這篇是分享一下 bounty program[0] 的初體驗 時間軸如下： 2020-09-23 發送 report 給對方 -> 2020-09-23 <- 對方回覆收到報告 2020-10-05 發送詢問進度、同時發現問題已修復 -> 2020-10-16 <- 回覆確認問題、確定獎金 2020-12-21 收到獎金 2020-12-31 對方表示12/31前不能公佈細節 故事是這樣的 .... 某天 跟朋友聊到 find.synology.com 這個功能、跟背後可能的實作方式 突然想到當年考 OSCP 時候 號稱的 try hard 跟那時候認知到的 沒有不可能的 bug 只有你想不到的 ... 我就一邊 key 著 curl 指令 一邊想說堂堂 Synology 應該不會犯這種錯誤吧 ... 燈愣！ ======== 故事結尾分隔線 ========= find.synology.com[1] 是一個幫你找尋網路中的 NAS 的一個網頁服務 透過簡單的 F12 大法之後發現 主要的做法其實很簡單 - 找 http://diskstation.local:5000 - 找 http://rackstation.local:5000 - 找 http://nvr.local:5000 - 找 http://beyondcloud.local:5000 - 找 http://synologynas.local:5000 - 找 http://synologynas.local:5000 - 找 http://synologyuc.local:5000 - 找 http://datastation.local:5000 - 找 http://flashstation.local:5000 - 找 http://synologynvr.local:5000 很明顯 上面幾個就是透過內網尋找是否有存在的 NAS 取以上其中一種名字 使用的方式是找 .local[2] domain 除了上述之外還發現 他還會呼叫另外兩隻 API 1. https://global.quickconnect.to/finder/server 2. https://twc.quickconnect.to/finder/get.php 第一個的用法感覺是為了拿到第二個 API 用的 猜測類似 route53 幫你做最佳化(?) 然後第二個 API 則是告訴你 Server 可能的 內網 IP 位址 跟 FQDN[3] 這時我想... 如果餵給他 X-Forwarded-For[4] 會發生什麼事情 不過想想 堂堂 Synology 科技版的白板魔王關 應該不會犯這種錯誤才是 一邊手自然地敲下 curl https://twc.quickconnect.to/finder/get.php -H "X-FORWARDED-FOR: IP" 燈愣 似乎發現了不該發現的東西了 :) 想說 該不會是 cache 吧 拿放在日本的 linode 配上台灣的 IP 燈愣 拿到跟直接台灣 IP 查詢得到一樣的結果 順口問了 強者我朋友 (有買 DSM) 家裡的 IP 也是可以拿到他的內網 IP + FQDN 之後透過了一點關係 拿到了 Synology 公司的對外 IP 拿到的 NAS 資訊 我一個 160*32 的 terminal 頁面放不下啊... 當天就剪短寫了一篇信過去 (連 PoC 都懶得給了 直接給一個 curl 指令) 接下來就是過了一個冗長的時間之後 拿到獎金 (不過沒被放在致謝清單 QQ) [0]: https://en.wikipedia.org/wiki/Bug_bounty_program [1]: http://find.synology.com/ [2]: https://en.wikipedia.org/wiki/.local [3]: https://en.wikipedia.org/wiki/Fully_qualified_domain_name [4]: https://en.wikipedia.org/wiki/X-Forwarded-For --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.159.47 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1609389612.A.196.html