Wednesday, June 26, 2019

Gain Adfly SMTP Access with SSRF via Gopher protocol

Support saya dengan kl1ck 1kl4n guys

Adfly Gain SMTP Access with SSRF via Gopher protocol
Halo Sobat Rafli Hax0r, pada artikel sebelumnya saya menemukan celah IDOR di ADFLY dan dihadiahi sebesar $100. Nah pada postingan kali ini saya mau share Penemuan saya diadfly ini sekitar 3 hari yang lalu, Bug ini merupakan bug SSRF yang severity nya lumayan tinggi. Btw Bug ini udh di fix ya jadi jangan dicoba gk bakal work ;v.

Kemungkinan besar bug ini terdapat di setiap url shortener yang mempunyai SMTP dan yg pastinya ngefetch data dari web tersebut. Oke lanjut kecerita, Awalnya saya gabut sampai saya kepikiran untuk nyari di adfly. Setelah 20 menit mencari dan tidak ketemu, saya berbicara dalam hati "wah kayaknya ni jika kita mau ngeshort url si adfly ngefetch Title dari web tersebut, munkin aja ini vuln SSRF".
Setelah itu saya pun mencoba memasukan protocol Gopher:// ternyata gagal alias ada filter dari adflynya.

Awalnya saya menggunakan Payload FASTCGI untuk RCE di Gopherus, namun tidak work karena adfly hanya mengambil TITLE web saja. saya Pun menggunakan payload SMTP menggunakan tool Gopherus Dan menggabungkannya kedalam script PHP yang akan saya upload ke hosting milik saya. code :

<?php
header('location: gopher://127.0.0.1:25/_MAIL%20FROM:adf%40ly%0ARCPT%20To:myemailhaha%40gmail.com%0ADATA%0AFrom:adf%40ly%0ASubject:Test%0AMessage:test%0A.');
?>
Saya upload ke server dengan nama poc.php, btw ini buat ngebypass filter karena adfly hanya mengizinkan protocol http / https.

Setelah itu saya coba short http://serversaya.com/poc.php ke adfly, selang beberapa menit email dari adf@ly.adf.ly masuk ke email saya ( Seperti di SS berikut ).

Saya pun melaporkannya ke adfly, selang beberapa jam bug saya di terima adfly meminta bukti Original email dari saya, saya pun memberikannya. baru lah satu hari semenjak saya melapor bug tersebut diperbaiki, untuk masalah hadiah saya belum tau kapan tapi berdasarkan pengalaman saya baru dikasih 2 bulan setelah lapor.



Timeline :

- Minggu 23 Juni 2019 23:35 WIB = Bug Found & Reported
- Senin 24 Juni 2019 17:16 WIB = Triaged
- Senin 24 Juni 2019 22:34 WIB = Bug Fixed

Terimakasih sudah membaca writeup saya kali ini, maaf kalo berantakan hehe.

Load disqus comments

0 comments