Hello there, ('ω')ノ

 

ボスのように管理パネルを悪用するを。

 

脆弱性：

　承認バイパス

　弱い資格情報

 

記事：

　https://sechunter.medium.com/exploiting-admin-panel-like-a-boss-fc2dd2499d31

 

今日は、HackerOneのプライベートプログラムでの。

ユニークで最速の発見の１つについて説明することに。

それはすべて管理パネルアクセスに関するもので。

 

シナリオ：

１）管理者ログインページのシナリオのバイパス：

そのプログラムからアセットの1つを取得して、そのURLにアクセスしているときに。

そのアセットの最後に/adminディレクトリを配置すると。

そのページで403エラーが発生したので。

403エラーを回避するためのショットを与えない理由を考えて。

403エラーを回避するためのいくつかの手法を実行したものの、成功せず。

その後、そのリクエストのホストヘッダ値を変更してみると。

403エラーが消えて、管理パネルのログインページに。

200OKステータスコードが表示されることに気づいて。

 

リクエストは下記のとおりで。

元の要求／応答：

　GET /admin HTTP/1.1
　Host: redacted.com

　⇩

　HTTP/1.1 403 Forbidden
　Access Denied

 

 

変更した要求／応答（バイパス）：

 

　GET /admin HTTP/1.1
　Host: google.com

　⇩

　HTTP/1.1 200 Ok

　Admin Panel Login Page(Source Code)

 

間違ったクレデンシャルで200OKの応答が。

 

 

２）管理パネルへのアクセス：

管理者パネルをテストするときはいつでも、ユーザー名とパスワードとして。

常にadmin／adminを入力することが最優先事項で。

幸い、これはここで機能して管理者パネルにアクセスできて。

 

 

複製する手順：

１．「https://redacted.com/admin」をリクエストすると403エラーを得て。

２．次に、BurpSuiteを使用してそのリクエストをインターセプトして。

３．インターセプトした後、ホストヘッダ値を。

　redacted.comからgoogle.comに変更してGoを押して。

４．サーバがその要求を適切に検証していないことがわかるので。

　管理パネルのログインページを開くだけで。

５．エラーが403Forbiddenから200OKに変わってバイパスが完了して。

６．しかし、現時点では管理パネルにアクセスする資格情報がないので。

７．ユーザ名として「admin」、パスワードとして「admin」を試すと。

８．成功して。

 

Best regards, (^^ゞ