Ниже будет exploit

Всем привет, я несколько дней чекал сервера m1-shop.ru на дыры т.к мне сказали что m1-shop.ru платит за дары.

Мной было найдено две критических уязвимости за которые мне предложили 2000 руб!

Поэтому вот

Cross site scripting:

Для эксплуатации берем любой домен добавляем в A ip: 213.5.70.60 TXT: exploit

Переходим по ссылки https://m1-shop.ru/core/user_ajax/check_dns.php?domain=[Ваш домен]

Видим

https://i.ibb.co/108j7G7/Image-2.jpg

RCE на одном из серверов

5.9.85.109:8090 - Видим скрипт на Confluence 6.9.0

Чекаем и выбираем эксплоит по вкусу

Результат

https://i.ibb.co/HTWmTH3/Image-3.png

Еси у них нет ББ, то какой смысл им чё-то писать да и вообще там ковыряться?

Тут то и на официальных ББ порой жаркие споры и разногласия возникают.

А ждать чего-то хорошего от РФ компаний да ещё и без ББ не стоит!

Я в апреле им ssrf за 1000$ слил и все норм, а сейчас киданули...

@WallHack, а куда им сообщать об уязвимостях? У них RCE прям на главном домене

Маловато, ага... XSSки, это, практически всегда, medium. Их нужно докручивать до критикалов, как минимум сделав скриншот чужой панели/акка/баланса, атаковав персонал или другого пользователя. По второму непонятно, если это просто сервак с пустым конфлюенсом, то может быть и low. Было дело одному рисёчеру, в скоупе PayPal, RCE попалось, но это была дев приложуха в докере без какого либо импакта, поэтому закономерно дали informative (читай хер с маслом)

Главный домен m1-shop.ru

Если чекнуть сайты на одном ip сервера, то можно увидеть интересные скрипты

За RCE они мне не заплатили т.к типо они уже знали об этой уязвимости хотя я ее дней 8 эксплуатировал и сейчас нашел заметку об возможной дыре в Confluence 6.9.0 сделанную еще в апреле (когда ssrf им сливал)

Либо они лгут, либо я сочувствую компании m1-shop

Но в любом случае 2000 руб за это все? Они бы еще петишку на тельчик предложили закинуть

Да, да, и я об этом. После текущей заметки зашёл посмотреть, кто это вообще такие. Прошёлся по вкладкам на сайте, смотрю RCE торчит, зрение ведь не обманешь Потому и спрашиваю, на какие конткаты слать им это, не в саппорт же тикетом писать? Невзирая на то, какими скрягами бы они не были (хотя 1к за просто SSRF, это ещё поискать надо людей кто столько отлопатит ), оставлять это нехорошо. Ребятам и так сильно досталось за последнее время.

Отписал в лс

Я через file:// файлы на главном сервере читал...

Вот это меня и злит их разрабы вечно касячат и даже дыры не закрывают о которые им сообщают.

Это уже давно в паблике и я больше чем уверен хоть одна дырка еще активна

Спасибо, уже отписал им.

Неплохо Смею предположить постбек, верно?

Печалит, согласен. Поэтому помимо сообщения об уязвимости, нужно, по возможности, помогать её устранить, так как не все разработчики в этом разбираются.

Он самый)

@crlf, так шо, они таки сделали официальную ББ?

На уровне общения с техподдержкой в телеге)

Да и этого могло быть достаточно если бы они не переобувались

Я тут еще вспомнил что летом, сообщал о другой cross site scripting

Они ее быстро закрыли и как в случае с RCE сказали что, знали о ней (и нечего не дали)

Что-то много они знают и не закрывают

Мдэ...

А хуже всего, когда в подобных случаях ещё и наезжают/угрожают!

А-ля "Ты хто такой? Шо те от нас надо? Зойчем ты нас ковыряешь? Канай отсюда, не то в грызло!"

Поэтому, исходя из своего личного опыта и по совету олдов баг хантинга, принял решение больше не связываться с компаниями без BBP! И теперь участвую только в официальных программах!

Бывает, правда, что при исследованиях натыкаешься на баги в 3d party services/apps, и если они out of scope, то иногда приходится самому искать контакты/связываться и всё им объяснять. Некоторые компании благодарят за это не тока письменно. Но эт редко, канешна.

Да вроде нет, не гуглится. Как там говорят, пока гром не грянет...

Тут остаётся только верить и не отчаиваться. После N-ного количества раз пердак перестаёт взрываться и подгорать

В любом случае, после фикса планирую обнародовать здесь подробности, заценим

Интересно будет посмотреть

Пардон за небольшую задержку Попросили немного подождать с публикацией деталей.

Уязвимость была в функционале сортировки офферов. В куки параметре form_filter хранилось сериализованное состояние текущего фильтра, что позволяло совершить атаку вида PHP Object Injection.

Картина осложнялась тем, что привычные классы, для которых есть общеизвестные цепочки, отсутствовали, либо лежали в другом пространстве имён. К счастью, по стандартному пути composer-a ( /vendor/composer/installed.json ), ожидал небольшой сюрприз В виде единственной либы phpseclib. Которая, после небольшого исследования, позволила эскалировать угрозу до Remote Code Execution:

Для любителей поковыряться, в аттаче прилагается небольшая лаба, моделирующая этот кейс. Для крафта цепочки, теперь уже можно воспользоваться PHPGGC, или комплектным скриптом из видео.

Что касается реакции M1-SHOP. Внимательно выслушали, приняли к сведению, поблагодарили и отблагодарили финансово $1k Уязвимость исправили заменой дефолтной сериализации на JSON.

Так же, попутно, был отправлен ещё один отчёт, который оценили как некритичный, с пометкой:

И дали на чай, те самые "2000 руб" которые поджарили пердак ТС-у

В целом, по первоначальной ситуации, кто прав, кто виноват, судить не возьмусь. Но у меня, по сотрудничеству, остались только положительные впечатления. А вывод таков, что с багами ниже чем RCE на проде, ребят нет смысла беспокоить и не стоит тешить себя надеждами