رایتاپ Privilege Escalation شماره 3

سلام.من بهروز منصوری هستم و با رایتاپ Privilege Escalation شماره 3 قصد دارم نشان بدم که چطور با IDOR یک آسیب‌پذیری Privilege Escalation پیدا کردم که دسترسی من را به سطح ادمین می رساند.

قبل از شروع، چند نکته وجود دارد که باید بدانیم.

دستکاری پاسخ چیست:

اگر با دستکاری پاسخ آشنا نیستید، اجازه دهید آن را به زبان ساده توضیح دهم.

هنگام ایجاد حساب کاربری و ورود به سیستم، دو امکان وجود دارد:

اگر ایمیل و رمز عبور درست باشد، کد وضعیت “200 OK”، همراه با برخی هدرها و در نهایت یک پیام “موفقیت” مشاهده می کنید.

در غیر این صورت، کد وضعیت “400 Bad Request”، همراه با برخی از هدرها، و در نهایت یک پیام “خطا” مشاهده می کنید.

حالا قسمت جالب شروع می شود.

اگر بتوانم پاسخ را از “400 Bad Request” به “200 Ok” تغییر دهم و با موفقیت وارد حساب کاربری شوم، در این مورد تصاحب حساب کاربری است.

اما مورد من متفاوت است. بیایید آن را بررسی کنیم.

سایت target.com بود که یک برنامه عمومی در VDP هکروان است.

وقتی آن را بررسی کردم، sub2.sub1.target.com را با فرم ورود پیدا کردم.

من فقط حساب ایجاد می کنم و ایمیل را تأیید می کنم.

پاسخ در حالت اول [اعتبارنامه اشتباه]:

HTTP/1.1 200 OK
Content-Length: 82
Connection: close
Content-Type: application/json; charset=utf-8
Date: Tue, 15 Aug 2023 16:11:20 GMT
Access-Control-Allow-Origin: *
ETag: W/“52-3Nsz7z/ATQ1v297yD8XTtPUCdEI”
X-Powered-By: Express

{“isSuccess”:false,“code”:“AUTH_INCORRECT_PASSWORD”,“reason”:“Incorrect password”}

پاسخ در حالت دوم [اعتبارنامه درست]:

HTTP/1.1 200 OK
Content–Length: 417
Connection: close
Content–Type: application/json; charset=utf-8
Date: Mon, 14 Aug 2023 14:44:44 GMT
Access–Control–Allow–Origin: *
ETag: W/“1a1-g2yaHMuV1TJmZVsbXmht2DNOGow”
Set–Cookie: jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJlbWFpbCI6Im9tYXIzMTI2MjAwM0BnbWFpbC5jb20iLCJpZCI6MzMxLCJpc0FkbWluIjpmYWxzZSwiaXNTZWN1cml0eUFkbWluIjpmYWxzZSwiaWF0IjoxNjkyMDI0Mjg0LCJleHAiOjE2OTIwNjc0ODR9.G_Ox5CWuuXo95vcCZHqaTvwWLhBbdwKqkuUXk0HUKHo; Path=/; Expires=Tue, 15 Aug 2023 02:44:44 GMT; HttpOnly
X-Powered–By: Express

{“isSuccess”:true,“token”:“jwt_token”,“user”:{“id”:331,“firstName”:“Omar”,“lastName”:“Ahmed”,“email”:“acc_EMAIL1”,“isAdmin”:false,“emailConfirmed”:true,“isSecurityAdmin”:false}}

من فقط یک حساب دیگر ایجاد می کنم، آن را تأیید می کنم و با رمز عبور اشتباه وارد می شوم.

در حالت عادی، پاسخ در حالت اول مشاهده خواهد شد.

اما وقتی پاسخ در حالت دوم را کپی کنید و به جای پاسخ در حالت اول و با تغییر ID به acc2 قرار دهید، وارد می شود.

در نتیجه تصاحب حساب کاربری اتفاق می افتد.

مطمئناً متوجه پارامترهای “isAdmin، isSecurityAdmin” شدم.

وقتی در هر حساب کاربری با اعتبار واقعی وارد می‌شوم و دو پارامتر را از false به true تغییر می‌دهم، با مجوزهای مدیریت وارد آن می‌شوم و به پوشه‌ها و فهرست‌های مدیریت دسترسی پیدا می‌کنم و پروژه‌ها و گزینه‌های بیشتری را می‌بینم که فقط با نقش مدیر مجاز است.

این رایتاپ Privilege Escalation شماره 3 بود و شما می توانید شماره ۱ آن را اینجا و شماره ۲ را اینجا مطالعه کنید.

اگر به هک و امنیت علاقه داری پیشنهاد میکنم همین الان با دوره کلوپ امنیت ۱ وارد این حوزه بشی.

رایتاپ Privilege Escalation شماره 3

دستکاری پاسخ چیست:

پاسخ در حالت اول [اعتبارنامه اشتباه]:

پاسخ در حالت دوم [اعتبارنامه درست]:

درباره ما

دسترسی سریع

تمامی حقوق برای مرزبان محفوظ می باشد.