Hello there, ('ω')ノ

 

大手企業の管理者パネルを乗っ取りを。

 

脆弱性：

　認証バイパス

　40x バイパス

　アカウントの乗っ取り

 

記事：

　https://medium.com/@nanwinata/a-big-company-admin-panel-takeover-4500-9520a6c83430

 

いつものようにShodanから始まり。

以下のようなシンプルなdorkで。

 

　ssl:redacted.com "200"

 

リストには18個のIPがあると思われますが、そのうちの1つのIPを

ランダムに選び。

IPを閲覧すると、常にGoogleログインにリダイレクトされて。

 

 

次のテストを実行する前に、この脆弱性に関連するCVEが

言及されていることを知らず。

以下のURLに対して2つのテストを実行した後：

　redacted.com/admin
　redacted.com/dashboard

スクリーンショットに示されるように、OAuthログインページにリダイレクトされ。

次のテストがOAuthログインをバイパスする結果になるとは思わず。

 

次に、別のテストで管理者ページの前に(/;/)を追加し。

ページは以下のように表示され。

 

 

ページ表示だけでなく管理者ページが実際にバイパスされたかどうかを

すぐにチェックしまし。

別のページをクリックすると、URLパスが/auth/loginに戻り。

その後、Burpを使用してリクエストを行い、次の結果を得て。

 

この時点で、https://securitytrails.comでホストを確認した後、

ホスト/IPに指定されたサブドメインがこの企業の管理者サブドメインの

IPであることがわかり。

 

 

したがって、次のBurpリクエストは、以前のIPではなく、

サブドメインを対象として。

 

 

上記の結果から、バイパスが有効であることが確認され、

この管理者パネルのすべての設定を明確に読むことができて。

これが何百万もの顧客データを持つ大企業であることで。

 

次のようないくつかの事実を提示して。

クリティカル：

・システム、サブシステム、エンドユーザアカウントの完全な制御を

　得るための不正アクセス

・エンドユーザの金融情報（クレジットカード）やPII情報に

　アクセスまたは変更する能力

・機密データや機能を保有する本番システムでのコード実行

・本番で使用される管理ポータルへの不正アクセス

・本番システムまたはデータベースにアクセスするための認証バイパス

・プロダクションシステムまたはモバイルアプリケーションに

　重大な影響を与えるSQLインジェクション

1、2、4、6のポイントが満たされているため、クリティカル10.0のスコアを

得るのは難しくなく。

CVEは、3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hで。

 

Best regards, (^^ゞ