Bonjour, Habr!
Aujourd'hui, nous allons parler de la façon dont les vulnérabilités du fournisseur ont été trouvées, disons: example.ua
Eh bien ...
Commençons!
Première étape: analyse
Tout d'abord, vous devez collecter autant d'informations que possible sur notre victime. Après tout, comme vous le savez, vous ne pouvez pas fermer tous les trous.
Commençons par la recherche de sous - domaines possibles et connectés DNs.
Exécutez Sublist3r Au
cours de l'analyse, je suis tombé sur le domaine de leur mailer.example.ua service de messagerie à partir duquel lettres ont été envoyées aux clients.
Là-dessus, il y avait la possibilité d'une inscription gratuite, dont j'ai immédiatement profité.
Deuxième étape: tester le service
"Si les portes sont ouvertes, alors ils nous attendent à l'intérieur!"
Au bout d'un moment, sur ce service, plusieurs XSS et CSRF ont été trouvés avec la possibilité possible de capturer un compte et l'IDOR le plus délicieux.En
étudiant le service, j'ai découvert la possibilité de créer mes propres mailings personnalisés et d'en éditer d'autres.
De plus, en plus de cela, j'ai pu voir les mailings d'autres personnes dans lesquels des données très sensibles ont été rencontrées.
Il y avait déjà des trous assez sérieux pour le détournement de compte et la divulgation d'informations privées, mais la curiosité m'a conduit en avant et j'ai continué mes fouilles.
Téléchargement Shell
Le site a la possibilité de télécharger vos propres fichiers, mais avec certaines restrictions.
Essayons de remplir la coquille!
J'ai essayé de remplir un simple shell php, il s'est chargé avec succès mais je n'ai pas pu trouver le chemin du fichier. Quand j'ai essayé d'envoyer une lettre avec ce fichier, j'ai eu une erreur dans le code Yii2, apparemment le service est basé sur ce framework.
Un peu de sorcellerie noire et cette limitation a été contournée.
J'ai généré le shell à l'aide de l'utilitaire Weevely et renommé le fichier shell.php.jpg, ce qui aide généralement à tromper la plupart des filtres de téléchargement pas si intelligents. Après avoir envoyé une telle lettre, il n'y avait plus d'erreur.
Mais je n'ai toujours pas pu trouver mon chemin vers ma coquille.
Les tentatives d'itération sur les répertoires m'ont conduit à / images /
qui contient tous les fichiers téléchargés sur ce service.
Recherche rapide par nom et je trouve ma coquille!
Nous nous connectons et ...
Sur cela, vous pouvez transmettre la vulnérabilité. Il existe des sorties vers la base de données du fournisseur, les listes de clients, les sources du site et bien d'autres choses intéressantes.
J'ai passé un rapport décrivant la vulnérabilité aux administrateurs du site, et ils ont décidé de désactiver complètement ce service. C'est tout, merci pour votre attention!
Auteur:xalerafera
Modifier et revoir: AlexShmel