Запретный плод сладок — вышедший из под контроля пентест Zepetto

Статус
В этой теме нельзя размещать новые ответы.

foxovsky

Бог флуда
Дней с нами
2.299
Розыгрыши
0
Сообщения
1.244
Реакции
2.759
Давненьно ничего не публиковал, особо и нечего было
Как всегда, оригинал статьи доступен в бложике: http://foxovsky.ru/post/160656673040/zepetto-hacked
Если интересны подобные темы, то добро пожаловать в мой блог: http://foxovsky.ru
——————————

Ох, сколько вещей связывают меня с такой корейской компанией, как Zepetto. Я потратил несколько лет своей жизни на разбор одного из их продуктов — MMO FPS Point Blank. Пусть я уже и забросил разработку эмулятора сервера под эту игру, пару месяцев назад желание узнать побольше об внутренней кухне разработчиков этого «чуда» взяло верх и я не удержался.

tumblr_inline_opy0nnu07z1u2byhs_500.png

Этап первый — разведка
Для начала я принялся собирать сведения о машинах компании. Сделать это было проще простого — оказалось достаточным проанализировать подсеть сервера, на котором располагался основной сайт Zepetto (zepetto.com). В подсети был обнаружен интересный ресурс — баг-трекер на основе Tiki Wiki, причем очень старой версии.

Этап второй — проникновение
Немного пошаманив со страницами был найден уязвимый компонент — elFinder. Если коротко, то этот файловый менеджер позволяет загружать файлы неавторизованным пользователям, достаточно просто зайти в его директорию: vendor_extra/elfinder/elfinder.html

Кстати, на exploit-db опубликован готовый эксплоит.

Шелл (c99) был успешно залит на сервер и на этом можно было бы закончить рассказ, но интерес взял своё.

tumblr_inline_opy30wWebV1u2byhs_400.png

После получения доступа к базе данных была скомпрометирована учетная запись администратора (admin), что дало доступ к огромному количеству корпоративных сведений — данные сотрудников (имена, почтовые адреса, ip-адреса, etc), бухгалтерские отчеты за несколько лет, множество документов к разрабатываемым продуктам, учетные данные на сторонних ресурсах.

tumblr_inline_opy1rmQRon1u2byhs_500.jpg

И вроде как останавливайся, дядь, уже успех. Но ведь интересно что ещё можно накопать!

В процессе изучения трекера были найдены ссылки на сторонние ресурсы, а именно:

http://tiki.kloud-io.com
http://redmine.san-games.com

По первой ссылке был доступен другой баг-трекер с аналогичной уязвимостью, поэтому права администратора были получены в течении пары секунд. По второй же ссылке располагается трекер, предположительно, мобильного подразделения Zepetto, ответственный за разработку мобильных игр и приложений.

Получить доступ было ещё проще — среди документов из первого трекера быстро был найден почтовый ящик на gmail, принадлежащий администратору redmine.san-games.com:

tumblr_inline_opy20hwPGD1u2byhs_500.png

Не составило труда просто восстановить учетную запись, установив свой пароль.

Получив доступ к трем баг-трекерам передо мной открылась исчерпывающая информация как о компании, так и о её продутках. К примеру, тысячи репортов о Point Blank.

tumblr_inline_opy3feZtpj1u2byhs_500.png

Этап третий — попытка установить контакт с Zepetto
После поверхностного изучения репортов я принял решение связаться с Zepetto для того, чтобы передать данные об уязвимостях. Мною был отправлен развернутый репорт на несколько почтовых аккаунтов, на которые были зарегистрированы админ-аккаунты на трекерах.

Никакого ответа я не получил, но через пару дней администратор попытался восстановить свою учетную запись, привязанную к моей почте:

tumblr_inline_opy2ojUXi61u2byhs_500.png

После осознания того, что восстановить штатными методами у него ничего не получится, ресурсы были спрятаны за файрвол. Подождав ещё пару дней я продублировал сообщения, но ответа всё равно не поступило.

Слив заполученных утилит, документов и аккаунтов
Спустя почти четыре месяца без ответа я решил опубликовать полезную информацию по игре Point Blank в своем репозитории эмулятора сервера на GitHub. Раз для Zepetto эти файлы не представляют ценности, пусть хоть энтузиасты ознакомятся.

Возможно, я поступил неправильно, зашарив эту информацию. Но мне просто не хватало места на облаке ¯\_(ツ)_/¯
 

Hoster

tupa ded
Дней с нами
2.808
Розыгрыши
0
Сообщения
247
Реакции
214
УХХХХХ ЭТО ВАМ ЗА ПОТРАЧЕННЫЕ МНОЙ ДЕНЬГИ НА ПИСТАЛЕТИКИ ПИДАРЫ
ЕЩЁ БЫ КРОСФОЕР НАЕБНУТЬ УХХХ ПАЛУЧИЛИ БЫ ОНИ У МЕНЯ....
 

Programmist

Ненадежный
Ненадежный
Дней с нами
1.610
Розыгрыши
0
Сообщения
803
Реакции
435
в телеге ответь
 
  • Like
Реакции: sk1ty

KeK

Бог флуда
Дней с нами
2.088
Розыгрыши
0
Сообщения
802
Реакции
1.013
Собираем на передачку фоксовскэ ?
 
  • Like
Реакции: DeiFy и sk1ty
Статус
В этой теме нельзя размещать новые ответы.