Ти і без мене напевно знаєш, скільки корисної інформації можна отримати з трекера: від деталей внутрішнього устрою інфраструктури до вихідних кодів програм. Тому дістати доступ до такої речі, як багтрекер, в тестах на проникнення буває вкрай корисно. Сьогодні я розповім про двох вразливості в популярному багтрекер Mantis.
Звичайно, до кількості інсталяцій Jira «Богомолу» далеко, але в рамках дослідження Скоуп мені нерідко траплявся цей продукт.
Отримання привілеїв адміністратора працює на версіях додатка 2.3.0 і нижче, а також нижче 1.3.0. Незважаючи на те що оновлення виходять із завидною регулярністю, на просторах інтернету все ще величезна кількість серверів, на яких встановлені вразливі гілки дистрибутива. Цьому сприяють як відсутність механізму автоматичного поновлення до актуальної версії (або хоча б інформація про її наявності), так і лінь адміністраторів - куди вже без неї. 🙂
Читання локальних файлів, до речі, працює на всіх версіях аж до останньої (2.5.1). Адже це не баг, це фіча.
тестовий стенд
Mantis написаний на PHP і працює з усіма основними СУБД (MySQL, Microsoft SQL, PostgreSQL і так далі), так що розгорнути тестовий стенд буде нескладно. Про всяк випадок все ж пробіжуся за основними пунктами.
Щоб не морочитися з громіздкими віртуалкою, використовуємо Docker. На коліні я накидав докер-файл для швидкого билда, який ти можеш завантажити тут. В консолі переходимо в папку зі скачаним файлом і виконуємо
Використовуючи змінні MYSQL_USER. MYSQL_PASS і HOST_DOMAIN. можна змінити ім'я користувача MySQL, його пароль і ім'я віртуального хоста, за яким буде доступний наш стенд. Тепер запускаємо сам контейнер:
Якщо все зроблено правильно, то ми побачимо сторінку установки багтрекер. Пройдемо цей процес до кінця - логін і пароль бази даних можеш знайти в докер-файлі.