Hello there, ('ω')ノ

 

どのようにして特権昇格を見つけることができましたか。

 

脆弱性：

　IDOR

　承認の欠陥

 

記事：

　https://akshartank.medium.com/how-was-i-able-to-find-privilege-escalation-b13366b97706

 

ツール：

　Burp Suite

 

今回のBugcrowdのプログラムは。

クライアントに電子メールサービスを提供する一連のアプリケーションで。

アプリケーションのフローは次のとおりで。

 

すべてのクライアントデータとインフラストラクチャを制御する。

１つのアプリケーション（中央管理者）があって。

クライアントに割り当てるリソースの量や。

SFTPなどのサービスを有効にする必要があるクライアント管理者のユーザ管理など。

それをTier1と呼ぶことに。

 

Tier2には、主にユーザを管理できるクライアント管理パネルがあって。

ユーザグループの作成、追加と削除、パスワードのリセットや。

ユーザアクセスポリシーの作成など。

 

Tier3には、電子メールアプリケーションがあって。

 

なので、トラフィックがBurp Suiteを介してプロキシされている間に。

そのフローを理解しようとしてアプリケーションを使用していると。

Tier1とTier2のアプリケーションのCookieは似ているものの。

Tier3は、JWTトークンを使用していることに気づいたので。

１つのクライアントの管理者がメインの管理パネルにアクセスできるとしたら。

２つのアプリケーションの流れがどうなるかを考えて。

 

 

そこで、Burp Suiteを起動して。

あるブラウザでTier2アプリケーションを開き。

別のブラウザでTier1アプリを開いて。

 

Tier1アプリケーション全体をトラバースして。

すべてのAPI呼び出しをキャプチャすると。

API呼び出しは、ほぼ100回で。

そのAPIをTier2管理者のセッションで再生すると。

それらのほとんどはエラーを出して、ユーザは認証されているものの。

このアクションを実行する権限がなくて。

しばらくして、アクセス制御が正しく実装されておらず。

機密データが漏洩している11のエンドポイントを見つけることに成功して。

Tier1とTier2のアプリケーションからのAPIが１つのサーバによってのみ。

処理されていることを確認できて。

 

このデータには、クライアント表示されて。

IPアドレス、ドメイン名、CPU／RAM／HDDの使用状況や。

他のクライアントのライセンス、他のクライアントがACLやその他の詳細を使用して。

作成したユーザプロファイルの数、その他多くの詳細が。

漏洩したことが含まれていて。

 

 

 

Best regards, (^^ゞ