看我如何发现Uber合作方网站XXE 0day漏洞并获得9000美元赏金

近期,俄罗斯渗透测试人员Vladimir Ivanov发现了反勒索数据备份服务商Code42的一个XXE 0day漏洞,利用该漏洞可以从使用Code42服务的公司窃取相关备份数据,这些公司包括Uber、Adobe、Lockheed Martin(洛克希德马丁)等。作者在这篇文章中分享了该漏洞的发现过程。

Code 42,成立于2007年,最初以个人数据保护和备份软件起家,随后便逐渐拓展到了企业数据备份和反勒索服务领域。目前该公司在全球管理并保护着大量企业和组织机构数据,而且该公司所有的数据备份和存储解决方案都是跨平台的。

漏洞发现过程

2016年5月,我在参与HackerOne平台的Uber漏洞赏金项目过程中,偶然通过测试发现了以下这个HTTP应用管理页面,这是Uber与合作公司Code42的一个系统服务:

通过该页面的API接口https://backup.uberinternal.com:4285/api/serverEnv 分析发现,其部署使用了Code42最新版本(5.2.0)的服务框架,而且Code42的相关产品在CVE漏洞库中没有任何披露漏洞,想要发现安全问题,密码破解显然不是一个可行方案,唯一可行的选择就是,去发现该系统的未知漏洞。

接下来,我从Code42官网浏览了一些公开说明文档,从中寻找涉及的API接口的方法描述,然后构造自动化的暴力猜解方式去请求这些接口,尝试发现其中一些不需要身份验证的API。幸运的是,最终发现其中一个API存在问题,任何外部用户都可以对其作出有效的登录访问:https://www.crashplan.com/apidocviewer/#SsoAuthLoginResponse

在Code42公开文档中对/api/SsoAuthLoginResponse的描述是这样的:接收SAMLResponse的GET参数,其中SAMLResponse包含了base64编码的XML用户验证数据:

由此,我构造了一个指向我个人VPS的XML外部实体对该API接口进行测试,尽管测试中使用的XXE漏洞利用代码非常简单,但出于保密,在此就不做公开。从以下测试的端口监听信息可以看出,该服务系统存在XXE外带数据(Out-of-Band)攻击漏洞:(XXE-OOB漏洞详情参考Freebuf-《DTD/XXE 攻击笔记分享》BlackHat 2013 《XXE-Out of Band Attack》

由于系该统使用了java框架,而俄罗斯的OnSec实验室曾针对Java程序的XXE-OOB攻击,作出了相关研究,并给出相应的payload,和一个通过ftp服务读取系统目录的漏洞利用脚本xxe-ftp.rb,因此,我直接用xxe-ftp程序进行了验证。

xxe-ftp.rb原理是这样的,攻击者主机运行该脚本后,8088端口作为http服务端负责获取OOB攻击payload,而8077端口用于ftp连接服务:

经验证,我成功获取到了系统服务器/home/目录下的列表,并向HackerOne平台作了漏洞报告,获取列表截图如下:

经Uber安全团队向Code42确认,这是一个0day漏洞,Uber安全团队要求我给出更多漏洞详细证明。在他们的许可下,我又作了进一步渗透测试,最终发现了备份日志的存储目录文件。以下是系统服务器本地最近的某一储存日志文件,其中包含了操作用户名和其它敏感信息:

测试结果已经很能说明问题:只要运行有Code42周边服务或托管业务的公司,我都可以利用该漏洞获取到其备份系统网站内的所有备份文件。为了解该漏洞的现实威胁,我利用Code42服务端口4285在shodan上进行识别,发现了一些使用Code42相关服务的IP,其中还包括了一家全球知名的安全公司*&^#$#!:

原文发布时间为:2017-02-19

时间: 2024-10-09 22:03:22

看我如何发现Uber合作方网站XXE 0day漏洞并获得9000美元赏金的相关文章

看我如何发现Github企业版程序SQL注入漏洞并获得5000美刀赏金

看我如何发现Github企业版程序SQL注入漏洞并获得5000美刀赏金.GitHub企业版软件是专供公司团体用来部署在内网进行开发服务的商业性应用程序.Github企业版采用标准OVF格式集成,以虚拟机(VM)镜像方式发布,可以在enterprise.github.com网站注册下载45天试用版本,并把其部署在任何虚拟机环境中.通过下载其试用版本软件进行分析,我花了一周时间,发现了其中存在的SQL注入漏洞,并获得了5000美元漏洞赏金. Github企业版VM环境安装之后的效果如下: 现在,Gi

安全专家发现 Uber 可免费打车的漏洞,但别高兴太早

    最近,据外媒报道,Uber上存在一个安全漏洞,只要是发现这一漏洞的任何用户都可以在全球各地免费乘坐Uber后直接走人.不过,那些想着利用漏洞逃单的人不用高兴,现在 Uber 已经成功修复了这一漏洞. 这一漏洞是在2016年8月被发现的,但是直至本周才被公之于众. 去年 8 月,电脑安全专家阿南德·普拉卡什(Anand Prakash)首先发现了这一漏洞,并通过 Uber 公司的"漏洞赏金"项目告知对方.Uber 在获悉该情况后,立即组织安全专家普拉卡什等人在美国和印度两地对该漏

