Nie zawsze analizując…

Nie zawsze analizując aplikację natrafiamy na błędy typu SQL Injection bądź XSS.
Czasami odnajdujemy podatności, które na pierwszy rzut oka wydają się być mało interesujące.
Chociażby możliwość usunięcia dowolnego pliku z serwera.
Dzisiaj w #od0dopentestera o kreatywnych sposobach wykorzystania tego rodzaju błędów.

1. WordPress to popularny system blogowy.
Informacje na temat dostępu do bazy danych przechowuje on w pliku wp-config.php
W przypadku jego braku, system automatycznie uruchamia instalator.
Takie rozwiązanie jest przyjazne dla początkujących użytkowników.
Wystarczy bowiem, że skopiują wszystkie pliki na serwer i wejdą na swoją domenę.
A co gdy usuniemy ten plik?
Wtedy możemy ponownie zainstalować aplikację na tym samym serwerze.
Standardowo, baza danych i pliki znajdują się na tej samej maszynie.
Ale nic nie stoi na przeszkodzie, aby skrypt łączył się z zewnętrzną bazą, kontrolowaną przez atakującego.
Po instalacji możemy zalogować się do panelu admina używając danych nowo stworzonego użytkownika.
Administrator może edytować pliki szablonów, w których znajdują się informacje na temat wyglądu strony.
Są to zwykłe pliki z rozszerzeniem .php
A ponieważ możemy modyfikować ich treść, pozwala to na wykonanie dowolnego kodu na podatnej stronie.

2. Jenkins to serwer continuous integration.
Często działa on z włączoną opcją Enable security, dzięki której dostęp do większości funkcji możliwy jest jedynie po zalogowaniu.
Jest to istotne ponieważ aplikacja posiada konsolę skryptów, która umożliwia wykonanie dowolnego kodu w języku groovy.
Informacje na temat konfiguracji przechowywane są w pliku config.xml.
Jeżeli atakujący usunie ten plik, serwer nie będzie wymagał zalogowania czyli dowolny użytkownik będzie mógł wykonać dowolny kod przy pomocy skryptu groovy.
Serwer odczytuje plik konfiguracyjny jedynie w niektórych sytuacjach.
W większości przypadków konieczny będzie zatem restart aplikacji aby całość zadziałała prawidłowo.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #webdev #security