hackerone-rocket_chat-2019-10-n-433792

Blind SQL injection in third-party software, that allows to reveal user statistic from rocket.chat and possibly hack into the rocketchat.agilecrm.com

보고서

웹페이지에 접속하면 서드 파티 웹사이트에 Request를 날렸다.

https://stats2.agilecrm.com/addstats?callback=json9064172181954295&guid=5d659e65-2870-63d3-eff0-654315dd3b91&sid=515241ff-64f3-5589-f595-bf1bcccc56f9&url=https%3A%2F%2Frocket.chat%2F&agile=8pat9ou8gh0thqd8dlgctje3go&domain=dorgam

와 같이 파라미터 URL이 대상 프로그램의 URL로 지정되고, 몇가지 파라미터가 설정되었다.

여기에 파라미터 퍼징을 하여 new 라는 파라미터를 찾아냈다. 이 파라미터에 SQLi가 가능했다.

서드파티의 DB 버전을 알아내 PoC 했다.

서드파티를 이용해 수집한 유저 통계 정보를 SQLi를 통해 얻을 수 있다는 점을 지적했다.

이 웹은 out of scope이지만 취약점이 중대하여 그냥 보고했다고 한다. 또한 이들이 사용한 서드파티의 문제이므로 서드파티측과 연락하라 했다.

---

tags: wstg-inpv-05, bughunting, rocketchat, sqli, web hacking, severity none