Hello there, ('ω')ノ

 

管理者エンドポイント アクセスにつながる 403 禁止されたバイパスを。

 

脆弱性：

　403バイパス

　情報漏えい

 

記事：

　https://medium.com/@G0ds0nXY/403-forbidden-bypass-leading-to-admin-endpoint-access-b696a36665ed

 

今回は、 API で 403 Forbidden エンドポイントをバイパスする方法について。

プライベートプログラムで、サブドメインをファジングした後に。

いくつかのサブサブドメインを見つけ、admin.redacted.com が目に留まり。

redacted.comにアクセスしようとすると、403 Forbidden の応答が返ってきて。

 

サブドメインに興味を持ち、FFUF ツールを再帰モードに設定して。

ファジングを開始すると空のディレクトリがいくつか見つかり。

403禁止を取得して。

 

　https://admin.redacted.com/cpanel/view-credentials/

 

403 を迂回したいと思ったので。

Python ツール [byp4xx] と bash ツール [bypass-403] を使用しようとしましたが。

成功せず。

URLの大文字化、X-Forwarded-IP、ユーザーエージェントの変更など。

他のさまざまなトリックを試して。

この時点で、エンドポイントで時間を無駄にしているだけだと感じましたが。

いくつかの非表示のパラメータを検索することに。

 

エンドポイントで param-miner を起動すると。

数分以内にパラメータ [userId] が見つかりましたが、userId はなく。

[userId] の値もわからず。

 

しばらく考えた後、ツール [waybackurls] を使用することにして。

Wayback Machine から admin.redacted.com のすべての URL を取得して。

非常に多くの URL があったため、すべてを手動で確認することはできず。

[“?userId=”] を grep したところ、いくつかの URL が userId をを見つけたので。

userId を送信する [POST] リクエストを作成しましたが、404 エラーが発生して。

パラメータをGETリクエストとして使用しても、まだ403禁止されて。

 

 

この時点であきらめて先に進むつもりでしたが、何気なく送信し。

API がリピータタブからのリクエストにどのように応答しているかを観察して。

同じエンドポイントに GET リクエストを送信すると200 OK を受け取ったので。

200 OK を取得した方法と理由を調べるために GET リクエストを再送信しましたが。

今回は 403 Forbidden を受け取ったので。

Burp Suiteのリクエストログを調べることに。

 

すべてのリクエストを注意深くチェックしましたが。

サーバが200 OKを返した理由を確認または見つけることができず。

12 回の無許可のリクエストが 403 Forbidden になって。

次の 4 回のリクエストで 200 OK が返され、承認がバイパスされて。

 

 

Best regards, (^^ゞ