13/04/2019 DataFlow Services FZ LLC Mail - Vulnerability on one of the subdomains

René Seifert <rseifert@dataflowgroup.com>

Vulnerability on one of the subdomains 
Станислав Викторович <myleetnickname@gmail.com> 13 April 2019 at 06:04
To: René Seifert <rseifert@dataflowgroup.com>

Hello Rene.
I'm sorry to be late with the reply.
Detailed Vector Analysis
1. Search for a vulnerable application
The search did not go to any specific company.
Public tools were used for the search, as well as public attack vectors.
Such as search titles
X­Debug­Token­Link:
"_profiler /"
Links
"https://www.shodan.io/search?query=_profiler"
"https://www.cvedetails.com/vulnerability­list/vendor_id­11981/product_id­22402/Sensiolabs­Symfony.html"
2. Search for sensitive information
The first thing that caught our eye was a link to an open profiler, we decided to check the availability of administrative
data for authentication, for writing to developers, as it happens with many other projects.
Command to search "/_profiler/search/results?ip=&method=POST&status_code=&url=login&start=&end=&limit=100"
 The profiler issued a zero option, it meant that this host is responsible for api, respectively, requests are either not
logged, or transmitted via another URL, or are transmitted rigidly through headers Basic auth (base64)
The next point that interested us is whether it is possible to read local files on the server. Fortunately, the default
profiler provides such an opportunity through the "open?file=" command
Knowing the default paths for the configuration files, the following vector was applied "/_profiler/open?file=app/
config/parameters.yml"
Further analysis took place on the server side mysql
Using the data obtained from the file, we checked whether the input from the remote host is possible, it turned out that
yes.
Among the lists of databases, we chose belonging to this particular project, looked at the number of users, whether
their passwords are encrypted. Great, they were encrypted.
Next, check the administrative accounts, they are also encrypted.
Also, our attention was attracted by the name of the table documents, we could expect direct paths to the files, but it is
good that they were not there.
So the files are on a different server, and for attackers it is too much time to search!
Due to user privileges being too wide dbadmin, it is possible to take advantage of the following vulnerabilities, the fault
is "file_priv=y"
"select load_file('/etc/passwd') " ­ LFI
"select '<?php eval(base64_decode($_REQUEST[cmd])); ?>' into outfile '/tmp/shell.php'" file upload
We did not use these methods, because there was no point.
3. Finding a way to contact
We used the following tool to search.
"https://www.crunchbase.com/organization/level­360­services#section­current­team"   
Seeing your name in crunchbase
We wrote to you in the mail, and also duplicated on Twitter so that you did not ignore our message.
Our twitter about your company is deleted.
Purse where you can transfer the reward is listed in our profile: 1LJUWbrsScpNvZrTj9rVJC4813T83LprnQ
 
https://www.blockchain.com/en/btc/address/1LJUWbrsScpNvZrTj9rVJC4813T83LprnQ   
We would like to continue to search for vulnerabilities in your projects, if you do not mind. We believe, together we will
make your projects safer.
We look forward to hearing your answer as soon as possible.
Our profile in 
Twitter/L33T_SEC
hackerone/r00t1337
bugcrowd/r00t1337  
Sincerely, L33T­SEC TEAM. 
 
пт, 12 апр. 2019 г. в 19:31, René Seifert <rseifert@dataflowgroup.com>: 
[Quoted text hidden]
 
4 attachments
https://mail.google.com/mail/u/0?ik=8cc81613d3&view=pt&search=all&permmsgid=msg-f%3A1630670166067954968&simpl=msg-f%3A1630670166067954… 1/2
13/04/2019 DataFlow Services FZ LLC Mail - Vulnerability on one of the subdomains

Screenshot_22.png 
42K
Screenshot_19.png 
50K
Screenshot_20.png 
145K
Screenshot_21.png 
137K

https://mail.google.com/mail/u/0?ik=8cc81613d3&view=pt&search=all&permmsgid=msg-f%3A1630670166067954968&simpl=msg-f%3A1630670166067954… 2/2