ДЫРЯВАЯ CPA СЕТЬ M1-SHOP.RU СКАМ КИДАЛЫ ОТЗЫВ ВЗЛОМ

Discussion in 'Уязвимости' started by WallHack, 17 Nov 2021.

  1. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    Ниже будет exploit

    Всем привет, я несколько дней чекал сервера m1-shop.ru на дыры т.к мне сказали что m1-shop.ru платит за дары.

    Мной было найдено две критических уязвимости за которые мне предложили 2000 руб!

    Поэтому вот

    Cross site scripting:
    Для эксплуатации берем любой домен добавляем в A ip: 213.5.70.60 TXT: exploit
    Переходим по ссылки https://m1-shop.ru/core/user_ajax/check_dns.php?domain=[Ваш домен]
    Видим


    [​IMG]

    RCE на одном из серверов
    5.9.85.109:8090 - Видим скрипт на Confluence 6.9.0
    Чекаем и выбираем эксплоит по вкусу
    Результат

    [​IMG]
     
    #1 WallHack, 17 Nov 2021
    Last edited: 19 Nov 2021
    nynenado likes this.
  2. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,232
    Likes Received:
    26,215
    Reputations:
    147
    Еси у них нет ББ, то какой смысл им чё-то писать да и вообще там ковыряться?
    Тут то и на официальных ББ порой жаркие споры и разногласия возникают.
    А ждать чего-то хорошего от РФ компаний да ещё и без ББ не стоит!
     
    CoolHucker, crlf and Baskin-Robbins like this.
  3. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    Я в апреле им ssrf за 1000$ слил и все норм, а сейчас киданули...
     
    #3 WallHack, 18 Nov 2021
    Last edited: 27 Dec 2021
  4. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    674
    Likes Received:
    1,472
    Reputations:
    448
    @WallHack, а куда им сообщать об уязвимостях? У них RCE прям на главном домене :(

    Маловато, ага... XSSки, это, практически всегда, medium. Их нужно докручивать до критикалов, как минимум сделав скриншот чужой панели/акка/баланса, атаковав персонал или другого пользователя. По второму непонятно, если это просто сервак с пустым конфлюенсом, то может быть и low. Было дело одному рисёчеру, в скоупе PayPal, RCE попалось, но это была дев приложуха в докере без какого либо импакта, поэтому закономерно дали informative (читай хер с маслом) :(
     
    #4 crlf, 20 Nov 2021
    Last edited: 20 Nov 2021
  5. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    Главный домен m1-shop.ru

    Если чекнуть сайты на одном ip сервера, то можно увидеть интересные скрипты
    Code:
    wiki.m1-dev.ru - Расстоновка задач сотрудникам
    jira.m1-dev.ru - Что-то вроде чата
    emma.m1-call.ru  - Поддомен их колцентра
    ds02.tbff.ru
    dnsseed.znodes.org
    За RCE они мне не заплатили т.к типо они уже знали об этой уязвимости хотя я ее дней 8 эксплуатировал и сейчас нашел заметку об возможной дыре в Confluence 6.9.0 сделанную еще в апреле (когда ssrf им сливал)
    Либо они лгут, либо я сочувствую компании m1-shop

    Но в любом случае 2000 руб за это все? Они бы еще петишку на тельчик предложили закинуть
     
    Spinus likes this.
  6. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    674
    Likes Received:
    1,472
    Reputations:
    448
    Да, да, и я об этом. После текущей заметки зашёл посмотреть, кто это вообще такие. Прошёлся по вкладкам на сайте, смотрю RCE торчит, зрение ведь не обманешь :) Потому и спрашиваю, на какие конткаты слать им это, не в саппорт же тикетом писать? Невзирая на то, какими скрягами бы они не были (хотя 1к за просто SSRF, это ещё поискать надо людей кто столько отлопатит :)), оставлять это нехорошо. Ребятам и так сильно досталось за последнее время.
     
    CoolHucker and erwerr2321 like this.
  7. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    Отписал в лс

    Я через file:// файлы на главном сервере читал...

    Вот это меня и злит их разрабы вечно касячат и даже дыры не закрывают о которые им сообщают.
    Это уже давно в паблике и я больше чем уверен хоть одна дырка еще активна
     
    crlf likes this.
  8. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    674
    Likes Received:
    1,472
    Reputations:
    448
    Спасибо, уже отписал им.

    Неплохо :) Смею предположить постбек, верно?

    Печалит, согласен. Поэтому помимо сообщения об уязвимости, нужно, по возможности, помогать её устранить, так как не все разработчики в этом разбираются.
     
    erwerr2321 and WallHack like this.
  9. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    Он самый)
     
  10. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,232
    Likes Received:
    26,215
    Reputations:
    147
    @crlf, так шо, они таки сделали официальную ББ? :)
     

    Attached Files:

  11. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    На уровне общения с техподдержкой в телеге)
    Да и этого могло быть достаточно если бы они не переобувались

    Я тут еще вспомнил что летом, сообщал о другой cross site scripting
    Они ее быстро закрыли и как в случае с RCE сказали что, знали о ней (и нечего не дали)
    Что-то много они знают и не закрывают
     
  12. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,232
    Likes Received:
    26,215
    Reputations:
    147
    Мдэ...
    А хуже всего, когда в подобных случаях ещё и наезжают/угрожают!
    А-ля "Ты хто такой? Шо те от нас надо? Зойчем ты нас ковыряешь? Канай отсюда, не то в грызло!"
    Поэтому, исходя из своего личного опыта и по совету олдов баг хантинга, принял решение больше не связываться с компаниями без BBP! И теперь участвую только в официальных программах!
    Бывает, правда, что при исследованиях натыкаешься на баги в 3d party services/apps, и если они out of scope, то иногда приходится самому искать контакты/связываться и всё им объяснять. Некоторые компании благодарят за это не тока письменно. Но эт редко, канешна. :)
     
    crlf and WallHack like this.
  13. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    674
    Likes Received:
    1,472
    Reputations:
    448
    Да вроде нет, не гуглится. Как там говорят, пока гром не грянет...

    Тут остаётся только верить и не отчаиваться. После N-ного количества раз пердак перестаёт взрываться и подгорать :D

    В любом случае, после фикса планирую обнародовать здесь подробности, заценим ;)
     
    WallHack and erwerr2321 like this.
  14. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    302
    Likes Received:
    138
    Reputations:
    33
    Интересно будет посмотреть :)
     
  15. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    674
    Likes Received:
    1,472
    Reputations:
    448
    Пардон за небольшую задержку :( Попросили немного подождать с публикацией деталей.

    Уязвимость была в функционале сортировки офферов. В куки параметре form_filter хранилось сериализованное состояние текущего фильтра, что позволяло совершить атаку вида PHP Object Injection.

    Картина осложнялась тем, что привычные классы, для которых есть общеизвестные цепочки, отсутствовали, либо лежали в другом пространстве имён. К счастью, по стандартному пути composer-a ( /vendor/composer/installed.json ), ожидал небольшой сюрприз :) В виде единственной либы phpseclib. Которая, после небольшого исследования, позволила эскалировать угрозу до Remote Code Execution:



    Для любителей поковыряться, в аттаче прилагается небольшая лаба, моделирующая этот кейс. Для крафта цепочки, теперь уже можно воспользоваться PHPGGC, или комплектным скриптом из видео.

    Что касается реакции M1-SHOP. Внимательно выслушали, приняли к сведению, поблагодарили и отблагодарили финансово $1k :) Уязвимость исправили заменой дефолтной сериализации на JSON.

    Так же, попутно, был отправлен ещё один отчёт, который оценили как некритичный, с пометкой:
    И дали на чай, те самые "2000 руб" которые поджарили пердак ТС-у :D

    В целом, по первоначальной ситуации, кто прав, кто виноват, судить не возьмусь. Но у меня, по сотрудничеству, остались только положительные впечатления. А вывод таков, что с багами ниже чем RCE на проде, ребят нет смысла беспокоить и не стоит тешить себя надеждами ;)
     

    Attached Files:

    • PoC.zip
      File size:
      184.1 KB
      Views:
      144
    sysjuk, WallHack, karkajoi and 4 others like this.