Hello there, ('ω')ノ
IDORを使用して自己保存型XSSをアカウント乗っ取りにエスカレーションする方法を。
脆弱性:
Self-XSS
IDOR
アカウントの乗っ取り
記事:
今回は、HackerEarthでの調査結果と、それらから取得した方法について。
最初のステップは偵察なので、HackerEarthのすべてのサブドメインを収集してから。
すべて手動で確認したところ、下記のサブドメインが注意を引いて。
test.hackerearth.com
test.hackerearth.comでは、サインインとサインアップができて。
最初にサインアップしてダッシュボード領域にリダイレクトして。
次にCSRFを探したものの、何も見つからず。
名前をXSSペイロードに変更しようとすると、XSSがトリガーされたので。
それがSelfXSSであることを知って。
test.hackerearth.comでは、非常にシンプルで。
他のユーザのプロファイルを表示する機能はなくて。
プロファイルを表示できるのは、Self XSSだけで。
Self XSSを重大な影響にエスカレートするために別の脆弱性を探して。
Burp Suiteの履歴を確認すると。
名前を変更したときに下記のPOSTリクエストが見つかって。
POST /api/sprint/v1/setup-profile/ HTTP/2
Host: test.hackerearth.com
Origin: https://test.hackerearth.com
Referer: https://test.hackerearth.com/auth/setup-profile
Te: trailers
Connection: close
first_name=</script><svg/onload=alert(1)>&last_name=Tanga&email=attacker@gmail.com
自分のメールがPOSTリクエストにもあったことがわかるように。
それを被害者のメールに変更するとどうなるかを。
新しいアカウントを作成して。
新しいアカウントで以前に取得したPOSTリクエストのメールアドレスを変更すると。
POST /api/sprint/v1/setup-profile/ HTTP/2
Host: test.hackerearth.com
Origin: https://test.hackerearth.com
Referer: https://test.hackerearth.com/auth/setup-profile
Te: trailers
Connection: close
first_name=</script><svg/onload=alert(1)>&last_name=Tanga&email=victim@gmail.com
XSSが自分の新しいアカウントでトリガーされて。
必要なのは、test.hackerearth.comのアカウントを乗っ取るための。
被害者の電子メールだけで。
Best regards, (^^ゞ