小百科,大世界
首页 / 计算机 / IT资讯

带你了解如何发现在 magix.com 和 xar 繁體

德国 Magix Software GmbH 授予我名人堂名单和免费的 Magix Music Maker 2014 Premium 许可证,以表彰我报告了 和 在线基础

设施中的几个严重安全问题,这些问题可能被用来彻底破坏这两个网站:

在此,我要感谢 Magix 安全团队的快速响应和始终透明的响应,以及整体良好的协调流程。这是一个完美的例子,说明漏洞赏金运营商和研究人员之间的沟通如何让双方都满意。在我第一次报告漏洞后仅几天内,就很快修复了关键漏洞(RCE、SQLi、LFI)而修复 XSS 则花费了更长的时间,但对于中等严重性的问题来说,这仍然是可以接受的。

Bug Bounty 计划始终是一个巨大的挑战,有时你会获得非常酷的东西和像这样的很好的参考资料作为回报——现在这里有一个关于已发现漏洞的简短文章,这些漏洞已经被 Magix 修复。

上的远程代码执行

这是我在开发这个漏洞赏金计划时发现的最危险的漏洞。我发现了一个脚本,它允许攻击者通过 HTTP POST 请求上传 zip 文件。该脚本接受任何 zip 文件,将其重命名为某个临时名称,最后将 .zip 文件解压到工作目录中,而不检查 zip 文件是否包含有效文件。此外,解压的内容可以通过 www 访问 — 我认为问题很明显。

为了证明 Magix 的可利用性,我编写了一个简短的 Python 脚本。以下代码片段展示了如何使用非常方便的 Python ZipFile 函数在内存中动态生成 zip 文件。.zip 文件包含一个名为“/tmp/test.php”的文件,其中包含自定义 PHP 有效负载。

/usr/bin/python 的 #!

导入zip 文件

StringIO导入StringIO

导入zlib

内存文件 = StringIO()

zipFile = zipfile.ZipFile(inMemoryFile, ‘w’, zipfile.ZIP_DEFLATED)

zipFile.writestr(‘./tmp/test.php’, ‘<?php echo \”\”; ?>’)

zipFile.close()

对于 Magix 来说,目标脚本在 POST 任意 zip 文件后会回显一些额外的(且危险的)调试输出:看起来 Magix 忘记停用此输出了——如果没有这个,我可能就不会发现这个缺陷了 🙂

由于调试输出还公开了提取文件的完整路径,因此这会导致一个很好的 RCE 条件:

现在想象一下攻击者上传一些恶意的 C99……

上的 SQL 注入

此漏洞或多或少与之前描述的 RCE 漏洞类似。如果 zip 文件包含特制的 .ini 文件,则造成 RCE 漏洞的相同脚本会在 SQL 查询中使用未过滤的 .ini 值:

上的本地文件包含

本地文件包含可能与 RCE 漏洞一样危险,因为攻击者可能会读取 /etc/passwd 等敏感系统文件:

…如果你有一个懒惰的系统管理员,喜欢对文件和目录使用 chmod 777,那么可能会发现更多信息 😉

上的跨站点脚本

好的 – 我保证不再详细地写有关 XSS 的内容,所以我将给你留下 PoC 屏幕截图:

对于漏洞赏金猎人和 Magix 来说这真是快乐的一天!

本文翻译自Medium 原文链接。如若转载请注明出处。

商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/297774

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
美国某知名银行遭数据泄露760 万人受影响
Evolve Bank 透露有 760 万人在Lo
勒索软件Eldorado正在入侵 VMware E
Next:
带你了解网络犯罪分子在暗网论坛中的行为方式
微软7月补丁日多个产品安全漏洞风险通告包含5个紧急
既然个人信息对黑客来说是金矿如何阻止他们对个人信息
被特洛伊木马化的jQuery软件包通过复杂的供应链
那些你需要知道的关于DORA的知识
资源来自网络,仅供参考