如何參加眾測項目發現美國國防部網站各類高危漏洞

美國國防部（DoD）於2016年11月21日首次與HackerOne合作，開展了「Hack the Pentagon」的漏洞眾測項目，這將允許安全研究人員通過背景審查在HackerOne平台發現並提交美國軍方網站漏洞。當該項目一開始，我就迫不及待地想報名參加，一方面是幫助DoD方面做些工作，另外也想藉此機會提高自己的安全技能。本文目的在於，探討一些類似漏洞眾測項目中容易被採用的各種獨特和通用型漏洞，同時也分享我參與該項目的一點經驗。目前，我在該項目排行榜中處於第8位，之後，我會陸續通過適當的總結描述方式公布我在該項目中提交的相關漏洞。

前期踩點

由於該項目涉及的目標範圍非常之大，.mil相關網站或美國防部使用IP都算測試範圍，一開始很難縮小範圍定位到一兩個網站或子域名進行漏洞挖掘，好在我們可以使用Google Dork搜索語法來進行細分簡化，利用這種方式，我們可以使用類似 site:..mil 或 site:.website.mil語法，來對一些包含文件或潛在漏洞終端的網站或子域名進行搜索枚舉。我們可以使用其中的操作符來指定我們想要搜索的結果，如指定某特定域名，或進一步縮小到文件擴展名、特定的URL字元串等。請求site:..mil中，使用site來指定想要搜索的大概網站，而..兩個通配符則可得到相關的子域名網站，這是一種很寬泛的枚舉方式；另一種語法（ site:*.website.mil）則是對特定網站和其後續子域名網站的枚舉。

以上兩種前期踩點技術可適用於大多漏洞眾測項目，另外還有一種方法是，通過閱讀網站中的JS文件來發現服務端、敏感信息、隱藏控制面板的URL鏈接等有用信息，這種方法工具如linkfinder可最大化地提高URL發現效率，後續我會寫一篇關於該工具的介紹文章。

漏洞發現

我發現的大部分漏洞主要是一些XSS之類的簡單漏洞，它們存在於登錄框、錯誤消息、Flash程序等，由於這些漏洞非常容易發現，在此也沒必要作出過多解釋，如Flash程序的xss漏洞涉及的flashmediaelement、video-js、jwplayer、plupload等，有很多公開的在線資料說明。我要著重說的是在該項目中發現的一些高危中危漏洞，這些漏洞如果換種思路來說，其實非常容易發現，甚至連一些眾測白帽新手都能發現。

Cold Fusion漏洞

首先，比如在國防部DoD網站系統中，採用了很多Cold Fusion類架構，由於Cold Fusion本身就存在很多漏洞，所以從這個點上就可發現很多高危漏洞。在此，我推薦《Cold Fusion滲透測試嚮導》一書，可以深入研究其中的相關漏洞報告和工作機制說明，這非常有助於此類漏洞挖掘。

另外，我還注意到，Cold Fusion類架構網站的SQL注入漏洞非常普遍且很容易發現，我就在DoD的一個網站中發現了兩個這種SQL注入漏洞，一個是這種樣式的：

http://website.com/news/news.cfm?newsItem=1

在newsltem=1值後加上撇號變為http://website.com/news/news.cfm?newsItem=1『之後，將會拋出一個SQL錯誤，於是我馬上使用基於時間的查詢語句，讓網站在響應之前暫停幾秒鐘的方式，來測試這個漏洞。只要你認真細心，這種漏洞非常容易發現。

Apache實例漏洞

也就是在這個網站上，我還發現了另外一個Apache的Solr實例，它就有點類似於Apache的Elasticsearch分散式搜索引擎，儘管最近Solr實例存在一個遠程代碼執行（RCE）漏洞，但很遺憾該網站的Solr實例不存在這種RCE漏洞，但這也為我提供了更多了解網站架構信息的渠道，由此，我繼續深入挖掘，最終發現了該Solr實例中某個功能函數的一個XSS漏洞。

此外，還能通過這個Pentest-Resources的Github資源庫來查找一些默認和有意思的網站文件，因此，我發現了大部份DoD網站都存在一些DotNetNuke（或者叫DNN）安全問題，這類DNN文件普遍存在於 /DNNCorp/ 或 /DesktopModules/目錄下。 我在該項目中提交被採納的一個中危漏洞就是DNN的一個已知的任意文件下載漏洞，存在該漏洞的服務端樣式是這種的：

http://xxx.xx.mil/desktopmodules/eventscalendar/downloaddoc.aspx?f=/file/test.doc

