Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Препоръчан пост


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  137
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Открито от:

Гитхъб и имена: Varma Kollu VarmaKollu
Туитър: https://twitter.com/itsvarmakollu

 


Беше открито при тестване на Бъг Баунти програма на организация, която използваше ServiceNow и техният домейн в обхвата беше „redacted.service-now.com“. Потърсих експлойтите на ServiceNow в Google и открих, че домейнът е уязвим към CVE-2019-20768 и CVE-2021-45901.
Докладвах ги и отчетите бяха приети.

След това се опитах да намеря още бъгове и стигнах до крайна точка /logout_redirect.do. След известно тестване открих, че тази крайна точка рефлектира стойността на параметъра sysparm_url в отговора.
Стойността на параметъра – sysparm_url се отразява в JavaScript. Можете да видите отражението тук:

<script data-
comment="loading_page redirect">setTimeout(function() {
top.location.href = 'VALUE-OF-SYSPARM_URL';
}, 0);</script>


В горния код можем ясно да видим, че ако можем да добавим „javascript:alert()“ в параметъра sysparm_url, тогава можем да постигнем XSS. Опитах „javascript:alert()“ и в отговор „javascript:“ беше премахнат.

1.png.4203c673822521e910e1d13bfecd935e.png

Тогава си помислих, че ако думата „javascript:“ се премахва, тогава можем да опитаме „javajavascriptscript:“, така че ако „javascript“ се премахне, тогава все още имаме „javascript:“, но не проработи.
След игра с различни видове encode-ване и изпробване на различни видове техники за заобикаляне. Открих странно поведение в това какво се рефлектира и как.
Така че, когато използвах „//aman:“, тогава рефлекцията е просто „aman:“ без // така че замених „//aman:“ с „//javascript:“ и очаквах отражението като „javascript:“, но Получих "null" в отговора.

2.thumb.png.968af038a4ce1baeb4d8d5c592eb03e2.png

След това замених // с //\ и не съм сигурен защо го направих, но проработи и отражението беше „javascript:“
Използвах за payload: //\javascript:alert(document.domain)
и получих „javascript:alert(document.domain)“ в отговор, където „//\“ беше премахнато.

3.thumb.png.2ba9d890d5fff154571edfb0ff67602c.png
Отворихме URL адреса в браузъра и получихме хубав изскачащ прозорец.

4.thumb.png.7f6bdd073a5ebcd939d695d005749a95.png

Оказа се, че това е 0-Day в ServiceNow. 

Създадох темплейт в Нуклей (https://github.com/projectdiscovery/nuclei-templates/blob/master/cves/2022/CVE-2022-38463.yaml) и сканирах различни Бъг Баунти програми със сканър-а, което доведе до множество открити компании съдържащи тази уязвимост:

image_2023-04-20_181556597.thumb.png.59c796f4f3fb03e781b513b429dbbf5d.png

Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  0
  • Брой мнения:  1
  • Репутация:   2
  • Спечелени дни:  0
  • Регистриран на:  20.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Яка тема. Ако беше станало с "javajavascriptscript" щеше да е тоо изи май. Когато си написал:

След това замених // с //\ и не съм сигурен защо го направих, но проработи

го разбирам, един вид че си послушал интуицията си.

В опита ти често ли подсказва в правилната посока или повечето пъти води към поредния rabbit hole?

Link to comment
Сподели другаде


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  137
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

, v4k7or каза:

Яка тема. Ако беше станало с "javajavascriptscript" щеше да е тоо изи май. Когато си написал:

След това замених // с //\ и не съм сигурен защо го направих, но проработи

го разбирам, един вид че си послушал интуицията си.

В опита ти често ли подсказва в правилната посока или повечето пъти води към поредния rabbit hole?

Според мен е важно човек да се доверява на инстинкта си. Това, което се случва обикновено е, докато тестваш пробваш адски много неща и понякога дори не влагаш мисъл, а експериментираш и наблюдаваш резултатите, за да видиш как ще процедираш.

Link to comment
Сподели другаде

  • 1 месец по-късно...

  • Група:  [Член]
  • Последователи:  0
  • Брой мнения:  1
  • Репутация:   0
  • Спечелени дни:  0
  • Регистриран на:  18.04.2023
  • Статус:  Оффлайн

Евала, доста интересно.

Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

Asset3.png.df693f7661f6e8a7a3ec208659eda80b.pngtransparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy