BlackshadoW 16 گزارش دادن ارسال شده در اردیبهشت 98 سلام دوستان سایتی مدنظرمه که روی سرورش یه سایت با باگ SSRF وجود داره کسی می تونه نحوه نفوذ به سایت با باگ SSRF رو بهم توضیح بده ؟؟ تو مقالات انگلیسی که پیدا کردم توضیحات برام گنگ بود و موفق نشدم 1 واکنش ها : johnjones به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
armanbabaei 371 گزارش دادن ارسال شده در اردیبهشت 98 سلام این یک نوع باگ از نوع xss هست از این لینک ببینید فکر کنم بهتر متوجه بشید https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html 4 1 واکنش ها : BlackshadoW ، proxy ، MR.wIzArD و 2 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
BlackshadoW 16 گزارش دادن ارسال شده در اردیبهشت 98 در 6 ساعت قبل، armanbabaei گفته است : سلام این یک نوع باگ از نوع xss هست از این لینک ببینید فکر کنم بهتر متوجه بشید https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html پس در این حالت فقط میشه اطلاعات کاربرهایی که به سایت وصل میشند رو بدست آورد و بدرد بدست آوردن DBS سرور نمیخوره !!! اگه اشتباه می کنم لطفا راهنماییم کنید 1 1 واکنش ها : johnjones و MR.wIzArD به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
armanbabaei 371 گزارش دادن ارسال شده در اردیبهشت 98 درست میگید اگه به فکر دیتابیس هستید بهتر از تارگتتون بتونید باگ sql پیدا کنید 2 1 واکنش ها : johnjones ، BlackshadoW و MR.wIzArD به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
BlackshadoW 16 گزارش دادن ارسال شده در اردیبهشت 98 در 50 دقیقه قبل، armanbabaei گفته است : درست میگید اگه به فکر دیتابیس هستید بهتر از تارگتتون بتونید باگ sql پیدا کنید از پنج سایتی که روی سرور هست هیچ کدوم مناسب SQL INJECTION نیست !! مشکل اصلی منم دقیقا همینه و چون حالت پروژه هست باید راهی پیدا کنم برای نفوذ به هر حال مرسی آرمان جان از بابت راهنماییهات 1 واکنش ها : johnjones به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
mrmesvak 4 گزارش دادن ارسال شده در اردیبهشت 98 نه عزیز اشتباه میکنی برای همه چیز بدرد میخوره خب بزار از طریف ssrf شروع کنیم که ببینیم باگی که شما پیدا کردید اصلا این هست یا نه خب امید وارم با واژه ی uri اشنایی داشته باشید وقت شما میتونید در یک سایت لینکی بزارید مثلا شما به یک سایت url میدید که اون رو که یک عکس یا بکگراند هست رو روی پروفایل یا بکگراند فروم شما بزاره خب حالا این میتونه webhook ها باشه یا ..... پس شما هر uri که بدید این تبدیل به csv میشه یا بقول خودمونی هر لینکی شما بدید سرور تبدیل به دیتاش میکنه یا میریزتش توی فایلی که csv هست خب حالا اگر ما با چیزی مثل etc/password/.... که توی sqli هم هست یا /admin/add_user /user:mesvak&password: something اون لینک مون رو بفرستیم شما میتونید یک یوزر پسورد بدون هیچ لوگین کردنی به ادمین یا پنل بسازید از اون etc/password هم مطمعنن میدونید میشه دیتابیس و هرچیزی که میخواید رو بگیرید ولی یک مقدار کار پیچیده ای هست اموزشی براتون اماده میکنم میزارم بزودی که میشه دیتا رو هم بگیری ولی بیشتر مواقع یا نمیشه بایپس کرد مثلا سایتای بزرگ و خوبی مثل ebay امتحان کردم نشد بستگی به امنیت اون سایت ها هم داره و یک طور بایپس پیاده میکنید و چیز جالب درباره ی این باگ اینه که چون یک مقدار پیچدست و دانش کد زنی داشته باشی تا یک چیزارو بگذرونی و اکسپلویت های زیادی براش نیست پس خیلی از سایت های خوب دارند ولی کسی نمیدونه (برعکس sqli) درباه گرفتن اطلاعات که گفتید بله میشه قشنگ اطلاعات خیلی زیادی ازش بدست اورد و حتی پورت ها رو عوض کنید که بایپس کنید چون معمولا سایت ها یی که امنیت بالایی دارند 1- فقط پورت های 443 و 80 رو باز میزارند که میدونید برای چی هست 2-فقط ایپی سایت رو مخصوص هاست خارجی قرار میدند یعنی شما به دیتا دسترسی نخواهی داشت (بندرت دیده میشه ولی ای بی اینکارو کرده ) 3-و قطع دسترسی هرگونه پروتکلی که https or http نیست خب برای بایپس کردنشون باید راهی مخالف اینا پیدا کنی اولی میشه من تو کالی یک پیلود و اکسپلویت دارم که اینکارو کردم پابلیکش نمیکنم و قسمت دوم رو راهی فعلا ندارم قسمت سوم هم بایپسش توی اینترنت فکر کنم هست ولی بگیر نگیر داره برای مثال یک سمپل قدیمی میزنم یک سایتی خیلی وقت پیش تقریبا 2 هفته پیش این شکلی یک پیلود yml اپ شده و apis رو گرفتم metadata بخش مهمی که براحتی میتونی با این باگ دسترسی پیدا کنی و api سایت و توکن و حتی تموم سورس ها مثل این مثال ببینی خب این سایت خودش یک رانر بود روی لینوکس یعنی برنامشو نصب میکردی و فایل هایی با فرمت yml رو ران میکرد پس یک فایل میسازیم با فرمت yml توش اکسپلویتمون رو میزاریم image: node:latest cache: paths: - node_modules/ test: stage: test script: - npm install - npm test pack: stage: deploy script: - chmod +x run.sh - ./run.sh - npm install - npm pack artifacts: paths: - ./*.tgz پسوند رو باید یک چیزی بزاری که بتونه نفوذ کنه خوب این برنامه این رو یک طور دیباگ استارت میکنه اگر اینطوری بزاری gitlab-ci.yml پس یک فایل با این پسوند میسازیم بعد میزنیم دستور لینوکس رو اینطوری curl -L http://169.254.169.254/metadata/v1/ خب کرل همونطور که میدونی دیتای اون قسمت هاست رو بما میده خوب پس ما یک اکسپلویت اجرا کردیم و حالا اون قسمتم بعدش اجرا میکنیم که ببینیم ایا اطلاعاتی بما میده از اون قسمت یا نه اگر در حالت معمولی باشه هیچی نمیده ولی بعد از دو بار ران کردنه پیلود بالا اینارو میشه گرفت id hostname user-data vendor-data public-keys region interfaces/ dns/ floating_ip/ tags/ features/ خب اینا همون چیزای خصوصی و شخصی سرور که گفتم میبینی چه چیزایی نشون داده و ما به چه داده هایی دسترسی داریم حالا با دستور cd وارد هر کدوم خواستی میشی و ls میگیری هر بار که ببینی کجایی چی ران و.... هر چیم خواستی بدرد خور بود با دستور فایل چکش میکنی دانلودش میکنی و اینا اخرش بگم bug bounty اگر شنیده باشی این روزا خیلی کاربرد داره تقریبا هکر ها رو بروش خوبی برده که با هک کردن بصورت قانونی پول در میاری و این باگ هم داغ این روزا بازارش برای همین باگ بالا سایت سازندش 4000 دلار داد 2 2 واکنش ها : BlackshadoW ، DeMoN ، RT3N و 1 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
BlackshadoW 16 گزارش دادن ارسال شده در اردیبهشت 98 در 22 ساعت قبل، mrmesvak گفته است : نه عزیز اشتباه میکنی برای همه چیز بدرد میخوره خب بزار از طریف ssrf شروع کنیم که ببینیم باگی که شما پیدا کردید اصلا این هست یا نه خب امید وارم با واژه ی uri اشنایی داشته باشید وقت شما میتونید در یک سایت لینکی بزارید مثلا شما به یک سایت url میدید که اون رو که یک عکس یا بکگراند هست رو روی پروفایل یا بکگراند فروم شما بزاره خب حالا این میتونه webhook ها باشه یا ..... پس شما هر uri که بدید این تبدیل به csv میشه یا بقول خودمونی هر لینکی شما بدید سرور تبدیل به دیتاش میکنه یا میریزتش توی فایلی که csv هست خب حالا اگر ما با چیزی مثل etc/password/.... که توی sqli هم هست یا /admin/add_user /user:mesvak&password: something اون لینک مون رو بفرستیم شما میتونید یک یوزر پسورد بدون هیچ لوگین کردنی به ادمین یا پنل بسازید از اون etc/password هم مطمعنن میدونید میشه دیتابیس و هرچیزی که میخواید رو بگیرید ولی یک مقدار کار پیچیده ای هست اموزشی براتون اماده میکنم میزارم بزودی که میشه دیتا رو هم بگیری ولی بیشتر مواقع یا نمیشه بایپس کرد مثلا سایتای بزرگ و خوبی مثل ebay امتحان کردم نشد بستگی به امنیت اون سایت ها هم داره و یک طور بایپس پیاده میکنید و چیز جالب درباره ی این باگ اینه که چون یک مقدار پیچدست و دانش کد زنی داشته باشی تا یک چیزارو بگذرونی و اکسپلویت های زیادی براش نیست پس خیلی از سایت های خوب دارند ولی کسی نمیدونه (برعکس sqli) درباه گرفتن اطلاعات که گفتید بله میشه قشنگ اطلاعات خیلی زیادی ازش بدست اورد و حتی پورت ها رو عوض کنید که بایپس کنید چون معمولا سایت ها یی که امنیت بالایی دارند 1- فقط پورت های 443 و 80 رو باز میزارند که میدونید برای چی هست 2-فقط ایپی سایت رو مخصوص هاست خارجی قرار میدند یعنی شما به دیتا دسترسی نخواهی داشت (بندرت دیده میشه ولی ای بی اینکارو کرده ) 3-و قطع دسترسی هرگونه پروتکلی که https or http نیست خب برای بایپس کردنشون باید راهی مخالف اینا پیدا کنی اولی میشه من تو کالی یک پیلود و اکسپلویت دارم که اینکارو کردم پابلیکش نمیکنم و قسمت دوم رو راهی فعلا ندارم قسمت سوم هم بایپسش توی اینترنت فکر کنم هست ولی بگیر نگیر داره برای مثال یک سمپل قدیمی میزنم یک سایتی خیلی وقت پیش تقریبا 2 هفته پیش این شکلی یک پیلود yml اپ شده و apis رو گرفتم metadata بخش مهمی که براحتی میتونی با این باگ دسترسی پیدا کنی و api سایت و توکن و حتی تموم سورس ها مثل این مثال ببینی خب این سایت خودش یک رانر بود روی لینوکس یعنی برنامشو نصب میکردی و فایل هایی با فرمت yml رو ران میکرد پس یک فایل میسازیم با فرمت yml توش اکسپلویتمون رو میزاریم image: node:latest cache: paths: - node_modules/ test: stage: test script: - npm install - npm test pack: stage: deploy script: - chmod +x run.sh - ./run.sh - npm install - npm pack artifacts: paths: - ./*.tgz پسوند رو باید یک چیزی بزاری که بتونه نفوذ کنه خوب این برنامه این رو یک طور دیباگ استارت میکنه اگر اینطوری بزاری gitlab-ci.yml پس یک فایل با این پسوند میسازیم بعد میزنیم دستور لینوکس رو اینطوری curl -L http://169.254.169.254/metadata/v1/ خب کرل همونطور که میدونی دیتای اون قسمت هاست رو بما میده خوب پس ما یک اکسپلویت اجرا کردیم و حالا اون قسمتم بعدش اجرا میکنیم که ببینیم ایا اطلاعاتی بما میده از اون قسمت یا نه اگر در حالت معمولی باشه هیچی نمیده ولی بعد از دو بار ران کردنه پیلود بالا اینارو میشه گرفت id hostname user-data vendor-data public-keys region interfaces/ dns/ floating_ip/ tags/ features/ خب اینا همون چیزای خصوصی و شخصی سرور که گفتم میبینی چه چیزایی نشون داده و ما به چه داده هایی دسترسی داریم حالا با دستور cd وارد هر کدوم خواستی میشی و ls میگیری هر بار که ببینی کجایی چی ران و.... هر چیم خواستی بدرد خور بود با دستور فایل چکش میکنی دانلودش میکنی و اینا اخرش بگم bug bounty اگر شنیده باشی این روزا خیلی کاربرد داره تقریبا هکر ها رو بروش خوبی برده که با هک کردن بصورت قانونی پول در میاری و این باگ هم داغ این روزا بازارش برای همین باگ بالا سایت سازندش 4000 دلار داد توضیحاتتون خیلی عالی بود یه خواهش ازت دارم چون من قبلا با باگ SSRF هیچ زد و خوردی نداشتم فقط درحد اطلاعات شفاهی چیزهایی بدست آوردم که نمی تونم روش کار کنم اگه لطف داشتی یه فایل آموزشی ویدیویی از روشی که با کالی تست می کنی برامون بفرستی خیلی ممنون میشم حتی خواستین من سایتی که باگ SSRf داره بدم 1 واکنش ها : johnjones به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر