Alt alan adlarını kontrol ederken Intruder kullanan var mı? Benim için kişisel olarak PHP’yi davetsiz misafirlerle birlikte yerel olarak çalıştırmamı sağlayan “XAMPP” adında bir araç kullanıyorum. Buradan index.php içinde basit bir yönlendirme betiği oluşturuyorum, . Daha sonra /etc/hosts/ dosyamı değiştirip “anydomain.com 127.0.0.1” ekliyorum ve şimdi ne zaman http://anydomain.com/?url=https://www.google.com/ adresini ziyaret etsem şu adrese yönlendirecek: google.com.tr Mükemmel.
Peki davetsiz misafir bu işin neresine giriyor… veya daha fazlası, neden? Burp Suite’in güzelliği, Yanıtı kolayca görebilmenizdir ve bu da Kesinlikle ilgimi çeken şey. Önümde olanı görmeyi, kodu, akışı anlamayı seviyorum. İlk sayfada ilginç bir şey olup olmadığını kontrol etmek için sonuçları manuel olarak kaydıracağım, çok fazla JS kullanıyor mu, nelere başvuruluyor, kaç yönlendirme gerçekleşti vb. (evet sıkıcı olabilir.. ama hey, motive oldum, İlgileniyorum ve merak ediyorum. Neler olduğunu bilmek istiyorum).
Bunu yapmaya başlamak için http://www.anydomain.com/?url=https://www.example.com/ adresini ziyaret edip bu isteği Intruder’a göndereceğim. Daha sonra, kazıdığım alt alan adlarının bir listesini yükleyeceğim, tüm yönlendirmeleri takip edecek (ve çerezleri işleyecek) geğirmeyi ayarlayacağım, yük kodlamasının işaretini kaldıracağım ve ardından saldırıyı başlatacağım!
(Bu aynı zamanda XSS ve diğer hatalara yönelik toplu testler yapmak ve sonuçları toplu olarak kontrol etmek için Grep’i kullanmak için de harika olabilir. Belki bir gün bu konuda ayrıntılı bir yazı yazacağım)
Peki bu nasıl benim P1 bulmamla sonuçlandı? Tarama tamamlandıktan sonra her sonuca göz atmaya başladım ve belirli bir alanda çok sayıda JavaScript kullanıldığını fark ettim. Merak beni yendi ve bu sayfaya bir göz atmak ve ne yaptığını görmek istiyorum. Kök etki alanına göz attıktan sonra /login’e yönlendirildi, bu nedenle burada ilginç bir şey olabilir.
Gördüğünüz gibi yukarıdaki kod, kullanıcıların giriş bilgileriyle birlikte /login’e bir POST isteği gönderecek ve başarılı olursa /dashboard’a yönlendirecektir. Bir hacker olarak şunları yapmalısınız: Her zaman Ne olacağını görmek için yine de bu URL’leri ziyaret etmeyi deneyin. Benim durumumda anında /login’e yönlendirildi ancak Burp içerik uzunluğunun 224137 olduğunu söylüyor… yeni yönlendirildiğini düşünürsek bu oldukça büyük mü? Ya da yaptın mı..?!
Yönlendirme META Yenileme yoluyla yapıldı ancak sayfa içerikleri de yüklenmişti ve bu yenileme yalnızca en üstteydi. Sayfayı yönlendirmenin ortasında duraklatırsam, yönetici kontrol panelinin nasıl göründüğünü görebilirdim ancak hiçbir şey işe yaramadı (sayfayı yüklemenin ortasında duraklatmamdan dolayı). Kapat ama lanet etmek! Sayfanın içeriğine göz atarken (kaynak görünümü :)), daha fazla uç noktaya referans veren daha fazla JavaScript kodunun kullanıldığını bir kez daha fark ettim, ancak bu sefer AppSpot.com’daydılar. Artık harici bir etki alanına çağrı yaptığı için, ben sadece biliyordum oturum yönetimi olmazdı.. ah ve çağrı yapmak için API-KEY’in gerekli olduğu gerçeğine de değinildi. Hadi bunu test edelim!
