Техническое обсуждение RCE в Tox 1.17.6

[madness]

Which inevitably begs the question: why is the author making such details public? As long as he gets a buyer with 20 BTC available to invest in a vulnerability, the qTOX developers can easily patch it and ruin his business prospects. I wouldn't be surprised, in fact, if the video he posted is already in the inbox of the qTOX developers.

the real Question is did this 0day already Used against one of the Big names in xss members or any Ras group !

 

[yanluowang]

там давно еще бага в аватарках, кто знает тот поймет

 

[LockBitSupp]

У меня на рабочем столе лежит много крипты, если её украдут я вам скажу, поэтому пока спите спокойно.

 

[unknow2156]

У меня на рабочем столе лежит много крипты, если её украдут я вам скажу, поэтому пока спите спокойно.

Мальчик, мы ждем твоих новостей

 

[LockBitSupp]

Мальчик, мы ждем твоих новостей

Дяденька, я думаю новостей не будет, потому что хорошую корову не продают, она самому нужна, а уж тем более за 20 битховенктов.

 

[yellow]

Ахахаха. А я то думаю чего это у меня калькулятор вместе с токсом открывается, а вон она чего михалыч.

 

[unknow2156]

Дяденька, я думаю новостей не будет, потому что хорошую корову не продают, она самому нужна, а уж тем более за 20 битховенктов.

Шутки в сторону, что вы думаете об этой уязвимости? Достаточно ли комбинации tcp+torproxy?

 

[LockBitSupp]

Шутки в сторону, что вы думаете об этой уязвимости? Достаточно ли комбинации tcp+torproxy?

А я откуда знаю? если моя сладенькая крипта на месте, значит я не думаю об этой уязвимости ничего хорошего.

 

[DoppleKSE]

Шутки в сторону, что вы думаете об этой уязвимости? Достаточно ли комбинации tcp+torproxy?

А кто сказал, что дырка в самом протоколе токса на уровне tcp или udp ? Возможно там идет переполнение буфера конкретно в этом GUI приложении Tox при неправильной обработке полученных данных.
Если бы дыра была в протоколе ядра токса, уязвимости был бы подвержен не только qTox, а все остальные клиенты тоже. А автор заявляет о конкретной версии конкретного GUI

 

[unknow2156]

А кто сказал, что дырка в самом протоколе токса на уровне tcp или udp ? Возможно там идет переполнение буфера конкретно в этом GUI приложении Tox при неправильной обработке полученных данных.
Если бы дыра была в протоколе ядра токса, уязвимости был бы подвержен не только qTox, а все остальные клиенты тоже. А автор заявляет о конкретной версии конкретного GUI

К сожалению, мы мало что знаем, мы делаем только самые маленькие советы по безопасности для нашей собственной безопасности, может быть, вы правы, это что-то большее

 

[nightly]

Он работает для всех версий TOX или только на последней?

Тестил на последней

Деанонь Локбита, лям получишь
Скрытое содержимое

Изначально планировалось чисто получить IP, забавы ради. Лен было крутить дальше да и не видел смысла. А что в скрытом - увы, нет. Это кривая кодировка)

Гифка снята очень даже зря, видно что на обычном переполнении буфера работает (судя по нечитаемой херне в запросе в друзья, не факт что обычное переполнение, но сути это не меняет), осталось взять сорцы токса этой версии и потыкаться, где переполнение может сработать, к тому же там не так много функций отрабатывает, ты сам сузил круг поиска до кнопки "Accept". Вангую скоро в паблике будет, раскрутят наши же эксперты вроде varwar, они такое любят.

Пробуйте что угодно)

Как теперь друзей принимать? не пишите мне теперь в токс, буду только со старыми друзьями дружить )))

Юзать не токс, а к примеру Briar. Альтернатива в которой есть всё.

рано паниковать, это судя по всему баг конкретно qTox, а не самого протокола Tox, поэтому просто используем другой клиент

CLI клиент или сырое юзать что уже 1-3 года без поддержки?

ok, back to Jabber

Jabber is pure shit. Briar/SimpleX

Сколько же ты мог денег заработать просто использовав это самостоятельно...
Интересно, спустя какой промежуток времени выяснилось бы, что в заражениях виноват токс?

Нет интереса в этом, абсолютно.

qTox вообще умер (

GitHub - qTox/qTox: qTox is a chat, voice, video, and file transfer IM client using the encrypted peer-to-peer Tox protocol.

qTox is a chat, voice, video, and file transfer IM client using the encrypted peer-to-peer Tox protocol. - qTox/qTox

github.com

Он никогда и не жил толком

Мне кажется розыгрыш какой-то для поднятия актива или интереса к персоне, столько времени все пользовались токсом и вот те на те
PS извиняюсь за флуд в коммерческой теме

Смысл? Это как с Фортиком, никто не верил что к ним можно подойти) Прямо таки 3 доступа root.

Но вообще очень круто, nightly, красавчик
но цену понизь ) за столько не купят )

Уже ушло)

У меня на рабочем столе лежит много крипты, если её украдут я вам скажу, поэтому пока спите спокойно.

