Сломайте SafeCurl и получите 0.25 Bitcoin

[a553]

Для тех кто не в курсе что за SSRF и зачем нужен SafeCurl, вот здесь есть краткое описание (6 слайд, например):
www.slideshare.net/d0znpp/ssrf-attacks-and-sockets-smorgasbord-of-vulnerabilities

[amarao]

Оно ipv6 не умеет. Так не интересно (половина вкусного — в разных нотациях записи ipv6).

[ValdikSS]

Я уже написал об этом автору. Это первое, что я попробовал, и обломился.
github.com/fin1te/safecurl/issues/1

[Ehuhaa]

Все три взломщика получили доступ к одному кошельку? Или файл обновляется?

[ValdikSS]

Обновляется, разумеется.

[5hr4M]

Интересно, что на safecurl.fin1te.net/#url=http://0x25.0x30.0x5A.0xC4/btc.txt выдается ошибка о невозможности отрезолвить… а по идеи должна быть ошибка о blacklist…

[mwizard]

зато http://2130706433/btc.txt рапортует о правильной ошибке

[5hr4M]

да… это я первым делом проверил :)

[max_mara]

А как в третьем случае атакующий получил содержимое btc.txt? Так можно обойти валидацию по URL, но ведь curl отправит запрос на один из ip Google, а не на внутренний адрес?

И может мог бы кто объяснить, как во втором случае воспользовались уязвимостью?

[Dimchansky]

Судя по описанию этот url некорректно парсится. Функция parse_url в PHP видит там хост google.com, который валиден. В то же время cURL использует домен safecurl.fin1te.net, обходя таким образом проверку.

[max_mara]

В том то и дело, что не понятно, каким образом safecurl.fin1te.net попадает в curl, т.к. он потом вызывает функцию RebuildURL, которая возьмет все тот-же IP гугла

[Dimchansky]

Так может проблема в том, что parse_url парсил по кривым частям, собрав по которым через buildUrl получали то же самое, а curl собранное уже по-взрослому интерпретировал.

[max_mara]

Да, действительно. Так оно и есть

[ValdikSS]

Кто-то забрал 4 награду, а способ не прислал.

[Bonio]

Там же, вроде, нигде не написано, что не прислали. Может закроют уязвимость и способ выложат.

[Bonio]

Вот и 4 способ опубликовали. Marcus T тоже использовал ошибку в парсинге url.