Wykonanie kodu na serwerze Yahoo… jedną linijką

27 grudnia 2017, 11:17 | W biegu | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Przygoda rozpoczęła się od rekonesansu – czyli użyciu narzędzi typu Zoomeye, czy Shodan w celu znalezienia odpowiedniego celu. Niezłym celem okazał się datax.yahoo.com, gdzie po krótkim bruteforce katalogów na webserwerze, udało się zlokalizować API.

Finalnie udało się wykorzystać w stosunkowo prosty sposób podatność w SpEL (Spring Expression Language) i po chwili mieliśmy już wykonanie kodu. Poniżej przykład z uruchomieniem polecenia id (w wyniku widzimy tylko ciąg UnixProcess@…, ale polecenie się wykonało, i niewiele więcej trzeba żeby jego wynik wyświetlić w odpowiedzi):

id

Ćwiczenie zostało wykonane w ramach Yahoo bug bounty, a badacz otrzymał $8 000 za zgłoszenie podatności.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin

    $8 000 za taką podatność to trochę śmiesznie nisko. Jakby ktoś wykradł (znowu) bazę danych, mogli by stracić miliony.

    Odpowiedz
    • Dziadek Tomisław

      A kto powiedział, że ta podatności może prowadzić do wykradnięcia jakichkolwiek danych wrażliwych? Może właśnie dlatego tak „nisko”, bo tylko da się wykonać kod w jakiejś piaskownicy? Brak szerszego kontekstu, ale zakładam że jakby podatność otwierała furtkę do danych wrażliwych to Yahoo więcej gelda by posypało :)

      Odpowiedz
  2. Adam

    Takie newsy ukazują przy okazji cały bezsens testów penetracyjnych.
    Jakie są faktyczne ryzyka i dla kogo ?

    Odpowiedz
    • Tzn. jak pokazują? :-)

      Odpowiedz
      • Adam

        To znaczy że nic nie wiem o tym serwerze poza tym że jest podpięty do domeny yahoo.
        Może stoi w home.pl, może jest zapomnianym serwerem testowym stojącym w DMZ-ecie kompletnie odseparowanym od wszystkiego, a może ma połączenie do bazy danych klientów. Jeżeli ta informacja miałby w ogóle nieść ze sobą jakąkolwiek wartość to takie szczegóły robią różnicę.
        Rozumiem że BB spełnia określoną rolę w procesie bezpieczeństwa, ale moim zdaniem newsy tego typu nie niosą ze sobą żadnej wartości merytorycznej.
        Takie trochę pudelkowe bezpieczeństwo.

        Odpowiedz

Odpowiedz