Hello there, ('ω')ノ
OTPバイパスアカウントの乗っ取りを管理パネルに。
脆弱性:
OTPバイパス
アカウントの乗っ取り
記事:
ターゲットは、OTP認証が実装されたオンライン教育プラットフォームで。
OTPベースのログインがある場合は。
誰もが最初に頭に浮かぶのは「それをバイパスする方法」で。
最初にブルートフォースを試みたところ。
IPベースのレート制限が実装されていることがわかって。
つまり、クライアントIP、またはアップストリームサーバに提示されるIPを。
変更すると、OTPブルートフォースのレート制限をバイパスできるようになって。
クライアントがプロキシの背後にある場合は。
プロキシはクライアントのIPアドレスを特定のヘッダX-Forwarded-Forで。
サーバに転送して。
場合によっては、クライアントはこのヘッダを使用して。
自分のIPアドレスをスプーフィングできて。
ここで同じことを試すことに。
X-Forwarded-Forヘッダを挿入し、Intruderに渡して。
さまざまなIPアドレス($127.0.0.1$)を持つ。
特定の電話番号のブルートフォースOTP($1111$)を実行して。
Cluster bombをブルートフォース攻撃タイプとして設定して。
予想通り、OTPログインを成功させるために。
OTPをブルートフォース攻撃することができて。
次に、水平方向の特権昇格を実行することに。
ヘッダーインジェクションが存在することは明らかだったので。
IPアクセス制御、またはレート制限をバイパスする以外に。
ここで悪用できる他の可能性もあることも。
以前、WordPress管理者インターフェイスをクライアントのIPアドレスに基づいて。
内部IPのみに制限したことを思い出したので。
ここでそれがどのように機能するか。
したがって、許可された内部IPアドレスがヘッダ値に入力されると。
接続が実際にホワイトリストに登録されていないIPアドレスから発信された場合でも。
プロキシは、X-Forwareded-Forヘッダの値を転送して。
攻撃者が制限されたページにアクセスできるようにして。
またはAPIエンドポイント。
「X-Forward-For: 127.0.0.1」ヘッダが設定されている場合は。
応答サーバは、内部IPによってアクセスされていると見なして。
ユーザが制限されたコンテンツにアクセスできるようにして。
ただ、このためには、そのような制限されたページを見つけることが必要で。
通常、管理ページ/パネル管理者/機密のエンドポイントは制限されていて。
下記のブログページで、WordPress管理者インターフェイスにアクセスすると。
200 OKが返ってきて。
/wp-admin
ディレクトリのブルートフォース攻撃は時間の問題で。
IPベースで制限されているエンドポイントが他にあるかどうかを確認して。
そのようなエンドポイントを見つけるためにいくつかの有用なリソースを見つけて。
それらをBurpのIntruderで使用して。
https://github.com/ziadab/AdminBomber/blob/master/AdminBomber.py
https://github.com/s0md3v/Breacher/blob/master/paths.txt
すると、CMSのカタログには、200 OKを提供する下記の管理ページがあって。
水平方向の特権昇格に成功して。
/cms/_admin/logon.php
可能な修正:
信頼できるプロキシとロードバランサーのIP(またはCIDR)のリストを。
指定できるようにして。
リクエストがいずれかからのものでない場合は、X-Forwarded-Forを破棄して。
Nginxの機能は下記のとおりで。
リスト(最後のエントリから開始)を確認し、各エントリをチェックして。
信頼できるプロキシのリストであるかどうかを確認して。
リストにないものが見つかった場合は、その前にあるものをすべて破棄して。
Best regards, (^^ゞ