RainLoop. Проходим путь от шелла до кеша — через аттач

Содержание статьи

Исходная позиция
Опасная десериализация
Читалка секретов
Извилистая цепочка до RCE
Эксплуатация
Репорт и митигация
Больше чем просто баг

Представь: старый почтовый веб‑клиент, давно забытый и оставленный пылиться в закоулках интернета, но по‑прежнему таящий в себе кладезь... Это история о том, как глубокое погружение в RainLoop привело к тому, что я нашел RCE и способ получить доступ к данным пользователей крупной компании, которая не пожалела вознаграждения.

Это исследование получило первое место на Pentest Award 2025 в категории «Пробив WEB». Соревнование ежегодно проводится компанией Awillix.

RainLoop — это проект на PHP с открытым исходным кодом и четырьмя тысячами звезд на GitHub. Мы совершим увлекательное путешествие по лабиринтам его кода, заглянем в механизмы криптографии и проделаем пару трюков с хостами, которые, казалось бы, в скоуп не входят, но позволят сорвать джекпот.

warning

Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Исходная позиция

Все началось обычным вечером, когда я, вооружившись чашкой кофе, проводил первичную разведку баг‑баунти‑скоупа хостера beget.com. В SSL-сертификате одного из сотен доменов мелькнул любопытный хост. Это был почтовый клиент, который компания предоставляла своим зарегистрированным пользователям, на поддомене вида fancy.beget.email.

Там был установлен RainLoop, что показалось мне довольно странным, так как основным веб‑мейлером выступал Roundcube. И тут я просто не смог устоять перед соблазном покопаться в исходниках.

Это приложение я видел впервые, к тому же версия оказалась не самой свежей — 1.12.1. Все говорит о том, что покопаться в исходниках будет отличной идеей, к тому же это моя страсть! Мотивирует одна только возможность найти что‑то интересное.

Проект оказался нишевым, но не совсем — поисковик FOFA находит 21 433 IP-адреса, по которым отвечает RainLoop.

Что ж, отличное комбо! Приступаем к исследованию.

Опасная десериализация

Скачав исходный код RainLoop, я начал искать потенциальные точки входа для атаки. Моей целью было найти уязвимость, которая позволила бы выполнить произвольный код или команды на сервере.

Одной из первых находок стал метод RainLoop\Utils::DecodeKeyValuesQ(). Он обрабатывает данные, которые затем попадают в функцию unserialize, классический такой вектор для RCE.

./rainloop/v/1.12.1/app/libraries/RainLoop/Utils.php

static public function DecodeKeyValuesQ($sEncodedValues, $sCustomKey = '')
{
        $aResult = @\unserialize(
            \RainLoop\Utils::DecryptStringQ(
                \MailSo\Base\Utils::UrlSafeBase64Decode($sEncodedValues), \md5(APP_SALT.$sCustomKey)));
        return \is_array($aResult) ? $aResult : array();
}

На стороне клиента в куках хранятся данные, которые затем обрабатывает этот метод. Но есть загвоздка: данные шифруются с использованием длинного случайного ключа APP_SALT. Подобрать его нереально, и эта защита делает подмену данных произвольными невозможной, надежно блокируя подобный вектор атаки.

Читалка секретов

Следующим этапом стал поиск других уязвимостей, которые помогли бы раскрыть этот ключ. Благо приложение имеет большой пласт самых разных фич.

Один из десятка методов, RainLoop\Actions\DoComposeUploadExternals(), оказался настоящим подарком для атакующего. Данные, поступающие от пользователя, без какой‑либо постобработки попадают напрямую в CURLOPT_URL.

/rainloop/v/1.12.1/app/libraries/RainLoop/Actions.php

public function DoComposeUploadExternals()
{
        ...
        $aExternals = $this->GetActionParam('Externals', array());
        if (\is_array($aExternals) && 0 < \count($aExternals))
        {
            ...
            foreach ($aExternals as $sUrl)
            {
                if ($rFile && $oHttp->SaveUrlToFile($sUrl, $rFile, '', $sContentType, $iCode, $this->Logger(), 60,
            ...
        }
        return $this->DefaultResponse(__FUNCTION__, $mResult);
}

./rainloop/v/1.12.1/app/libraries/MailSo/Base/Http.php

public function SaveUrlToFile($sUrl, $rFile, ...){
        ...
        $aOptions = array(
            CURLOPT_URL => $sUrl,
            ...
        $oCurl = \curl_init();
        \curl_setopt_array($oCurl, $aOptions);
      ...
        $bResult = \curl_exec($oCurl);
        ...
        return $bResult;
}

И это открывает двери для множества атак, включая SSRF через схемы вроде gopher://, так как curl поддерживает десятки разных протоколов, в том числе чтение локальных файлов через file://, что было для меня главным!

Метод сам по себе не отдавал содержимое файла сразу, поэтому для успешной эксплуатации требовалась совокупность действий:

Создать новое письмо и прикрепить к нему произвольный аттач, например 123.txt.
Сохранить письмо в черновики и перехватить этот запрос (1).
В запросе (1) заменить POST-данные такими:
XToken=__CSRF_TOKEN__&Action=ComposeUploadExternals&Externals[]=file:///var/www/html/data/SALT.php
Отправить и скопировать хеш аттача из респонса (2).
Поменять хеш в (1) на (2) и отправить запрос.
В аттаче нового письма в черновиках будет содержимое файла SALT.php.

Так я наконец смог прочитать файл, в котором хранилась секретная соль.

/var/www/html/data/SALT.php

<?php //a58a35a5c3c08f4f047364531dee2dc3fbd99005c0c7e5abedcc0f531def5b1b329e151c4b801d27248bce1d27996eca3364

Соль, как видишь, имеет внушительный размер и полностью используется для шифрования строк.

./rainloop/v/1.12.1/include.php

$sSalt = @file_get_contents(APP_DATA_FOLDER_PATH.'SALT.php');

Это тот самый ключ, который нужен для обхода криптографической защиты. Теперь пазл начал складываться, но не хватало главной детали.

Извилистая цепочка до RCE

На этом этапе я столкнулся с новой головоломкой. RainLoop оказался довольно скромным в плане используемых библиотек, да и те, что были, не всегда подгружались через autoload. Мой арсенал для создания цепочки десериализации был, мягко говоря, ограниченным. На «закуску» у меня было всего несколько библиотек:

array(7) {
  [0]=>
  string(8) "RainLoop"
  [1]=>
  string(8) "Facebook"
  [2]=>
  string(8) "PHPThumb"
  [3]=>
  string(6) "Predis"
  [4]=>
  string(16) "SabreForRainLoop"
  [5]=>
  string(7) "Imagine"
  [6]=>
  string(9) "Detection"
}

PHPGGC, мой верный спутник в таких делах, лишь грустно вздохнул и самоустранился. Стандартные гаджеты здесь неприменимы... Конечно же, я сразу помчался к великому «Гроку» и не менее умному «Клоду», ведь они за считаные промпты соберут мне то, что нужно. Но как только я начал разгребать их глюки, понял, что проще разбираться самому.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Apple представила защиту памяти iPhone для борьбы со сложными атаками

Далее → В сентябре Microsoft исправила 81 уязвимость в своих продуктах