【白帽故事】我的第一枚AEM漏洞

admin 2021年9月23日11:03:00评论282 views字数 1408阅读4分41秒阅读模式

背景介绍:


今天的漏洞故事来自国外一位名叫Vedant的白帽子,他在推特上的昵称叫“Vegeta”(贝吉塔) ,话不多说,进入今天的正题:


背景介绍:



首先什么是AEM,AEM的全称是“Adobe Experience Manager”,AEM是一个全面的内容管理解决方案,用于构建网站、移动应用程序和表单,同时它还可以轻松管理您的营销内容和资产,通俗的讲AEM其实也算是一个CMS,就像Wordpress和Drupal一样。


然后是Querybuilder Servlet,“AEM Query Builder是由Adobe公司开发的一个框架,用于为查询引擎(OAK查询引擎)构建易于组合的查询(底层为JCR XPath),查询方式为键值形式”。如果你有兴趣了解更多关于它的信息,可访问以下网址:


https://experienceleague.adobe.com/docs/experience-manager-64/developing/platform/query-builder/querybuilder-api.html?lang=en


另外,Dispatcher是AEM的缓存/负载平衡工具,使用AEM的Dispathcer有助于保护AEM服务器免受攻击,你可以把AEM Dispatcher想象成WAF。


漏洞:

今年的7月份,这位白帽小哥在Hackerone平台上的漏洞很多都撞了洞,因此小哥有些丧,但是每当他在寻找漏洞时感到灰心丧气时,他就会想起一句名言,“If your life just got harder, you’ve just leveled up!”,于是他决定学习一些新的漏洞类型,在一番搜索后,他发现了Mikhail Egorov一个演讲,演讲中谈及了AEM相关的漏洞,这显然对白帽小哥来说是全新的知识,于是他开始阅读所有关于AEM相关漏洞的文章。


在对AEM有了一些基本了解后,他开始决定对目前学到的知识加以利用,首先他选定了一个目标开始漏洞挖掘,之前他对该目标已经完成了信息收集,虽然当时并未找到任何漏洞,但这次的结果却截然不同。


他使用wappalyzer插件逐个检查了每个子域,不久他发现了一个子域正是使用了AEM,于是他开始寻找Querybuilder Servlet,攻击者可以利用它读取系统目录。


其中有个站点总是返回404错误,但白帽小哥通过不断的Fuzz尝试绕过:

【白帽故事】我的第一枚AEM漏洞


正如上图中所看到的,我们可以使用/a.css、/a.png等来迷惑Dispatcher,从而让我们能够访问到Querybuilder Servlet,所以在尝试了类似的Payload后,终于其中一个成功了!最终的Payload是这样的:


' /bin/querybuilder.json.;%0aa.css?path=/etc&p.hits=full&p.limit=-1'


通过该Payload,可以成功读取/etc、 /home、 /content等系统目录,于是他很快报告了这个漏洞,2天后漏洞被接受,一周后他获得了一笔漏洞赏金。


【白帽故事】我的第一枚AEM漏洞


====正文结束====

相关推荐: 苹果修复已遭在野利用的 iOS 和 macOS 0day

 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今日,苹果发布安全更新,修复了一个新0day (CVE-2021-30869)。谷歌安全团队指出该漏洞已遭在野利用,可攻陷用户设备,位于现代苹果系统配置的内核组件 XNU 中。 谷歌威胁分析团队…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月23日11:03:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【白帽故事】我的第一枚AEM漏洞http://cn-sec.com/archives/554034.html

发表评论

匿名网友 填写信息