該漏洞只需在後面添加上具體的文件路徑，就能讓攻擊者下載網站中的任意文件。

Oracle應用漏洞

而且，你只要深入分析，也能發現DoD網站中採用了很多Oracle應用，而且這些Oracle應用大多都是過期版本，比如我發現DoD網站中大量使用了 Oracle的人力資源管理系統People Soft，實際上，People Soft本身就存在大把漏洞，ERPSoft等安全網站公布的漏洞分析信息中，甚至包含了一些漏洞測試的PoC代碼，直接可以拿來就用。一種簡單的方式就是可通過查看 /pspc/ 或 /psigw/目錄來檢查People Soft。總體來說，Oracle People Soft存在未授權XXE、SSRF和XSS這幾種漏洞，例如，可以用以下方式來利用SSRF漏洞：

首先，訪問網站：

http://website.com/IMServlet?Method=CONNECT

然後再訪問鏈接，來查看網站具體響應：

http://website.com/IMServlet?Method=GOOGLE_PRESENCE&im_to_user=abc&im_server_name=GOOGLE&im_server=Host:Port/

或者，你也可以把它指向你控制的網站，通過接收鏈接響應來判斷該終端是否正常，有時候，這會導致一些閱讀服務和敏感的內部實例信息泄露。

我發現的一些獨特漏洞

在此，我想把我參與該項目中發現並提交的一些，我個人認為比較優秀的漏洞在此作個分享，因為一方面這些漏洞比較獨特，另外從某種意義上來說，它們也存在一定程度的較高安全威脅。這些漏洞中，我自認為最好兩個提交漏洞都是與OpenFTP相關，可利用漏洞上傳任意文件或查看OpenFTP服務端的任意文件，但由於架設有OpenFTP的DoD網站已經停用，所以最終的漏洞威脅評級相對較低。

最後，我要說的是一個我認為影響相對嚴重的，且比較經典的文件信息泄露漏洞，存在該漏洞的網站包含了一個從網站系統下載pdf和其它電子文檔的功能，該功能終點樣式如下：

http://website.com/xxx/account/downloadfile?fileString=/pathtodocument/document.pdf

在該功能下，可通過../方式對網站目錄進行枚舉檢索，最終可定位查看到某個特定文件，如etc/shadow或其它包含敏感信息的文件，由此，我檢索到了etc/shadow文件中包含了root密碼的hash值，沒做相關破解只是簡單地報告了漏洞。雖然該漏洞存在一定安全影響，但由於該網站是一個之前系統的遺留網站，所以最終漏洞評級也只是低危而已。

經驗總結

美國國防部（DoD）與HackerOne合作的這一公開的漏洞眾測項目表明，可以利用廣泛的白帽黑客技能，以漏洞賞金方式來及早地發現和預防安全隱患，這是一種積極的安全應對方式，可以有效實現漏洞堵塞和風險消除，能最大程度地保護目標測試範圍內的資產和數據安全。我個人通過持續地參加DoD的這種項目，在技能素質和安全經驗上也有了很大的提高。

對於很多想成為「漏洞賞金獵人」的小白來說，加入某個眾測項目最難的就是從何開始，經驗上來說，你可以先通過Google dork語法或shodan.io搜索來發現一些些漏洞，當然，像我文章中提到的，你也可以看看DotNetNuke或Oracle實例這類獨特漏洞，我發現奇怪的是，好像沒多少人了解這類漏洞。

想要成為一名優秀的「漏洞賞金獵人」，需要不斷保持學習，永不停息。就像PortSwigger首席研究員James Kettle在黑帽大會上的演講《Cracking the Lens: Targeting HTTP』s Hidden Attack-Surface》那樣，新的漏洞出現，就會產生新的攻擊面，造成安全隱患。演講中James Kettle分享了通過構造惡意的HTTP請求和Header頭信息，側面勾勒出目標系統中HTTP服務的隱藏攻擊面，最終，他綜合利用了這種技術成功入侵測試了美國國防部網路，並獲得了3萬美金的獎勵。

經漏洞提交流程，此文中提到的一些漏洞已經作了公開，你們可以通過查找我的HackerOne資料進行查詢，最後我還想說的是，漏洞眾測社區非常歡迎新手的加入，當然了，你自己也不要害怕動腦子提問題，遇到難題也得積極想辦法解決。

*參考來源：medium，FreeBuf小編clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！