看搜索长尾词如何给网站带来不断增长的大流量

要说国内最成功的社会化购物分享网站,当然是属于蘑菇街和美丽说,在这个夹缝中,依然有不少新站不断诞生又倒下,但是有一个叫"翻东西"的分享站,却在快速的成长. 我是在2012年中旬知道这个站的,在我的印象中,短短的半年时间,它的PR上升到了5,百度权重更是达到了7.这么一个不被大家熟悉的网站,是如何在这么短的时间内成长这么快的?我们来比较下翻东西和蘑菇街的权重截图,应该能发现一些原因.   蘑菇街前三个词,都是首页跟"蘑菇"相关的网站品牌词,搜索量相加是75358,而翻

360安全中心发现国内部分网站存在漏洞

5月11日,360安全卫士官方发表微博,公布360安全中心发现国内部分网站存在漏洞,容易被黑客在网站页面中"投毒",篡改网站访问者的路由器DNS,进而疯狂弹出情色游戏广告.360第一时间拦截这波路由器共计,并通报受此漏洞影响的搜狐视频等网站,搜狐视频在收到通报后已经迅速修复此漏洞. DNS劫持 你必须知道的潜在危险DNS是什么?简单的说就是域名系统.网友上网,一般会直接输入网站的域名,但是计算机需要把一连串的字符域名转化为IP地址,再供网友访问.而问题恰恰就出现在这个环节!当DNS被劫

记者调查发现广东政府网站总体比较实用

近日央视 曝光,不少地方政府网站高调上线,却多半沦为摆设,内容更新缓慢,留言回复不及时,咨询情况回答模糊不清等,部分网民因其作用有限,甚至发出了"政府网站不要作秀"的呼声.记者日前对广东省各主要政府部门网站进行了一周时间的调查体验,涉及广东省财政厅.统计局.审计局.教育厅.农业厅.卫生厅.中小企业局.经贸委.工商局.质监局.发改委.通信管理局.旅游局.公安局等共16个省或市级政府网站.调查结果显示:上述政府网站基本做到了宣传形象和联系公众的纽带作用,总体上比较实用,不过也有少部分网站存

白帽子发现美军网站SQL注入漏洞,可获取敏感数据

去年有报道称,美军收购软件漏洞为网战准备.而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞. 安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性,攻击这些军方公共站点以及职员门户要比进入五角大楼容易得多. 美军网站惊现SQL注入漏洞 漏洞发现者研究者名为MLT,他表示在美军国防合同管理局(DCMA)网站子域中,存在严重漏洞.攻击者可以利用该漏洞泄露国防部(DoD)雇员的个人信息,其中包括姓名.住址等. 尽管MLT并没有对漏洞进行利用,他仍摆

从一个0day漏洞看数据中心防护效果大比拼

记得郭德纲有这么一个著名的段子:家中屋漏,外面下小雨,屋里下大雨:外面下大雨,全家人就只能站到院子里避雨.如果我们把屋子换成伞,外面下雨,伞里也下雨,你还会用这样的伞吗?     "简直是笑话,谁会用这样的伞?",你可能会这么说.不过,是不是有漏雨的伞,咱先别着急下结论.这凡事都有个体验和比较.没有体验和比较,你就不知道到底什么样的伞叫好伞.     在前两天阿里云论坛的安全版块里有这么一个有趣儿的热帖.在这个帖子里,楼主讲了这么一个有趣儿的事儿:"我现在操作2个网站: 一个

思科产品再现0Day漏洞CVE-2016-6366 他们用“影子经纪人”泄露的程序 自己发现了EXTRABACON

NSA方程式组织被"影子经纪人"攻击后泄露出来的漏洞利用程序余威犹在,思科在进一步分析这些受影响产品后,发现了另一个零日漏洞0day漏洞并将该信息通报给了客户.该漏洞在CVE库中的ID为CVE-2016-6366,允许远程攻击者重载系统或执行任意代码.针对这个漏洞,思科为多数ASA软件主要版本提供了相关补丁. CVE-2016-6366漏洞 CVE网站上对这个漏洞描述如下: 思科自适应安全设备 (ASA) 软件中的缓冲区溢出漏洞,使得远程验证的用户通过精心编制的 IPv4 SNMP 数

asp.net网站有安全漏洞吗?

问题描述 本期的每周质量报告,演示了一种在网站安置后门的过程.步骤是这样的,1先猜对网站后台管理密码,2这类后台管理提供了上传文件功能,用上传功能就可以上传一个后门文件.演示中这个文件为php文件.3这个文件相当于给了外人一个任意访问网站内部数据库信息的后门.4有了这个后门,就可以盗取网站数据库信息,特别是其中的账号信息,造成个人信息外漏.对于在这个过程中的漏洞分析,第1步有一个弱口令漏洞,这个是很容易识别的,至于第2步,虽说网页上传文件功能虽然可以屏蔽掉,但真正的管理员有时很需要这个功能,所以