Продолжаю публикацию некоторых моих репортов по ББ от мелкомяг | ScriptKiddieNotes

Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, чтобы напомнить как дорогим читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.

Предыдущие ->

https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170

Кейс №3

Один из тех репортов, которыми горжусь лично для себя. Когда сидишь, втыкаешь в экран и нет плана, нет идей, а потом возникает какой-то миг озарения, и ты такой "А давай ебанём вот так, и посмотрим, что выйдет!". В данном случае даже не потребовались какие-то инструменты типа бурпа, только интернет и прокладка между креслом и клавиатурой. Не претендую на какое-то авторство, но за 6 лет лет просматривания открытых репортов с h1, не видел подобного в раскрытых. Не уверен, как можно классифицировать данный инцидент по OWASP, возможно CWE-840: Business Logic Errors. Сам я, как видно из скринов к посту, обозвал это как повышение привилегий, но уверен, что это в корне не верно. Если у вас другие мысли по этому поводу, дайте знать в личку, или комментариях. Спасибо.

Суть такова. Набравшись смелости(да и вообще набравшись, чего уж там греха таить) поковырять dev.azure.com - cервис для бородатых мужчин, любящих попердолиться с консолькой и прочими умными вещами(если сравнить с чем-то, то ближайшие аналоги mcs.mail.ru и cloud.google.com), я решил взглянуть, что там и как. После череды неудач, в голову стрельнула мысль, что будет, если наградить нашего условного атакующего правами и разрешениями, равными владельцу проекта, потом удалить его вовсе, потом восстановить, и посмотреть, что получиться.

Вышло неплохо, так как-как после удаления такого пользователя - он восстанавливался с прежними правами и разрешениями, поскольку по какой-то причине, система помечала его как принадлежащего к группе Администраторов, и не сбрасывала этот флаг. Вдохновившись этими фактом, отображавшимся на мониторе, я зарепортил. Посоны из Редмонда по достоинству оценили искру вдохновения.

С тех пор, когда я вижу какую-то админку/кабинет разработчика, я задаюсь простым вопросом - как закрепиться условному атакующему, зная, что его пидорнут. Что будет с ключами/токенами, которые были сгенерированы от его имени? Какие-то вебхуки? Пароли к базам данным? Сбрасывается ли все это добро? Как получить какой-то условный бэкдор?

Fun fact: Буквально сегодня за подобный баг, от VK/OK мне прилетела выплата 9000 рублей. Причем в довольно критичном функционале, на котором, собственно и строится весь этот проект, учитывая что сама система/групп/страничек пропускает через себя большой поток денег, и является предметом купли/продажи. Какие времена - такие и нравы. Щито поделать, десу-ка. Спасибо, хоть нахуй не послали.

Подводя итог:

скрипткидди vs кулхацкеры 3:0

Баунти - 5k$

Поскольку скрины не влезли, ибо я слишком распизделся, то они в комментариях.

Добра :3

#bb