星巴克新加坡RCE漏洞与5600美元赏金 - Kamil Onur Özkaleli (ko2sec)

侦察阶段

在发现星巴克新加坡Web应用的关键漏洞后，我决定深入调查com.starbucks.singapore安卓应用。虽然移动应用本身没有发现弱点，但我注意到应用在某些操作中与扩展名为".aspx"的端点通信。在目录扫描未果后，我暂停了几周研究。

深度侦察

几周后，基于应用服务器运行IIS的特性，我开始研究IIS漏洞。在观看shubs的IIS黑客视频时，我回忆起Soroush Dalili的IIS波浪号枚举扫描器工具。使用该工具自动化扫描时，我在"/api"目录发现了一些".ashx"端点：

1
2
3
4

DOWNLO~1.ASH
EMAIL-~1.ASH
IMAGEU~1.ASH
MAILIN~1.ASH

该工具利用微软称为"特性"的漏洞，可发现文件名前6个字符和扩展名前3个字符。基于此信息，我成功发现了部分完整文件名：

1
2

download.ashx
email-bounce.ashx

漏洞利用

重点关注IMAGEU~1.ASH端点（推测为imageuploadhandler.ashx），我通过ffuf工具扫描确认了端点名称。虽然初始测试只返回200 OK响应，但通过分析ajaxfileupload.js文件，发现文件以"multipart/form-data"格式上传。

经过研究找到正确的上传请求格式后，我成功上传了包含文本的".aspx"文件。端点将文件名转换为UUID格式并在响应中返回，上传文件位于"/api"目录。

影响评估

通过执行"whoami"命令发现服务器标识为iis apppool\cards.starbucks.com.hk（香港），这提示我检查其他地区站点。调查发现以下国家/地区的星巴克移动应用服务器存在相同漏洞：

• 新加坡
• 香港
• 越南
• 泰国
• 马来西亚
• 柬埔寨

恶意攻击者可利用此漏洞完全控制服务器、数据库、用户信息和应用源代码，甚至影响店内移动支付系统。

时间线

• 2020年11月6日 - 报告提交
• 2020年11月6日 - 分类处理
• 2020年11月14日 - 获得4200美元赏金（CVSS 9.1分）
• 2020年11月24日 - 额外获得1400美元赏金（CVSS升至9.8分）

可在Hackerone查看完整报告