(nie)zwykły obrazek w plaformie shopify umożliwił dostanie się na serwer (a następnie otrzymanie ~60000 PLN)

08 lutego 2020, 00:01 | W biegu | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.
Eksperymentalnie, przez tydzień postaramy się codziennie publikować inną podatność (nową, lub po prostu ciekawą) – wpisy będzie można obserwować pod tagiem vulnz. Mamy kolejny dzień, zerknijmy więc na następną podatność.

Kit to wirtualny pracownik oferowany przez platformę shopify. Nie dość że „pracuje za darmo” ;) to czasem pozwala nieźle zarobić. Tym razem zarobek został osiągnięty w dość niekonwencjonalny sposób. W pewnym miejscu można było do aplikacji zuploadować obrazek. Niektórzy z czytelników pomyślą – aha, w takim razie zamiast obrazka można było wgrać plik wykonywalny np.: test.php, test.jsp czy inny test.py. Nic z tych rzeczy – shopify umożliwiał jedynie na upload plików JPG/PNG/GIF.

Jaki był więc następny krok? Wystarczyło w treści pliku umieścić kawałek PostScriptu. Dlaczego akurat PostScript? Jest to jedna z metod na obejście oryginalnych łat na podatność ImageTragick (warto przy okazji przypomnieć sobie wykorzystanie właśnie oryginalnej luki ImageTragick w Facebooku – błąd warty $40 000).

Wracając do naszej luki – plik JPG wyglądał tak:

Po wgraniu go na serwer, po pewnym czasie odpalał reverse shella:

Dalej zostało już tylko pobuszować na serwerze i zgłosić błąd do ekipy shopify (wypłacono za niego $15 000).

Wnioski? Pamiętajmy o regularnych łatach (co może być czasem trudne – np. w przypadku gdy aplikacja korzysta z ręcznie wgrywanych bibliotek – np. ImageMagick). W samym ImageMagick (plik policy.xml) warto wyłączyć obsługę „dziwnych” plików.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz