نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

تجربه تابستونه هانت ما

07 سپتامبر 2024

سلام و درود خدمت همه بچه‌های خفن امنیت ایران که با وجود همه مشکلات داخلی و تحریم‌های خارجی باز هم ناامید نمی‌شن و به کارشون ادامه می‌دن :). من علی هستم، تقریباً ۱۹ سالمه و حدوداً ۲ ساله که توی حوزه امنیت فعالیت می‌کنم. (توی تاریخا واقعاً خیلی بدم، انتظار زیادی ازم نداشته باشید xD). توی این تابستونی که گذشت، من و Ali Rem تصمیم گرفتیم یه کولب بریم که نتیجه‌ش خیلی خفن شد و تصمیم گرفتیم رایتاپش رو بنویسیم. علی رو نمی‌دونم ولی من به شخصه هدفم از این رایتاپ انتقال مایندسته، چون روی خودم خیلی تغییر ایجاد کرد این تجربه تابستونه، ولی سعی می‌کنم مطالب فنی هم منتقل کنم.

علی هم قراره همین رایتاپ رو از دید خودش توی اکانت مدیومش منتشر کنه. پیشنهاد می‌کنم حتماً بخونید که تفاوت دیدگاه‌ها رو ببینید.

معرفی تارگت

تارگتی که تصمیم گرفتیم روش کار کنیم، یک پلتفرم بود برای دانش‌آموزا که به درس خوندن راحت‌تر کمک می‌کرد. فیچرهای مختلفی داشت و تقریباً مثل یک مدرسه کامل بود؛ از ساخت نوت‌های متفاوت برای درس‌های مختلف بگیر تا ساخت مدرسه و کلاس. که خب ما خیلی سمت کلاس و مدرسه‌اش نرفتیم. فیچرهایی که ما روش تمرکز کردیم نوت‌ها + فلش‌کارت‌ها بود. توی بخش نوت‌ها تقریباً محدودیتی نداشتیم و اکثر قابلیت‌ها برامون باز بود، مثل استفاده از AI برای ادیت، ادامه دادن و یا خلاصه کردن متن. ولی داستان برای فلش‌کارت‌ها یکم فرق داشت. فلش‌کارت‌ها که ازشون برای تمرین درس استفاده می‌شد، قابلیت‌های خیلی بیشتری داشتن که مقداری از اون‌ها صرفاً توسط اکانت‌های پریمیوم قابل استفاده بودن.

یکم بخوام از قابلیت‌های فلش‌کارت‌ها براتون تعریف کنم که آشناتر بشید اینجوری بودن که، توی صفحه اصلی هر فلش‌کارت (وقتی که کامل ساخته شده بود) می‌تونستید علاوه بر دیدن هر فلش‌کارت، از روی هر فلش‌کارت یک بازی مسابقه‌ای بسازید که با دوستاتون به صورت گروهی تمرین کنید، یا می‌تونستید از هوش مصنوعیش استفاده کنید که ازتون امتحان بگیره، یا می‌تونستید به طور مستقیم همون فلش‌کارت‌ها رو تمرین کنید. موقع ساختن فلش‌کارت هم قابلیت‌های خیلی زیادی داشت. می‌تونستید از بخش تنظیمات فلش‌کارت‌تونو ست کنید که پرایوت باشه، عکس براش بزارید و توی هرکدوم از کارتا از عکس استفاده کنید و یا تکستاتونو رنگی‌رنگی کنید و خیلی چیزای دیگه که به نظرم دیگه خیلی زیادی نوشتم و باید برم سر اصل داستان 😂

واید ریکان

علی رو نمی‌دونم ولی من خودم به شخصه تا قبل از این تابستون به شدت از تارگت سینگل اسکوپ و قدیمی می‌ترسیدم و فکر می‌کردم که نمی‌تونم روشون چیزی پیدا کنم. این ویدیوی یاشار و این تجربه تابستونه واقعاً خیلی روم تاثیر گذاشت و جرئت این موضوع رو پیدا کردم.

