آسیب‌پذیری Account Takeover در برنامه‌ی بانتی ebay
مقاله
  • ۲۹ بهمن ۱۴۰۲
  • Learning Road Map
  • ۸ دقیقه خواندن

آسیب‌پذیری Account Takeover در برنامه‌ی بانتی ebay

در این رایت‎‌آپ می‌خوام درباره‌ی آسیب‌پذیری Account Takeover صحبت کنم که در یکی از سرویس‌های موجود در برنامه‌ی بانتی ebay پیدا کردم. برنامه‌ی بانتی ebay لیستی از دامین‌های مختلف رو در In-Scope Domains خودش تعیین کرده و در این رایت‌آپ دامینی که در تصویر زیر مشخص شده رو بررسی می‌کنیم:

Internal Recon

در بحث Bug Hunting یکی از مهم‌ترین فازها، ریکان هست که می‌تونیم دو دسته‌ی External Recon و Internal Recon رو در نظر بگیریم که اینجا به صورت مختصر هر کدوم رو توضیح می‌دم. در فاز external هدف شناسایی ساب دامین‌های تارگت هست و سعی می‌کنیم با استفاده از Automation و داشتن یک Recon Workflow به این کار سرعت بدیم.در فاز Internal تمرکز ما بر روی مپ کردن اپلیکیشن است تا با Functionalityها و زیرساخت هدف بهتر آشنا بشیم. بعد از مپ کردن قسمت‌های مختلف این هدف، سعی کردم به دنبال نقاطی باشم که ممکن بود برای من کشف یک آسیب‌پذیری با Impact بالا رو به دنبال داشته باشه.تعداد زیادی از Functionalityها در وب اپلیکیشن‌های مختلف، تنها برای کاربران Authenticated در سیستم فعال هستند و آسیب‌پذیری‌های خوبی رو در این قسمت‌ها می‌شه پیدا کرد. من بعد از لاگین در این اپلیکیشن، یکی از جاهایی که برای تست انتخاب کردم مسیر /MyInfo/MemberInfo بود که در این مسیر یک کاربر می‌تونه از طریق فرم Personal Info که در تصویر زیر می‌بینیم، اطلاعات یا بخشی از اطلاعات خودش رو به روز کنه: 

آسیب‌پذیری منطقی در Personal Info

من داخل این فرم سناریوهای حمله‌ی مختلفی رو در نظر داشتم که یکی از اون‌ها تغییر ایمیل کاربران دیگر این وب اپلیکیشن بود تا بتونم به Account Takeover برسم. قبل از تست این سناریوها، من متوجه شدم اگر روی Edit در جلوی ایمیلم کلیک کنم، یک پیام نمایش داده می‌شه که اپلیکیشن از من می‌خواد برای تغییر ایمیلم به یک ایمیل دیگه، Verification Code که به ایمیل جاری من ارسال می‌شه رو وارد کنم تا ایمیلم تغییر کنه:زمانی که با همچین پیغامی روبرو شدم، سعی کردم دنبال راهی باشم تا اول این مکانیزم رو دور بزنم و دنبال ساده‌ترین راه ممکن بودم. زمانی که روی Edit My Info در فرم بالا کلیک کردم، با درخواست زیر روبرو شدم:در درخواست بالا، Old_Email به ایمیل جاری که در اکانت من تنظیم شده اشاره می‌کنه. من مقدار این پارامتر رو به یک ایمیل دیگه تغییر دادم و در اینجا دو حالت ممکن بود پیش بیاد. حالت اول این بود که سرور جلوی این درخواست رو بگیره و از من یک Verification Code بخواد و حالت دوم این بود بدون اینکه Verification Code رو وارد کنم، ایمیل من تغییر کنه. پس مقدار این پارامتر رو به یک ایمیل دیگه تغییر دادم و درخواست رو فرستادم و اینبار اپلیکیشن بدون اینکه از من کدی رو بخواد، ایمیل جدید رو برای اکانت من ست کرد و اینجا به یک آسیب‌پذیری منطقی رسیدم. در تصویر زیر می‌تونید ساختار این حمله رو ببینید:دقت داشته باشید، قبل از این‌که یک باگ رو گزارش بدید، به این فکر کنید راهی وجود داره که بشه شدت آسیب‌پذیری رو بالاتر برد یا نه. هدف بعدی من این بود که بتونم ایمیل یک کاربر دیگه رو تغییر بدم.

