Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Znalazł niewinny S3 bucket – nagroda ~45 000 PLN :-)
Żeby zdobyć niezłą nagrodę w ramach bug bounty, wcale nie trzeba jakiegoś super skomplikowanego hackowania ;) Tym razem mamy do czynienia z przejęciem zapomnianego bucketa S3 w AWS. Technika podobna jest do subdomain takeover:
An AWS S3 bucket previously owned by Mapbox was reclaimed by this researcher, which is possible due to the global namespacing of S3 buckets.
O co tutaj chodzi? Otóż jeśli mamy np. taką domenę, pod którą dostępny jest S3: storage.example.com.s3-website.ap-south-1.amazonaws.com, to być może będziemy chcieli zrobić jakąś bardziej przyjazną nazwę w DNS np.: storage.example.net. W tym celu robimy zwykły alias (CNAME).
Ale co w momencie kiedy bucket nie jest potrzebny? Powinniśmy wszystko wyczyścić, również z aliasem z DNS (storage.example.net). Jeśli tak się nie stanie, to ktoś może zrobić swój bucket S3 i przydzielić mu nazwę storage.example.com.s3-website.ap-south-1.amazonaws.com. Teraz ponownie wszystko działa, ale content już jest serwowany od nas.
Samo to może jeszcze nie jest tragiczne, ale co w przypadku gdy jakiś system jeszcze korzysta z domeny storage.example.net? Wtedy może być problem:
this bucket was still actively referenced in a test script. The bucket takeover therefore posed a possibility for remote code execution via this S3 bucket.
(…) Test-scripts for postgis in mason-repository using unsafe unzip of content from unclaimed bucket creates potential RCE-issues
Czyli podsumowując, jakiś testowy skrypt rozpakowywał zipa z bucketa, który już został skasowany. Ktoś stworzył ponownie bucket (z odpowiednią domeną), w zip-ie zapewne wrzucił np. webshella i mamy dostęp na serwer. Nagroda? $12 500.
–Michał Sajdak
kiedyś kupiłem serwer tylko pod smtp – udało mi się do niego podpiąć domenę której nie byłem właścicielem zrobić skrzynkę pocztową i wysyłać maile za pomocą smtp, pewnie właściciel domeny mial usunięte rekordy poczty no ale i tak chyba nie jest to normalne…
W jaki sposób się to wykrywa (czyli też broni)?
Zarządza się i wykonuje nadzór nad assetami IT w organizacji.
Rekordy dkim spf i dmarc na domenie nadawcy.
Poczta tak działa, polecam lekturę RFC. A do takiej zabawy wystarczy https://emkei.cz/ czy dowolny open relay.