首页
社区
课程
招聘
如何利用雅虎域名来下载恶意文件
发表于: 2016-3-30 13:53 2062

如何利用雅虎域名来下载恶意文件

2016-3-30 13:53
2062
新闻链接:http://bobao.360.cn/news/detail/2883.html
新闻时间:2016-03-28
新闻正文:
大家好!很感谢大家能够抽出宝贵的时间来阅读这篇文章。

本文简介

在此之前,我曾发现了一个非常奇怪的漏洞,这个漏洞也成功引起了我的注意。今天,我将会在这篇文章中跟大家分享一些关于这个漏洞的信息。目前,这个漏洞还没有名字,而且也没有新闻对其进行过报道。也许大家只是觉得这个漏洞无关紧要吧!

我之所以要发表这篇文章,就是为了告诉大家,有的时候你只需要稍微改变一下自己思考方式,换一个角度来看待某些东西,你就会发现其中存在的问题。

漏洞的概念验证实例:

一开始的时候,我只是想要找到一个RFD漏洞。虽然我没有找到,但是我却发现了另一个非常关键的安全漏洞。

当时,我正在对雅虎公司的一个专门提供赛车比赛的子域名网站(fantasysports)进行分析。在这个网站中,技术人员加入了一种能够提前预览部分比赛视频的功能。当我对这个功能进行安全分析时我才发现,当终端用户正在预览比赛视频或者信息时,用户的计算机中将会出现一个.pdf文件。而这个文件也引起了我的注意。

于是,我开始对这个文件进行分析和研究。在我进行分析的过程中,我的脑海里突然萌生了一个我认为非常有趣的想法,我是不是能够在雅虎域名中调用或下载远程文件呢?

那么问题来了:我该怎么做呢?

http://p9.qhimg.com/t01826a48b055ada878.png

答案很简单。

Preview_1.pdf文件的URL地址如下:

http://racing.fantasysports.yahoo.com/auto/fanballguidepdf/Preview_1.pdf?file=preview&race=1

现在,我就可以利用远程文件的URL地址来调用或下载雅虎域名中的文件了。那么关键的地方来了,这也就意味着,我可以直接将雅虎域名中的Preview_1.pdf文件替换成其他的恶意文件了。

比如说,我可以利用http://www.7-zip.org/a/7z1506.exe中的恶意文件替换Preview_1.pdf。因此,我就可以直接利用7.zip来对这个.exe恶意文件进行压缩,并上传了。(但是请注意,根据雅虎公司的网络安全策略,你应该尽量降低这种恶意操作给终端用户所带来的影响)

所以,我最终的恶意Payload如下:

http://racing.fantasysports.yahoo.com/auto/fanballguidepdf/http://www.7-zip.org/a/7z1506.exe?file=preview&race=5

当我按下回车键时,奇迹就这样发生了!

http://p4.qhimg.com/t0168d95f6728b54dee.png

现在,我就可以从雅虎域名中下载或调用其他域名中的远程文件了。

问题的关键到底在哪?

由于雅虎网站的文件调用机制,雅虎会在其子域名中利用类似“URL+任意文件”的形式来远程调用服务器中的文件,这也就使得这个问题变得更加的严重了。攻击者可以将这个URL地址发送给目标用户,如果用户点击了这个URL地址,那么用户的计算机将会受到攻击。

这个问题如何修复呢?

1)         禁用“预览”功能。

2)         存在设计缺陷的URL地址将会产生如下图所示的错误提示。

http://p8.qhimg.com/t013aea2804276c9d40.png

概念验证视频:

视频地址:https://youtu.be/BAWMgDnwgdI

在我将这个漏洞报告给雅虎公司的安全团队之后,该团队的安全研究人员告诉我这就是一个RFD漏洞。于是我便向他们发送了一封电子邮件,并在邮件中跟他们解释了RFD漏洞与我所发现的这个漏洞之间的区别在哪里。

在此,我要感谢@dsopas,他很清楚我所要表达的意思。

他们给我的回复信息如下图所示:

http://p6.qhimg.com/t01e0847316db1f231e.png

他们解释称,这个漏洞实际上是一个Open Redirect漏洞。于是,我又写了一封电子邮件来向他们解释Open Redirect漏洞与我所发现的这个漏洞之间的区别是什么。

最后,他们同意了我的观点,他们也承认了这个漏洞既不是RFD漏洞,也不是Open Redirect漏洞,而是一种新型的攻击漏洞。

http://p0.qhimg.com/t018c267a45b3d573c8.png

随后,雅虎公司的安全团队也给我提供了一定的奖励。

http://p0.qhimg.com/t01cc55a6cec12751c7.png

事件时间轴:

2015年08月31日:我将这个漏洞提交给了雅虎公司的安全团队。

2015年09月01日:首次收到了雅虎安全团队的漏洞反馈信息。

2016年02月02日:雅虎安全团队修复了这个漏洞,并让我等待关于漏洞奖励的通知。

2016年02月22日:雅虎安全团队告诉我这是一个RFD漏洞。

2016年02月22日:我向他们解释了RFD漏洞与我所发现的漏洞之间的区别。

2016年03月08日:雅虎安全团队证实这个漏洞并非RFD漏洞,并回复我这是一个Open Redirect漏洞。

2016年03月08日:我向他们解释了Open Redirect漏洞与我所发现的漏洞之间的区别。

2016年03月11日:雅虎安全公司发布了漏洞公告。

2016年03月27日:对漏洞信息进行了公布

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://shield4you.blogspot.sg/2016/03/how-i-able-to-download-any-malicious.html

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//