Hello there, ('ω')ノ
バグを連鎖させて内部oktaインスタンスにアクセスする方法を。
脆弱性:
認証の欠如
記事:
民間企業の内部OKTAへのアクセスを取得するための記事について。
shodanを検索することから始めるとsudoという名前のホスト名を見つけて。
それをクリックするとOKTAにリダイレクトされて。
ホスト名は、sudo-test-classic -..... amazonaws.comで。
censysで別の調整を行ったところ。
IP18.208.x.xで、sudoに直接アクセスできるWebページだとわかって。
sudoは、管理者がslackを制御できるようにしたり。
招待ユーザは、ユーザを非アクティブ化したりできて。
次に単語リストを使用してdirsearchを作成すると。
エンドポイント/slack/inviteが見つかって。
このエンドポイントの応答は、slackのchannelNameを与えるので。
リクエストしてみると。
POST /slack/invite HTTP/1.1
Host: redacted
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 83
Origin: https://redacted
Connection: close
Referer: https://redacted
{"guestEmailId":"myemail","channelName":"the name i got ","guestType":"multi"}
応答500内部サーバーエラーが発生するものの、自分の電子メールを確認すると。
slackへの招待状を受け取っていて。
slackを開いたチャットで、彼らのOKTAクレデンシャルを見つけることができて。
OKTAに戻ると彼らのOKTAにアクセスできるので。
OKTAからログインした後、sudoページに戻ると。
現在は管理者であって、Slackからだれでも変換/非アクティブ化できて。
影響:
攻撃者が、Slack開発チャネルにアクセスできて。
攻撃者にOKTAへのアクセスを許可して。
攻撃者が、Slackからだれでも変換/非アクティブ化できるようになって。
Best regards, (^^ゞ
