Znalazł niewinny S3 bucket – nagroda ~45 000 PLN :-)

29 lipca 2020, 22:28 | W biegu | komentarzy 5
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Żeby zdobyć niezłą nagrodę w ramach bug bounty, wcale nie trzeba jakiegoś super skomplikowanego hackowania ;) Tym razem mamy do czynienia z przejęciem zapomnianego bucketa S3 w AWS. Technika podobna jest do subdomain takeover:

 An AWS S3 bucket previously owned by Mapbox was reclaimed by this researcher, which is possible due to the global namespacing of S3 buckets.

O co tutaj chodzi? Otóż jeśli mamy np. taką domenę, pod którą dostępny jest S3: storage.example.com.s3-website.ap-south-1.amazonaws.com, to być może będziemy chcieli zrobić jakąś bardziej przyjazną nazwę w DNS np.: storage.example.net. W tym celu robimy zwykły alias (CNAME).

Ale co w momencie kiedy bucket nie jest potrzebny? Powinniśmy wszystko wyczyścić, również z aliasem z DNS (storage.example.net). Jeśli tak się nie stanie, to ktoś może zrobić swój bucket S3 i przydzielić mu nazwę storage.example.com.s3-website.ap-south-1.amazonaws.com. Teraz ponownie wszystko działa, ale content już jest serwowany od nas.

Samo to może jeszcze nie jest tragiczne, ale co w przypadku gdy jakiś system jeszcze korzysta z domeny storage.example.net? Wtedy może być problem:

this bucket was still actively referenced in a test script. The bucket takeover therefore posed a possibility for remote code execution via this S3 bucket.

(…) Test-scripts for postgis in mason-repository using unsafe unzip of content from unclaimed bucket creates potential RCE-issues

Czyli podsumowując, jakiś testowy skrypt rozpakowywał zipa z bucketa, który już został skasowany. Ktoś stworzył ponownie bucket (z odpowiednią domeną), w zip-ie zapewne wrzucił np. webshella i mamy dostęp na serwer. Nagroda? $12 500.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. rodendronowy

    kiedyś kupiłem serwer tylko pod smtp – udało mi się do niego podpiąć domenę której nie byłem właścicielem zrobić skrzynkę pocztową i wysyłać maile za pomocą smtp, pewnie właściciel domeny mial usunięte rekordy poczty no ale i tak chyba nie jest to normalne…

    Odpowiedz
    • asdsad

      W jaki sposób się to wykrywa (czyli też broni)?

      Odpowiedz
      • Grzesiek

        Zarządza się i wykonuje nadzór nad assetami IT w organizacji.

        Odpowiedz
      • Tomek

        Rekordy dkim spf i dmarc na domenie nadawcy.

        Odpowiedz
    • Tim

      Poczta tak działa, polecam lekturę RFC. A do takiej zabawy wystarczy https://emkei.cz/ czy dowolny open relay.

      Odpowiedz

Odpowiedz