shikata ga nai

Private? There is no such things.

Exploiting Admin Panel Like a Bossを訳してみた

Hello there, ('ω')ノ

 

ボスのように管理パネルを悪用するを。

 

脆弱性:

 承認バイパス

 弱い資格情報

 

記事:

 https://sechunter.medium.com/exploiting-admin-panel-like-a-boss-fc2dd2499d31

 

今日は、HackerOneのプライベートプログラムでの。

ユニークで最速の発見の1つについて説明することに。

それはすべて管理パネルアクセスに関するもので。

 

シナリオ:

1)管理者ログインページのシナリオのバイパス:

そのプログラムからアセットの1つを取得して、そのURLにアクセスしているときに。

そのアセットの最後に/adminディレクトリを配置すると。

そのページで403エラーが発生したので。

403エラーを回避するためのショットを与えない理由を考えて。

403エラーを回避するためのいくつかの手法を実行したものの、成功せず。

その後、そのリクエストのホストヘッダ値を変更してみると。

403エラーが消えて、管理パネルのログインページに。

200OKステータスコードが表示されることに気づいて。

 

リクエストは下記のとおりで。

元の要求/応答:

 GET /admin HTTP/1.1
 Host: redacted.com

 ⇩

 HTTP/1.1 403 Forbidden
 Access Denied

 

f:id:ThisIsOne:20211020105037p:plain

 

変更した要求/応答(バイパス):

 

 GET /admin HTTP/1.1
 Host: google.com

 ⇩

 HTTP/1.1 200 Ok

 Admin Panel Login Page(Source Code)

 

間違ったクレデンシャルで200OKの応答が。

 

f:id:ThisIsOne:20211020105111p:plain

 

2)管理パネルへのアクセス:

管理者パネルをテストするときはいつでも、ユーザー名とパスワードとして。

常にadmin/adminを入力することが最優先事項で。

幸い、これはここで機能して管理者パネルにアクセスできて。

 

f:id:ThisIsOne:20211020105134p:plain

 

複製する手順:

1.「https://redacted.com/admin」をリクエストすると403エラーを得て。

2.次に、BurpSuiteを使用してそのリクエストをインターセプトして。

3.インターセプトした後、ホストヘッダ値を。

 redacted.comからgoogle.comに変更してGoを押して。

4.サーバがその要求を適切に検証していないことがわかるので。

 管理パネルのログインページを開くだけで。

5.エラーが403Forbiddenから200OKに変わってバイパスが完了して。

6.しかし、現時点では管理パネルにアクセスする資格情報がないので。

7.ユーザ名として「admin」、パスワードとして「admin」を試すと。

8.成功して。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain