[Перевод] Unrestricted File Upload at Apple.com

Внимание — это фривольный перевод заметки о том, как именно Jonathan Bouman нашёл публичный AWS S3, который использовался на одном из поддоменнов apple.com. Плюс заметка хороша тем, что наглядно демонстрирует пользу от нескольких маленьких утилит в совокупности с терпением.

e31c98793f41314f4fc544503f2803de.gif
Возьмите кофе и запустите Aquatone. Эта утилита может обнаружить поддомены в заданном домене используя открытые источники и метод грубой силы со словарём.

74w6pis7qxygs0akdl4spqcomfi.png

Aquatone имеет четыре различные команды:

  1. Aquatone-discover — ищет различные поддомены
  2. Aquatone-scan — сканирует результат п.1. на открытые порты
  3. Aquatone-gather — создаёт скриншоты каждого сабдомена, собирая все результаты в html-отчёт
  4. Aquatone-takeover — пытается найти неактивные поддомены, которые хостятся внешними хостерами. Нашёл один? Иди регистрируй и получай свою награду!


tptul6mj8p2h5acita-m9ku-usg.png
Report output of Aquatone
Сидим, ждём, мечтаем.

Обычно нужно несколько минут на поиск, скан и сбор.
А на Apple.com? Это заняло 30 минут, 84 отчёта, 18к уникальных хостов.

Мы первые кто использует aquatone для скана apple.com? Определённо нет. Читали ли другие люди все 84 страницы? Определённо нет.

Так что начнём со страницы 50 и прочтём лишь последние 34 страницы.

Поиск аномалий в шаблонах

После 50 минут чтения отчётов замечен шаблон. Один из них в том, что apple.com иногда использует AWS S3 для хранения файлов, используемых их поддоменами. Так что, если можно получить доступ на запись на один из S3 — можно обеспечить доступ на один из поддоменов apple.com.

ba663e31cf3c690db10fdbaa8a306bc1.gif

Чтение всех 84х отчётов — скука. Все отчёты содержат http-заголовки, отправляемые сервером. S3 — всегда отправляет заголовок X-Amz-Bucket-Region. Поиск этого заголовка в отчётах:

scraqd7fwockju7te9wqwck5vvu.png

Теперь каждый вручную нужно прокликать, чтобы увидеть, что будет, если открыть урлу. Почти все поддомены отдают Access denied.

4c2rlfg1db6ublcdugpwnufyhgk.png

Кроме одного: live-promotions.apple.com

wt-vla7xye3kfleiqhmhvtr0hmu.png
S3 response, containing the bucket name and directory contents.

Итак, теперь есть имя S3 бакета. Это позволяет напрямую коннектиться к нему

Как получить доступ, смотрите здесь.

Нужно установить Command Line Interface of AWS и можно пробовать открыть этот бакет используя имя из ответа выше

После этого можно пытаться загрузить фейковую страницу входа и открывать её в браузере.

aws s3 cp login.html s3://$bucketName --grants read=uri=http://acs.amazonaws.com/groups/global/AllUsers


e31c98793f41314f4fc544503f2803de.gif
алерт кук

Заключение
Был получен полный доступ на чтение/запись на S3 бакет Apple, который доступен на одном из их поддоменов. Достаточно для залития фишингового сайта или воровства кук.

Решение
Никогда не предоставлять анонимам права на чтение/запись
К счастью защита S3 довольно проста и настроена по дефолту
см. доку: docs.aws.amazon.com/AmazonS3/latest/dev/access-control-overview.html

Что это было:

— Загружена фишинговая страница на live-promotions.apple.com
— Можно было красть кукисы посетителей
— Можно было стянуть конфиденциальные файлы из бакета (он содержал проекты на xcode)

Зал славы

Спустя 4 часа я получил ответ от Apple, подтверждающий баг. В тот же день он был исправлен и теперь он упомянут в зале славы

Письмо + скрин из зала
3f67xf9rf1umonhzjvmvasqtyoy.png
6xhump7dcssa8g1lxrps_z3noka.png


Timeline

19–06–2018 Discovered and reported bug
19–06–2018 Apple confirmed the bug
19–06–2018 Apple fixed the bug
22–06–2018 Apple mentioned me in the Hall of Fame
22–06–2018 Published this blog

© Habrahabr.ru