HackerOne | 星巴克上传与XXE组合拳

漏洞信

发现者：johnstone

漏洞种类：上传+XXE

危害等级：高危

漏洞状态：已修复

前言

johnstone发现

ecjobs.starbucks.com.cn/retail/hxpublic_v6/hxdynamicpage6.aspx

和

ecjobs.starbucks.com.cn/recruitjob/hxpublic_v6/hxdynamicpage6.aspx

两个页面都存在XML外部实体攻击。

漏洞再现

1、登录到用户输入的个人信息设置页面，点击上传图片

2、使用burp拦截数据包

3、在参数allow_file_type_list值中添加html，获取服务器的响应信息

4、访问上传文件得到的url

https://ecjobs.starbucks.com.cn/retail/tempfiles/temp_uploaded_641dee35-5a62-478e-90d7-f5558a78c60e.html

5、上传恶意XML文件到服务器，改变_hxpage参数，如图

或者：改变XML数据的HX_PAGE_NAME参数

发送请求，星巴克的服务器将访问攻击者的服务器来获取DTD文件

漏洞影响

该漏洞可以让攻击者上传到服务器中邪恶的文件，这会欺骗用户，窃取用户的cookie和信息。The XXE漏洞泄露一些服务器的信息，拒绝服务攻击，可能会导致通过XXE（NTLMv2的哈希攻击星巴克服务器环境是IIS7.5+asp.net+视窗），这可能导致具有在所述服务器和所述整个内域的完全控制的攻击者。