H1-4420: From Quiz to Admin – Chaining Two 0-Days to Compromise An Uber WordPress

링크:

https://www.rcesecurity.com/2019/09/H1-4420-From-Quiz-to-Admin-Chaining-Two-0-Days-to-Compromise-an-Uber-Wordpress/

요약:

  1. 해당 취약점은 두 가지 취약점은 연계하여 admin credential을 takerover함 (Unauthenticated Stored XSS, Authenticated SQL Injection)
  2. 첫 번째 취약점은 php/slickquiz-scores.php의 generate_score_row에서 유저의 인풋을 통해 admin이 admin 페이지에 접속하여 정보를 조회할때 XSS가 가능한 취약점.
  3. 두 번째는 admin으로 로그인 했을때 wp-admin의 slickquize-scoreds 페이지의 id 인자에서 SQL Injection이 존재
  4. SQL Injection이 담긴 페이지를 요청하는 javascript를 로드하도록 XSS의 src를 해커의 페이지로 변경하여 강제로 실행하도록 함. 인젝션을 통해 user_pass가 출력됨

Exploiting File Uploads Pt. 2 – A Tale of a $3k worth RCE.

링크:

https://anotherhackerblog.com/exploiting-file-uploads-pt-2/

요약:

  1. 신분 검사를 위해 사진을 업로드하는 페이지가 존재하는데 파일 확장자를 클라이언트 측에서 검사를 하여 burp suite로 우회가능
  2. 무슨 파일을 올릴지 고민하다가 XSS hunter라는 툴을 통해 직원이 파일 실행하는 것을 확인

파일 업로드를 했는데 직원이 실행하여 RCE 라고 올렸는데,, 흠,, 애매한 취약점이었던 듯 하다. 이 취약점이 3k나 받았다는 것도 놀라울 따름..

How two dead accounts allowed REMOTE CRASH of any Instagram android user

링크: https://www.valbrux.it/blog/2019/09/13/how-two-dead-users-allowed-remote-crash-of-any-instagram-android-user/

요약:

  1. 인스타그램은 PKID라는 아이디 번호가 있는데, 가장 초기에 만들어진 1, 2가 아이디 이름이 공백으로 되어 있음. 공백으로 되어있을 시 예외를 제대로 처리하지 않았을 가능성이 농후함.
  2. 다른 사람을 그룹에 초대한 후 아이디 1,2를 초대하도록 서버에 요청을 보내면 초대된 사람 측에서 어플이 Denial of Service

Race Condition that could Result to RCE - (A story with an App that temporary stored an uploaded file within 2 seconds before moving it to Amazon S3)

링크:

요약:

  1. sql injection으로 내부 dashboard의 admin 권한을 얻음
  2. upload.php라는 기능에서 php 확장자를 필터링하지만 modify.php라는 이전에 올린 파일을 수정하는 기능에서는 php 필터링을 확장하지 않아서 쉽게 php 파일을 업로드하는 것이 가능했다. (웹쉘 업로드)
  3. 문제는 이 웹쉘 업로드한 것을 S3로 옮길 뿐더러 경로를 알 수 없다는 것. 이것을 우회하기 위해 modify.php에 여러번 리퀘스트 패킷을 발생시키니 레이스 컨디션이 발생하여 에러와 함께 파일의 풀경로가 출력됨
  4. 위의 얻은 경로를 계속 요청하며 파일을 업로드하면 S3로 옮기기 전에 파일이 남아있을 때 운좋게 접속하면 쉘 획득

Exploiting JSONP and Bypassing Referer Check

https://medium.com/bugbountywriteup/exploiting-jsonp-and-bypassing-referer-check-2d6e40dfa24

JSONP가 뭔가 해서 인터넷을 찾아봤는데 다음 링크가 가장 잘 나와있는 듯하다.

http://dev.epiloum.net/1311

SOP를 우회하기 위해 JSONP라는 기법을 이용하게 되는데, 문제는 이를 사용하는 서버에서 데이터를 유출할 수 있다는 점이다. 하지만 해당 서버에서 Referer header를 체크하는 보안 검증 기법이 있었고 단순하게 해당 속성을 no-referrer 로 주어서 해결하였다.