[Writeup] BRI Database configuration leaked

Karena tidak puas dengan hasil report pada post sebelumnya dimana report tersebut dinyatakan out of scope, akhirnya saya penasaran dan putuskan untuk mencoba mencari bug atau vulnerability pada subdomain bri.co.id.

Langkah awal yang saya lakukan saat itu adalah mencari subdomain dengan bantuan tools Sublist3r, dan setelah beberapa subdomain terkumpul saya coba cek kira-kira subdomain mana nih yang dirasa memiliki sebuah celah.

Setelah muter-muter tujuh keliling di beberapa aplikasi milik BRI akhirnya saya menemukan beberapa celah seperti berikut:

1. Google API Key disclosure

Celah ini memungkinkan attacker untuk menggunakan API Key google yang telah disubscribe oleh perusahaan tersebut biasanya API Key ini digunakan untuk mengakses google maps (direction, photo, dll) sebenarnya untuk fitur ini ada yang gratis dan ada juga yang musti berbayar, untuk detail mengenai Google API Key bisa dibaca disini biar tidak salah faham.

Saya menemukan celah ini ketika tidak sengaja melihat source code dari sebuah website dan tiba-tiba menemukan hal berikut:

setelah saya coba mencari refferensi ditempat lain saya menemukan sebuah report di salah satu website Hackerone, dimana report tersebut menginformasikan bahwa celah tersebut bisa dikatakan critical. saya coba validasi apakah APIKey tersebut termasuk ke fasilitas premium atau hanya yang gratis saja, saya lakukan hal tersebut menggunakan refferensi dari github berikut. Dari percobaan tersebut diketahui bahwa APIKey yang digunakan termasuk ke golongan premium.

berikut harga yang harus dibayar apabila ingin menggunakan fitur premium dari APIkey tersbeut.

Dan tanpa pikir lama saya langsung coba hubungi lagi email yang pernah saya kirimi report beberapa bulan kebelakang untuk melaporkan celah ini, namun sampai saat postingan ini dibuat email saya tidak ada balasan. 

2. GIT Source Code Exposure 

beberapa hari setelah melaporkan celah APIKey saya masih penasaran dengan subdomain di bri.co.id, akhirnya setelah muter-muter lagi saya menemukan sebuah celah yang dimana celah ini memungkinkan attacker untuk dapat melihat dan mengetahui isi source code dari sebuah aplikasi, dikarenakan .git dari sebuah aplikasi tersbeut bisa diakses, cara paling gampang mengeceknya adalah dengan menggunakan curl

kemudian setelah dinyatakan valid bisa dilakukan proses dumper menggunakan sebuah tools bernama GitDumper, setelah itu baru didapati output seperti berikut dimana pada masing-masing folder ini berisi informasi apasaja yang telah dipush oleh progammer.

dan ketika dicek ternyata didapati informasi sensitif seperti berikut 👀

Read More

[Writeup] BRI Admin panel akses

yap benar kali ini saya akan menulis writeup mengenai cara saya mendapatkan akses panel pada aplikasi BRI bukan clickbait, tetapi perlu diketahui kalau BRI sendiri memiliki berbagai macam aplikasi. dan pada aplikasi yang saya temukan ini merupakan aplikasi diluar subdomain dari bri.co.id. Pada aplikasi yang saya temukan merupakan aplikasi yang digunakan utnuk kegiatan atau event yang diselenggarakan oleh Bank BRI  yakni event BRI Hackaton dimana aplikasi tersebut beralamatkan pada www.briiton2020

   

Pada awalnya saya menemukan domain ini dikarenakan disebuah grup yang saya ikuti sedang membagikan informasi mengenai adanya informasi seminar yang diadakan oleh BRI, dikarenakan saat itu saya sedang bingung mau ngapain Gabut, akhirnya saya coba nyalain aplikasi andalan saya yakni Burpsuite dan saya coba untuk melakukan pendaftaran untuk mengikuti seminar tersebut,

Setelah berhasil membuat akun langsung saya coba menuju halaman profile untuk mengecek fitur update profile, dan benar saja disitu saya menemukan sebuah celah IDOR dimana dengan adanya celah tersebut mengakibatkan saya bisa melakukan update informasi user lain termasuk username dan password, sehingga saya bisa mengambil alih account mereka atau istilahnya Account TakeOver.

                                                        

Selain itu ternyata di request tersebut ditemukan adanya parameter lain yang menarik menurut saya, parameter tersebut adalah LevelID, yapp dengan nama seperti itu saya langsung kepikiran bahwa parameter ini adalah pembeda antara user "Biasa" dan user "Admin". akhirnya saya coba ubah-ubah parameter tersebut dan saya coba relogin ke account saya, dan Boom ternyata akun saya berubah menjadi Admin atau biasa disebut sebagai Privilege Escalation, Dimana dengan privilage tersebut saya bisa melakukan apasaja sebagai admin✌ 

Tidak puas dengan itu saja akhirnya saya coba untuk menjelajahi fitur lainnya yang ada pada aplikasi tersebut, dan ditemukanlah adanya fitur reset password, sesuai dengan namanya fitur ini adalah fitur yang digunakan untuk melakukan reset password apabila user lupa terhadap password yang dimilikinya.

Pada fitur ini ditemukan adanya Authentication Bypass, dimana verifikasi yang seharusnya membutuhkan sebuah kode OTP yang didapatkan via email bisa dibypass tanpa perlu atacker memiliki akses terhadap email target.

Hal ini dapat terjadi dikarenakan kode OTP tersebut ditampilkan pada response dari http request yang kita kirimkan tadi seperti gambar dibawah.

setelah dirasa celah yang saya temukan cukup critical akhirnya saya coba kirim email ke tim security yang ada pada perusahaan tersebut pada 4 November 2020. Dan setelah beberapa lama mereka menjawab bahwa aplikasi yang saya laporkan merupakan Out of Scope.

                                    

**Bug telah dipatch dan pada saat postingan ini dibuat aplikasi tersebut sudah tidak bisa diakses lagi, semoga postingan ini bisa menjadi pembelajaran untuk kita bersama 

Read More