Trong phần này thì mình chỉ nói ngắn gọn thôi, đó là 1 bạn nào đấy đem đi Encode thẻ Script kèm Alert bằng Url Encode và dòng sau thì là 1 Code Javascript với vòng lặp trong 20 giây, ở đây mình chưa đọc về Encode, thì có khả năng nó là Javascript Injection, nhưng sau khi đọc mã hoá thì mình biết rằng bạn muốn vòng lặp trong 20 giây cho XSS ( Cross – Site Scripting ) nếu nó Attack True không Encode, vậy Encode ở trước làm gì mà không encode cả đằng sau, và bạn nghĩ rằng Filter Blacklist nó không đọc được hay sao.
Cái vấn đề trước khi muốn hack phải xác định rằng, máy chủ cho phép Comment ngay hay chờ xét duyệt và sau đó mới tiến hành kiểm tra thử xem rằng trên cái post đấy cái Paramenter Vulnerability hay không thay vì Spamm liên tục, và đừng đổ lỗi rằng trên Burp Suite Scanner nó báo có Bug. Báo có thì có thể là dương tính giả, quan trọng là nhận biết về bug như nào CVE, CWE, Z|day còn mà cái kiểu như này mình cũng chịu, mình không biết bạn tự Code hay bạn bê ở đâu, nhưng khi đọc mình thấy hơi buồn cười bởi vì chỉ trình nhiêu đây thì không biết khi nào mới Hack được Web
Tiếp theo bạn đã thêm cái gì mà XSS ( Cross – Site Scripting ) rồi còn thêm Collaborator của Burp vào làm gì mình chưa hiểu cho lắm, kiểu XSS ( Cross – Site Scripting ) được thì Response về Collaborator á hả, mà làm vậy để làm gì nhỉ, thay vì đấy bạn có thể thử nó với External Service Interaction nhưng nếu làm được thì Response phải là http thôi nha, chứ SMTP hay DNS thì mình bỏ chạy trước đấy bởi vì Impact không hề có, và http nếu Response không có thông tin nhạy cảm thì cũng vứt, nhưng đừng nhầm nó với SSRF ( Sever – Side Request Forgery ) bởi vì nó khá giống và có thể khai thác dựa trên lỗi External Service Interaction những đoạn code mình xin phép không phân tích nữa, vì nhìn thấy mắc cười quá ghi post loạn xạ mất.
Mình khuyên bạn nên tìm hiểu thêm đi mới đụng được.
Tiếp theo có lẻ còn buồn cười hơn đó là OS Command Injection yeh khá là vớ vẩn, bởi vì chẳng ai đi tiêm mã vào vậy trong khi chưa xác định được cái Location này là Vulnerability hay chưa cả. Ex ( Example ) : nếu trên Paramenter có Day or Time, có khả năng cao là có thể khai thác lỗi OS Command Injection được chứ còn đi ném Echo linh ta linh tinh trên Comment, là nếu vậy bạn OS Command injection được thì bạn làm sao xác định được là lỗi =)))))) haha thì nó cũng như Post Comment vào mà thôi =))))))))))))))) bởi vì Echo gần giống với Print vì vậy nó vẫn xuất thông tin bạn đưa ra trên Comment thì như bạn Post Comment thôi làm sao xác định được nó đã Attack Successfully rồi tại sao ở sau lại thêm ping back local address =)))) hhâh bạn xem nmap rồi thấy máy chủ mở ftp xong rồi thử ping local address với port à, nếu thật sự làm được thì nó đã in ra phía ngoài rồi chưa kể ở phía trước bạn lại thêm, rồi nếu 1 trong 2 là lỗi thật thì làm sao bạn có thể nhận diện đây hahahah, bởi vì nó sẽ bị xung đột, 2 lỗi đều khác nhau vì vậy XSS ( Cross – Site Scripting ) và ở sau có ping local address thì nó sẽ là false và đừng nhầm RCE ( Remote Code Execution ) và OS Command Injection giống nhau còn lại bạn tự tra mạng lười giải thích với mấy Script Kiddies
Đính kèm: mình sẽ up 1 lần 4 hình ảnh về bạn đó bởi vì gắn file vào từng cái mất time.
Đến đây có lẻ là hết rồi, ngày mai mình sẽ share về 2 WriteUps CTF Black Box và White Box và hướng dẫn cách phân tích mã nguồn để hiểu sâu hơn về các Bug CWE và trick để Find Bug Black Box, chỉ là Web và Forensics mà thôi, mình là 1 White Hat càm ơn mọi người đã xem, bài đăng này chỉ là sự nông nổi tuổi trẻ của mình vì cảm thấy hài hước
Cảm Ơn tất cả Mọi người đã xem Good A Day!
Mình sẽ Share ở đây 2 thứ, 1 nơi là Challenger White Box và mình là Team Bug Bounty Hunter Để Chứng Minh thì mình sẽ gắn link Web Code Toàn Bug
Đây là Challenger Black Box mình là Team ranking 14 mình không phải captain vì vậy chỉ có thể nói là xếp hạng thứ 14
Tối nay Mình sẽ Update về cách nhận diện mã cho giải đấu CTF Web White Box