Привет!
Возможно, ты уже видел странную запись в твиттере
Оригинал записи тут.
Уязвимость не очень интересная (классика), статья — скучная, но по просьбам решил написать, как так вышло.
Когда-то, я добавил возможность в группу кросспостить прямиком из rss блога. Делалось это через поддержку, как-то так:
Общение с поддержкой
После чего в группе появлялась строка, где можно было ввести url с твоей rss лентой
Настройка rss
Но почему-то в том году, когда я подключил данную функцию, она у меня не заработала. То-ли потому что накосячил с url, то-ли потому что пересел на feedburner. В общем забыл я о ней, а в настройки группы вовсе и не заходил.
Шло время…
В моду вошёл telegram и часть контента я получаю именно там, с помощью ботов. Появился бот, в которого можно добавлять свои источники, в том числе rss. А так как RSSP— это XML, решил я протестировать там атаку XXE.
Если не знаешь, что такое XXE.
Смотри. XML состоит из тегов, грубо:
n<имя>Вася
n<фамилия>Пупкин
Но так же поддерживаются внешние сущности — грубо говоря, когда содержимое тега можно наполнить содержимым из файла. Выглядит это как-то так:
n]>
n<имя>&файл;
n<фамилия>Пупкин
Если ты нифига не понял — перечитай ещё три раза.
Сижу, никого не трогаю (пытаюсь сломать бота) запилил подобный вектор:
n
n]>
n
n
n
nhttp://bo0om.ru/
n
n
n
n
nhttps://bo0om.ru/
n
n
n
n
n
n
Положил в rss.xml, меняю вектора, играюсь.
И тут мне приходит сообщение от @sergeybelove:
WAT?
Вот это поворот!
Потом написал @cyberpunkych, @MERR0NPи другие ребята. В это время я уже прочитал интересные файлы и отправил репорт на hackeone. Оказывается, vk подтянул rss.xml с атакой с помощью давно забытого (мной) функционала, который оказался к этой атаке уязвим.
