Взлом Tonex или сказка о добром хакере😁

Давайте соберем ряд моментов и сделаем вывод:

• По утверждению основателя уязвимость была в разделе "краудфандинг". Ок. Значит, пробитие было через их веб-интерфейс, раз уж речь шла о директории. Не порты сканились, не эксплуатировалось их железо или инфраструктурный софт, а именно пробитие веба. К примеру, уязвимость фреймоворка, библиотеки ajax'а, кривой кусок js'a, sql инъекция или что-то в таком духе. Запоминаем.
• Есть в сети достаточно готовых сканеров для поиска веб-уязвимостей, начиная от Burp Suite и Acunetix, заканчивая китайскими X-Ray, которые, если держать их базы уязвимостей обновленными, нажатием десятка кнопок в графическом интерфейсе устроят плотный аудит сайта и отобразят уязвимые места с примерами применения уязвимости. Все гораздо проще выглядит, чем аудит железок и сетки. Запоминаем.
• Ну, наш хакер, кстати, так и говорит, что он человек простой, умеющий искать только простые уязвимости.

• Достаёт, значит, наш добрый хакер, ключ апишки xRocket, который успешно хранится где-то в .env файлах, которые используются для хранения чувствитетельных кредов в Laravel. Да, вебапп у Tonex - Laravel Nova v4.31.3. Уязвимостей, в опунсорс базах, на эту версию нет. А значит, находит наш доблестный хакер-простак зеродэй(ранее неизвестная публике уязвимость) в Laravel и успешно ее эксплуатирует, выполяя, видимо, произвольный код(RCE), который успешно сливает ему содержимое .env файлов(к примеру). Которые, он, кстати, тоже чудным образом знает, где лежат на сервачке. Ну хотя да, мы ж тоже в детстве дэлфи учили в школе, так что знаем где у фрейморков креды лежат то. Способов то много, но держим в голове тот факт, что учзвимость была найдена в определенной директории, а значит - пробит был фреймворк или скрипты, взаимодействующие с пользователем(js и т.д.)

• И вот у блаженного преступника на руках уже ряд ключиков. Но он то парень совсем простой, глупый, не знает, что с ними делать. Единственный ключ, с которым он знаком, это ключ апишки xRocket(Верно? Все же знают, что у xRocket есть апишка для совершения транзакций?) Или там комментарий был, что-то вроде: //Баблокран a.k.a чемодан a.k.a использовать только в голод и засуху. Берет он этот ключик, изучает платформу tonex, понимает, что за золотая жила тут у них, заходит на pay.ton-rocket.com, изучает еще раз(не забываем, что он, как и все мы, знает про апишку xrocket, поэтому, он зашел просто вспомнить) свой заветный /app/withdrawal запрос, сунет ключик в хэдер, указывет в теле запроса свой кошелек и все! Профит! You've been pwnd mazafaka😂 Так это выглядело по словам владельца Tonex. Ах да… чуть не забыл, получив денежки на свой кошелек, он вдруг опомнился, что он крещеный и богобоязненный, поэтому, купив самолетик, который, кстати, не знал как продать потом, решил все-таки деньги вернуть.

• Ну и, конечно же, так интересно выходит, что в лучших традициях всех хакеров-затейников, в переписке с человеком, который тут не при делах, у него максимально разнится стиль написания текста. Инь-Янь, в общем. У одного все с большой, у второго сломался шифт на клаве, пока зеродей искал. У одного смайлики, второй серьезный парень. У одного многоточия, а второй - неопределившийся когда ставить точку.