看我如何黑掉PayPal：從任意文件上傳到遠程代碼執行

漏洞發現過程

在上一篇文章中，我描述了我是如何破解OSCP證書的，破解起來非常困難，大概花了我四個多月的時間，但是我如果我不去挖漏洞的話，意味著我就沒有零用錢了。

正常人的周末充滿了飲料，派對，樂趣等等。或者看權力的遊戲 ？

像我這樣的人，在周末的時候，會看一些博客或者YouTube視頻。我打了Burp（關閉了攔截器）並訪問了PayPal的漏洞獎勵計劃頁面，於是我發現了如下圖所示的內容：

上圖顯示的是我訪問http://paypal.com/bugbounty/返回的響應信息，仔細分查看"Content-Security Policy"中包含有一串PayPal的域名。其中一個域名是https://*.paypalcorp.com，而這個域名吸引了我的注意。因為我在挖漏洞時喜歡找出目標站儘可能多的子域名，因為這些子域名站點中很可能會存在一些被管理人員所忽略的安全問題。

你可以使用Subbrute、Knockpy、enumall等來尋找子域名，這些是我通常使用的工具，但是這個周末我比較懶，我使用VirusTotal來獲取子域名的列表。

https://www.virustotal.com/en/domain/paypalcorp.com/information/

將子域名複製到本地，並運行「dig -f paypal + noall + answer」來檢查所有子域名實際上指向的方式：

其中有一個子域名為"brandpermission.paypalcorp.com" ，它指向的是站點 https://www.paypal-brandcentral.com/。該網站實際上是PayPal供應商，提供給廠商、供應商以及合作夥伴的一個ticket在線支持系統，他們可以在這個網站上申請與PalPal合作，然後上傳自己品牌的Logo、圖片或其他一些相關資料

任何一個漏洞獵人看到網站的文件上傳功能之後反應都是下圖的樣子。

我首先通過上傳一個名為「finished.jpg」的簡單圖像文件，上傳之後命名為「finished__thumb.jpg」，存儲在

content/helpdesk/368/867/finishedthumb.jpg目錄。

「finishedthumb.jpg」在在"/867/"目錄中新創建的文件。我快速查看實際文件(原始文件)上傳文件是否存在此目錄。幸運的是，「finished.jpg」也在這個目錄中。

我進一步研究了Web應用程序的對文件上傳處理的工作流程，以及上傳文件的文件及文件夾的命名規則進行了深入分析，並了解上述鏈接中的「368」目錄實際上是我們創建的機票號碼「 867「是文件夾的id。

了解了工作遠離後，我又用同樣的方法創建了另一份ticket，我發現系統用按順序遞增的方式創建了ticket ID和文件ID。但此次上傳是一個「.php」擴展文件，其中有一個簡單執行命令的功能。

這次返回的響應碼為302（200=成功），根據Web應用的響應來看，這意味著伺服器端沒有對上傳的文件類型和文件內容進行驗證。

接下來我們如何做？

由於我的ticket ID為"/366/"，現在我們知道我們的文件已上傳的目錄是什麼，但實際上我們不知道存儲文件的文件夾id是什麼？（因為我們無法看到php文件的位置，就像我們能夠通過源代碼視圖看到一個圖像文件）。

但是，我們知道文件名是「success.php」（因為我們之前驗證過，「example.jpg」被存儲在存儲「example_thumb.jpg」的同一個目錄中），我們也知道最近的文件夾ID文件是通過上傳一個簡單的圖像存儲。因此，由於我知道的最近的文件ID是「867」，我們的POC php命令執行代碼的ticket號是「/366/」

那麼為什麼我們不爆破文件夾ID呢？

所以我很快對https://www.paypal-brandcentral.com/content/_helpdesk/366/$(爆破500-1000)$/success.php進行暴力破解攻擊（文件ID從500-1000）：

最終文件夾ID為"865"的請求返回了200響應碼。

我當時感覺如下圖。

酷！讓我們嘗試執行代碼，用ticket ID和剛才獲取到的文件ID。

我自己覺得我實際上找到了一個RCE;）

伺服器實際上也有一個PayPal員工的登錄頁面。

負責任披露時間

2017年7月8日18:03：提交漏洞

2017年7月11日18:03：修復成功

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！