Swagger-UI 反射型 XSS导致帐户接管

>世界你好！

你好，触摸上的 scr1pty！我是一名安全人员，决定一次改变自己的生活，并将我的职业生涯从安全管理转向道德黑客。我全职进行渗透测试，但在空闲时间我会寻找错误。这是我的第一篇博文，希望您会觉得它有趣。这篇文章介绍了我如何在 Swagger-UI 中发现反射型 XSS，从而导致帐户接管。

>侦察阶段

由于每个黑客都有自己的侦察方法，我也有自己的侦察方法[顺便说一句，如果你想要单独发一篇关于侦察的帖子，请发表评论]。

这是一个简单的 bash 脚本，可以自动执行 assetfinder、subfinder 来搜索子域，以及 httpx 工具来探测活动资产。我的下一步总是使用 nuclei-templates，尤其是 nuclei-templates/http/technologies。

同时，我使用 Wappalyzer 打开所有子域 URL，以手动拾取容易发现的错误（如果有的话）。

经过一小时的原子核扫描（因为我通常使用大型示波器），我在目标上找到了 Swagger-UI 路径：

https://redacted.com/swagger-ui/

我开始研究 Swagger 是否存在漏洞，并立即尝试使用 curl 发送任何经过身份验证的 API 请求，但无需身份验证。我希望可能存在配置错误，允许在未经身份验证的情况下访问用户数据或其他敏感文件。不幸的是，这没有奏效，但经过几个小时的研究，我偶然发现了以下文章：

• 黑客 Swagger-UI：从 XSS 到帐户接管
  

  https://blog.vidocsecurity.com/blog/hacking-swagger-ui-from-xss-to-account-takeovers/

• 我如何通过 Swagger-UI DOM XSS 窃取用户的凭据
  

  https://medium.com/@AlQa3Qa3_M0X0101/how-i-was-able-to-steal-users-credentials-via-swagger-ui-dom-xss-e84255eb8c96

>利用理念

这个想法是创建两个公开可用的文件（在上述参考文献中查找模板）：

• scripty.json：这是一个 .json 文件，作为 .json 扩展名中接受的 Swagger-UI 配置文件。此 .json 文件指的是我们的第二个 .yaml 文件。
• scripty.yaml：此 .yaml 文件包含用 JavaScript 编写的 XSS 有效负载。我用于 PoC 的有效负载会使用 document.cookie 触发弹出警报。

提示如下：如果您不想使用漏洞文件托管您的服务器 — — 只需将它们上传到您的 GitHub 存储库并使用原始链接。

>利用目标

现在我们准备好利用我们的目标（如果它容易受到攻击）。我们需要通过目标路径在“configUrl”或“url”参数中输入 .json 文件的链接：

https://redacted.com/swagger-ui/index.html?configUrl=

看看会发生什么：

https://redacted.com/swagger-ui/index.html?configUrl=https://raw.githubusercontent.com/YourProfile/swaggersploit/main/YourJsonFile.json

当受害者访问上述 URL 时，XSS 负载就会被执行，从而触发一个弹出窗口，该窗口可以捕获受害者的 cookie 并将其发送给攻击者。

>结果

如图所示，有效负载当前会触发弹出窗口以进行证明。修改此有效负载可能允许攻击者捕获会话令牌或 cookie，从而实现对受害者帐户的未经授权的访问，包括管理员权限（如果会话属于管理用户）。

Swagger-UI XSS Leading to Account Takeover on Crypto Exchangehttps://scr1pty.medium.com/how-i-found-xss-in-swagger-ui-leading-to-account-takeover-on-bug-bounty-8d419c6b95d5

原文始发于微信公众号（Ots安全）：Swagger-UI 反射型 XSS导致帐户接管