侦察
在星巴克新加坡网络应用程序中发现严重漏洞后,我想更深入地研究并开始研究com.starbucks.singapore Android应用程序。不幸的是,我没有发现移动应用程序中的任何弱点,因此我决定专注于与应用程序交互的应用程序服务器。移动应用程序主要与服务器上的REST API进行交互,但是我注意到在某些操作中,它正在与扩展名为“ .aspx”的端点通信。我在这里没有发现端点的任何弱点,并尝试通过目录扫描找到更多的端点。我在发现的端点上没有发现任何弱点,并休了几周的时间。
侦察更难
经过几周的休息后,我决定研究IIS漏洞,因为我知道应用程序服务器正在IIS上运行。虽然研究,我遇到了黑客IIS的视频shubs。我感谢他提醒我的IIS波浪号枚举扫描仪通过索罗什Dalili在这个视频,我才知道,但我的探索过程中并没有浮现在脑海。我开始使用此工具自动化漏洞来探索更多终结点,并引起了我的注意“ / api”目录中的一些“ .ashx”终结点。
DOWNLO~1.ASHEMAIL-~1.ASHIMAGEU~1.ASHMAILIN~1.ASH
IIS Tilde枚举扫描程序工具利用了一个漏洞(Microsoft将其描述为一项功能),它发现文件名的前6个字符和扩展名的前3个字符。基于此信息,我尝试查找所有文件名并迅速找到其中的一些。
download.ashxemail-bounce.ashx
不幸的是,我无法将这些端点用于任何目的,而只专注于IMAGEU〜1.ASH端点。字母U是什么意思,我想知道它是否可以上传?我开始使用ffuf工具以“ imageuploadFUZZ.ashx”的形式进行扫描,发现该端点为imageuploadhandler.ashx。查看端点的名称,可以理解它是用来上传图像文件的。但是这里有一些问题。未经授权的用户可以访问此端点吗?发送请求时此终结点可接受的格式是什么?我可以上传图像文件以外的任何文件吗?如果可以上传文件,访问文件的完整路径是什么?我可以运行该文件吗?
开发
为了找到这些问题的答案,我向该端点发送了随机的GET / POST请求,但我得到的唯一答复是200 OK,仅此而已。我没有收到任何错误代码或错误/成功消息。我不确定此端点是否正常工作。在这一点上,让我们从开发人员的角度考虑,您有一个用于上传文件的端点,如何从前端向该端点发送请求?从HTML表单中或通过带有XMLHttpRequest的javascript进行。我开始探索javascript文件,并找到了一个名为ajaxfileupload.js的文件。
如您所见,要上传的文件以“ multipart / form-data”的形式发送。经过一些额外的研究,我发现了正确的上传请求格式。
此时,我尝试上传一个扩展名为“ .aspx”的文件,该文件仅包含文本,并且已成功上传。端点正在将文件名转换为UUID格式,这也将返回uuid + extension作为响应。可以在“ / api”目录中找到上载的文件。
我立即通过Hackerone向星巴克报告了该漏洞,并请求允许尝试远程执行代码。获得Triager的许可后,我上传了一个简单的脚本并运行了“ whoami”命令,并将输出添加到了报告中。
影响
你注意到有趣的事了吗?whoami命令返回iis apppool cards.starbucks.com.hk,香港代表香港,但我们位于新加坡域。因此,这表明我也应该检查香港地区是否正在使用同一应用程序。
事实证明,我的担心是事实,星巴克香港应用服务器具有相同的端点和相同的漏洞。然后,我尝试使用相同的应用程序查找其他区域,然后发现星巴克移动应用程序服务器属于
-
新加坡
-
香港
-
越南
-
泰国
-
马来西亚
-
柬埔寨
总计具有相同的漏洞,因此我将它们添加到了报告中,但是属于其他区域的漏洞没有得到奖励,因为只有新加坡应用程序在此范围内。
恶意人员可以利用此漏洞来夺取整个服务器,数据库,用户信息,应用程序源代码。他/她可以使应用程序无法访问或按他/她的意愿操纵它们。考虑到星巴克商店中移动应用程序的支付系统也位于这些服务器上,可能会造成更大的破坏。
2020年11月6日-提交的报告于2020年11月6日-于2020年11月14日进行了分类-获得9.1 CVSS得分的4200美元赏金2020年11月24日-将CVSS得分提高到9.8美元的赏金1400美元
本文始发于微信公众号(Ots安全):【赏金猎人】星巴克新加坡及其他地区的RCE,赏金现价$ 5600
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论