利用SAP 0day，四分鐘內黑掉華爾街

前一段時間，我一直想對下面一個問題做一個回答：

作為一個安全研究專家，在一個小時之內，我可能拿下多少台伺服器，這些伺服器能夠達到什麼質量？我可以攻破世界財富排行榜前500的企業伺服器嗎？

測試表明，只要使用Google、shodan以及masscan，我可以在一個小時之內拿下來10台伺服器。其中有6分鐘沒有進行攻擊，只是對痕迹進行擦除以及種植後門。測試過程中，腳本的工作量以及手動的工作量各佔一半，我感覺腳本無論如何都不能代替手動驗證。當然，這篇文章不是講述這些的。

在測試過程中，一個問題自然而然的出現在我的腦海中：

黑掉華爾街那些公司、銀行以及那些國際商業巨頭需要多長時間呢？

他們幾乎都使用了SAP，在之前對我一個客戶進行滲透測試時，發現了一個SAP的0day漏洞。這個時候我就意識到了一些大的公司都是使用的SAP。

例如：這篇安全人員致謝文章中，你可以在2016年10月份找到我的名字，而且過不了幾天你就可以在2017年五月這一擋中找到我的名字:)

比較諷刺的是，我不是一個熟知SAP的人。除了我以前梳理過的簡單10頁基礎教程，別的我對它一無所知。但是我同樣使用owasp top10中的方法找到了一個漏洞，所以我為什麼不再釣一個大魚呢？比如SAP的雲服務。

挖洞的第一步我採用Google搜索搜集一波信息：

這一搜索我就發現好多使用"SAP雲服務"、"SAPHANA版本"、"SAP HANA企業版本"的公司。我隨便載入了一個頁面，三秒中之內我發現了它前端使用的是ruby，後端使用的是java。既然這樣，我們就可以通過模糊測試找到它使用的是哪種框架來搭建的這一服務（Struts, Spring, Hibernate, Tomcat, Jboss, Jenkins, 等等）。

在事實上，我斷定struts一定不會被使用，因為它爆出了好多漏洞。任何人都知道。Jenkins同樣是這個原因，肯定不會被使用。

tomcat，Spring，Jboss都有很大的可能，而且jboss不會和SPring同時使用。因為這篇文章講的是挖漏洞，不是上java課，所以這裡就不詳細說明了。

為了讓測試過程變得簡單，我製作了一個基於Spring的fuzz列表。任何人都知道這些目錄：

actuator, auditevents, autoconfig, beans, configprops, dump, env, flyway, health, info, loggers, liquibase, metrics, mappings, shutdown ， trace.

但是這裡有一個問題，這些目錄因為禁止訪問都返回403，不能直接訪問。所以我很自然的嘗試了一下:」../../../../../目錄名」，此時返回了tomcat錯誤頁面。然後我嘗試訪問admin目錄，一個不同出現了。當我輸入」/admin/目錄」伺服器發生了什麼？也許一些XML文件只禁止了admin目錄訪問，而沒有禁止admin目錄下的文件夾訪問。

值得慶幸的是admin目錄下可以進行模糊測試。在我測試過程中，最重要的一個目錄是/admin/trace。這一目錄會產生所有進行登錄的管理員的cookie。如果能夠到了這一目錄，那麼整個測試就可以說已經結束了，因為我們可以產生管理員的cookie，進而登錄後台。在cookie中最重要的三個為:」IDP_J_COOKIE」、「ids」以及「idsr」。

我將這個漏洞報告給了SAP，他們立即將這個漏洞進行了修補。但是/admin/health這一目錄還處於開啟的狀態(你可以通過搜索然後進行測試),不過不會造成任何危害。health目錄會返回一個表示伺服器狀態的Json。這也許是為了方便寫程序批量檢測伺服器狀態。當然其它的目錄都可以進行適當的防護措施，進而繼續使用。

個人認為，SAP很贊，儘管他們的工作量巨大，但是他們在很短的時間對漏洞進行了修復。而且我認為如果SAP參與了漏洞獎勵計劃，他們程序的安全性會得到很大的改進。

還有很重要的一點,請閱讀下方的漏洞挖掘指南：

https://wiki.scn.sap.com/wiki/display/Security/Disclosure+Guidelines+for+SAP+Security+Advisories

這一漏洞已經由SAP全部進行了修復。下面附上攻擊成功的截圖：

這張圖片展示了訪問/admin/trace所獲得的信息，以及cookie是如何找到的。客戶相關的信息已經經過了打碼處理。

上圖是管理員界面

上圖是實際的賬戶內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！