Hello there, ('ω')ノ

 

Webを閲覧しているとソーシャルメディアアカウントを使用して。

ログインできるサイトに出くわすことが多々あって。

この機能が、OAuth2.0フレームワークで構築されている可能性があって。

けっこう、実装ミスが多いようで。

なので、脆弱性も多いようで。

OAuth認証のメカニズムについては、いろんなサイトで説明されているかと。

 

今回は、redirect_uriを介したOAuthアカウントのハイジャックを。

 

 

まずは、ソーシャルメディアに下記でログインして。

　wiener／peter

 

 

アカウントを紐づけして。

 

 

一旦、ログアウトして。

 

 

再度、ログインしてみると。

 

 

すでに紐づいているようなので。

exploit serverを起動して。

 

Solutionにあるiframeをコピーして。

 

 

Bodyに張り付けて。

 

 

承認サーバに転送しているリクエストからURLをコピーして。

 

https://ac211f0e1fe61fd1800399270260001a.web-security-academy.net/auth?client_id=x5wh13k29leocuyu6o1d6&redirect_uri=https://acfd1f901fda1fb18061993b00a50051.web-security-academy.net/oauth-callback&response_type=code&scope=openid%20profile%20email

 

 

アプリケーションの OAuthクライアント IDを書き換えて。

 

https://ac211f0e1fe61fd1800399270260001a.web-security-academy.net/auth?client_id=x5wh13k29leocuyu6o1d6

 

 

クライアント ID の登録済み redirect_uriを書き換えて。

アプケーション用の有効なリダイレクト URI を登録する必要があるので。

exploit serverのURI を。

 

https://acb81f4e1f2f1f8d80a19974017d0089.web-security-academy.net/

 

そして、Storeして。

View exploitして確認して。

 

 

 

Deliver exploit to victimしたら。

Access logでログを確認して。

 

 

ログの中からコードをコピーして。

　8wmJTsebcUA3VVjzDjF9dyecsiCMlO-AXbYDKcLYWp1

 

 

フィードバックするリクエストでRepeaterを。

 

 

コードを置き換えて、Sendして。

 

 

レスポンスをブラウザを見ることに。

 

 

 

Admin panelで。

 

 

carlosをDeleteすると。

 

 

クリアできた。

 

 

Best regards, (^^ゞ