Спиздить от LockBit крипту? Это был бы очень большой пиар. Да и толку? У тебя мультисиг, никак не выведу... Обои конечно, сменить нужно)

 

[WellDone]

Аккаунт который занимался только сливами баз (если че считать странного топика про продажу доступа к фортинету) ВДРУГ делает зиродей РЦЕ эксплойт под софт на плюсах
Полускрытый экран на записи, странное описание пользователя(оверфлоу там?), .zip домен в описании, 0 сделок через гаранта по итогу(кто-то заплатил 20 битков вперед?Или ты отдал софт за 20 битков вперед?)
Будет ОЧЕНЬ смешно если через пару месяцев тс уйдет в статус за условные пару тысяч

Единственное что согласен, токс то еще дерьмо
Меня всегда веселил феномен как он считай взялся ниоткуда, вместе с с дядей ункновном.Его начал использовать ревил и этим задали моду.
При этом сам toxcore это куча кода на си который никто никогда не аудировал, за все время получила только пару тройку цве(что бред для софта на си, так не бывает)
Сам проект развивался в 15-16 году, а затем авторы на него просто забили.

А qtox вообще какой-то полубагованный вылетающий клиент на который уже наверное год как не мейнтейнится т.е никаких апдейтов не получит, даже если там на самом деле рце
Ну и все про малое количество CVE, код на небезопасном языке и то что его никто и никогда не аудировал это применимо и нему

А, еще хотите приколдес?У qtox отключен ASLR в бинарнике под винду как я помню, т.е только DEP.Не знаю делал ли так автор специально или просто собирал сигвином, но как-то так



p.s в личке подсказали что первыми токс массово начали юзать gandcrab, а не ревил

 

[SKAZKAA]

Аккаунт который занимался только сливами баз (если че считать странного топика про продажу доступа к фортинету) ВДРУГ делает зиродей РЦЕ эксплойт
Полускрытый

Юзать не токс, а к примеру Briar. Альтернатива в которой есть всё.

Jabber is pure shit. Briar/SimpleX

Крупная пиар компания Briar и SimpleX

 

[SGL]

Изначально планировалось чисто получить IP, забавы ради. Лен было крутить дальше да и не видел смысла. А что в скрытом - увы, нет. Это кривая кодировка)

Why have you decided to change the price from 0.5 to 20 all of a sudden? I am just curious about that.

 

[-BABAYAGA-]

Жесть. Под линуксы тоже дырявый?

 

[DoppleKSE]

Жесть. Под линуксы тоже дырявый?

Конечно, сорцы написаны под кроссплатформенную сборку, один и тот же код, только под линь полезная нагрузка другая нужна

 

[mwah]

Уже ушло)

вы продаете только один раз?

 

[DoppleKSE]

Сейчас следует ожидать большое число "пофикшенных" версий qTox с зашитыми бэкдорами.

 

[u0p]

Гифка снята очень даже зря, видно что на обычном переполнении буфера работает (судя по нечитаемой херне в запросе в друзья, не факт что обычное переполнение, но сути это не меняет), осталось взять сорцы токса этой версии и потыкаться, где переполнение может сработать, к тому же там не так много функций отрабатывает, ты сам сузил круг поиска до кнопки "Accept". Вангую скоро в паблике будет, раскрутят наши же эксперты вроде varwar, они такое любят.

When I reviewed the qTox's source code I just found out that the execution path in sending a friend request starts from the Core::requestFriendship method

// https://github.com/qTox/qTox/blob/master/src/core/core.cpp#L660-L670
void Core::requestFriendship(const ToxId& friendId, const QString& message)
{
    QMutexLocker ml{&coreLoopLock};

    ToxPk friendPk = friendId.getPublicKey();
    QString errorMessage = getFriendRequestErrorMessage(friendId, message);
    if (!errorMessage.isNull()) {
        emit failedToAddFriend(friendPk, errorMessage);
        emit saveRequest();
        return;
    }
    // --snip--
}

and then call the Core::getFriendRequestErrorMessage method which is a validation method that have a size check

// https://github.com/qTox/qTox/blob/master/src/core/core.cpp#L636-L651
QString Core::getFriendRequestErrorMessage(const ToxId& friendId, const QString& message) const
{
    // --snip--
    if (message.length() > static_cast<int>(tox_max_friend_request_length())) {
        return tr("Your message is too long!", "Error while sending friend request");
    }
    // --snip--
}

which eventually will call a toxcore function called tox_max_friend_request_length

// https://github.com/TokTok/c-toxcore/blob/master/toxcore/tox_api.c#L63-L66
uint32_t tox_max_friend_request_length(void)
{
    return TOX_MAX_FRIEND_REQUEST_LENGTH;
    // in tox.h : #define TOX_MAX_FRIEND_REQUEST_LENGTH  1016
}

so qTox intentionally will not allow a message longer than 1016 bytes

 

[hidecontact]

Сомнительно все это, не спорю, что это возможно, но сомневаюсь в идее автора заработать двадцатку. Ой сомневаюсь…