Gerekli API-ANAHTARI ile appspot URL’sine bir istek gönderdikten sonra, şifrelenmiş bir dizeye benzeyen bir yanıtla yanıt verdi. Hmm.. ilginç, bu ne işe yarıyor? Yaklaşıyoruz ama şu ana kadar bildirilecek ilginç bir şey yok.
Beni bilirsin, notlarımı seviyorum. Ne zaman ilginç şifrelemenin kullanıldığını, kimlikleri, parametre adlarını vb. görsem. bunu not ediyorum. Bu durumda, tamamen farklı bir alt alanda, bu şifrelenmiş kimliği parametre değeri olarak alan ve kullanıcıya ilişkin PDF formatında PII bilgileriyle yanıt veren başka bir uç nokta vardı. Ve artık bildirmeye değer..! 😉 Haber verdikten sonraki 20 dakika içinde en büyük ödülle ödüllendirildim.
Bunu özetlemek gerekirse basitçe şunu söyleyebilirim:
- Temel araçları kullanarak alt alanlar için kazındı
- Belirli anahtar kelimeler için sonuçları ve toplu grep’i kontrol etmek amacıyla bunları geğirme davetsiz misafiri aracılığıyla taradım (örneğin, potansiyel ajax isteklerini aramak için “url:”. “xmlhttprequest”, “POST” vb.)
- Ajax isteklerini kullanan ilginç bir alan bulundu, kimliği doğrulandıktan sonra /dashboard’a yönlendirileceğini gördüm
- /dashboard’u ziyaret ettim ve otomatik olarak yeniden yönlendirildim, ancak bunun yalnızca bir META yenilemesi olduğunu ve içeriğin de gerçekten yüklendiğini fark ettim.
- Yüklenen içeriğe göz attım (view-source 🙂 ve parametre olarak kullanıcı kimliğini alan appspot.com alanına daha da fazla javascript kodu isteğinde bulunulduğunu gördüm. Bu ne işe yarıyor?
- Bu uç noktayı sorgulamaya çalıştım ve herhangi bir kullanıcı hakkındaki bilgileri açığa çıkarabileceğimi keşfettim tamamen doğrulanmamış yanıt verdiği şifreli kimliği ayrı bir alt alandaki başka bir uç noktada kullanarak.
TLDR: Herhangi bir kullanıcı kimliğini giriyorum, şifreli kimlikle yanıt veriyor, bu kimliği onların PII bilgilerini açığa çıkarmak için kullanıyorum.
Bir sayfanın yönlendirme yapmasının nasıl ve neden olduğunu öğrenin. Kimliğiniz doğrulanmadığı için mi? 302 başlığı aracılığıyla mı yükleniyor yoksa bazı javascript/meta yenileme yoluyla mı yönlendiriliyor? Öyleyse, sayfanın yönlendirdiği kodda ilgi çekici bir şey var mı?
Kaçınız github ve google gibi yerlerde “.appspot.com”u merak ediyor? (“appspot.com” şirket adı kadar basit bir şey bile bana sonuç verdi) Veya sadece .appspot.com’un alt alan adlarını izlemek bile. Şirketler, test amaçlı (bunu unutabilirler) veya üretimde kullanılan (bu durumda .js dosyalarında referans verilen API anahtarlarını bir yerlerde bulabilirsiniz) ilginç API’leri orada barındırmayı severler. Swagger’ı bulmak popülerdir.
Not alın, şu anda ilginizi çekmediğini düşünseniz bile, bir programa ne kadar uzun süre harcarsanız notlarınızın o kadar faydası olur. Mantıklı olmalarına gerek yok, yalnızca zihinsel olarak kaydetmeniz gerekiyor “bir şey var [xyz] burada kullanılması ilginç görünüyor”. Yapbozun son parçasına ne zaman ihtiyaç duyulacağını asla bilemezsiniz. 😉
Ne kadar çok görebilirseniz o kadar iyi. Yalnızca alt alan adlarınızın ekran görüntülerine güvenmeyin, gizli bilgileri kontrol edin!
Mutlu hacklemeler!
-zseano