روز اول کولب من و علی اینجوری شروع شد که بین برنامه‌های باگ کراد و هکروان داشتیم می‌گشتیم که یک چیز واید و جدید پیدا کنیم که رسیدیم به پروگرممون. نه واید بود نه جدید xD. از سال ۲۰۲۲ روی پلتفرم بود و دوتا wildcard داشت و همون مارو گول زد. بعد از یکم گشتن توی دامین اصلی و کلنجار رفتن، تصمیم گرفتیم که روش کار کنیم. پس فاز wide recon رو شروع کردیم. هرکدوممون با متدهایی که داشتیم شروع کردیم از تارگت اطلاعات بیرون کشیدن و در نهایت به هیچی جز دامین اصلی نرسیدیم. دامین wildcard دومی هم در اصل دامین قدیمی کمپانی بود و ریدایرکت می‌کرد روی دامین اولی.

یکم این داستان منو ترسوند ولی گفتیم یکم روش کار می‌کنیم، در نهایت عوضش می‌کنیم دیگه، به قول جادی (ترسی نداره). و اوه اوه بشینید براتون تعریف کنم که داستان تازه شروع شده :).

نرو ریکان، اولین آسیب‌پذیری

دو سه روز اول هیچی پیدا نکردیم و من کم‌کم داشتم ناامید می‌شدم. تستام اکثراً IDOR و بیزنس لاجیک بودن و توی دو سه روز اول به نظرم سفت‌ترین تارگت دنیا بود. تا اینکه یک HTML Injection پیدا شد. با اینکه ایمپکتش کم بود، اما وقتی دوپ نشد انگار دنیا رو بهم دادن. راستشو بخوام بگم، اصلاً فکرشو نمی‌کردم بتونم روی اون برنامه چیزی پیدا کنم که حتی بخوام دوپ بشم، تریاژ که بماند.

آسیب‌پذیری اینجوری بود که نوت‌ها قابلیت شیر کردن داشتن و توی اسمشون می‌شد HTML inject کرد. نکته تریکی این بود که روی صفحه‌ای که توی ایمیل لود می‌شد مشخص نبود و باید چندتا تگ رو برک می‌کردیم (من اتفاقی از توی سورس کد چشمم خورد).

باورتون می‌شه همچین چیز ساده‌ای دوپ نشد؟ ما هم باورمون نمی‌شد. برای همین تصمیم گرفتیم بیشتر روش کار کنیم. پلن چیدیم بانتیا که نقد شد پلن پریمیومش رو بگیریم و فیچرهایی که اکثر افراد دسترسی ندارن رو چک کنیم. (اینجا یک نکته ریز بود که جلوتر می‌گم).

ریس کاندیشن

هرجا رو تست می‌زدم نسبت به ریس کاندیشن سفت بود تا رسیدیم به کلاس و اینوایتش. از تنظیمات کلاس می‌شد یوزر اینوایت کرد. اینوایت‌لینکا اینجوری بودن که صرفاً یک‌بار قابل استفاده بودن. یک مورد دیگه هم از اینوایت‌لینکا این بود که مثلاً من به عنوان معلم کلاس، لینک اینوایت رو برای ایمیل x می‌فرستادم. کاربری با ایمیل y می‌تونست از اون لینک استفاده کنه و جوین کلاس بشه،‌ اما بعدش اون لینک غیرقابل استفاده می‌شد و یوزر x نمی‌تونست بیاد داخل. ما اومدیم و لینک اینوایت رو با دو سه تا اکانت باز کردیم و ریکوئستاشو فرستادیم به Repeater و با متد single packet attack، ریکوئستارو هم‌زمان فرستادیم و ریس خورد. همه اکانتا جوین شدن.

به نظر خودم با اینکه خطری نداشت، اما تست جالبی بود. ریپورتش کردیم و یک NA خورد تو صورتمون 🙂

دسترسی غیرمجاز به فلش‌کارت‌های پرایوت

یادتونه اول رایتاپ گفتم اوایل شروع کردنمون پروگرم چقدر نسبت به IDOR سفت بود؟ خب یکم قراره تغییر کنه چون از اینجا به بعد داستان اکثراً IDORعه :). قبل از شروع، یکم توضیح بدم که IDORهای معمولی کاملاً بسته بودن. مثلاً فلش‌کارت رو تصور کنید، اندپوینت‌های read, update, deleteش که آیدی فلش‌کارت رو می‌گرفت، کاملاً امن بودن. همین داستان برای بخش‌های دیگه برقرار بود مثل کلاس‌ها، نوت‌ها و جاهای دیگه. پس IDOR به‌صورت مستقیم کلاً کنسل بود. اما بعد از این آسیب‌پذیری متوجه شدم که شاید IDORهای مستقیم کنسل باشه، اما فیچرهایی که روی این آبجکتا (فلش‌کارت، نوت،‌ کلاس، مدرسه) ساخته شدن و ازشون استفاده می‌کنن، آسیب‌پذیرترینن:))). خب فکر کنم زیادی توضیح دادم،‌ بریم سراغ اصل آسیب‌پذیری.

دقیق یادم نمیاد چه تستی داشتم می‌زدم که یک اکانت جدید ساختم و یک فلش‌کارت رندوم باز کردم.‌ چشمم به یک صفحه افتاد که برای اولین بار بود می‌دیدم. نوشته بود اگه از این فلش‌کارت خوشت اومده، می‌تونی به کلاست اضافش کنی. ریکوئستی که می‌زد به اندپوینت همیشگی نبود. همونجا آیدی فلش‌کارت اکانت دومم که پرایوت بود رو دادم و بوممم. به کلاسم اضافه شده بود. خیلی سعی کردم reproduceـش کنم ولی دیگه اون صفحه لعنتی نمی‌اومد :)))). بعد از کلی انگولک کردن اپلیکیشن، متوجه شدم که فقط یک‌بار برای اکانت‌هایی که بار اولشونه فلش‌کارت باز می‌کنن امکان استفاده از این فیچر هست. ریپورتش دادیم و با موفقیت تریاژ شد. (یک تستی که موقع نوشتن رایتاپ به ذهنم رسید و جالب بود اگه می‌زدیم این بود که به جای فرستادن یه دونه تک ID، IDها رو به صورت آرایه می‌فرستادیم و اونور احتمالاً توسط ORM هندل می‌شد و می‌تونستیم به جای یک دونه فلش‌کارت، چندین فلش‌کارت پرایوت رو دسترسی بگیریم :). این تست توی یکی از چلنج‌های یاشار بود و باید باهاش OTP بایپس می‌کردیم.)

دسترسی غیرمجاز به نوت‌های پرایوت

یک فیچر هم زده بودن که نوت‌ها رو تحویل AI می‌داد و ما می‌تونستیم با نوت‌هامون چت کنیم. اونجا هم با تغییر ID می‌شد نوت‌های پرایوت بقیه رو فهمید که چی به چیه. دسترسی مستقیم نبود و یه جورایی کار رو سخت می‌کرد، اما با پرامپت اینجکشن می‌شد بخشی از دیتای نوت رو کشید بیرون. مثلاً می‌شد بپرسی که “از خط ۱ تا ۱۰ ازم سوال بپرس” و بعدش می‌گفتی که “بلد نیستم، خودت جوابش رو بگو” یا یه همچین چیزهایی (من پرامپت اینجکشن بلد نیستم و اینا رو همون موقع با سرچ کردن بهشون رسیدیم). این هم تریاژ شد.

بعد از این هم چندین IDOR دیگه با همین روند پیدا شد که چون تکراری میشه ننوشتم.

پرمیوم شدیم

بعد از باگ‌های قبلی یه مدت برن‌اوت شدیم و به اصرار علی رفتیم که یک مدت روی برنامه دیگه‌ای کار کنیم. اما من هنوز دلم پیش برنامه دوست‌داشتنی خودمون بود :))). آخر شب که علی خواب بود و منم حوصلم سر رفته بود، دوباره برگشتم پاش و هیچ تستی به ذهنم نمی‌رسید. چون SPA‌طور بود، تب debugger مرورگر رو باز کردم و شروع کردم دنبال اندپوینت گشتن. /api رو سرچ کردم و رسیدم به یک فایلی که اکثر مسیرهای برنامه توش بود، چه APIهای بک‌اند و چه مسیرهای فرانت‌اند. یک مسیری چشممو گرفت که آدرسش اینجوری بود /promo/{code}.

با خودم گفتم من باید با این اندپوینت پرمیوم بشم. اولین تستی که زدم، به جای پارامتر code کلمه test رو گذاشتم و باز کردم. و صفحه لود شد. یعنی واقعاً به همین راحتی بود؟ زده یک سال فری. دکمه فعال‌سازی رو زدم و فعال نشد. ریکوئست رو از برپ نگاه کردم و دیدم ۴۰۴ داده. نکته: تا اینجا به دوتا اندپوینت رسیدیم. یکی همونی که نوشتم (که UI رو لود می‌کرد) و دیگری همون اندپوینت توی API بود که باعث می‌شد پرومو کد استفاده و فعال بشه. من خیلی اتفاقی تصمیم گرفتم که به جای اندپوینتی که فرانت رو لود می‌کنه، اندپوینت API رو فاز کنم.

وف محکم بود و فاز کردنش یکم داستان داشت. اما خوشبختانه دقیقاً چند وقت قبلش من یک ابزار ساده با ترکیب داکر + haproxy + warp-plus نوشته بودم برای اینجور مواقع. خیلی ساده بخوام بگم اینجوریه که با داکر به تعداد دلخواه IP از warp-plus می‌گیریم و همرو می‌بریم پشت haproxy. حالا ما IP لوکال رو همراه پورت haproxy توی ابزار خودمون ست می‌کنیم. بعد، خود haproxy ریکوئست‌ها رو به صورت round robin می‌فرسته به IPهای وارپ و از اونا ردشون می‌کنه. مثلاً اگه ۱۰ تا IP گرفته باشیم و ۱۰تا ریکوئست بفرستیم به ip-api، برای هرکدوم از ریکوئست‌ها یک IP متفاوت می‌بینیم و همین باعث می‌شه که ریت لیمیت‌ها و محدودیت‌هایی که IP-based هستن رو راحت دور بزنیم.

خب،‌ با همه محدودیت‌هایی که داشت، یک وردلیست ساده رو فاز انداختم و به ۳ تا کلمه رسیدم: 0، language، و maintenance. سریع یک اکانت دیگه ساختم و کدها رو توی اندپوینت UI انداختم و ارور ۴۰۴ داد. تعجب کردم. گفتم شاید یک‌بار مصرف بودن کدا، با این حال بازم یک درخواست مستقیم به اندپوینت API‌ـش فرستادم و اونجا اوکی بود. ۲۰۰ گرفتم و اکانت پرمیوم شد. الان که دارم فکرشو می‌کنم نمی‌دونم چرا اون شب فکر کردم این یه چیز اوکی هست و آسیب‌پذیری نیست😂. کل داستانو برای علی نوشتم و فرستادم که اونم اکانتشو پرمیوم کنه، فرداش بریم فیچرهایی که افراد کمتری دسترسی دارن رو تست کنیم.

فرداش از خواب پاشدم و کاشکی می‌تونستم ویس علی رو بهتون نشون بدم😂. سه کیلومتر ویس داده بود و خلاصش این بود که “چرا گزارشش ندادی”. اومد و با هم گزارششو نوشتیم. دو سه ساعت بعد هم تریاژ شد، P1 بستن و همون موقع بانتی رو دادن و ما هم داشتیم سکته می‌کردیم😂.

