Pokazał jak prostym gif-em można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

01 grudnia 2020, 11:54 | W biegu | komentarze 2
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Zerknijcie na tę podatność w serwisie basecamp.com. Upload gif-a (np. jako avatar) wydaje się być bezpieczny? Błąd ;-)

Badacz stworzył wprawdzie plik z rozszerzeniem .gif, ale w jego treści umieścił postscript. I teraz serwer zaczął taki plik traktować jako plik postscriptowy (!):

This is probably due to ImageMagick / GraphicsMagick being used for image conversion, which calls a PostScript interpreter (Ghostscript) if the input file starts with '%!'. 

Czyli do konwersji uploadowanych obrazków stosowany był ImageMagick, który jeśli widział, że plik zaczyna się od ciągu %! – traktował go jako .ps.

Teraz tylko wykorzystanie podatności w GhostScript (CVE-2017-8291) i bum – możemy wykonywać dowolne polecenia na serwerze. Poniżej widać odpalenie polecenia ping. W nagrodę za zgłoszenie problemu, badacz otrzymał $5000 (bug bounty).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. rdk

    Link jest do hacktivity, które się zmienia wraz z ruchem wskazówek zegara…

    Odpowiedz

Odpowiedz