Selam arkadaşlar, bugün biraz daha derinlere dalalım. XenForo forum yazılımlarındaki son dönem açıkları genelde basit XSS veya SQLi şeklinde geçiyor ama işin aslı çok daha karışık. Özellikle 2.2.12-2.2.15 arası sürümlerde çıkan bir object injection zafiyeti, doğru şartlar altında tam bir RCE'ye kadar uzanabiliyor. Üstüne bir de sunucu AWS/GCP'deyse metadata servisi üzerinden credential çalma kısmı işin cabası.
Konuyu tek bir exploit olarak değil, adım adım saldırı zinciri şeklinde anlatacağım. Önce deserialization noktası, sonra SSRF ile metadata'ya ulaşma, en sonda da kimlik doğrulama bypass'ı. Hepsi bir arada kullanıldığında epey temiz sonuç veriyor.
Bu payload doğrudan deserializasyon yapılan bir noktaya gidiyor. XenForo'nun kendi cache ve session mekanizması içinde __wakeup ve __destruct metodları tetiklenince iş SSRF'ye dönüyor. Metadata servisi açık olan ortamlarda IMDS v1 üzerinden instance profile credential'ları sızdırılabiliyor.
Tabii ki her sunucuda aynı şey çalışmıyor. XenForo'nun addon yapısı, template rendering sırası ve hatta Redis cache kullanımı bile sonucu değiştiriyor. Özellikle bazı popüler addon'lar (özellikle eski version'ları) bu akışı kolaylaştırıyor.
Gerçek hayatta bu tarz bir zinciri test ederken dikkat etmeniz gereken birkaç nokta var: rate limit'ler, WAF kuralları ve en önemlisi log'ların nereye gittiği. XenForo'nun kendi admin log'ları bazen çok detaylı tutuyor, o yüzden trace temizliği de işin parçası haline geliyor.
Bu konu aslında sadece XenForo ile sınırlı değil. Benzer deserialization + SSRF kombinasyonları son 2 senedir birçok PHP tabanlı forum ve CMS'te karşımıza çıkıyor. Laravel, OctoberCMS ve hatta bazı custom forum yazılımlarında da aynı mantık işliyor. XenForo'yu örnek olarak seçtim çünkü hem kaynak koduna ulaşmak nispeten kolay hem de geniş bir kullanıcı kitlesi var.
Soru, yorum, eklemek istediğiniz bir şey olursa buradayım.
Konuyu tek bir exploit olarak değil, adım adım saldırı zinciri şeklinde anlatacağım. Önce deserialization noktası, sonra SSRF ile metadata'ya ulaşma, en sonda da kimlik doğrulama bypass'ı. Hepsi bir arada kullanıldığında epey temiz sonuç veriyor.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Tabii ki her sunucuda aynı şey çalışmıyor. XenForo'nun addon yapısı, template rendering sırası ve hatta Redis cache kullanımı bile sonucu değiştiriyor. Özellikle bazı popüler addon'lar (özellikle eski version'ları) bu akışı kolaylaştırıyor.
Gerçek hayatta bu tarz bir zinciri test ederken dikkat etmeniz gereken birkaç nokta var: rate limit'ler, WAF kuralları ve en önemlisi log'ların nereye gittiği. XenForo'nun kendi admin log'ları bazen çok detaylı tutuyor, o yüzden trace temizliği de işin parçası haline geliyor.
Bu konu aslında sadece XenForo ile sınırlı değil. Benzer deserialization + SSRF kombinasyonları son 2 senedir birçok PHP tabanlı forum ve CMS'te karşımıza çıkıyor. Laravel, OctoberCMS ve hatta bazı custom forum yazılımlarında da aynı mantık işliyor. XenForo'yu örnek olarak seçtim çünkü hem kaynak koduna ulaşmak nispeten kolay hem de geniş bir kullanıcı kitlesi var.
Soru, yorum, eklemek istediğiniz bir şey olursa buradayım.
Bu içeriği görmek için giriş yapın.