-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Uzyskał dostęp na serwerze Starbucksa. Nagroda? Tylko ~20 000 PLN

06 kwietnia 2021, 16:48 | W biegu | komentarzy 5

Opis tematu możecie znaleźć tutaj.

Na początek, w ramach rekonesansu, badacz wziął na cel pliki znajdujące się w katalogu /api

Co ciekawe wykorzystał pewną sztuczkę działającą na serwerach IIS; mianowicie można użyć windowsowego ciągu ~1 do łatwego wykrywania nazw katalogów czy plików znajdujących się na serwerze (tutaj stosowny skaner). Przykładowo, żądanie do DOWNLO~1.ASH sprawdza nie nie ma zasobu zaczynającego się od downlo + rozszerzenie ash? (gdzie pytajnik oznacza dowolny znak).

Udało się znaleźć m.in. taki zasób: IMAGEU~1.ASH

Jeśli interesuje cię tematyka rekonesansu aplikacji webowych – zapraszamy na nasze praktyczne szkolenie recon master #1.

Jednak jak wyglądała pełna nazwa pliku? Po użyciu narzędzia ffuf na takiej masce: imageuploadFUZZ.ashx, badacz namierzył plik imageuploadhandler.ashx

Wygląda dobrze, może uda się wysłać bez uwierzytelnienia plik na serwer (a w pliku zamiast obrazka będzie nasz webshell)?

Podpowiedź jak skonstruować żądanie badacz znalazł w jednym z ogólnodostępnych plików .js Zatem upload webshella:

Oraz finalny efekt jego działania.

Starbucks wypłacił $5600 w ramach swojego programu bug bounty.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asdsad

    To IIS-a używa się gdzieś w sieci? Myślałem, że jest jak IE – „jest bo jest, ale nie tykać”.

    Odpowiedz
  2. Wojtas

    Polowa Niemiec stoi na IIS i raczej nie kwapią się do zmiany tego stanu.

    Odpowiedz
    • asdsad

      Hmm… Ale jakoś nie ma wielkich wycieków w DE. Zawsze myślałem, że IIS jest synonimem dziury i nadaje się najwyżej do intranetu… niesłuszna obiegowa opinia?

      Odpowiedz

Odpowiedz