Ниже будет exploit

Всем привет, я несколько дней чекал сервера m1-shop.ru на дыры т.к мне сказали что m1-shop.ru платит за дары.

Мной было найдено две критических уязвимости за которые мне предложили 2000 руб!

Поэтому вот

Cross site scripting:

Для эксплуатации берем любой домен добавляем в A ip: 213.5.70.60 TXT: exploit

Переходим по ссылки https://m1-shop.ru/core/user_ajax/check_dns.php?domain=[Ваш домен]

Видим

https://i.ibb.co/108j7G7/Image-2.jpg

RCE на одном из серверов

5.9.85.109:8090 (http://5.9.85.109:8090/) - Видим скрипт на Confluence 6.9.0

Чекаем и выбираем эксплоит по вкусу (https://www.cybersecurity-help.cz/vdb/SB2021090135)

Результат

https://i.ibb.co/HTWmTH3/Image-3.png

Еси у них нет ББ, то какой смысл им чё-то писать да и вообще там ковыряться?

Тут то и на официальных ББ порой жаркие споры и разногласия возникают.

А ждать чего-то хорошего от РФ компаний да ещё и без ББ не стоит!

erwerr2321 said:
↑ (https://antichat.live/posts/4481807/)
Еси у них нет ББ, то какой смысл им чё-то писать да и вообще там ковыряться?
Тут то и на официальных ББ порой жаркие споры и разногласия возникают.
А ждать чего-то хорошего от РФ компаний да ещё и без ББ не стоит!


Я в апреле им ssrf за 1000$ слил и все норм, а сейчас киданули...

@WallHack (https://antichat.live/members/244713/), а куда им сообщать об уязвимостях? У них RCE прям на главном домене


WallHack said:
↑ (https://antichat.live/posts/4481797/)
Мной было найдено две критических уязвимости за которые мне предложили 2000 руб!


Маловато, ага... XSSки, это, практически всегда, medium. Их нужно докручивать до критикалов, как минимум сделав скриншот чужой панели/акка/баланса, атаковав персонал или другого пользователя. По второму непонятно, если это просто сервак с пустым конфлюенсом, то может быть и low. Было дело одному рисёчеру, в скоупе PayPal, RCE попалось, но это была дев приложуха в докере без какого либо импакта, поэтому закономерно дали informative (читай хер с маслом)

crlf said:
↑ (https://antichat.live/posts/4482096/)
@WallHack (https://antichat.live/members/244713/)
, а куда им сообщать об уязвимостях? У них RCE прям на главном домене


Главный домен m1-shop.ru (https://m1-shop.ru/)

Если чекнуть сайты на одном ip сервера, то можно увидеть интересные скрипты


Code:
wiki.m1-dev.ru - Расстоновка задач сотрудникам
jira.m1-dev.ru - Что-то вроде чата
emma.m1-call.ru - Поддомен их колцентра
ds02.tbff.ru
dnsseed.znodes.org

За RCE они мне не заплатили т.к типо они уже знали об этой уязвимости хотя я ее дней 8 эксплуатировал и сейчас нашел заметку об возможной дыре в Confluence 6.9.0 сделанную еще в апреле (когда ssrf им сливал)

Либо они лгут, либо я сочувствую компании m1-shop

Но в любом случае 2000 руб за это все? Они бы еще петишку на тельчик предложили закинуть

WallHack said:
↑ (https://antichat.live/posts/4482104/)
Главный домен
m1-shop.ru (https://m1-shop.ru/)


Да, да, и я об этом. После текущей заметки зашёл посмотреть, кто это вообще такие. Прошёлся по вкладкам на сайте, смотрю RCE торчит, зрение ведь не обманешь Потому и спрашиваю, на какие конткаты слать им это, не в саппорт же тикетом писать? Невзирая на то, какими скрягами бы они не были (хотя 1к за просто SSRF, это ещё поискать надо людей кто столько отлопатит ), оставлять это нехорошо. Ребятам и так сильно досталось (https://conversion.im/istoriya-vzloma-m1-shop-bitkoiny-prosili-ne-tolko-khakery) за последнее время.

crlf said:
↑ (https://antichat.live/posts/4482128/)
Потому и спрашиваю, на какие конткаты слать им это, не в саппорт же тикетом писать? Ребятам и так
сильно досталось (https://conversion.im/istoriya-vzloma-m1-shop-bitkoiny-prosili-ne-tolko-khakery)
за последнее время.


Отписал в лс


crlf said:
↑ (https://antichat.live/posts/4482128/)
хотя 1к за просто SSRF, это ещё поискать надо людей кто столько отлопатит
)


Я через file:// файлы на главном сервере читал...


crlf said:
↑ (https://antichat.live/posts/4482128/)
Ребятам и так
сильно досталось (https://conversion.im/istoriya-vzloma-m1-shop-bitkoiny-prosili-ne-tolko-khakery)
за последнее время.


Вот это меня и злит их разрабы вечно касячат и даже дыры не закрывают о которые им сообщают.

