新闻链接:
ce8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2j5X3q4G2i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6F1k6i4N6K6i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3x3U0R3^5x3#2)9J5k6h3S2@1L8h3H3`.
新闻时间:2016-03-28
新闻正文:
大家好!很感谢大家能够抽出宝贵的时间来阅读这篇文章。
本文简介
在此之前,我曾发现了一个非常奇怪的漏洞,这个漏洞也成功引起了我的注意。今天,我将会在这篇文章中跟大家分享一些关于这个漏洞的信息。目前,这个漏洞还没有名字,而且也没有新闻对其进行过报道。也许大家只是觉得这个漏洞无关紧要吧!
我之所以要发表这篇文章,就是为了告诉大家,有的时候你只需要稍微改变一下自己思考方式,换一个角度来看待某些东西,你就会发现其中存在的问题。
漏洞的概念验证实例:
一开始的时候,我只是想要找到一个RFD漏洞。虽然我没有找到,但是我却发现了另一个非常关键的安全漏洞。
当时,我正在对雅虎公司的一个专门提供赛车比赛的子域名网站(fantasysports)进行分析。在这个网站中,技术人员加入了一种能够提前预览部分比赛视频的功能。当我对这个功能进行安全分析时我才发现,当终端用户正在预览比赛视频或者信息时,用户的计算机中将会出现一个.pdf文件。而这个文件也引起了我的注意。
于是,我开始对这个文件进行分析和研究。在我进行分析的过程中,我的脑海里突然萌生了一个我认为非常有趣的想法,我是不是能够在雅虎域名中调用或下载远程文件呢?
那么问题来了:我该怎么做呢?
ff3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9&6i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5^5x3U0k6S2y4o6S2T1x3o6f1#2j5h3c8S2z5o6M7^5i4K6u0W2M7r3&6Y4
答案很简单。
Preview_1.pdf文件的URL地址如下:
4e0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2j5$3W2F1k6#2)9J5k6h3k6S2L8Y4c8S2M7%4W2K6M7r3!0J5N6s2y4Q4x3X3g2&6j5h3S2G2L8#2)9J5k6h3y4G2L8g2)9J5c8X3q4#2N6r3!0Q4x3V1k6X3j5h3&6T1j5h3I4D9k6%4g2A6k6r3g2H3k6r3k6Q4x3V1k6b7M7X3g2$3K9h3g2%4i4K6g2X3x3g2)9J5k6i4m8V1k6W2)9K6c8X3k6A6L8r3g2Q4x3@1c8H3M7X3g2$3K9h3g2%4i4K6t1$3M7X3q4U0k6g2)9K6c8o6p5`.
现在,我就可以利用远程文件的URL地址来调用或下载雅虎域名中的文件了。那么关键的地方来了,这也就意味着,我可以直接将雅虎域名中的Preview_1.pdf文件替换成其他的恶意文件了。
比如说,我可以利用
e91K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0N6Q4x3X3c8*7K9i4m8Q4x3X3g2G2M7X3N6Q4x3V1k6S2i4K6u0r3y4%4Z5I4y4e0l9$3i4K6u0W2k6i4S2W2i4@1f1@1i4@1t1^5i4@1q4p5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1$3i4K6W2n7i4@1u0r3i4@1f1$3i4K6S2p5i4@1p5J5f1s2u0W2N6X3W2W2N6#2)9#2k6U0q4Q4x3X3g2H3k6r3k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4z5f1u0Q4b7e0m8Q4c8e0k6Q4b7f1c8Q4b7e0c8Q4x3V1y4Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0N6Q4z5f1u0Q4b7U0c8Q4c8e0k6Q4z5p5g2Q4b7e0g2Q4c8e0g2Q4z5o6S2Q4b7e0W2Q4c8e0N6Q4z5e0c8Q4b7e0R3%4i4K6u0W2P5X3W2H3i4@1f1$3i4K6W2p5i4@1p5#2i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4K6u0W2k6i4S2W2i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1^5i4@1p5I4i4K6S2o6i4@1f1#2i4K6S2q4i4K6S2n7i4@1f1%4i4@1u0o6i4@1p5&6i4K6u0o6i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1@1i4@1t1^5i4K6S2m8i4@1f1@1i4@1u0o6i4@1p5H3i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1K6i4K6R3H3i4K6R3J5i4K6t1^5i4@1f1@1i4@1u0p5i4K6R3$3i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1^5i4@1q4r3i4@1t1%4i4@1f1$3i4@1t1K6i4@1p5^5i4@1f1$3i4K6R3@1i4K6S2r3i4K6u0o6i4@1f1$3i4@1p5H3i4@1t1&6i4@1f1$3i4K6S2p5i4@1q4q4i4@1f1&6i4K6W2n7i4K6R3#2i4@1f1^5i4K6V1&6i4K6S2q4i4@1f1#2i4K6R3#2i4@1q4o6i4@1f1#2i4K6S2r3i4@1t1^5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1u0n7i4K6W2o6i4@1f1#2i4@1q4q4i4K6R3&6i4@1f1#2i4K6R3#2i4@1p5^5i4@1f1%4i4@1q4p5i4K6V1$3i4@1f1%4i4K6V1#2i4@1p5#2i4K6u0o6i4@1f1@1i4@1u0p5i4@1p5H3i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1#2i4@1t1H3i4@1u0p5i4@1f1&6i4K6R3%4i4K6S2r3i4@1f1&6i4K6V1&6i4K6S2p5i4@1f1@1i4@1u0p5i4K6S2q4i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1%4i4@1p5%4i4K6S2p5i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1$3i4K6V1K6i4K6S2p5i4@1f1@1i4@1u0p5i4K6W2o6i4@1f1%4i4@1u0n7i4K6V1&6i4@1f1%4i4@1u0n7i4K6R3^5i4@1f1%4i4@1q4n7i4@1q4r3i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1$3i4K6R3^5i4@1t1%4i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1#2i4@1t1^5i4@1p5$3i4@1f1$3i4K6W2p5i4@1p5#2i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1#2i4@1u0p5i4@1t1I4i4@1f1#2i4K6V1K6i4K6S2p5i4K6t1&6
所以,我最终的恶意Payload如下:
205K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2j5$3W2F1k6#2)9J5k6h3k6S2L8Y4c8S2M7%4W2K6M7r3!0J5N6s2y4Q4x3X3g2&6j5h3S2G2L8#2)9J5k6h3y4G2L8g2)9J5c8X3q4#2N6r3!0Q4x3V1k6X3j5h3&6T1j5h3I4D9k6%4g2A6k6r3g2H3k6r3k6Q4x3V1k6Z5N6s2c8H3i4K6y4m8i4K6u0r3i4K6u0r3N6%4N6%4i4K6u0W2y4#2)9J5k6s2A6A6M7q4)9J5k6h3!0J5k6#2)9J5c8X3q4Q4x3V1j5%4P5U0p5#2x3o6k6Q4x3X3g2W2P5r3g2Q4x3@1k6X3K9h3I4W2i4K6y4p5M7s2u0W2N6X3W2W2N6#2)9J5y4Y4u0S2j5$3g2Q4x3@1b7#2
当我按下回车键时,奇迹就这样发生了!
