原文:http://artsploit.blogspot.com/2016/01/paypal-rce.html
在去年12月国外安全研究员发现了一个manager.paypal.com的java序列化漏洞并报告给了paypal进行修复.
这个漏洞异于之前大家发的weblogic jboss websphere等序列化漏洞,并不是直接对某个rmi直接POST带有攻击的payload。

漏洞详情:
当漏洞发现者对manager.paypal.com站进行安全测试的时候留意到有一个表单请求里有个oldForm参数base64解码后疑似一个java的object。
1.png

1.png

经过分析后确认这个参数可以接受一个未经任何验证的java序列化后的object。意味着可能存在之前的apache commons collections序列化漏洞,机智的作者利用ysoserial生成payload测试后发现果然存在此漏洞.

通过执行shell命令,测试是否能发送DNS请求和HTTP请求到他自己的服务器:
2.png

2.png

通过对oldFormData参数base64编码后作者真的在自己的nginx日志里找到了来自PayPal的请求,下面是访问日志截图:
3.png
3.png

由此可以确认manager.paypal.com存在序列化漏洞,这个时候通常可以读取或者在PayPal的服务器上执行任意的命令了。
比如读取/etc/passwd的文件内容:
4.png

4.png

作者录了个视频并发给了PayPal获的了奖励。

这个漏洞告诉我们关注weblogic jboss...的同时也可以多留意下某些业务参数,或许也发现意外的惊喜。