Instalo un WAF y me olvido de buenas configuraciones. [ThisCrush]

  • 3 Respuestas
  • 5144 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado rollth

  • *
  • Ex-Staff
  • *****
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • Ver Perfil
    • Whateversec
    • Email
Muy buenas Underc0ders,

hace tiempo descubrí una página en la que creas un perfil y la gente puede hacerte preguntas para que tu respondas de una forma anónima. Por lo visto se puso algo de moda entre los adolescentes en España, se trata de You are not allowed to view links. Register or Login.

Hoy me ha dado algo de intriga y me he puesto a ver si le encontraba algo interesante. Lo primero que me ha dado por mirar ha sido una opción en la que podías dar un "Me Gusta" al perfil de la persona.



Vamos a abrir BurpSuite y veamos como va la petición al pulsar este botoncito.



Vemos que solo enviamos un parámetro que es el ID que corresponde al usuario al que se le va a añadir el "Me Gusta". Sabiendo esto, pensé que con una tautología tal vez pudieramos o bien dar un punto a todos los usuarios de la plataforma, o bien encontrar una bonita blind SQLi.

Código: You are not allowed to view links. Register or Login
id=usuario' OR 1=1 -- -
Al contrario de lo que yo pensaba me encontré como respuesta algo como así.



Esto es el WAF de CloudFlare, que comprueba todas las peticiones que se hacen a dicha página web y dependiendo de si son peligrosas o no decide si bloquearlas, lo que me hizo desilusionarme un poco ya que esto complica bastante las cosas.



Después de esto seguí mirando a ver si encontraba algo interesante, al rato de estar dando vueltas sin ningún tipo de sentido decidí mirar la configuración de una cuenta falsa que me había creado.



Al comprobar como era la petición al hacer un cambio en la configuración vemos lo siguiente.



Bueno, vemos que no envía ningún tipo de tocken, así que es vulnerable a CSRF y CloudFlare no será capaz de bloquear este tipo de ataque. Vamos a imitar el formulario, pondremos que envíe nuestro correo y lo subimos a algún tipo de Hosting privado. A mi me quedó de la siguiente forma.

Código: HTML5
  1. <You are not allowed to view links. Register or Login>
  2. </You are not allowed to view links. Register or Login>
  3. <You are not allowed to view links. Register or Login>
  4. <You are not allowed to view links. Register or Login action="http://thiscrush.com/settings.php?cmd=go" method="POST" id="myForm">
  5. <You are not allowed to view links. Register or Login type="hidden" name="email" value="[email protected]" />
  6. <You are not allowed to view links. Register or Login src=x onerror="myFunction()">
  7. <You are not allowed to view links. Register or Login>
  8. <You are not allowed to view links. Register or Login>
  9. function myFunction() {
  10.     document.getElementById("myForm").submit();
  11. }
  12. </You are not allowed to view links. Register or Login>
  13. </You are not allowed to view links. Register or Login>
  14.  

Ahora con tan solo enviarle el link se le cambiaría el correo del usuario, así que lo siguiente que vamos a hacer es ir a la opción de recuperar contraseña y poner nuestro correo



Hay dos cosas graciosas en esto. La primera es que las contraseñas no son hasheadas, si no que se guardan en texto plano, y en lugar de enviarte un correo para que cambies la contraseña te la envían directamente, lo que es peligroso ya que pueden quedar comprometidas otras redes en las que el usuario use la misma contraseña.

El segundo dato gracioso es que usé una cuenta de YopMail para hacer esta prueba, y la respuesta que me dió fue la siguiente.



Por último me gustaría insistir en la importancia de tener las configuraciones bien hechas en nuestros servidores, ya que como hemos visto, a pesar de usar un WAF podemos tener problemas. Espero que les haya gustado.

También me pueden seguir en Twitter si les hace ilusión: You are not allowed to view links. Register or Login

Saludos.
« Última modificación: Marzo 31, 2018, 10:04:56 pm por rollth »

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado Som€body

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
  • I know something you dont know ;)
    • Ver Perfil
Buah, que jefe, a mi no se me había ocurrido vulnerar thiscrush.

Seguro que con esa tontería te sacas unas cuantas cuentas de insta, teniendo en cuenta que la gente siempre usa la misma pass xDDDD.

Se va a liar muy parda xDDDDDDDDD

Desconectado sadfud

  • *
  • Moderador
  • Mensajes: 202
  • Actividad:
    10%
  • Country: cl
  • Reputación 10
  • Skype: SadFud75
    • Ver Perfil
    • Blog
Buen post rolo
You are not allowed to view links. Register or Login

Esto es el WAF de CloudFlare, que comprueba todas las peticiones que se hacen a dicha página web y dependiendo de si son peligrosas o no decide si bloquearlas, lo que me hizo desilusionarme un poco ya que esto complica bastante las cosas.


Dejo esto por aqui y me retiro lentamente... 18.197.186.60
Mi blog: You are not allowed to view links. Register or Login
Si necesitas ayuda, no dudes en mandar MP

Desconectado rollth

  • *
  • Ex-Staff
  • *****
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • Ver Perfil
    • Whateversec
    • Email
You are not allowed to view links. Register or Login
Buen post rolo
You are not allowed to view links. Register or Login

Esto es el WAF de CloudFlare, que comprueba todas las peticiones que se hacen a dicha página web y dependiendo de si son peligrosas o no decide si bloquearlas, lo que me hizo desilusionarme un poco ya que esto complica bastante las cosas.


Dejo esto por aqui y me retiro lentamente... 18.197.186.60

Creo que tu comentario de una linea ya es mejor que todo el Post jajajajaja

Saludos.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login