Bounty 初體驗 - 資安

這篇是分享一下 bounty program[0] 的初體驗 時間軸如下：

2020-09-23 發送 report 給對方 ->
2020-09-23 <- 對方回覆收到報告
2020-10-05 發送詢問進度、同時發現問題已修復 ->
2020-10-16 <- 回覆確認問題、確定獎金
2020-12-21 收到獎金
2020-12-31 對方表示12/31前不能公佈細節



故事是這樣的 ....

某天 跟朋友聊到 find.synology.com 這個功能、跟背後可能的實作方式

突然想到當年考 OSCP 時候 號稱的 try hard 跟那時候認知到的

沒有不可能的 bug 只有你想不到的 ...

我就一邊 key 著 curl 指令 一邊想說堂堂 Synology 應該不會犯這種錯誤吧 ...

燈愣！



======== 故事結尾分隔線 =========

find.synology.com[1] 是一個幫你找尋網路中的 NAS 的一個網頁服務

透過簡單的 F12 大法之後發現 主要的做法其實很簡單

- 找 http://diskstation.local:5000
- 找 http://rackstation.local:5000
- 找 http://nvr.local:5000
- 找 http://beyondcloud.local:5000
- 找 http://synologynas.local:5000
- 找 http://synologynas.local:5000
- 找 http://synologyuc.local:5000
- 找 http://datastation.local:5000
- 找 http://flashstation.local:5000
- 找 http://synologynvr.local:5000

很明顯 上面幾個就是透過內網尋找是否有存在的 NAS 取以上其中一種名字

使用的方式是找 .local[2] domain

除了上述之外還發現 他還會呼叫另外兩隻 API

1. https://global.quickconnect.to/finder/server
2. https://twc.quickconnect.to/finder/get.php

第一個的用法感覺是為了拿到第二個 API 用的 猜測類似 route53 幫你做最佳化(?)

然後第二個 API 則是告訴你 Server 可能的 內網 IP 位址 跟 FQDN[3]

這時我想... 如果餵給他 X-Forwarded-For[4] 會發生什麼事情

不過想想 堂堂 Synology 科技版的白板魔王關 應該不會犯這種錯誤才是

一邊手自然地敲下

curl https://twc.quickconnect.to/finder/get.php -H "X-FORWARDED-FOR: IP"

燈愣 似乎發現了不該發現的東西了 :)



想說 該不會是 cache 吧 拿放在日本的 linode 配上台灣的 IP

燈愣 拿到跟直接台灣 IP 查詢得到一樣的結果

順口問了 強者我朋友 (有買 DSM) 家裡的 IP 也是可以拿到他的內網 IP + FQDN

之後透過了一點關係 拿到了 Synology 公司的對外 IP

拿到的 NAS 資訊 我一個 160*32 的 terminal 頁面放不下啊...

當天就剪短寫了一篇信過去 (連 PoC 都懶得給了 直接給一個 curl 指令)

接下來就是過了一個冗長的時間之後 拿到獎金 (不過沒被放在致謝清單 QQ)


[0]: https://en.wikipedia.org/wiki/Bug_bounty_program
[1]: http://find.synology.com/
[2]: https://en.wikipedia.org/wiki/.local
[3]: https://en.wikipedia.org/wiki/Fully_qualified_domain_name
[4]: https://en.wikipedia.org/wiki/X-Forwarded-For

--