Un bug alla volta: il mio primo bug a pagamento ($ 1.000 IDOR)
Ciao a tutti! Felice di rivederti :) Oggi scriverò del mio primo bug a pagamento, ha una trama divertente quindi continua a leggere!
Ecco l'arte per la storia di oggi di rez0 :)
Quindi iniziamo con come ho trovato questo IDOR
- Configurazione: ero a lezione di inglese sul mio laptop che non è il mio principale dispositivo di hacking. Stavo sbirciando nella suite del rutto, aspettando l'inizio della lezione e ho deciso di dare un'occhiata a questa specifica azienda.
- Recon: ho iniziato con l'ambito di *.redacted.com, non sapevo molto sulla ricognizione dei sottodomini e cosa no che non ha importanza in questo caso. Inoltre, in generale, la maggior parte dei bug che ho trovato sulle piattaforme si trovavano sull'applicazione principale, quindi non dimenticare di controllare che :) Ho iniziato a navigare in tutti gli endpoint del sito, ma non c'erano molte funzionalità che ero vedendo. Dopo aver esplorato tutti i possibili collegamenti sul sito, sono passato al secondo passaggio.
- Analizza: una volta ottenuti tutti questi endpoint, ho iniziato a esaminare la mappa del sito della mia suite rutto che assomigliava a questa:
4. Exploit: una volta inviato, sono stato reindirizzato a un nuovo sottodominio che sembrava estremamente vecchio, questo ha suscitato il mio interesse per diversi motivi:
Il nuovo sottodominio era qualcosa del tipo: http://link.XXX-XXX.redacted.com/manage/optout/. Quando ho inserito un'e-mail, ho ricevuto questa pagina che chiedeva di "ripristinare" o "non inviare e-mail". Poi ho guardato l'URL e ho visto ?profile_id=54613e813b35d0f1328c4533 ….. OK, stiamo arrivando da qualche parte ;) Ora vado a cambiare l'id di 1 cifra in ?profile_id=54613e813b35d0f1328c4534 e BOOM! Viene visualizzata una nuova e-mail. Perfetto, ora posso disattivare qualsiasi utente su questa piattaforma che include richieste di reimpostazione della password. Posso anche enumerare le e-mail su questa enorme piattaforma.
5. Rapporto: il mio rapporto includeva tutti i dettagli di cui sopra e all'epoca non ero il migliore nello scrivere rapporti, ma ha funzionato. Ho incluso i passaggi per raggiungere questo endpoint, 2 screenshot di diverse e-mail e un intero video di ogni passaggio.
Ecco una cronologia per riferimento:
- Segnalato: 2021–10–28
- Discussione interna: 2021–11–02 20:24
- Triage e taglie: 03/12/2021 13:30
- Risolto: 2022–02–09