Shikata Ga Nai

Private? There is no such things.

Exploitation of file’s download parameters to create potential risk of malware delivery: $200 bug!を訳してみた

Hello there, ('ω')ノ

 

ファイルのダウンロード パラメータを悪用してマルウェア配信の潜在的なリスクを生み出すを。

 

脆弱性:

 CSRF

 RCE

 

記事:

 https://muhammad-aamir.medium.com/exploitation-of-files-download-parameters-to-create-potential-risk-of-malware-delivery-200-bug-e2bcce0e737

 

ここでは、ファイルのダウンロード パラメータが悪用されてマルウェア配信の

潜在的なリスクが発生することが判明した脆弱性を。

 

このプログラムには、商用デバイスによって形成されたネットワークを

管理するために使用されるサブドメインが含まれていて。

所有者は、ドメインに管理者として登録でき、ネットワークを管理するために

ドメイン内に管理者および従業員の役割を持つ他のユーザを追加することもでき。

在庫管理、請求管理、ユーザ管理など、ネットワークとデバイスを管理するための

多くの機能が存在して。

 

ドメイン ページの 1 つで、請求書のリストを .xlsx (Excel シート) 形式で

ダウンロードできるダウンロード オプションを見つけ。

Burp プロキシでリクエスト形式を確認すると、これは csrf_token、ファイル名、

データという主要なパラメータを持つ POST リクエストであることがわかり。


請求書のリストをダウンロードするための POST リクエスト

 

いくつかのテストの結果、3 つの主要なパラメータすべてが次の意味で脆弱で

あることがわかり。

 

1.csrf_token: リクエストは CSRF 攻撃に対して脆弱で。

 トークンを削除しても、ファイルはダウンロード可能で。


2.filename: リクエストは拡張子フィルターのバイパスに対して脆弱で。

 自分が制御する拡張子を挿入して、ファイルの性質を変更することができて。

 ファイルを実行可能ファイル

 (Windows ターゲットの場合は .exe、Linux ターゲットの場合は .sh) に

 変換できるためこれは主要な攻撃ベクトルで。


3.data: リクエストはファイル データの上書きに対して脆弱で。

 データを変更することができ、ダウンロードすると、そのファイルには

 攻撃者として注入されたデータが含まれていて。

 

上記の要因を連鎖させることで、「data」パラメータを制御して

マルウェアを挿入し、「filename」パラメータでファイルを

実行可能ファイルに変換し、最終的に CSRF の脆弱性を利用してファイルを

被害者に配信することができて。

 

アプリケーションでは拡張子が .csv のファイル名のみを許可していたため、

拡張子フィルターをバイパスしてファイルを実行可能ファイルに変換するには、

工夫が必要で。

 

これを回避するために、ファイル名「invoices.sh%22.csv」を使用して。

(.csv の前のファイル名を閉じるには、.sh の後に二重引用符が必要だったので、

「filename」パラメーターの値のエンコードにより %22 を使用して)

PoC では、Linux の被害者をシミュレートし、「data」値

 #!/bin/bash%0a#PoC%20script%0atouch%20File. Attack

でファイルをダウンロードして。

 

したがって、.sh 拡張子が付いた bash スクリプトが被害者のデバイスに

ダウンロードされ。

これを実行すると、PoC スクリプトの結果として File. Attack というファイルが

作成されて。

 

Best regards, (^^ゞ