Berburu Bug di KASKUS

Learn System Security - Berburu Bug di KASKUS ~
Selamat malam semuanya, kali ini saya akan sedikit sharing pemburuan bug saya pada situs Kaskus, saya menemukan beberapa bug pada Kaskus seperti POST-based XSS, Reflected XSS, Stored XSS dan Open Redirect Vulnerability.

# Recon
Yang pertama saya lakukan adalah recon seperti mengumpulkan subdomain pada situs Kaskus.
Saya menggunakan sublist3r untuk mengumpulkan subdomain.
Setelah itu saya kumpulkan semua subdomain yang saya dapatkan dan meyimpannya dalam file (txt) lalu mulai cek satu per satu subdomain.
Saya mulai pada www.kaskus.co.id, saya menggunakan Links-Crawler untuk mendapatkan beberapa URL dan/atau URL yang memiliki parameter unik.


# Reflected XSS
Bug pertama yang saya temukan adalah Reflected XSS, setelah menggunakan Links-Crawler saya mendapatkan URL seperti dibawah ini,
  • https://www.kaskus.co.id/post_reply/{{thread-uid}}/?order=1
Saya coba mengganti value pada parameter order seperti,
  • https://www.kaskus.co.id/post_reply/{{thread-uid}}/?order=1234"><
Response dari server,
Saya coba lagi untuk memasukkan Payloads XSS,
  • https://www.kaskus.co.id/post_reply/{{thread-uid}}/?order=1234"><svg/onload=alert(1)>
Tetapi responsenya:(
Karena value dari parameter order berada pada hidden input, saya coba menggunakan atribut onclick="" dan accesskey="" untuk XSS.
Request,
  • https://www.kaskus.co.id/post_reply/{{thread-uid}}/?order=1234"/onclick="alert(document.domain)"/accesskey="x
Response,
Ketika membuka halaman dan menekan ALT + SHIFT + X pada keyboard, notifikasi alert() akan muncul,


# Stored XSS
Bug kedua yang saya temukan adalah Stored XSS, masih pada domain https://www.kaskus.co.id.
Pada halaman https://www.kaskus.co.id/user/editprofile terdapat form untuk mengganti biodata, saya coba dengan memasukkan helloworld"><////
Response,
Tetapi ketika saya mencoba <svg/onload=alert(1)>, response dari server sama seperti Reflected XSS yang tadi, jadi saya sama menggunakan atribut onclick="" dan accesskey=""
Payloads: helloworld"/onclick="alert(document.domain)"/accesskey="x
Ketika membuka halaman profile https://www.kaskus.co.id/@choirurrizal/ dan menekan ALT + SHIFT + X pada keyboard, notifikasi alert() akan muncul,


# POST-based XSS
Selanjutnya saya menemukan POST-based XSS Vulnerability pada subdomain Kaskus yaitu https://fjb.kaskus.co.id/

Ketika membuka https://fjb.kaskus.co.id/sell terdapat form untuk post produk/barang, pada parameter Atribut dan Nilai karakter petik 2 tidak di encode dan karena jumlah karaker pada kedua parameter dibatasi,  jadi saya menggunakan Payload seperti dibawah ini,
- Parameter Atribut: "onclick='/*
- Parameter Nilai: */alert(1)'
Response,
POST-based XSS,


# Open Redirect
Yang terakhir adalah Open Redirect Vulnerability pada domain www.kaskus.co.id dan fjb.kaskus.co.id, ketika menggunakan Links-Crawler, saya mendapatkan URL yang cukup unik.
Ketika membuka https://fjb.kaskus.co.id/user/switchtomobile/?url=/hello akan diarahkan ke https://fjb.m.kaskus.co.id/hello
Yang aneh adalah, ketika menghapus karakter slash pada parameter urlhttps://fjb.kaskus.co.id/user/switchtomobile/?url=hello halaman akan diarahkan ke https://fjb.m.kaskus.co.idhello yang seharusnya diarahkan ke https://fjb.m.kaskus.co.id/hello

https://fjb.kaskus.co.id/user/switchtomobile/?url=/hello ==> https://fjb.m.kaskus.co.id/hello
https://fjb.kaskus.co.id/user/switchtomobile/?url=hello ==> https://fjb.m.kaskus.co.idhello

Pada kondisi seperti ini, kita bisa memasukkan domain pada parameter url, dan nantinya fjb.m.kaskus.co.id akan menjadi subdomain pada domain yang kita masukkan pada parameter url, lihat screenshot dibawah ini jika masih bingung
https://fjb.kaskus.co.id/user/switchtomobile/?url=.rizal.ninja ==> https://fjb.m.kaskus.co.id.rizal.ninja

Setelah lihat-lihat Links-Crawler lagi, terdapat dua URL yang memiliki Open Redirect Vulnerability yang sama

- https://fjb.kaskus.co.id/user/switchtomobile/?url=.rizal.ninja ==> https://fjb.m.kaskus.co.id.rizal.ninja
- https://www.kaskus.co.id/user/switchtomobile/?url=.rizal.ninja ==> https://m.kaskus.co.id.rizal.ninja

Satu lagi Bug Open Redirect yang saya temukan pada URL https://www.kaskus.co.id/redirect?url=

Jika memasukkan domain *.kaskus.co.id pada parameter url, halaman langsung diarahkan ke domain tersebut, tetapi jika bukan domain kaskus.co.id halaman tidak diarahkan dan mendapatkan tampilan halaman seperti,
Pada kasus ini, kita bisa menggunakan PoC Open Redirect yang pertama sebagai Payloads pada Open Redirect yang kedua.

https://www.kaskus.co.id/redirect?url=https://fjb.kaskus.co.id/user/switchtomobile/?url=.rizal.ninja ==> https://fjb.kaskus.co.id/user/switchtomobile/?url=.rizal.ninja ==> https://fjb.m.kaskus.co.id.rizal.ninja

Sekian.
#HappyHacking

0 comments