تست آسیب‌پذیری CSRF در Personal Info

سامانه‌ی هدف به صورت Cookie-Based کار می‌کرد و یکی از سناریوهای حمله‌ای که در نظر گرفتم، استفاده از CSRF برای تغییر اطلاعات شخصی قربانی و ایمیل بود. در درخواست بالا یک CSRF Token ارسال می‌شد (personal_key) و در نتیجه‌ شروع کردم به بررسی راه‌های ممکن برای دور زدن Anti-CSRF Token.فارغ از روش‌های رایجی که برای تست توکن مورد نظر وجود داره، ما می‌تونیم از آسیب‌پذیری‌های دیگه کمک بگیریم تا به CSRF Token قربانی دسترسی پیدا کنیم. استفاده از CORS برای دسترسی به توکن قربانی در اینجا ممکن نبود. در مسیر بالا که اشاره کردم، سعی کردم یک آسیب‌پذیری دیگه پیدا کنم تا بتونم توکن قربانی رو بخونم. در اینجا حمله‌ی Web Cache Deception به ذهنم رسید.

تست حمله‌ی Web Cache Deception

همون‌طور که می‌دونید وب اپلیکیشن‌ها از قابلیت Caching System استفاده می‌کنند تا منابعی که به صورت مرتب توسط کاربرها درخواست داده می‌شه، کش شده و در درخواست‌های بعدی کاربر سریع‌تر به منبع دسترسی پیدا کنه. فایل‌هایی که عموما کش می‌شن فایل‌های استاتیک و عمومی هستند مثل فایل‌های js، css و فایل‌های استاتیک دیگر. در سناریوی حمله‌ی Web Cache Deception، هکر عموما دنبال صفحه‌ای می‌گرده که شامل اطلاعات حساس و یا اطلاعات مفیدی از کاربر باشه و بعد با دست‌کاری Path و ارسال لینک دست‌کاری شده به قربانی، به اطلاعات حساس و کش شده‌ی کاربر توسط Caching System دسترسی پیدا می‌کنه.پیشنهاد می‌کنم برای آشنایی بیشتر با این آسیب‌پذیری، اول با مکانیزم Caching آشنا بشید (می‌تونید از این مرجع استفاده کنید) و بعد این مقاله رو بخونید تا در خوبی از این آسیب‌پذیری پیدا کنید.برای تست  Web Cache Deception در این هدف، مراحل زیر رو انجام دادم:- ابتدا مسیری رو پیدا کردم که شامل اطلاعات حساسی از کاربر بود. در واقع همین مسیری بود که بالاتر دربارش صحبت کردیم یعنی MyInfo/MemberInfo- در انتهای مسیر بالا یک فایل استاتیک رو اضافه کردم و درخواست رو به سمت سرور ارسال کردم تا ببینم سرور چه نوع پاسخی بهم بر می‌گردونه و آیا همون صفحه رو دوباره می‌بینم یا نه:target.com/MyInfo/MemberInfo/test.css- بعد از ارسال درخواست بالا، پاسخی از سمت سرور دریافت کردم که همون محتوای صفحه‌ی MemberInfo بود (بر اساس نوع فناوری و پیکربندی، ممکنه نوع پاسخی که دریافت می‌کنیم متفاوت باشه و ما با حالتی کار داریم که همان محتوای صفحه یعنی MemberInfo در اینجا برای ما برگردونده بشه). زمانی که URL بالا رو در یک مرورگر دیگه باز کردم متوجه شدم که این مسیر توسط Caching System کش شده و به صورت پابلیک قابل دسترس هست و می‌تونم اطلاعات کش شده‌ی کاربر رو ببینم.در ویدیوی زیر مراحلی که توضیح دادم رو می‌تونید ببینید:
من تا اینجا متوجه شدم که اپلیکیشن نسبت به حمله‌ی Web Cache Deception آسیب‌پذیره. در اقع من می‌تونستم یک گزارش تنظیم کنم و برای تیم امنیتی ارسال کنم ولی نکته‌ای که ابتدای این رایت‌آپ هم بهش اشاره کردم این بود که سعی کنیم همیشه قبل از ارسال گزارش یک آسیب‌پذیری، فکر کنیم که راهی وجود داره بشه شدت آسیب‌پذیری رو بالاتر برد یا نه.

