Давненьно ничего не публиковал, особо и нечего было
Как всегда, оригинал статьи доступен в бложике: --Ссылка удалена--
Если интересны подобные темы, то добро пожаловать в мой блог: --Ссылка удалена--
——————————
Ох, сколько вещей связывают меня с такой корейской компанией, как --Ссылка удалена--. Я потратил несколько лет своей жизни на разбор одного из их продуктов — MMO FPS --Ссылка удалена--. Пусть я уже и забросил разработку эмулятора сервера под эту игру, пару месяцев назад желание узнать побольше об внутренней кухне разработчиков этого «чуда» взяло верх и я не удержался.
Этап первый — разведка
Для начала я принялся собирать сведения о машинах компании. Сделать это было проще простого — оказалось достаточным проанализировать подсеть сервера, на котором располагался основной сайт Zepetto (zepetto.com). В подсети был обнаружен интересный ресурс — баг-трекер на основе Tiki Wiki, причем очень старой версии.
Этап второй — проникновение
Немного пошаманив со страницами был найден уязвимый компонент — elFinder. Если коротко, то этот файловый менеджер позволяет загружать файлы неавторизованным пользователям, достаточно просто зайти в его директорию: vendor_extra/elfinder/elfinder.html
Кстати, на exploit-db --Ссылка удалена-- готовый эксплоит.
Шелл (c99) был успешно залит на сервер и на этом можно было бы закончить рассказ, но интерес взял своё.
После получения доступа к базе данных была скомпрометирована учетная запись администратора (admin), что дало доступ к огромному количеству корпоративных сведений — данные сотрудников (имена, почтовые адреса, ip-адреса, etc), бухгалтерские отчеты за несколько лет, множество документов к разрабатываемым продуктам, учетные данные на сторонних ресурсах.
И вроде как останавливайся, дядь, уже успех. Но ведь интересно что ещё можно накопать!
В процессе изучения трекера были найдены ссылки на сторонние ресурсы, а именно:
--Ссылка удалена--
--Ссылка удалена--
По первой ссылке был доступен другой баг-трекер с аналогичной уязвимостью, поэтому права администратора были получены в течении пары секунд. По второй же ссылке располагается трекер, предположительно, мобильного подразделения Zepetto, ответственный за разработку мобильных игр и приложений.
Получить доступ было ещё проще — среди документов из первого трекера быстро был найден почтовый ящик на gmail, принадлежащий администратору redmine.san-games.com:
Не составило труда просто восстановить учетную запись, установив свой пароль.
Получив доступ к трем баг-трекерам передо мной открылась исчерпывающая информация как о компании, так и о её продутках. К примеру, тысячи репортов о Point Blank.
Этап третий — попытка установить контакт с Zepetto
После поверхностного изучения репортов я принял решение связаться с Zepetto для того, чтобы передать данные об уязвимостях. Мною был отправлен развернутый репорт на несколько почтовых аккаунтов, на которые были зарегистрированы админ-аккаунты на трекерах.
Никакого ответа я не получил, но через пару дней администратор попытался восстановить свою учетную запись, привязанную к моей почте:
После осознания того, что восстановить штатными методами у него ничего не получится, ресурсы были спрятаны за файрвол. Подождав ещё пару дней я продублировал сообщения, но ответа всё равно не поступило.
Слив заполученных утилит, документов и аккаунтов
Спустя почти четыре месяца без ответа я решил опубликовать полезную информацию по игре Point Blank --Ссылка удалена-- эмулятора сервера на GitHub. Раз для Zepetto эти файлы не представляют ценности, пусть хоть энтузиасты ознакомятся.
Возможно, я поступил неправильно, зашарив эту информацию. Но мне просто не хватало места на облаке ¯\_(ツ)_/¯
Как всегда, оригинал статьи доступен в бложике: --Ссылка удалена--
Если интересны подобные темы, то добро пожаловать в мой блог: --Ссылка удалена--
——————————
Ох, сколько вещей связывают меня с такой корейской компанией, как --Ссылка удалена--. Я потратил несколько лет своей жизни на разбор одного из их продуктов — MMO FPS --Ссылка удалена--. Пусть я уже и забросил разработку эмулятора сервера под эту игру, пару месяцев назад желание узнать побольше об внутренней кухне разработчиков этого «чуда» взяло верх и я не удержался.
Этап первый — разведка
Для начала я принялся собирать сведения о машинах компании. Сделать это было проще простого — оказалось достаточным проанализировать подсеть сервера, на котором располагался основной сайт Zepetto (zepetto.com). В подсети был обнаружен интересный ресурс — баг-трекер на основе Tiki Wiki, причем очень старой версии.
Этап второй — проникновение
Немного пошаманив со страницами был найден уязвимый компонент — elFinder. Если коротко, то этот файловый менеджер позволяет загружать файлы неавторизованным пользователям, достаточно просто зайти в его директорию: vendor_extra/elfinder/elfinder.html
Кстати, на exploit-db --Ссылка удалена-- готовый эксплоит.
Шелл (c99) был успешно залит на сервер и на этом можно было бы закончить рассказ, но интерес взял своё.
После получения доступа к базе данных была скомпрометирована учетная запись администратора (admin), что дало доступ к огромному количеству корпоративных сведений — данные сотрудников (имена, почтовые адреса, ip-адреса, etc), бухгалтерские отчеты за несколько лет, множество документов к разрабатываемым продуктам, учетные данные на сторонних ресурсах.
И вроде как останавливайся, дядь, уже успех. Но ведь интересно что ещё можно накопать!
В процессе изучения трекера были найдены ссылки на сторонние ресурсы, а именно:
--Ссылка удалена--
--Ссылка удалена--
По первой ссылке был доступен другой баг-трекер с аналогичной уязвимостью, поэтому права администратора были получены в течении пары секунд. По второй же ссылке располагается трекер, предположительно, мобильного подразделения Zepetto, ответственный за разработку мобильных игр и приложений.
Получить доступ было ещё проще — среди документов из первого трекера быстро был найден почтовый ящик на gmail, принадлежащий администратору redmine.san-games.com:
Не составило труда просто восстановить учетную запись, установив свой пароль.
Получив доступ к трем баг-трекерам передо мной открылась исчерпывающая информация как о компании, так и о её продутках. К примеру, тысячи репортов о Point Blank.
Этап третий — попытка установить контакт с Zepetto
После поверхностного изучения репортов я принял решение связаться с Zepetto для того, чтобы передать данные об уязвимостях. Мною был отправлен развернутый репорт на несколько почтовых аккаунтов, на которые были зарегистрированы админ-аккаунты на трекерах.
Никакого ответа я не получил, но через пару дней администратор попытался восстановить свою учетную запись, привязанную к моей почте:
После осознания того, что восстановить штатными методами у него ничего не получится, ресурсы были спрятаны за файрвол. Подождав ещё пару дней я продублировал сообщения, но ответа всё равно не поступило.
Слив заполученных утилит, документов и аккаунтов
Спустя почти четыре месяца без ответа я решил опубликовать полезную информацию по игре Point Blank --Ссылка удалена-- эмулятора сервера на GitHub. Раз для Zepetto эти файлы не представляют ценности, пусть хоть энтузиасты ознакомятся.
Возможно, я поступил неправильно, зашарив эту информацию. Но мне просто не хватало места на облаке ¯\_(ツ)_/¯
