挖洞經驗 | 看我如何利用上傳漏洞在PayPal伺服器上實現RCE執行

當你看到這篇文章標題時，是不是很吃驚，PayPal伺服器的RCE漏洞？Dafaq？WTF？真的嗎？這當然是真的，很幸運，我通過枚舉和域名查找方法發現了該漏洞。

從頭說起

最近，我通過4個月夜以繼日的學習努力，突破重重考驗，終於獲得了OSCP滲透測試認證。這麼長時間的花費，以至於我根本沒時間參與一些漏洞眾測項目。所以，接下來打算挖挖漏洞賺點零花錢。

正常人的周末是這樣的：聚會、喝酒、玩樂、視頻聊天等等，或者，走，去看《蜘蛛俠:英雄歸來》！在家追劇《權力的遊戲》…..

我的周末則是這樣的：忙！

上傳漏洞發現

某個周末，我和往常一樣在博客和Youtube上研究技術，碰到了關於PayPal漏洞的一些writeup，於是，打算在PayPal的漏洞賞金項目中查點資料。在Burp攔截器關閉狀態下，我訪問了PayPal漏洞賞金項目主頁，發現了一些東西，如下：

打開主頁後，在Burp中可以得到以上響應信息，仔細觀察，其響應頭的內容安全策略（CSP）保護中包了多個PayPal域名，其中  「

https://*.paypalcorp.com

「 讓我很感興趣。在漏洞挖掘中，一般來說，儘可能多的去發現一些有效子域名非常有用，因這這些子域名的安全最容易被忽視。

大家可以使用Subbrute、Knockpy、enumall等多種域名枚舉工具，在這裡我使用了 VirusTotal的子域名枚舉功能，對PalPal域名進行了枚舉，具體如下：

https://www.virustotal.com/en/domain/paypalcorp.com/information/

之後，複製枚舉出來的子域名，利用命令」dig -f paypal +noall +answer」 進行域名指向分析：

其中一個域名 brandpermission.paypalcorp.com 的實際指向網站為 

https://www.paypal-brandcentral.com/

，該網站是PayPal的一個支持工單系統，通過該系統，賣主、供應商和合作方可以申請PayPal品牌授權並上傳商品的Logo圖片。

上傳！每個挖洞人看到上傳後的反應都是非常激動的：

好吧，上傳試試！我上傳了一副名為」finished.jpg」 的圖片，後被系統以 「finished__thumb.jpg」為名存儲在以下目錄中：

「/content/helpdesk/368/867/finished__thumb.jpg」

可以看到， finished__thumb.jpg是上傳後被在目錄867下重新轉儲的圖片文件，於是，我想看看在該目錄下是否還存有我們原來上傳的」finished.jpg」圖片，太幸運了，」finished.jpg」竟然還在867目錄下，LUCKY！（請看後續分解）

經過對該系統實際工作流程和文件目錄命令約定等情況進行了解後，知道上述鏈接中的」386」是我們上傳時分配的工單號，」867」則是與此工單號相關的商品文件存儲目錄。

接著，我又以相同的方式創建了另一個上傳工單，只不過這次我把其中的圖片文件換成了一個」

success.php

「文件，該php文件中包含了以下命令執行腳本：

執行後，竟然出現了重定向302響應（這也說明會發生訪問成功的200 ok啦），當然也就意味著該系統肯定沒對上傳文件類型和內容作出驗證。哦，有點意思！

深入挖掘實現RCE

當php文件上傳出現302響應時，我第一反應是複製圖片上傳後產生的路徑來進行對比執行，但是，在這裡我們只能看到工單目錄，無法得知存儲目錄。在這裡得到的工單號目錄為/366/，由於不知道存儲目錄，所以具體的php文件也無人知曉。

但是，從前述的JPG上傳過程中，我們知道系統在把上傳文件轉儲後還會仍然在同一個目錄下保存原文件。所以，我們後續上傳的success.php原文件仍然存在於系統的存儲目錄下。（LUCKY之處）

仔細觀察工單目錄和存儲目錄後，由於我們php文件的上傳工單號為366，所以在此，我們可以嘗試對存儲目錄進行暴力猜解，就先定個500-1000的目錄號吧：

https://www.paypal-brandcentral.com/content/_helpdesk/366//success.php

BurpSuite拉出來跑一遍，哇，不出所料，返回了一個200響應的865目錄id:

此時我的心情是這樣的：

有了工單目錄、存儲目錄和可執行的php文件，還有什麼是不可能的呢？！來個RCE試試：

https://www.paypal-brandcentral.com/content/_helpdesk/366/865/success.php?cmd=uname-a;whoami

再來個cat+/etc/passwd，哇….：

後經發現，該系統竟然還包括PayPal的一個員工登錄界面，漏洞危害可想而知！

漏洞報送

2017年7月8日 18:03 - 漏洞提交

2017年7月11日 18:03 - 漏洞修復

我還以上述方式在其它網站中發現了同樣的漏洞，敬請關注我下周的博客更新。

*參考來源：pentestbegins，freebuf小編clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: