PayPal 远程代码执行漏洞
原文:http://artsploit.blogspot.com/2016/01/paypal-rce.html
在去年 12 月国外安全研究员发现了一个 manager.paypal.com 的 java 序列化漏洞并报告给了 paypal 进行修复.
这个漏洞异于之前大家发的 weblogic jboss websphere 等序列化漏洞,并不是直接对某个 rmi 直接 POST 带有攻击的 payload。
漏洞详情:
当漏洞发现者对 manager.paypal.com 站进行安全测试的时候留意到有一个表单请求里有个 oldForm 参数 base64 解码后疑似一个 java 的 object。
经过分析后确认这个参数可以接受一个未经任何验证的 java 序列化后的 object。意味着可能存在之前的 apache commons collections 序列化漏洞,机智的作者利用 ysoserial 生成 payload 测试后发现果然存在此漏洞.
通过执行 shell 命令,测试是否能发送 DNS 请求和 HTTP 请求到他自己的服务器:
通过对 oldFormData 参数 base64 编码后作者真的在自己的 nginx 日志里找到了来自 PayPal 的请求 , 下面是访问日志截图:
![点击放大图片 3.png](http://static.wooyun.org/upload/image/201601/2016012611194825305.png)
3.png
由此可以确认 manager.paypal.com 存在序列化漏洞,这个时候通常可以读取或者在 PayPal 的服务器上执行任意的命令了。
比如读取 /etc/passwd 的文件内容:
作者录了个视频并发给了 PayPal 获的了奖励。
这个漏洞告诉我们关注 weblogic jboss... 的同时也可以多留意下某些业务参数,或许也发现意外的惊喜。