ترکیب Web Cache Deception با آسیب‌پذیری‌های قبلی

هدف من این بود که با تغییر ایمیل قربانی، بتونم به Account Takeover برسم و دیدیم که سناریوی CSRF به صورت مستقیم جواب نمی‌داد و من دنبال یک آسیب‌پذیری بودم تا با کمک اون بتونم به توکن قربانی دسترسی پیدا کنم. حالا یه سوال مطرح می‌شه و این‌که‌ چطور می‌شه با استفاده از Web Cache Deception به توکن قربانی دسترسی پیدا کرد؟ نکته اینجاست که صفحه‌ی کش شده، به جز اطلاعات کاربر مثل ایمیل و غیره، شامل personal_key  هم می‌شه. این نکته رو می‌تونیم در تصویر زیر ببینیم:برای دسترسی به توکن و تغییر ایمیل کاربر با استفاده از ترکیب آسیب‌پذیری‌های شرح داده شده در بالا، من سناریوی حمله‌ی زیر رو پیاده‌سازی کردم:- ابتدا هکر لینک دامین خودش رو برای قربانی که در وب‌سایت لاگین هست، ارسال می‌کنه.- زمانی که قربانی وارد دامین هکر بشه، چندین فاز صورت می‌گیره:فاز اول:  یک درخواست GET با استفاده از یک تگ img به مسیر زیر ارسال می‌شه تا با استفاده از CSRF Token، Web Cache Deception یا Personal_Key قربانی کش بشه:

https://gmemberssl.gmarket.co.kr/MyInfo/MemberInfo/<Random_Number>.css

در URL بالا، Random_Number به صورت داینامیک ساخته می‌شه و هر کاربری که از دامین من بازدید کنه، یک درخواست GET به مسیر بالا ارسال می‌شه تا بتونم به ازای کاربران مختلف، مسیرهای کش شده‌ی هر کاربر رو ببینم و بتونم به اطلاعات کش شده‌ی هر کاربر دسترسی پیدا کنم.فاز دوم: یک درخواست از دامین هکر به URL کش شده ارسال می‌شه تا CSRF Token یا Personal Key خونده بشه که این‌کار به سادگی قابل انجام هست، چون هم مسیر مورد نظر رو می‌دونیم و هم فایلی که در انتهای مسیر اضافه شده و به راحتی می‌شه از URL کش شده به CSRF Token دسترسی پیدا کرد.فاز سوم: در این مرحله باید CSRF Token که از مرحله‌ی قبل گرفته شده به صورت داینامیک در داخل فرم تغییر اطلاعات کاربر یا فرم Edit My Info قرار داده باشه تا حمله‌ی CSRF انجام بشه. این فرم هم به صورت اتوماتیک توسط جاوا اسکریپت Submit می‌شه و در نهایت ایمیل قربانی تغییر پیدا می‌کنه. دقت کنید در این مرحله از آسیب‌پذیری منطقی که در ابتدای فرایند پیدا کرده بودم هم استفاده کردم تا ایمیل قربانی بدون ارسال Verification Code تغییر پیدا کنه:ویدیوی POC این آسیب‌پذیری رو می‌تونید در پایین تماشا کنید. در این ویدیو قربانی ابتدا وارد دامین هکر شده و حمله‌ی Web Cache Deception انجام می‌شه و بعد با استفاده از اکسپلویت نوشته شده، CSRF Token از URL کش شده خوانده و داخل صفحه‌ی CSRF Token قربانی نمایش داده می‌شه، درنهایت حمله‌ی CSRF اجرا شده و ایمیل قربانی به ایمیل دیگه‌ای تغییر پیدا می‌کنه:
بعد از ارسال گزارش آسیب‌پذیری، تیم امنیتی ebay جواب زیر رو بهم داد:امیدوارم که از خوندن این رایت‌آپ لذت برده باشید. همیشه سعی کنید در هر هدفی که تست می‌کنید، سناریوهای ترکیبی مختلف رو در نظر بگیرید (مثل ترکیب آسیب‌پذیری‌های منطقی و فنی) تا به یک آسیب‌پذیری با Impact بالاتر برسید. از طریق این شناسه @LogicalHunter می‌تونید در تلگرام و توییتر با من در ارتباط باشید.