به نظر خودم واقعاً ایمپکت خاصی نداشت و اگه علی نمی‌گفت اصلاً گزارشش نمی‌کردم😂.

دوپ دوپ دوپ

بعد از باگ قبلی رفتیم سراغ فیچرهای پرمیوم به امید اینکه جای دنج‌تریه، امان از دل غافل. چندتا آسیب‌پذیری دیگه پیدا کردیم که همشون اینجوری بودن: “فیچرهای پرمیوم برای کاربرهای غیرپرمیوم صرفاً توی UI لود نمی‌شد ولی می‌تونستن مستقیم به API درخواست بفرستن و استفاده کنن.” اما همشون دوپ شدن.

چند روز بعد، من خیلی رندوم حوصلم سر رفته بود که رفتم پالیسی برنامه رو خوندم. دو تا مورد مهم توش بود:

  1. نوت، فلش‌کارت، کلاس و هرچیزی که می‌ساختیم باید پرایوت می‌بودن که ما کلاً پابلیک بودیم حتی توی POC‌هامون
  2. می‌تونستیم به خود برنامه ایمیل بزنیم و اکانتمون رو پرمیوم می‌کردن :). دلیل دوپ شدن فیچرهای پرمیوم همین بود. اما دلیل تریاژ شدن باگ قبلی هم همین بود. با شناختی که از خودم دارم، می‌دونم که اگه اکانت پرمیوم آماده داشتم اصلاً سراغ تست اون فیچر نمی‌رفتم

در نهایت، باگ‌ها شاید ایمپکت خاصی نداشته باشن، ولی واقعاً کولب خوبی بود. علی گفت اینو حتماً بنویسم چون بعضی از بچه‌ها نسبت به کولب گارد دارن. یه جورایی راست می‌گه چون خودمم همین‌جوری بودم. مورد دوم اینکه پالیسی رو درست بخونید، مورد سوم اینکه وقتی اکانت پرمیوم دارید، پرومو کد رو تست کنید xD و مورد اخر به UI اعتماد نکنید.

خوشحال هک کنید.

khode4li (نویسنده افتخاری)
1 پست نوشته شده
دسته‌ها: امنیت وب، باگ‌بانتی
  • به اشتراک بگذارید:
برچسب‌ها: ، ،
  1. ; گفت:
    سپتامبر 7, 2024 در 6:17 ب.ظ

    زیبابود!

    پاسخ
  2. bounty man گفت:
    سپتامبر 7, 2024 در 6:19 ب.ظ

    عالی و باحال بود گزارش 🙂 از اونجایی که بانتی هم داشته خوب بود بانتیهارو هم ولو کم یا زیاد (بسته به تارگت) میگفتی چون یک از جذابیتهای رایتاپ خود بانتیشه.

    پاسخ
  3. sedo گفت:
    سپتامبر 7, 2024 در 8:25 ب.ظ

    thats good man . but i think if you published your exploits screen shot in here maybe better

    پاسخ
  4. alan گفت:
    سپتامبر 7, 2024 در 10:04 ب.ظ

    عالی بود، یکی از متفاوت‌ترین رایت‌آپ‌ها بود که خوندم 🙂

    پاسخ
  5. Sf گفت:
    سپتامبر 7, 2024 در 10:31 ب.ظ

    رایتاپ باحالی بود فقط اگه اسکرین یا دیتای بیشتری از تست هات میزاشتی ملموس تر میشد.

    پاسخ
  6. debu8er گفت:
    سپتامبر 9, 2024 در 8:12 ب.ظ

    عالی

    پاسخ
  7. Arian گفت:
    سپتامبر 12, 2024 در 2:12 ب.ظ

    بهترین مثل همیشه🔥

    پاسخ