554K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9@1i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5$3z5r3b7&6y4h3j5$3y4K6t1^5j5U0f1@1k6r3g2W2i4K6u0W2M7r3&6Y4
现在,我就可以从雅虎域名中下载或调用其他域名中的远程文件了。
问题的关键到底在哪?
由于雅虎网站的文件调用机制,雅虎会在其子域名中利用类似“URL+任意文件”的形式来远程调用服务器中的文件,这也就使得这个问题变得更加的严重了。攻击者可以将这个URL地址发送给目标用户,如果用户点击了这个URL地址,那么用户的计算机将会受到攻击。
这个问题如何修复呢?
1) 禁用“预览”功能。
2) 存在设计缺陷的URL地址将会产生如下图所示的错误提示。
2d2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9^5i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5K6j5h3g2S2x3U0R3H3y4o6t1%4y4X3x3&6k6o6b7H3i4K6u0W2M7r3&6Y4
概念验证视频:
视频地址:
78eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6&6L8%4g2@1N6g2)9J5k6h3u0W2i4K6u0r3b7V1q4i4e0h3N6p5L8Y4N6Y4k6p5V1`.
在我将这个漏洞报告给雅虎公司的安全团队之后,该团队的安全研究人员告诉我这就是一个RFD漏洞。于是我便向他们发送了一封电子邮件,并在邮件中跟他们解释了RFD漏洞与我所发现的这个漏洞之间的区别在哪里。
在此,我要感谢@dsopas,他很清楚我所要表达的意思。
他们给我的回复信息如下图所示:
54bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9$3i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6q4W2x3o6R3@1y4K6x3I4y4X3c8T1x3h3j5J5x3K6q4W2i4K6u0W2M7r3&6Y4
他们解释称,这个漏洞实际上是一个Open Redirect漏洞。于是,我又写了一封电子邮件来向他们解释Open Redirect漏洞与我所发现的这个漏洞之间的区别是什么。
最后,他们同意了我的观点,他们也承认了这个漏洞既不是RFD漏洞,也不是Open Redirect漏洞,而是一种新型的攻击漏洞。
b15K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9H3i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5^5j5K6t1$3y4$3p5@1y4h3t1K6k6o6f1%4x3$3x3^5i4K6u0W2M7r3&6Y4
随后,雅虎公司的安全团队也给我提供了一定的奖励。
40dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9H3i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6q4U0j5K6f1#2j5e0k6U0k6h3x3I4x3U0M7#2x3h3x3%4i4K6u0W2M7r3&6Y4
事件时间轴:
2015年08月31日:我将这个漏洞提交给了雅虎公司的安全团队。
2015年09月01日:首次收到了雅虎安全团队的漏洞反馈信息。
2016年02月02日:雅虎安全团队修复了这个漏洞,并让我等待关于漏洞奖励的通知。
2016年02月22日:雅虎安全团队告诉我这是一个RFD漏洞。
2016年02月22日:我向他们解释了RFD漏洞与我所发现的漏洞之间的区别。
2016年03月08日:雅虎安全团队证实这个漏洞并非RFD漏洞,并回复我这是一个Open Redirect漏洞。
2016年03月08日:我向他们解释了Open Redirect漏洞与我所发现的漏洞之间的区别。
2016年03月11日:雅虎安全公司发布了漏洞公告。
2016年03月27日:对漏洞信息进行了公布
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:
498K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4Z5K9h3g2D9k6o6c8&6L8%4g2Q4x3X3g2T1L8r3!0Y4M7%4m8G2N6q4)9J5k6i4y4Y4i4K6u0r3x3U0l9I4y4W2)9J5c8U0l9K6i4K6u0r3K9r3!0%4i4K6u0V1K9g2)9J5k6r3q4T1L8r3g2Q4x3X3c8@1L8#2)9J5k6r3c8G2N6$3&6D9L8$3q4V1i4K6u0V1j5h3&6&6i4K6u0V1L8h3q4D9K9h3y4A6L8%4g2K6i4K6u0W2K9s2c8E0L8l9`.`.
[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦!!!
