Hỏi đáp exploit CVE-2019-9787

Thảo luận trong 'Exploitation' bắt đầu bởi xxxshadon, 09/06/21, 03:06 PM.

  1. xxxshadon

    xxxshadon Member

    Tham gia: 21/04/21, 11:04 PM
    Bài viết: 15
    Đã được thích: 1
    Điểm thành tích:
    3
    Chào mọi người, em đang làm demo báo cáo lỗ hổng CVE-2019-9787, em có một số vướng mắc nhờ mọi người giải đáp:
    Em thực hiện trên Wordpress 4.9.8.
    Khi thực hiện demo lỗ hổng XSS, CSRF. Em sử dụng đoạn mã <script>alert(document.cookie)</script> để lấy cookie, và thông tin hiện ra như hình:
    upload_2021-6-9_14-46-13.png
    Sau đó em sử dụng EditThisCookie để add cookie, nhưng với thông tin trích xuất như trên thì làm sao em có thể đăng nhập được. Trên mạng em chỉ tìm thấy hướng dẫn về cách phát hiện chứ em chưa tìm thấy các bài viết hướng dẫn về việc khai thác nó cả. Nhờ mọi người hướng dẫn giúp em.
    Em cảm ơn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. tuantran

    tuantran Moderator Thành viên BQT

    Tham gia: 27/04/17, 09:04 AM
    Bài viết: 22
    Đã được thích: 11
    Điểm thành tích:
    3
    Đối với đoạn script này <script>alert(document.cookie)</script> thì nó show cho e 2 điều: 1 là client thể chạy được script. và javascript có thể đọc được cookie.
    Để exploit được nó và ăn cắp được cookie của người khác thì e nên tạo payload để ăn cắp cookie bằng việc inject code script vào đó.
    Dựa vào cookies mà e lấy được thì gửi thực hiện những request mà e muốn như là 1 user e đã ăn cắp. Hoặc là e lấy cookie đó vào browser vào sau đó reload page.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. bobby13689

    bobby13689 Moderator Thành viên BQT

    Tham gia: 27/04/17, 09:04 AM
    Bài viết: 26
    Đã được thích: 33
    Điểm thành tích:
    18
    Mình đang chưa thấy session cookie có trong đoạn alert trên, có 2 khả năng:
    1. Người dùng này chưa đăng nhập
    2. Người dùng đã đăng nhập nhưng session cookie đã được set Secure, HTTPOnly flag.
    Bạn check xem trường hợp nào đúng nhé, trước khi đi qua bước exploit lỗi này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. xxxshadon

    xxxshadon Member

    Tham gia: 21/04/21, 11:04 PM
    Bài viết: 15
    Đã được thích: 1
    Điểm thành tích:
    3
    em đã đăng nhập rồi ạ, có cách nào lấy được session cookie ở đây không anh
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. bobby13689

    bobby13689 Moderator Thành viên BQT

    Tham gia: 27/04/17, 09:04 AM
    Bài viết: 26
    Đã được thích: 33
    Điểm thành tích:
    18
    Lấy session cookie thì chỉ dùng được trên những browser cũ, không hỗ trợ các flag mà mình nói ở trên.

    Có 1 cách khác, không cần lấy session cookies, nhưng vẫn RCE được, đó là em dùng XSS để lấy CSRF token, sau đó thực hiện các request dưới quyền administrator, ví dụ như thêm mới plugin, thêm mới tài khoản. Các thêm plugin là phổ biến nhất. Sau đó chiếm quyền ứng dụng thông qua plugin này (chứa shellcode của em).

    Để tìm các ví dụ cụ thể về việc chain các lỗ hổng này lại với nhau, bạn có thể search từ khóa "Wordpress CSRF + XSS + RCE" trên google.

    Thank you.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. xxxshadon

    xxxshadon Member

    Tham gia: 21/04/21, 11:04 PM
    Bài viết: 15
    Đã được thích: 1
    Điểm thành tích:
    3
    Để em thử tìm ạ, không là mất công bao lâu em tìm hiểu, lại không nộp được báo cáo.
    Em cảm ơn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan