Вышедший из под контроля пентест Zepetto {История}
http://tele.click/darkside_team
Привет хацкеры, сегодня расскажу историю, как человек под ником foxovsky(его блог - t.me/foxovsky_blog) похекал компанию Zepetto.
Далее с его слов.
Ох, сколько вещей связывают меня с такой корейской компанией, как Zepetto. Я потратил несколько лет своей жизни на разбор одного из их продуктов — MMO FPS Point Blank. Пусть я уже и забросил разработку эмулятора сервера под эту игру, пару месяцев назад желание узнать побольше об внутренней кухне разработчиков этого «чуда» взяло верх и я не удержался.
Этап первый — разведка
Для начала я принялся собирать сведения о машинах компании. Сделать это было проще простого — оказалось достаточным проанализировать подсеть сервера, на котором располагался основной сайт Zepetto (zepetto.com). В подсети был обнаружен интересный ресурс — баг-трекер на основе Tiki Wiki, причем очень старой версии.
Этап второй — проникновение
Немного пошаманив со страницами был найден уязвимый компонент — elFinder. Если коротко, то этот файловый менеджер позволяет загружать файлы неавторизованным пользователям, достаточно просто зайти в его директорию: vendor_extra/elfinder/elfinder.html
Кстати, на exploit-db опубликован готовый эксплоит.
Шелл (c99) был успешно залит на сервер и на этом можно было бы закончить рассказ, но интерес взял своё.
После получения доступа к базе данных была скомпрометирована учетная запись администратора (admin), что дало доступ к огромному количеству корпоративных сведений — данные сотрудников (имена, почтовые адреса, ip-адреса, etc), бухгалтерские отчеты за несколько лет, множество документов к разрабатываемым продуктам, учетные данные на сторонних ресурсах.
И вроде как останавливайся, дядь, уже успех. Но ведь интересно что ещё можно накопать!
В процессе изучения трекера были найдены ссылки на сторонние ресурсы, а именно:
По первой ссылке был доступен другой баг-трекер с аналогичной уязвимостью, поэтому права администратора были получены в течении пары секунд. По второй же ссылке располагается трекер, предположительно, мобильного подразделения Zepetto, ответственный за разработку мобильных игр и приложений.
Получить доступ было ещё проще — среди документов из первого трекера быстро был найден почтовый ящик на gmail, принадлежащий администратору redmine.san-games.com:
Не составило труда просто восстановить учетную запись, установив свой пароль.
Получив доступ к трем баг-трекерам передо мной открылась исчерпывающая информация как о компании, так и о её продутках. К примеру, тысячи репортов о Point Blank.
Этап третий — попытка установить контакт с Zepetto
После поверхностного изучения репортов я принял решение связаться с Zepetto для того, чтобы передать данные об уязвимостях. Мною был отправлен развернутый репорт на несколько почтовых аккаунтов, на которые были зарегистрированы админ-аккаунты на трекерах.
Никакого ответа я не получил, но через пару дней администратор попытался восстановить свою учетную запись, привязанную к моей почте:
После осознания того, что восстановить штатными методами у него ничего не получится, ресурсы были спрятаны за файрвол. Подождав ещё пару дней я продублировал сообщения, но ответа всё равно не поступило.
Слив заполученных утилит, документов и аккаунтов
Спустя почти четыре месяца без ответа я решил опубликовать полезную информацию по игре Point Blank в своем репозитории эмулятора сервера на GitHub. Раз для Zepetto эти файлы не представляют ценности, пусть хоть энтузиасты ознакомятся.
Возможно, я поступил неправильно, зашарив эту информацию. Но мне просто не хватало места на облаке ¯\_(ツ)_/¯