利用SAP 0day,四分钟内黑掉华尔街

本文讲的是利用SAP 0day,四分钟内黑掉华尔街,前一段时间,我一直想对下面一个问题做一个回答:

作为一个安全研究专家,在一个小时之内,我可能拿下多少台服务器,这些服务器能够达到什么质量?我可以攻破世界财富排行榜前500的企业服务器吗?

测试表明,只要使用Google、shodan以及masscan,我可以在一个小时之内拿下来10台服务器。其中有6分钟没有进行攻击,只是对痕迹进行擦除以及种植后门。测试过程中,脚本的工作量以及手动的工作量各占一半,我感觉脚本无论如何都不能代替手动验证。当然,这篇文章不是讲述这些的。

在测试过程中,一个问题自然而然的出现在我的脑海中:

黑掉华尔街那些公司、银行以及那些国际商业巨头需要多长时间呢?

他们几乎都使用了SAP,在之前对我一个客户进行渗透测试时,发现了一个SAP的0day漏洞。这个时候我就意识到了一些大的公司都是使用的SAP。

例如:这篇安全人员致谢文章中,你可以在2016年10月份找到我的名字,而且过不了几天你就可以在2017年五月这一挡中找到我的名字:)

比较讽刺的是,我不是一个熟知SAP的人。除了我以前梳理过的简单10页基础教程,别的我对它一无所知。但是我同样使用owasp top10中的方法找到了一个漏洞,所以我为什么不再钓一个大鱼呢?比如SAP的云服务。

挖洞的第一步我采用Google搜索搜集一波信息:

site:*.accounts.ondemand.com

这一搜索我就发现好多使用"SAP云服务"、"SAPHANA版本"、"SAP HANA企业版本"的公司。我随便加载了一个页面,三秒中之内我发现了它前端使用的是ruby,后端使用的是java。既然这样,我们就可以通过模糊测试找到它使用的是哪种框架来搭建的这一服务(Struts, Spring, Hibernate, Tomcat, Jboss, Jenkins, 等等)。

在事实上,我断定struts一定不会被使用,因为它爆出了好多漏洞。任何人都知道。Jenkins同样是这个原因,肯定不会被使用。
tomcat,Spring,Jboss都有很大的可能,而且jboss不会和SPring同时使用。因为这篇文章讲的是挖漏洞,不是上java课,所以这里就不详细说明了。

为了让测试过程变得简单,我制作了一个基于Spring的fuzz列表。任何人都知道这些目录:

actuator, auditevents, autoconfig, beans, configprops, dump, env, flyway, health, info, loggers, liquibase, metrics, mappings, shutdown , trace.

但是这里有一个问题,这些目录因为禁止访问都返回403,不能直接访问。所以我很自然的尝试了一下:”../../../../../目录名”,此时返回了tomcat错误页面。然后我尝试访问admin目录,一个不同出现了。当我输入”/admin/目录”服务器发生了什么?也许一些XML文件只禁止了admin目录访问,而没有禁止admin目录下的文件夹访问。

值得庆幸的是admin目录下可以进行模糊测试。在我测试过程中,最重要的一个目录是/admin/trace。这一目录会产生所有进行登录的管理员的cookie。如果能够到了这一目录,那么整个测试就可以说已经结束了,因为我们可以产生管理员的cookie,进而登录后台。在cookie中最重要的三个为:”IDP_J_COOKIE”、“ids”以及“idsr”。当然还有像“XSRF_COOKIE”这样的其他cookie,但是他们在代码中并没有正确的实现。我现在将这些cookie在浏览器中修改,然后刷新浏览器,就可以得到*.accounts.ondemand.com网站管理员的权限。攻击的图片因为有被攻击网站的ip,所以我进行了一些处理,但是攻击的确已经完成了。大概只需要四分钟左右,通过火狐插件Cookie Manager进行cookie修改,你就可以得到SAP云服务的管理权限。

我将这个漏洞报告给了SAP,他们立即将这个漏洞进行了修补。但是/admin/health这一目录还处于开启的状态(你可以通过搜索然后进行测试),不过不会造成任何危害。health目录会返回一个表示服务器状态的Json。这也许是为了方便写程序批量检测服务器状态。当然其它的目录都可以进行适当的防护措施,进而继续使用。

个人认为,SAP很赞,尽管他们的工作量巨大,但是他们在很短的时间对漏洞进行了修复。而且我认为如果SAP参与了漏洞奖励计划,他们程序的安全性会得到很大的改进。

还有很重要的一点,请阅读下方的漏洞挖掘指南:
https://wiki.scn.sap.com/wiki/display/Security/Disclosure+Guidelines+for+SAP+Security+Advisories

这一漏洞已经由SAP全部进行了修复。下面附上攻击成功的截图:

这张图片展示了访问/admin/trace所获得的信息,以及cookie是如何找到的。客户相关的信息已经经过了打码处理。

上图是管理员界面

上图是实际的账户内容。

原文发布时间为:2017年5月22日

本文作者:xnianq

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-09-17 04:39:47

利用SAP 0day,四分钟内黑掉华尔街的相关文章

60秒内黑掉你的iPhone 宋程昱ISC大会现场破解

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 给iPhone充电,输入的可能不止是电能,还可能是恶意程序.在23日召开的中国互联网安全大会(isc)的移动安全论坛上,美国佐治亚理工学院的安全专家宋程昱现场解析,如何用一台"恶意充电器"在60秒内黑掉iPhone.当然,他也同时针对这种入侵手法提出了有效的应对措施. 宋程昱介绍,这款恶意充电器名为"Mactan

十秒内黑掉Facebook主页?这个漏洞竟然价值1.6万美金

如何黑掉你的Facebook?这位来自印度的安全研究专家表示有话要说.根据国外媒体的最新报道,一位名叫ArunSureshkumar的印度安全专家在Facebook的"企业管理平台"(BusinessManager)中发现了一个严重的漏洞,攻击者可以利用该漏洞来攻击任何人的Facebook主页. Facebook的企业管理平台(BusinessManager)是什么? "企业管理平台"可以帮助企业.广告代理商.或行销人员在统一界面下集中管理企业旗下的Facebook

十秒内黑掉Fitbit智能手环(附视频)

Fitbit是一款可以记录你锻炼和运动量的手环设备,很受人们欢迎.但新的研究表明,Fitbit设备抵御不了一个简单的恶意攻击.更重要的是,恶意程序可以在用户不知情的情况下发送到Fitbit设备上同时恶意程序可以感染同步数据采集的计算机上. 短时间内便可上传恶意程序 Fortinet公司的研究人员Axelle Apvrille发现了这种攻击行为,并写了关于这方面的报告. 最初的攻击行为发生在蓝牙,完成时间只需要10秒.黑客只需要在接近目标的发送恶意程序,然后等待目标连接到他或她的Fitbit设备到

手把手丨输验证码输到崩溃?教你15分钟黑掉全球最流行的验证码插件

验证码这种东西真的是反人类.虽然它在保证账号安全.反作弊以及反广告有着至关重要的作用,但对于普通用户来说,输验证码很多时候实在是让人抓狂. 文摘菌18岁的时候帮朋友刷QQ空间留言就天天和验证码作斗争,前几天传一个视频又创下了连续7次输错验证码的记录.不过好在文摘菌最近发现,用机器学习破解简单验证码已经是妥妥的小事了. 今天,文摘菌就带来了一个15分钟黑掉世界上最受欢迎的验证码插件的小教程.欢迎开启新年第一黑. 先给大家介绍一下今天我们要黑的验证码插件.在Wordpress官网的插件注册页面(ht

“特斯拉破解第一人”又造出“万能车破解器”:黑掉一辆车有多简单?

   在 SyScan 360 的上海会场上,破解特斯拉的第一人,360 车联网安全中心工程师刘健皓开玩笑说,在北京吃了三年烤鸭后(之前的 Syscan 360 在北京举办),终于可以来黄浦江的游艇上喝啤酒了. 看上去,一切都很土豪.轻松.有趣对吧?事实上,他下面要解密的事情会让你竖起汗毛--正儿八经买的一辆新车,可以轻而易举地被他开走?! 其实,在11月,刘健皓就展示了这一酷炫的技术.那是一个天空都飘着几个字:"不要惹黑客"的一天,360 公司大楼下列阵了二十几台豪车,利用神秘的技术

他们在美国万千黑客面前又黑掉了一次特斯拉

  2016年9月,特斯拉首席执行官埃隆·马斯克亲自写信向提交特斯拉致命漏洞的腾讯安全联合实验室科恩实验室表示了感谢. 科恩实验室接过了这封满载荣誉的信,在约一年后的现在,又一次黑掉了特斯拉. 这一次,还是在 Black Hat 这种酷炫狂拽吊炸天的黑客大会上,一堆打了鸡血.黑天黑地黑世界的黑客面前. 根据腾讯科恩实验室的官方博客,科恩实验室在 2017 年再次发现多个高危安全漏洞并实现了对特斯拉的无物理接触远程攻击,能够在驻车模式和行驶模式下对特斯拉进行任意远程操控. 也就是说,这次利用的漏洞

都说打印机不安全,那究竟有多少种黑掉它的姿势呢?

本文讲的是都说打印机不安全,那究竟有多少种黑掉它的姿势呢?,在办公室里,最容易被黑掉的设备是什么呢? 电脑?手机?路由? 不不不,都不是.现在想黑掉这些设备,需要等待机会,比如有一枚特别好使的漏洞(像最近 Windows上的永恒之蓝漏洞). 有个设备不在关注视线内,但比上面的设备都容易黑多了,那就是打印机. 现代打印机大多具备联网功能,使用安全特性极少的嵌入式系统,内核老旧固件更新很麻烦,是天然的攻击载体. 过去国内外已经出现过多起案例,比如有黑客通过内部打印机入侵银行.运营商网络,进去盗窃.为

纯干货!阿里安全谢君:如何黑掉无人机

无人机曾一度用来基础的地面侦查或是快餐店送披萨,应用场景越来越丰富.所以,无人机也被众多黑客盯上,他们热衷于找寻相关漏洞劫持无人机.而最近,在看雪安全开发者峰会上,阿里安全 IoT 安全研究团队 Leader 谢君发表了"如何黑掉无人机"这一议题演讲,内容却另辟蹊径讲到如何不利用漏洞 root 无人机.以下为谢君演讲实录, 谢君:我分享的议题是如何黑掉某品牌无人机.我在研究过程中从物理接触和非物理接触两个方面对整个无人机进行系统化的学习,今天我将分享研究过程中的一些收获以及学到的东西.

阿里安全资深专家谢君:如何黑掉无人机

2017年11月18日,看雪安全开发者峰会在北京举行.阿里安全资深专家谢君做了题为<如何黑掉无人机>的演讲,并现场演示如何远程劫持一台无人机,引发现场热烈的掌声. 以下为谢君的现场演讲内容. 如何黑掉无人机 今天我分享的议题是如何黑掉某品牌的无人机.我在研究无人机的过程中从物理接触和非物理接触两个方面对整个无人机进行系统化的研究,研究的过程中其实也是一个学习的过程,所以今天我想跟大家分享一下我在这个研究过程中的一些收获和所学到的一些东西. 自我介绍一下,我现在是在阿里安全负责IoT安全攻防研究