shikata ga nai

Private? There is no such things.

How I escalate my Self-Stored XSS to Account Takeover with the help of IDORを訳してみた

Hello there, ('ω')ノ

 

IDORを使用して自己保存型XSSをアカウント乗っ取りにエスカレーションする方法を。

 

脆弱性:

 Self-XSS

 IDOR

 アカウントの乗っ取り

 

記事:

 https://gonzx.medium.com/how-i-escalate-my-self-stored-xss-to-account-takeover-with-the-help-of-idor-f20733ecdbe9

 

今回は、HackerEarthでの調査結果と、それらから取得した方法について。

最初のステップは偵察なので、HackerEarthのすべてのサブドメインを収集してから。

すべて手動で確認したところ、下記のサブドメインが注意を引いて。

 test.hackerearth.com

 

test.hackerearth.comでは、サインインとサインアップができて。

最初にサインアップしてダッシュボード領域にリダイレクトして。

次にCSRFを探したものの、何も見つからず。

 

名前をXSSペイロードに変更しようとすると、XSSがトリガーされたので。

それがSelfXSSであることを知って。

test.hackerearth.comでは、非常にシンプルで。

他のユーザのプロファイルを表示する機能はなくて。

プロファイルを表示できるのは、Self XSSだけで。

Self XSSを重大な影響にエスカレートするために別の脆弱性を探して。

Burp Suiteの履歴を確認すると。

名前を変更したときに下記のPOSTリクエストが見つかって。

 

    POST /api/sprint/v1/setup-profile/ HTTP/2
    Host: test.hackerearth.com
    Origin: https://test.hackerearth.com
    Referer: https://test.hackerearth.com/auth/setup-profile
    Te: trailers
    Connection: close

    first_name=</script><svg/onload=alert(1)>&last_name=Tanga&email=attacker@gmail.com

 

自分のメールがPOSTリクエストにもあったことがわかるように。

それを被害者のメールに変更するとどうなるかを。

新しいアカウントを作成して。

新しいアカウントで以前に取得したPOSTリクエストのメールアドレスを変更すると。

 

    POST /api/sprint/v1/setup-profile/ HTTP/2
    Host: test.hackerearth.com
    Origin: https://test.hackerearth.com
    Referer: https://test.hackerearth.com/auth/setup-profile
    Te: trailers
    Connection: close

    first_name=</script><svg/onload=alert(1)>&last_name=Tanga&email=victim@gmail.com

 

XSSが自分の新しいアカウントでトリガーされて。

必要なのは、test.hackerearth.comのアカウントを乗っ取るための。

被害者の電子メールだけで。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain