Bypass OTP validation on Password Reset

核心问题 App 没有在 OTP 验证时 lock account, 导致可以 bruteforcing App 只在 client side 做验证. Exploit 密码重置的流程: 点击'Forget Password' 输入 Mobile No. 输入 OTP 设置新的 password 测试1 - Brute Force OTP 检查服务器有否 lock account. 测试2 - 篡改 response Response for Wrong OTP: HTTP/1.1 200 OK [REDACTED] {"VerifyAndDeleteOTPApplicationResponse"…

P4 to P2 - The story of one blind SSRF · Script Kiddie`s notes

Introduction 本文介绍了上传html, 读取服务器文件。 Exploit 文件上传功能通常会比对是否合法的文件格式。 服务器允许html, 但不要看少上传的是html. 我们可以在html中加入各式各样的tag, 如<script>,<iframe>, <object>. NIN: 假如iframe被禁止,尝试object. Ref P4 to P2 - The story of one blind SSRF · Script Kiddie`s notes…

Local File read via xss in dynamically genearated pdf

Introduction 本文介绍了如何利用xss读取服务器文件,并将其打印在pdf。 https://xyz.com/payments/downloadStatements?Id=b9bc3d&utrnumber=xyz&date... utrnumber存在xss injection point. Payload 1: 在下载的pdf中,发现aaaa. <p id="test">aaa</p><script>document.getElementById('test').innerHTML+='aa'</script> Payload 2: 在下载的pdf中,显示了pdf的路径,如file://... <…

Bypass OAuth nonce and steal oculus response code

Introduction Authorization request: https://www.facebook.com/v2.8/dialog/oauth?app_id=1517832211847102&client_id=1517832211847102&domain=auth.oculus.com&locale=en_GB&origin=1&redirect_uri=https://auth.oculus.com/login/&response_type=code&sdk=joey&version=v2.8&nonce=AXRr8eBAjDTBkzQ7&state=d916afa3-3dc1-bab7-fc9d-3c8f44bf757 Bypass CSRF,让victim发送以上请求,当req authorized之后,…

QRCode Login Account Takeover

Introduction 发起qrcode login,黑客停留在qrcode的页面 黑客利用qr decoder 获取qrcode隐含的URL 黑客访问#2 URL会得到一个form,比如说form的action是https://fb.com/approve 创造一个csrf-attack poc 将#4的form地址,如https://attacker.com/poc 发送给已登陆fb的victim 由于服务器的设置 6a. victim需要先点击打开form中action的地址 6b. 然后用js代victim发送csrf-attack的form,victim并不知情地approve了请求 此时,发起qrcode login的黑客的页面将会自动跳转,并以victim的身份登陆。 NIN: 作者话由于该form是没有csrf-token,所以是整个漏洞的原因。 但是笔者认为,即使有了csrf-token也没用,因为在approve之前,服务器根本不知道是谁发送这个请求,csrf-token也无法对应起user。就算加入了csrf-token, 黑客可以将该token加入去csrf-attack poc中。 Mitigation 要修复该漏洞,笔者认为 服务器要检查发送请求的是否来自fb app 服务器要检查IP地址是否用户经常访问的地址…

Yahoo! RCE via Spring Engine SSTI

Introduction 用DirSearch找到hidden sub domain. 然后发现如果在domain后面加上%20会返回一个swagger-ui的页面。 然后发现其中一个API,貌似存在reflected xss. 然而,发现是false positive. NIN: 此时应该不放弃,尝试SSTI。 结果发现${{7*7}},被解释为1337. 接下来的事情就是研究服务器用的是什么技术,再查找payload了。 Ref Yahoo! RCE via Spring Engine SSTI – ∞ Growing Web Security Blog…

Take advantage of captcha to perform DOS

本文介绍了如何利用captcha实现 DOS。 Introduction https://vul-site.com/captcha.jsp?Id=xxx&width=xxx&height=yyy&minWordSize=aaa&maxWordSize=bbb 通过传入大数字到以下param,消耗服务器的资源。 width height minWordSize maxWordSize Ref #280748 High server resource usage on captcha (viestinta.lahitapiola.fi)…