История взлома одного интернет провайдера



    Привет, Хабр!

    Сегодня речь пойдет о том, как были найдены уязвимости провайдере, скажем так: example.ua
    Ну что ж…

    Начнем!


    Первый этап: Анализ


    Для начала необходимо собрать как можно больше информации о нашей жертве. Ведь, как известно, все дыры не закроешь.

    Начнём с поиска возможных поддоменов и связных DN

    Запускаем Sublist3r



    В процессе сканирования я наткнулся на домен их почтового сервиса mailer.example.ua с которого производилась рассылка писем клиентам.



    На нем была возможность свободной регистрации, чем я сразу и воспользовался.

    Второй этап: Тестирование сервиса


    «Если двери открыты, значит нас внутри ждут!»

    На этом сервисе через некоторое время нашлось несколько XSS и CSRF с вероятной возможностью захвата аккаунта и самое вкусное IDOR

    Во время изучения сервиса, я обнаружил возможность создавать свои кастомные рассылки и редактировать чужие.

    Также помимо этого я мог просматривать чужие рассылки в которой встречались очень sensitive data.

    Этого уже были довольно серьезные дыры на угон аккаунта и раскрытие приватной информации, но любопытство вело меня вперёд и я продолжил свои раскопки.

    Shell Upload


    На сайте есть возможность загрузки собственных файлов, но с некоторыми ограничениями.



    Попробуем залить шелл!

    Я пытался залить простой php shell, он успешно загружался но я не мог найти путь к файлу. Когда я пытался отправить письмо с этим файлом, у меня вылезала ошибка в коде Yii2, видимо сервис стоит на этом фреймворке.



    Немного чёрного колдовства и это ограничение удалось обойти.

    Я сгенерировал шелл с помощью утилиты Weevely и переименовал файл как shell.php.jpg, что обычно помогает обмануть большинство не сильно умных фильтров загружаемых файлов. После отправки такого письма ошибки уже не было.

    Но я всё ещё не мог найти путь к моему шеллу.



    Попытки перебрать директории привели меня к /images/
    в нём хранятся все загружаемые файлы на этом сервисе.

    Быстрый поиск по имени и я нахожу свой шелл!

    Подключаемся и…



    На этом можно сдавать уязвимость. Здесь есть выходы к базе данных провайдера, списки клиентов, исходники сайта и много других приятных вещей.

    Передал репорт с описанием уязвимости администраторам сайта, и они решили совсем отключить этот сервис. На этом всё, благодарю за внимание!

    Author: xalerafera
    Edit & rewiew: AlexShmel

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 8

      +3

      Я почему-то в последнем абзаце ожидал реакции в духе "… и они вот уже две недели игнорят мои репорты".

        +1

        Были такие опасения ) Но к счастью меня связали с разработчиком, и мы исправили уязвимости)

        +5

        Главное от интернета не отключили

          +1

          А ты крут =) Только вот устроился почитать обьемную статью с долгими безуспешными попытками взлома, пробой разных неожиданных вариантов, а тут хоба и все кончилось быстро.

            +1

            Ну так почти всегда происходит) Что только не встретишь в вебе)

            –1

            Когда уже каникулы закончатся?

              0

              Эх) Уже)

                +5

                В школу не терпится? Крепись, юноша.
                По делу есть, что сказать?
                В каждом посте про "Хабр уже не тот" заходит разговор про read & comment юзеров, поднимается справедливый плач, что обстановка в комментариях язвительная и не по делу. А тут сами полноправные пользователи так язвят, что Пикабу с его петросянством отдыхает.
                Поменьше бы высокомерия, сказал бы по делу "статья краткая, на мой взгляд необходимо добавить деталей" – цены бы не было. А нахамить школьнику про то, что он школьник – много ума не надо.

              Only users with full accounts can post comments. Log in, please.