看我如何发现Uber合作方网站XXE 0day漏洞并获得9000美元赏金

简介:

俄罗斯渗透测试人员Vladimir Ivanov发现了反勒索数据备份服务商Code42的一个XXE 0day漏洞

近期,俄罗斯渗透测试人员Vladimir Ivanov发现了反勒索数据备份服务商Code42的一个XXE 0day漏洞,利用该漏洞可以从使用Code42服务的公司窃取相关备份数据,这些公司包括Uber、Adobe、Lockheed Martin(洛克希德马丁)等。作者在这篇文章中分享了该漏洞的发现过程。

Code 42,成立于2007年,最初以个人数据保护和备份软件起家,随后便逐渐拓展到了企业数据备份和反勒索服务领域。目前该公司在全球管理并保护着大量企业和组织机构数据,而且该公司所有的数据备份和存储解决方案都是跨平台的。

漏洞发现过程

2016年5月,我在参与HackerOne平台的Uber漏洞赏金项目过程中,偶然通过测试发现了以下这个HTTP应用管理页面,这是Uber与合作公司Code42的一个系统服务:

1.png

通过该页面的API接口https://backup.uberinternal.com:4285/api/serverEnv 分析发现,其部署使用了Code42最新版本(5.2.0)的服务框架,而且Code42的相关产品在CVE漏洞库中没有任何披露漏洞,想要发现安全问题,密码破解显然不是一个可行方案,唯一可行的选择就是,去发现该系统的未知漏洞。

接下来,我从Code42官网浏览了一些公开说明文档,从中寻找涉及的API接口的方法描述,然后构造自动化的暴力猜解方式去请求这些接口,尝试发现其中一些不需要身份验证的API。幸运的是,最终发现其中一个API存在问题,任何外部用户都可以对其作出有效的登录访问:https://www.crashplan.com/apidocviewer/#SsoAuthLoginResponse

2.png

在Code42公开文档中对/api/SsoAuthLoginResponse的描述是这样的:接收SAMLResponse的GET参数,其中SAMLResponse包含了base64编码的XML用户验证数据:

SAMLResponse包含了base64编码的XML用户验证数据

由此,我构造了一个指向我个人VPS的XML外部实体对该API接口进行测试,尽管测试中使用的XXE漏洞利用代码非常简单,但出于保密,在此就不做公开。从以下测试的端口监听信息可以看出,该服务系统存在XXE外带数据(Out-of-Band)攻击漏洞:(XXE-OOB漏洞详情参考Freebuf-《DTD/XXE 攻击笔记分享》、BlackHat 2013 《XXE-Out of Band Attack》)

3.jpg

由于系该统使用了java框架,而俄罗斯的OnSec实验室曾针对Java程序的XXE-OOB攻击,作出了相关研究,并给出相应的payload,和一个通过ftp服务读取系统目录的漏洞利用脚本xxe-ftp.rb,因此,我直接用xxe-ftp程序进行了验证。

xxe-ftp.rb原理是这样的,攻击者主机运行该脚本后,8088端口作为http服务端负责获取OOB攻击payload,而8077端口用于ftp连接服务:

xxe-ftp.rb原理

经验证,我成功获取到了系统服务器/home/目录下的列表,并向HackerOne平台作了漏洞报告,获取列表截图如下:

5.jpg

经Uber安全团队向Code42确认,这是一个0day漏洞,Uber安全团队要求我给出更多漏洞详细证明。在他们的许可下,我又作了进一步渗透测试,最终发现了备份日志的存储目录文件。以下是系统服务器本地最近的某一储存日志文件,其中包含了操作用户名和其它敏感信息:

系统服务器本地最近的某一储存日志文件

测试结果已经很能说明问题:只要运行有Code42周边服务或托管业务的公司,我都可以利用该漏洞获取到其备份系统网站内的所有备份文件。为了解该漏洞的现实威胁,我利用Code42服务端口4285在shodan上进行识别,发现了一些使用Code42相关服务的IP,其中还包括了一家全球知名的安全公司*&^#$#!:

7-1.jpg

漏洞披露进程

  • 2016.5.6 通过HackerOne向Uber提交最初漏洞报告;
  • 2016.5.23 Code42更新了软件,并释出了最新安全的5.2.0.1版本软件;
  • 2016.6.28 Uber向我发放了9000美元漏洞赏金;
  • 2016.8.24 Code42要求我待其所有客户公司部署完最新版软件后再发表该漏洞的分析文章;
  • 2017.1.24 Code42告知我可以发表文章。

作者:clouds
来源:51CTO

相关文章
|
存储 人工智能 安全
10月业务安全月报 | 美国将奇虎360和知道创宇列入黑名单;丰田泄露30万用户信息;苹果曝严重漏洞
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
270 0
10月业务安全月报 | 美国将奇虎360和知道创宇列入黑名单;丰田泄露30万用户信息;苹果曝严重漏洞
|
Web App开发 安全 Android开发
Google 公布 2021 漏洞奖励支出共 870 万美元
Google 公布 2021 漏洞奖励支出共 870 万美元
148 0
Google 公布 2021 漏洞奖励支出共 870 万美元
泄露公司源代码,造成116.4万损失,大疆前员工被判罚款20万、坐牢6个月
这次源代码的泄露对大疆造成了116.4万元人民币的经济损失。
462 0
|
安全
全球最大成人网站YouPorn推出漏洞悬赏计划:最高可获25000美元
本文讲的是全球最大成人网站YouPorn推出漏洞悬赏计划:最高可获25000美元,YouPorn,一个世界上访问量最大的成人网站之一,近日该网站决定与合作伙伴HackerOne联手启动一项漏洞悬赏计划,奖金最高可达25000美元。
17960 1
|
安全 测试技术
金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的“猫癣” 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼“猫癣”还是“犇牛”,被电脑用户们牢牢记住的都是名为usp10.dll的这个文件。 毒霸推出的“系统急救箱”在解决“猫癣”时发挥了很大的作用,好评不断,但在搜捕“猫癣”的过程中,金山毒霸反病毒工程师对病毒黑色产业链内幕的挖掘更加深入,这些内幕让人十分震惊。
1127 0
|
监控 安全
Tor也加入了漏洞奖励计划,悬赏4000美元挖漏洞
本文讲的是Tor也加入了漏洞奖励计划,悬赏4000美元挖漏洞,网络黑客猖狂的时代,很多组织除了利用自己的内部资源来完善产品外,还会发动群众(比如白帽子和技术达人)来从外部监控替自己解决问题(比如及时发现和处理潜在安全漏洞)。
1200 0
|
安全
火眼急眼 将披露其产品漏洞的公司告上法庭
本文讲的是火眼急眼 将披露其产品漏洞的公司告上法庭,这场两个安全公司之间的口水战显示出漏洞提交是一件非常敏感的事,尤其是流行软件产品的漏洞。
1183 0
|
安全 测试技术 数据安全/隐私保护