挖洞經驗 | 看我如何找到雅虎的遠程代碼執行漏洞並獲得5500刀獎金

我一直都認為與人分享是一種很好的特質，而且我也從漏洞獎勵領域中的多位安全研究專家身上學到了很多能夠讓我終身受用的東西，所以我決定在這篇文章中跟大家分享一些我近期的小發現，希望這些東西能夠幫助各位Freebuf的小夥伴早日開啟自己的漏洞獎勵之旅。

就在幾個月前，安全研究專家在Apache Struts2中發現了一個嚴重的安全漏洞CVE-2017-5638，可能有些同學已經聽說過這件事情。這是一個遠程代碼執行漏洞，當時互聯網中的大量Web應用都受到了這個漏洞的影響。大約三個星期之後，就有研究人員發布了Struts2的漏洞利用代碼。

在一次挖洞前的偵查過程中，我遇到了下面這條鏈接：

https://svdevems01.direct.gq1.yahoo.com/sm/login.jsp

這是雅虎所使用的一個登錄頁面。

我曾嘗試在這個頁面中尋找漏洞，但不幸的是我啥也沒找到，直到我發現了下面這個節點：

https://svdevems01.direct.gq1.yahoo.com/sm/login/loginpagecontentgrabber.do

註：如果你發現了某個節點地址中包含有.action、.do或.go的話，這就說明這個Web應用運行了Struts2。

正如我之前所說的，針對Struts2漏洞的漏洞利用代碼已經發布出來了，而且這個漏洞的利用過程也非常簡單。雖然我知道這裡存在漏洞，但現成的漏洞利用代碼在這裡並不能起作用，所以我感覺可能是Web應用防火牆在作怪，或者說某些東西屏蔽了我的攻擊。

由於我能夠確定這裡的確存在漏洞，所以我不可能停下來。但如果要提交一個有效漏洞的話，我必須要提供一個可行的PoC來證明這個漏洞是否有價值。在經過了一段時間的研究之後，我發現了一篇推文，這篇推文介紹了如何通過一個Payload繞過WAF並成功利用這個漏洞。

我所使用的檢測方法需要利用Content-Type HTTP header來發送一個經過特殊製作的數據包，header數據如下所示：

Content-Type:%{#context[『com.opensymphony.xwork2.dispatcher.HttpServletResponse』].addHeader(『X-Ack-Th3g3nt3lman-POC』,4*4)}.multipart/form-data

這個經過特殊構造的請求不僅可以讓Web伺服器計算兩個數相乘，而且還可以請求Web伺服器進行任何其他形式的運算。在上面這個例子中，請求計算的數值為4 * 4，伺服器端返回的結果為16，這也就意味著這台伺服器是存在安全漏洞的。

正如下圖所示，響應數據中將包含新的header，即X-Ack-Th3g3nt3lman-POC: 16

這些已經足夠我通過HackerOne向雅虎提交漏洞報告了，雅虎的技術人員在收到報告後的30分鐘內對漏洞進行了分級，然後及時將存在漏洞的應用下線以修復這個問題，幾天之後我便收到了雅虎給我提供的5500刀漏洞獎金。

其實挖洞並不難，只要你願意花時間，願意動腦思考，我相信幾千美刀的漏洞獎金大家還是可以輕鬆收入囊中的。最後，希望我的這些小發現可以給大家在挖洞的過程中帶來一些靈感。

* 參考來源：medium， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！