1 заметка с тегом

Хакинг

Запретный плод сладок — вышедший из под контроля пентест Zepetto

Ох, сколько вещей связывают меня с такой корейской компанией, как Zepetto. Я потратил несколько лет своей жизни на разбор одного из их продуктов — MMO FPS Point Blank. Пусть я уже и забросил разработку эмулятора сервера под эту игру, пару месяцев назад желание узнать побольше об внутренней кухне разработчиков этого «чуда» взяло верх и я не удержался.

Этап первый — разведка

Для начала я принялся собирать сведения о машинах компании. Сделать это было проще простого — оказалось достаточным проанализировать подсеть сервера, на котором располагался основной сайт Zepetto (zepetto.com). В подсети был обнаружен интересный ресурс — баг-трекер на основе Tiki Wiki, причем очень старой версии.

Этап второй — проникновение

Немного пошаманив со страницами был найден уязвимый компонент — elFinder. Если коротко, то этот файловый менеджер позволяет загружать файлы неавторизованным пользователям, достаточно просто зайти в его директорию: vendor_extra/elfinder/elfinder.html

Кстати, на exploit-db опубликован готовый эксплоит.

Шелл (c99) был успешно залит на сервер и на этом можно было бы закончить рассказ, но интерес взял своё.

После получения доступа к базе данных была скомпрометирована учетная запись администратора (admin), что дало доступ к огромному количеству корпоративных сведений — данные сотрудников (имена, почтовые адреса, ip-адреса, etc), бухгалтерские отчеты за несколько лет, множество документов к разрабатываемым продуктам, учетные данные на сторонних ресурсах.

И вроде как останавливайся, дядь, уже успех. Но ведь интересно что ещё можно накопать!

В процессе изучения трекера были найдены ссылки на сторонние ресурсы, а именно:

http://tiki.kloud-io.com
http://redmine.san-games.com

По первой ссылке был доступен другой баг-трекер с аналогичной уязвимостью, поэтому права администратора были получены в течении пары секунд. По второй же ссылке располагается трекер, предположительно, мобильного подразделения Zepetto, ответственный за разработку мобильных игр и приложений.

Получить доступ было ещё проще — среди документов из первого трекера быстро был найден почтовый ящик на gmail, принадлежащий администратору redmine.san-games.com:

Не составило труда просто восстановить учетную запись, установив свой пароль.

Получив доступ к трем баг-трекерам передо мной открылась исчерпывающая информация как о компании, так и о её продутках. К примеру, тысячи репортов о Point Blank.

Этап третий — попытка установить контакт с Zepetto

После поверхностного изучения репортов я принял решение связаться с Zepetto для того, чтобы передать данные об уязвимостях. Мною был отправлен развернутый репорт на несколько почтовых аккаунтов, на которые были зарегистрированы админ-аккаунты на трекерах.

Никакого ответа я не получил, но через пару дней администратор попытался восстановить свою учетную запись, привязанную к моей почте:

После осознания того, что восстановить штатными методами у него ничего не получится, ресурсы были спрятаны за файрвол. Подождав ещё пару дней я продублировал сообщения, но ответа всё равно не поступило.

Слив заполученных утилит, документов и аккаунтов

Спустя почти четыре месяца без ответа я решил опубликовать полезную информацию по игре Point Blank в своем репозитории эмулятора сервера на GitHub. Раз для Zepetto эти файлы не представляют ценности, пусть хоть энтузиасты ознакомятся.

Возможно, я поступил неправильно, зашарив эту информацию. Но мне просто не хватало места на облаке ¯\_(ツ)_/¯

2017   Хакинг