Это уже давно в паблике и я больше чем уверен хоть одна дырка еще активна

WallHack said:
↑ (https://antichat.live/posts/4482149/)
Отписал в лс


Спасибо, уже отписал им.


WallHack said:
↑ (https://antichat.live/posts/4482149/)
Я через file:// файлы на главном сервере читал...


Неплохо Смею предположить постбек, верно?


WallHack said:
↑ (https://antichat.live/posts/4482149/)
Вот это меня и злит их разрабы вечно касячат и даже дыры не закрывают о которые им сообщают.
Это уже давно в паблике и я больше чем уверен хоть одна дырка еще активна


Печалит, согласен. Поэтому помимо сообщения об уязвимости, нужно, по возможности, помогать её устранить, так как не все разработчики в этом разбираются.

crlf said:
↑ (https://antichat.live/posts/4482159/)
Неплохо
Смею предположить постбек, верно?


Он самый)

@crlf (https://antichat.live/members/285197/), так шо, они таки сделали официальную ББ?

erwerr2321 said:
↑ (https://antichat.live/posts/4482163/)
@crlf (https://antichat.live/members/285197/)
, так шо, они таки сделали официальную ББ?


На уровне общения с техподдержкой в телеге)

Да и этого могло быть достаточно если бы они не переобувались

Я тут еще вспомнил что летом, сообщал о другой cross site scripting

Они ее быстро закрыли и как в случае с RCE сказали что, знали о ней (и нечего не дали)

Что-то много они знают и не закрывают

WallHack said:
↑ (https://antichat.live/posts/4482165/)
На уровне общения с техподдержкой в телеге)
Да и этого могло быть достаточно если бы они не переобувались
Я тут еще вспомнил что летом, сообщал о другой
cross site scripting
Они ее быстро закрыли и как в случае с RCE сказали что, знали о ней (и нечего не дали)
Что-то много они знают и не закрывают


Мдэ...

А хуже всего, когда в подобных случаях ещё и наезжают/угрожают!

А-ля "Ты хто такой? Шо те от нас надо? Зойчем ты нас ковыряешь? Канай отсюда, не то в грызло!"

Поэтому, исходя из своего личного опыта и по совету олдов баг хантинга, принял решение больше не связываться с компаниями без BBP! И теперь участвую только в официальных программах!

Бывает, правда, что при исследованиях натыкаешься на баги в 3d party services/apps, и если они out of scope, то иногда приходится самому искать контакты/связываться и всё им объяснять. Некоторые компании благодарят за это не тока письменно. Но эт редко, канешна.

erwerr2321 said:
↑ (https://antichat.live/posts/4482163/)
@crlf (https://antichat.live/members/285197/)
, так шо, они таки сделали официальную ББ?


Да вроде нет, не гуглится. Как там говорят, пока гром не грянет...


WallHack said:
↑ (https://antichat.live/posts/4482165/)
Что-то много они знают и не закрывают


Тут остаётся только верить и не отчаиваться. После N-ного количества раз пердак перестаёт взрываться и подгорать

В любом случае, после фикса планирую обнародовать здесь подробности, заценим

crlf said:
↑ (https://antichat.live/posts/4482181/)
В любом случае, после фикса планирую обнародовать здесь подробности, заценим


Интересно будет посмотреть

Пардон за небольшую задержку Попросили немного подождать с публикацией деталей.

Уязвимость была в функционале сортировки офферов. В куки параметре form_filter хранилось сериализованное состояние текущего фильтра, что позволяло совершить атаку вида PHP Object Injection.

Картина осложнялась тем, что привычные классы, для которых есть общеизвестные цепочки, отсутствовали, либо лежали в другом пространстве имён. К счастью, по стандартному пути composer-a ( /vendor/composer/installed.json ), ожидал небольшой сюрприз В виде единственной либы phpseclib. Которая, после небольшого исследования, позволила эскалировать угрозу до Remote Code Execution:

Для любителей поковыряться, в аттаче прилагается небольшая лаба, моделирующая этот кейс. Для крафта цепочки, теперь уже (https://github.com/ambionics/phpggc/pull/111) можно воспользоваться PHPGGC (https://github.com/ambionics/phpggc), или комплектным скриптом из видео.

Что касается реакции M1-SHOP. Внимательно выслушали, приняли к сведению, поблагодарили и отблагодарили финансово $1k Уязвимость исправили заменой дефолтной сериализации на JSON.

Так же, попутно, был отправлен ещё один отчёт, который оценили как некритичный, с пометкой:


...раздел этот у нас обычно запрятан, а тут открыли для внутренних нужд...


И дали на чай, те самые "2000 руб" которые поджарили пердак ТС-у

В целом, по первоначальной ситуации, кто прав, кто виноват, судить не возьмусь. Но у меня, по сотрудничеству, остались только положительные впечатления. А вывод таков, что с багами ниже чем RCE на проде, ребят нет смысла беспокоить и не стоит тешить себя надеждами