Здравствуйте, товарищи багхантеры! Меня зовут Джеферсон Гонзалес и в этой статье я покажу, как взломал правительственные сайты Нидерландов (Голландии).
Еще по теме: Взлом сайта с помощью SQLMap
В мае прошлого года я заметил, что многие багхантеры разместили в соц. сетях сообщения о том, что получили подарки от правительства Нидерландов в виде футболок с надписью «Я взломал правительство Нидерландов и все, что я получил, эта паршивая футболка».
Мне тоже захотелось получить паршивое вознаграждение ), поэтому решил пошуршать их правительственные сайты и найти какие-нибудь уязвимости.
Как взломать правительственный сайт Нидерландов
Первым делом я нашел на github список правительственных доменов Нидерландов. Несколько дней, вручную, проверял весь этот список, и все, что я нашел это статический сайт без каких-либо уязвимостей. Надо было найти какую-нибудь более интересную цель. Вскоре удача улыбнулось, и я из приведенного выше списка, нашел цель 1043 .
Bug Bounty — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов в области ИБ к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.
Я запустил на телефоне свой заряженный Termux и с помощью Waybackurls начал искать скрытые параметры, которые можно было бы эксплуатировать, как уязвимость. После завершения сканирования, Waybackurls нашел интересный параметр.
На странице появилось значение параметра:
1 |
?photographer= |
Чтобы проверить, возможно ли это для XSS, я добавил значение:
1 |
Gonz”> to ?photographer= |
И оно отразилось без санации символов.
Окончательная полезная нагрузка:
1 |
https://www.nederlandsesoorten.nl/linnaeus_ng/app/views/search/nsr_search_pictures.php?photographer="><script>alert(document.cookie)</script> |
Итак, я нашел уязвимость и сообщил об этом в рамках программы Баг Баунти. Но мне захотелось найти еще что-то интересное. Не дожидаясь ответа и исправления, я нашел еще один список правительственных доменов Нидерландов:
1 |
https://www.communicatierijk.nl/binaries/communicatierijk/documenten/publicaties/2016/05/26/websiteregister/websiteregister-rijksoverheid-2022-01-27.ods |
После скачивания и анализа, нашлась еще одна цель — сайт nictiz.nl.
Так как в основном домене нет нечего интересного, я начал поиск субдоменов с помощью инструмента под названием Sublist3r и нашел что-то интересное.
1 |
terminologie.nictiz.nl |
Привлекло мое внимание, то, что есть возможность залогиниться, но нет полей регистрации и авторизации.
Первая мысль попробовать комбинации пользователь / пароль по умолчанию:
1 2 3 |
admin:admin admin:admin123 demo:demo |
Бинго! Комбинация demo:demo перенаправляет меня в админ-панель, но к сожалению, внутри панели инструментов пользователя с демо-привилегиями, нет интересных функций. Я не могу редактировать или изменять какой-либо контент.
Меня это не расстроило и используя демо-учетные данные, я обнаружил уязвимость Open Redirect.
1 |
https://terminologie.nictiz.nl/art-decor/login?returnToUrl=//google.com |
Итак, из этой ошибки нужно сделать красивую уязвимость, чтобы ее приняли в программе Баг Баунти.
Я использовал приведенную ниже полезную нагрузку для перехода в XSS.
1 |
javascript:alert(1) |
Теперь, при нажатии по следующей ссылке, используя демо-учетку, я могу войти в систему и будет выполнен XSS.
1 |
https://terminologie.nictiz.nl/art-decor/login?returnToUrl=javascript:alert(document.cookie) |
Я сообщил об уязвимости, но и этого мне было недостаточно и на горизонте появилась новая цель:
1 |
repository.scp.nl |
В этом случае есть хороший потенциал, так как есть форма входа и регистрация.
Сначала я создал учетную запись, а затем вошел в систему. При попытке обновить имя пользователя, я обнаружил, что не реализован токен CSRF, что позволяло мне изменить любое имя пользователя с помощью атаки CSRF, но это не критическая ошибка, поскольку я могу изменить только имя пользователя.
Мне надо было что-то дельное, поэтому я пробежался по всем функциям и обнаружил опцию смены пароля, которая позволяет изменить свой пароль без необходимости вводить старый.
Я немедленно сгенерировал CSRF POC с помощью Burp Suite CSRF Generator, протестировал его на своей второй учетной записи, и успешно изменил пароль второй учетки.
Итак, я нашел три уязвимости:
1-я уязвимость:
Дата отправки: 3 мая 2021 г.
Дата исправления: 16 сентября 2021 г.
2-я уязвимость:
Дата отправки: 15 августа 2021 г.
Дата исправления: 21 сентября 2021 г.
3-я уязвимость:
Дата отправки: 17 августа 2021 г.
Дата исправления: 1 октября 2021 г.
Спустя примерно месяц я получил свое паршивое вознаграждение ) и улучшил свой скил. Думаю не плохо для 16 летнего парня )
РЕКОМЕНДУЕМ:
Круто
Я просто ору с разрабов. Каким местом они пишут код?