Вводишь admin:admin везде где видишь кнопку «Войти»?

Натер мозоли на пальцах, а слова «Неправильный логин или пароль» видишь чаще, чем тебе платят за баги?

Всё правильно делаешь, продолжай!

Есть такая международная компания Люксофт, ну ты в курсе. Так вот, на одном из поддоменов этой компашки стоит Bitbucket сервер. Как ты уже догадался, логином и паролем для доступа к исходникам 84-ёх проектов были те самые волшебные admin:admin!

Для того чтобы потешть ЧСВ показать масштаб проектов, вот тебе пару скринов:

Среди проектов можно найти: BMW, TOYOTA, FORD, FERRARI, PANASONIC и т.д.

Кстати, Люксофт оказались теми ещё редисками! Пароль то они сменили, а вот мне не то чтобы «спасибо» сказать — даже и не ответили.

Привет-привет!

Помнишь предыдущий пост о том, как я отправлял смс с аккаунтов «Новой почты»? Так вот, мне тогда пришлось воспользоваться API мобильного оператора Lifecell.

Запрос на отправку СМС выглядел вот так:

Я человек простой, вижу XML — внедряю сущность!

О XXE атаках написанно уже много. Если интересно, то рекомендую эту статью.

Простые сущности успешно внедрялись, а вот с внешним дела обстояли не очень. После нескольких неудачных попыток получить запрос к себе на сниффер, я пришел к выводу, что на сервере стоит фаерволл, который не пускает запросы в интернет. Затем я попробовал внедрить сущность прямо в текст смс-сообщения таким запросом:

Сервер ответил, что сообщение принято. Через пару секунд загудел телефон, и я, затаив дыхание, открыл мессенджер:

Ура! Если ты не понял, лайф отправил содержание файла /etc/hosts со своего сервера прямо ко мне в СМС.

Таким образом, можно было получить достаточно интересную чувствительную информацию с компьютера оператора связи, а также отправлять запросы в их внутренню корпоративную сеть.

Но лично я предпочитаю репортить баги руководству компаний 🙂

p.s.  за уязвимости лайф не платит.

p.p.s.  дали бонусные 24 гига 3G.

Привет!

Расскажу-ка я, как был получен доступ к отправке смс от имени «Новой Почты».

---

Сбор сетевого периметра

---

Собираем как можно больше данных связанных с «Новой Почтой».

Видим, что некоторые поддомены привязаны к адресам в одной подсети.

<SMEKALOCHKA>

Если были найдены адреса типа

13.37.13.37.2

13.37.13.37.6

13.37.13.37.15

13.37.13.37.29

то есть вероятность, что как минимум диапазон 13.37.13.37.2-29 принадлежит исследуемой компании.

</SMEKALOCHKA>

Сканируем этот диапазон и ищем что-то интересное. Мне, например, показался интересным вот этот сервис:

И не зря. Как оказалось, на нём присутствует директория /.git/, в которой могут храниться исходники. С помощью GitTools дампим файлы из этой директории и извлекам те самые исходники.

Получили всего один файл — main.php!

Из его содержимого становится ясно — это сервис, который предназначен для рассылки смс-уведомлений.

В файле, кроме данных для доступа к локальным базам данных, находятся еще и данные для доступа к API крупных операторов связи!

Пару минут изучаем документацию одного из операторов и отправляем себе СМС от имени «Новой Почты» (скрин вначале поста).

Также был получен доступ к API для отправки Push уведомлений через мобильное приложение компании:

---

Чем опасно?

---

Кроме банального мошенничества из этого можно выжать намного больше:

1. Регистрируем короткий номер с оплатой за входящие смс
2. Отправляем N-смсок с аккаунтов «Новой Почты» на свой короткий номер
3. ????
4. PROFIT!

Таким образом, баланс компании у оператора постепенно уменьшается, а наш, соответственно, возрастает.

Кстати, потом я случайно взломал своего оператора мобильной связи, но об этом уже в следующем посте 🙂

Такс такс что тут у нас… Баг, который позволяет подписать любого пользователя на наше сообщество! (FIXED)

Это банальная СSRF в новом функционале «Кнопка» в рекламных постах.

Алгоритм такой:

1. Создаем пост, крепим к нему кнопку с ссылкой на наше сообщество.

2. Включаем перехват запросов в бурпе и жмём «Вступить»
Как оказалось, этого запроса достаточно чтобы подписаться на наше сообщество. Видим, что токен для проверки от кого пришёл запрос отсутствует, значит можно попробовать проэксплуатировать CSRF.

3. Давай прогрузим этот адрес на странице нашего сайта в виде картинки, вот таким образом:
<img src="https://vk.com/away.php?to=http%3A%2F%2Fvk.com%2Fclub59354715&post=-59354715_1&el=button" style="display: none;">
При переходе на сайт, браузер посетителя попытается загрузить картинку, но вместо этого подпишет пользователя на наше сообщество!

Впрочем, ты уже подписан! Можешь проверить 🙂