快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

挖洞经验 | 看我怎么样发现苹果公司官网Apple.com的无制约文件上传漏洞

apple-bug-bounty-program-1.jpg

在前几篇文章中,我分享了亚马逊网站XSS漏洞以及Bol.com的开放重定向漏洞,今天我再以及人人聊聊不安全的服务器设置问题,很多时辰,服务器的错误设置将会导致一些列目录或无制约文件上传漏洞。就拿我前久遇到的一个安全测试为例吧,目标网站尽对算得上是牛轰轰的大牌公司,Apple.com,对,你没看错,是苹果公司,我就发现了其网站的一个无制约文件上传漏洞。

最后,黑客网,我也因此测试漏洞收获了苹果官方不菲的赏金,和漏洞名流堂的入榜致谢。好吧,我们一块儿来看看这个苹果官网的无制约文件上传漏洞。

目标踩点

先冲杯咖啡,然后启动子域名探测程序 Aquatone,Aquatone算是一个前期侦查利器了,它能通过开源信息以及字典方式最大范围地识别出目标网站存在的子域名站点。

02.png

Aquatone 具备四种不同命令执行功能:

1. Aquatone-discover: 从开源信息中查找目标网站相干的不同子域名或常见子域名;

2. Aquatone-scan: 针对Aquatone-discover效果中的不同子域名网站进行端口扫描;

3. Aquatone-gather: 为每一个子域名网站创建快照,并形成终极的一份HTML讲演。

4. Aquatone-takeover: 尝试查找由外部主机或服务托管的一些非活动的,也即目标网站已经废弃不在用的子域名。要是找到这么一个子域名,你可以通过重新续费注册再次接管它,完成间接挟制,上报以后坐等收赏金。这就有一批EdOverflow大牛以此种方式完成域名挟制的案例。

守候识别效果

通常来说,Aquatone的识别过程需要十多分钟的时间,扫描、探测、验证、讲演成型。终极,这里的Apple.com先后怕用了差不久不多半小时,最后对1万多台主机进行了扫描,生成了多达84份的HTML讲演。

03.jpeg

岂非我是第一个用Aquatone扫描Apple.com官网的人吗?当然不是。估计也怕没人当真看完这84份HTML讲演。那我们就从第50份讲演最先吧,来当真阐发一下最后的34份讲演。

寻觅异常

用了50多分钟的时间,我子细看了看这34份讲演,想尝试从中发现一些蛛丝马迹。正巧,在其中一份子域名网站讲演中发现了苹果公司使用了多个 AWS S3 云存储服务来托管文件,要是我们能获得其中一个这些S3存储桶(bucket)的走访权限,就能间接完成对其触及的 Apple.com 子域名网站挟制。

04.png要当真读完所有Aquatone 生成的84份HTML讲演可谓至关之无聊,那我们就采取点不同样的方式吧。所有HTML讲演中都包含了一个服务器发送过来的头信息,而且,S3存储桶也会发送个名为 X-Amz-Bucket-Region 的头新闻,那我们就来在讲演中尝试查找一下这个头新闻字段。

05.jpeg现在,我们就一一手动来关上这些触及 S3存储桶(bucket)的子域名试试,走访相应链接以后,几乎所有这些子域名网站都会返归一个拒尽走访(Access denied)的响应。06.png

测试目标

经过一遍手动走访以后,只有子域名网站 http://live-promotions.apple.com 响应的内容不同,其响应页面中包含了S3 bucket 的名称以及目录信息。

07.png现在,有了 S3 bucket 的名称以后,我们可以尝试来连接它试试看,详细  S3 bucket 连接要领可以参照这里 – aws。

我们需要装置 AWS 的命令行界面程序,然后根据上述响应页面中的 S3 bucket 名称进行遥程连接。

装置好命令行界面程序以后,知道 S3 bucket 名称,那我们尝试看看能否上传些器械到上面,就传个钓鱼页面上去试试看看解析情形:

aws s3 cp login.html s3://$bucketName –grants read=uri=http://acs.amazonaws.com/groups/global/AllUsers

OK,竟然可以,还能成功解析,GOD:

11111.png2222.png漏洞影响

可以往存在漏洞的 live-promotions.apple.com 网站上传一个钓鱼页面;

可以窃取用户的子域同享Cookie信息;

可以从 S3 bucket 中获取到一些敏感文件信息,其中包含有 xcode 项目相干的器械。

总结

现在,我们就对这个苹果公司的子域名网站有了完备了读写控制权了,配合上述谁人完善的能以假乱真的钓鱼页面,足可以完成针对苹果用户的暗码或Cookie信息窃取。对这个漏洞的解决要领,也就是要对  S3 bucket 进行严格的安全加固,详细可以参照AWS的走访控制策略。

漏洞上报进程

2018-6-19  发现并向苹果官方上报漏洞

2018-6-19  苹果官方确认漏洞

2018-6-19  苹果安全团队修复漏洞

2018-6-22  苹果将我列入漏洞致谢名流堂 当然我也获患了不菲赏金

*参考来源:medium,clouds 编译,

您可能还会对下面的文章感兴趣: