileをクリックして。

 

f:id:ThisIsOne:20210116120632p:plain

 

認証コードを送信するリクエストでURLをコピーして。

この認証コードを他で使用されないように、リクエストをドロップしておいて。

インターセプトをオフにして。

ブログからログアウトして。

 

f:id:ThisIsOne:20210116122804p:plain

 

 

はじめに起動していたexploit serverで下記で。

 

<iframe src="https://ac011fd81fb19f6780de25c400440063.web-security-academy.net/oauth-linking?code=1ip5bcQZYEKc73zU1iF87nFXD6Owk7q7CiCKyHpoohr"></iframe>

 

認証コードを送信後の遷移を実行したら。

エクスプロイトを被害者に提供します。 ブラウザがを読み込むと iframe、

ソーシャルメディアプロファイルを使用してOAuthフローが完了して。

ブログWebサイトの管理者アカウントに紐づけされるので。

ラボにもどって。

 

f:id:ThisIsOne:20210116123744p:plain

 

はじめのブログのサイトに戻って。

ソーシャルメディアにログインをクリックすると。

 

f:id:ThisIsOne:20210116124045p:plain

 

管理者ユーザでログインしているようで。

Admin panelをクリックして。

 

f:id:ThisIsOne:20210116123935p:plain

 

carlosをDeleteするとクリアできた。

 

f:id:ThisIsOne:20210116143554p:plain

 

f:id:ThisIsOne:20210116143747p:plain

 

Best regards, (^^ゞ