Comments 16
Оно ipv6 не умеет. Так не интересно (половина вкусного — в разных нотациях записи ipv6).
Все три взломщика получили доступ к одному кошельку? Или файл обновляется?
А как в третьем случае атакующий получил содержимое btc.txt? Так можно обойти валидацию по URL, но ведь curl отправит запрос на один из ip Google, а не на внутренний адрес?

И может мог бы кто объяснить, как во втором случае воспользовались уязвимостью?
Судя по описанию этот url некорректно парсится. Функция parse_url в PHP видит там хост google.com, который валиден. В то же время cURL использует домен safecurl.fin1te.net, обходя таким образом проверку.
В том то и дело, что не понятно, каким образом safecurl.fin1te.net попадает в curl, т.к. он потом вызывает функцию RebuildURL, которая возьмет все тот-же IP гугла
Так может проблема в том, что parse_url парсил по кривым частям, собрав по которым через buildUrl получали то же самое, а curl собранное уже по-взрослому интерпретировал.
Там же, вроде, нигде не написано, что не прислали. Может закроют уязвимость и способ выложат.
Вот и 4 способ опубликовали. Marcus T тоже использовал ошибку в парсинге url.
Only those users with full accounts are able to leave comments. Log in, please.