Всех приветствую, сегодня хочу разобрать уязвимость CVE-2019-17662 в ПО для удаленного доступа ThinVnc. Уязвимость позволяет в обход аутентификации получить полный контроль над компьютером. Само ПО: https://sourceforge.net/projects/thinvnc/ Давайте разберемся, как работает это программное обеспечение. При запуске ПО поднимает http сервер, создавая конфигурационный файл, на директорию выше чем находится сам лаучер. Т.е сам exe находится в папке control, а если мы перейдем выше в директорию, например в cmd командой "cd .." мы перейдем в директорию с конфигурационным файлом. Мы имеем дело с уязвимостью класса LFI. LFI LFI — это возможность использования и выполнения локальных файлов на серверной стороне. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к серверу. Превью Имя файла: ThinVnc.ini. Сама уязвимость заключается в том, на поднятом сервере отсутствует распределение прав доступа на файлы, а значит мы можем обратиться к файлу без аутентификации, просто GET запросом. Для теста, найдем какую нибудь машину в shodan, по запросу thinvnc. Shodan Возьмем эту машину для примера, открываем ссылку в браузере. Видим, что у нас требуют логин и пароль. Авторизация Откроем линукс терминал, и с помощью curl, отправим запрос на чтение файла ThinVnc.ini curl -X 'GET' "http://IP:PORT/random/\../\../ThinVnc.ini" Code curl -X 'GET' "http://IP:PORT/random/\../\../ThinVnc.ini" Запрос Как видим, мы успешно прочитали конфигурационный файл, где содержатся логин и пароль для доступа, сбрутить которые было бы наверняка сложно. Кто не понял, что мы сделали, мы перешли в директорию на верх, предварительно перейдя в несуществующую директорию вниз. Попробуем авторизоваться. Авторизация Мы получили доступ к ПК, с панелью какого-то мобильного оператора . Искать такие устройства можно либо при помощи поисковиков типа shodan/zoomeye. Или сканировать сеть, мониторя IP, которые в ответе возвращают строку "thinvnc".
О шодан это поисковик через который можно искать устройства всякие, типа женские вибраторы и в итоге удаленно управлять ими. Прикольная шняга на оператора похуй, лучше женские вибраторы , чтобы врубать максимальную скорость. Еще прикольно смотреть за домашними питомцами рандомных людей.
Dionis, пхахаха статья прикольная. Как то у меня с шоданом до этого не очень получилось, по твоей статье потом попробую че нибудь.