miércoles, 14 de febrero de 2018

[steelcase] Sala por favor !!

Querías reservar una sala para coordinar una reunión secreta  ? Osea creíste que seria secreta ?



Cuéntame mas:

Para los que no conozcan estos dispositivos que suelen estar en la entrada de salas de reuniones, se los voy a presentar con dos comerciales (bonitos):


***



y un poco de teoría de su funcionamiento en un video:


Perfecto, hasta ya todos tienen una idea super clara de que se tratan estos cacharros.

Estos dispositivos tienen distintos servicios corriendo, en este primer articulo me voy a centrar en el web, corriendo por defecto en el 80 . corriendo un Tomcat (con una vuln conocida que aun no corrobore -cualquier cosa luego me cuentan xd-)

Exposición:
El criterio de búsqueda que emplee fue el que corresponde al title del html: "RoomWizard(TM)" .





Enseguida toca ponerse a hacer algunas inspecciones de rutina a la aplicación:


Y claro BURP no debe faltar:



Primeros hallazgos:

vuln 1:
XSS, Todo un clásico (CVE-2018-7057)







Vuln 2:
IP address disclosure (CVE-2018-7056)

Recurso: /getGroupTimeLineJSON.action




Vuln 3:
Server Side Request Forgery (CVE-2018-7055)

RECURSO:
GET /GroupViewProxyServlet?url=http://<host>/Connector&command=get_bookings&format=json&range_start_date=20180212&range_start_time=080000&range_end_date=20180212&range_end_time=210000&rnd=1518605083284

Ejemplo "tradicional":




Ahora cambio a un VPS controlado por mi:


***



Aprovechando esta técnica es posible "preguntar" por equipos en el segmento de red, y en favor de la respuesta determinar si existe o no. 



Saludos,
@Capitan_alfa

No hay comentarios.:

Publicar un comentario