Hỏi đáp exploit CVE-2019-9787

[xxxshadon]

Chào mọi người, em đang làm demo báo cáo lỗ hổng CVE-2019-9787, em có một số vướng mắc nhờ mọi người giải đáp:
Em thực hiện trên Wordpress 4.9.8.
Khi thực hiện demo lỗ hổng XSS, CSRF. Em sử dụng đoạn mã <script>alert(document.cookie)</script> để lấy cookie, và thông tin hiện ra như hình:

Sau đó em sử dụng EditThisCookie để add cookie, nhưng với thông tin trích xuất như trên thì làm sao em có thể đăng nhập được. Trên mạng em chỉ tìm thấy hướng dẫn về cách phát hiện chứ em chưa tìm thấy các bài viết hướng dẫn về việc khai thác nó cả. Nhờ mọi người hướng dẫn giúp em.
Em cảm ơn.

 

Đối với đoạn script này <script>alert(document.cookie)</script> thì nó show cho e 2 điều: 1 là client thể chạy được script. và javascript có thể đọc được cookie.
Để exploit được nó và ăn cắp được cookie của người khác thì e nên tạo payload để ăn cắp cookie bằng việc inject code script vào đó.
Dựa vào cookies mà e lấy được thì gửi thực hiện những request mà e muốn như là 1 user e đã ăn cắp. Hoặc là e lấy cookie đó vào browser vào sau đó reload page.

 

Chào mọi người, em đang làm demo báo cáo lỗ hổng CVE-2019-9787, em có một số vướng mắc nhờ mọi người giải đáp:
Em thực hiện trên Wordpress 4.9.8.
Khi thực hiện demo lỗ hổng XSS, CSRF. Em sử dụng đoạn mã <script>alert(document.cookie)</script> để lấy cookie, và thông tin hiện ra như hình:
View attachment 8892
Sau đó em sử dụng EditThisCookie để add cookie, nhưng với thông tin trích xuất như trên thì làm sao em có thể đăng nhập được. Trên mạng em chỉ tìm thấy hướng dẫn về cách phát hiện chứ em chưa tìm thấy các bài viết hướng dẫn về việc khai thác nó cả. Nhờ mọi người hướng dẫn giúp em.
Em cảm ơn.

Mình đang chưa thấy session cookie có trong đoạn alert trên, có 2 khả năng:
1. Người dùng này chưa đăng nhập
2. Người dùng đã đăng nhập nhưng session cookie đã được set Secure, HTTPOnly flag.
Bạn check xem trường hợp nào đúng nhé, trước khi đi qua bước exploit lỗi này.

 

Mình đang chưa thấy session cookie có trong đoạn alert trên, có 2 khả năng:
1. Người dùng này chưa đăng nhập
2. Người dùng đã đăng nhập nhưng session cookie đã được set Secure, HTTPOnly flag.
Bạn check xem trường hợp nào đúng nhé, trước khi đi qua bước exploit lỗi này.

em đã đăng nhập rồi ạ, có cách nào lấy được session cookie ở đây không anh

 

em đã đăng nhập rồi ạ, có cách nào lấy được session cookie ở đây không anh

Lấy session cookie thì chỉ dùng được trên những browser cũ, không hỗ trợ các flag mà mình nói ở trên.

Có 1 cách khác, không cần lấy session cookies, nhưng vẫn RCE được, đó là em dùng XSS để lấy CSRF token, sau đó thực hiện các request dưới quyền administrator, ví dụ như thêm mới plugin, thêm mới tài khoản. Các thêm plugin là phổ biến nhất. Sau đó chiếm quyền ứng dụng thông qua plugin này (chứa shellcode của em).

Để tìm các ví dụ cụ thể về việc chain các lỗ hổng này lại với nhau, bạn có thể search từ khóa "Wordpress CSRF + XSS + RCE" trên google.

Thank you.

 

Lấy session cookie thì chỉ dùng được trên những browser cũ, không hỗ trợ các flag mà mình nói ở trên.

Có 1 cách khác, không cần lấy session cookies, nhưng vẫn RCE được, đó là em dùng XSS để lấy CSRF token, sau đó thực hiện các request dưới quyền administrator, ví dụ như thêm mới plugin, thêm mới tài khoản. Các thêm plugin là phổ biến nhất. Sau đó chiếm quyền ứng dụng thông qua plugin này (chứa shellcode của em).

Để tìm các ví dụ cụ thể về việc chain các lỗ hổng này lại với nhau, bạn có thể search từ khóa "Wordpress CSRF + XSS + RCE" trên google.

Thank you.

Để em thử tìm ạ, không là mất công bao lâu em tìm hiểu, lại không nộp được báo cáo.
Em cảm ơn.