Selamlar.
Daha önce GoDaddy'de bulunan bi "blind xss" zafiyeti vardı. Türkçe kaynak pek bulunamıyor günümüz hacker arkadaşları sadece xss ile alert alıp bug bounty diyerek para kazanmaya çalıştığı için maalesef.
Benim çok sevdiğim bir frameworkumsu şey var XSS-Hunter. Genelde doğrulama amaçlı bunu kullanıyorum. Genelde araştırma yaparken ben blackbox yapmayı ve scripti localime alıp yada demosunu kullanıp araştırmayı tercih ediyorum. Daha çok hoşuma gidiyor bu şekilde.
Genelde XSS zafiyeti çıkan scriptler hep arama kutularında vs bu zafiyeti bırakıyorlar. Az önce incelediğim bi "SupportDesk" scripti vardı. Burda müşteri gidip derdini anlatan "ticket"lar açıyor ve admin panelinden bunları görüntüleyip cevap yazabiliyor bunlara.
Şimdi burdaki zafiyet şu şekilde:
Gönderdiğimiz hemen hemen tüm input alanlarında bir filtreleme yapılmadığı için xss zafiyeti mevcut. Ancak burda problemli nokta şu: Admin panelden bunları görüntülüyor. Yani en basitinden siz bu açıkla adminin "cookie" değerini aldıp onun yerine giriş yapabilirsiniz.
Şimdi. Siteye girdiğimiz de bizi şöyle bir sayfa karşılıyor.
 |
| Resim yazısı ekle |
Burdaki durumdan anlaşılacağı üzere, bize en büyük alanı "mesaj" kısmı sağlamakta. Burayı kullanarak atak yapıp XSS-Hunter ile admin paneline ufak bi göz atıcaz.
XSS-Hunter kullanımıyla ilgili baya bi kaynak vardır muhtemelen. Zaten açık kaynak kodlu bi script. Github üzerinden bakabilir hatta kendi sitenize kurup kullanabilirsiniz. Yazan arkadaşın kendi kurulum önergeleri için buraya tıklayabilirsiniz. Kendisinin blogunu da ayrıca takip etmenizi öneririm.
Şimdi. XSS-Huntera sitesinden üye olduktan sonra size bir çok hazır payload sunmakta. Zaten burada spesifik bir payloada gerek olmadığı için ben direkt olarak "script" tagleri içinde bir payload yazacağım.
Yukarıda görüldüğü üzere mesaj kısmına xss-hunterdan aldığım payloadı yazıp gönderiyorum.
Ardından, admin paneline giderek kontrol ediyorum hemen ticketi ve açıyorum.
Biz saldırıyı gerçekleştirdiğimizde admin arkadaşımız böyle görecek. Ardından, XSS-Hunter panelime gidiyorum ve orayı da kontrol ediyorum.
Ve bingo!
Panel içerisinden bir görüntü yakalamayı ve Admin arkadaşın CSRF cookie değerini almayı başardık.
Bu şekilde elde edebiliyoruz rahatlıkla.
Böyle hızlı bir blog-post çıkarmak istedim uzun süredir yazmadığım için. Bu arada yazıda aşağıda referans ve yazmayı sevmiyorum. Referanslarımı şuraya iliştireyim.
Buna benzer bir olayı gördüğüm GoDaddy Blind XSS olayı, ADEO Staj CTF için arkadaşımın gönderdiği soru ( ki godaddy olayının aynısı idi soru ), Mr.Oğuzhan Karaaslan ( ben uğraşırken bana dedi ki abi xss-hunter diye bişi var tek atıyor. )
Umarım biraz da olsa herkesin kafasında bir ışık yakabilmişimdir.
Saygılar.
__
M.