Уязвимость в ПО удаленного доступа

Всех приветствую, сегодня хочу разобрать уязвимость CVE-2019-17662 в ПО для удаленного доступа ThinVnc.

Уязвимость позволяет в обход аутентификации получить полный контроль над компьютером.

Само ПО: https://sourceforge.net/projects/thinvnc/

Давайте разберемся, как работает это программное обеспечение.
При запуске ПО поднимает http сервер, создавая конфигурационный файл, на директорию выше чем находится сам лаучер. Т.е сам exe находится в папке control, а если мы перейдем выше в директорию, например в cmd командой "cd .." мы перейдем в директорию с конфигурационным файлом.

Мы имеем дело с уязвимостью класса LFI.

LFI

LFI — это возможность использования и выполнения локальных файлов на серверной стороне. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к серверу.

Превью

Имя файла: ThinVnc.ini.
Сама уязвимость заключается в том, на поднятом сервере отсутствует распределение прав доступа на файлы, а значит мы можем обратиться к файлу без аутентификации, просто GET запросом.
Для теста, найдем какую нибудь машину в shodan, по запросу thinvnc.

Shodan

Возьмем эту машину для примера, открываем ссылку в браузере.
Видим, что у нас требуют логин и пароль.

Авторизация

Откроем линукс терминал, и с помощью curl, отправим запрос на чтение файла ThinVnc.ini

curl -X 'GET' "http://IP:PORT/random/\../\../ThinVnc.ini"

Код

curl -X 'GET' "http://IP:PORT/random/\../\../ThinVnc.ini"

Запрос

Как видим, мы успешно прочитали конфигурационный файл, где содержатся логин и пароль для доступа, сбрутить которые было бы наверняка сложно.

Кто не понял, что мы сделали, мы перешли в директорию на верх, предварительно перейдя в несуществующую директорию вниз.
Попробуем авторизоваться.

Авторизация

Мы получили доступ к ПК, с панелью какого-то мобильного оператора .

Искать такие устройства можно либо при помощи поисковиков типа shodan/zoomeye.

Или сканировать сеть, мониторя IP, которые в ответе возвращают строку "thinvnc".