专栏首页FreeBuf一个远程代码执行漏洞搞定Yahoo, Microsoft, Orange

一个远程代码执行漏洞搞定Yahoo, Microsoft, Orange

写在前面:

一个埃及黑客通过一个文件上传,拿下了多个大型厂商旗下网站。而且这个哥们说话蛮逗的,很有喜剧效果。英文原文看这里。

http://www.sec-down.com/wordpress/?p=409

正文:

Hello,大家好,今天我将给大家展示一个由“Unauthorized Admin Access” 引起的 “Remote Code Injection” 我是用这个漏洞搞定了Yahoo, Microsoft和Orange的网站噢。

不可思议,是不是?那下面就是见证奇迹的时刻。有一天我在yahoo的页面上乱转,在我寻找管理后台的时候,找到了这样一个页面。(其中ymx代表我自己的账号)http://mx.horoscopo.yahoo.net/ymx/editor/

不需要任何认证就登陆进去了,我本以为他会说 “Unauthorized Admin Access AKA Indirect Object Reference“的,呵呵呵呵。

你看到左侧的文件列表了嘛?我也可以创建一个类似的aspx文件。首先先来截取一下POST提交的数据。

你看到POST: FileName=zigoo.aspx&FileContent=zigoo这一行的时候应该已经清楚了,我问可以使用任何内容来进行替换。(碉堡了,有木有!)

那我就随便写点什么吧,这已经可以证明漏洞的存在了。

下面我们来邪恶的找一找,有哪些子域名存在这个漏洞:

#Yahoo:

http://pe.horoscopo.yahoo.net

http://mx.horoscopo.yahoo.net

http://ar.horoscopo.yahoo.net

http://co.horoscopo.yahoo.net

http://cl.horoscopo.yahoo.net

http://espanol.horoscopo.yahoo.net

#Microsoft MSN:

http://astrocentro.latino.msn.com/

http://astrologia.latino.msn.com/

http://horoscopo.es.msn.com/

http://horoscopos.prodigy.msn.com

#Orange:

http://astrocentro.mujer.orange.es

当我测试这些网站的时候,NB的我又发现了一个,惊!天!大!秘!密!我只要在一个子域名下创建这个页面,其他子域名也会自动的中招。隔山打牛啊,有木有。

于是乎,我把这个漏洞上报给了微软,微软淡定的回了一句"我们会调查的."好吧,让他们慢慢调查去。我们来猜测一下这种指一打百的情况是怎么发生的。我猜测是一个CDN服务器把缓存中的内容提供给所有的子域名,所以导致了一个域名下出现文件,其他所有域名都会受影响的情况。

下面是一段POC的视频:(点击下方“阅读原文”观看视频)

最后来打点一下战果:

#Yahoo_Case

yahoo本来是不为漏洞支付赏金的,但是哥发现的这个漏洞涉及到了6个子域名,影响蛮大的。所以他们准备,奖励我一下下。

#MSN_Case

我去问微软要奖金,结果微软压根不鸟我,而且他们肯定偷偷把漏洞修复了。WTF

#Orange_Case

和Orange联系简直是地狱级难度,所以我就放弃了。但所幸的是,微软放出了修复补丁修复了包括Orange在内的所有服务器。

本文分享自微信公众号 - FreeBuf(freebuf),作者:lanlan

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-05-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 低成本安全硬件实战遇到的那些事

    世界属于终端 世界属于Linux 世界属于算法 楔子 今年二月份,通过@ya0guang大神的文章我初步接触到了安全硬件低成本调教的姿势,我将跟随ya0guan...

    FB客服
  • 黑客利用SSH弱密码攻击控制Linux服务器,潜在目标约十万IP天

    本周腾讯安全服务中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现SSH服务失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源。

    FB客服
  • 藏在短链接下的挖矿木马:NovelMiner

    使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况下,冗长的网址不利于显示,短链生成无疑是最便捷的服务之一。然而,由于短链接隐藏了其指向的...

    FB客服
  • 推荐几款软件界面模型设计工具

    界面模型设计中很实用的一个工具GUI Design Studio,可以让界面示意图实现基本的交互,便于演示、交流。 GUI Design Studio提供的了...

    跟着阿笨一起玩NET
  • 一些开源软件或者开发框架网站

    Git SCM Implemented as a set of JavaScript modules for use in any JS

    ccf19881030
  • 数据结构与算法(五)-线性表之双向链表与双向循环链表

    前言:前面介绍了循环链表,虽然循环链表可以解决单链表每次遍历只能从头结点开始,但是对于查询某一节点的上一节点,还是颇为复杂繁琐,所以可以在结点中加入前一个节点的...

  • kubernetes系列教程(十七)基于haproxy实现ingress服务暴露

    前面文章介绍了基于nginx实现ingress controller的功能,本章节接续介绍kubernetes系列教程中另外一个姐妹开源负载均衡的控制器:hap...

    HappyLau谈云计算
  • 数据结构与算法(四)-线性表之循环链表

    前言:前面几篇介绍了线性表的顺序和链式存储结构,其中链式存储结构为单向链表(即一个方向的有限长度、不循环的链表),对于单链表,由于每个节点只存储了向后的指针,到...

  • 基于UDP/IP协议的电口通信(二)

    上一篇对整个UDP/IP协议的电口通信设计有个整体了解,接下来就是对于每个模块的设计,这部分,计划用两篇文章完成,会尽量简洁一点,谢谢大家支持。

    碎碎思
  • PHP弱类型引发的漏洞实例

    我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为正确的数据类型,但在这个转换过程中就有可能引...

    猿哥

扫码关注云+社区

领取腾讯云代金券