HackerOne | 星巴克上傳與XXE組合拳

• 2019 年 12 月 15 日
• 筆記

漏洞信

發現者：johnstone

漏洞種類：上傳+XXE

危害等級：高危

漏洞狀態：已修復

前言

johnstone發現

ecjobs.starbucks.com.cn/retail/hxpublic_v6/hxdynamicpage6.aspx

和

ecjobs.starbucks.com.cn/recruitjob/hxpublic_v6/hxdynamicpage6.aspx

兩個頁面都存在XML外部實體攻擊。

漏洞再現

1、登錄到用戶輸入的個人信息設置頁面，點擊上傳圖片

2、使用burp攔截數據包

3、在參數allow_file_type_list值中添加html，獲取服務器的響應信息

4、訪問上傳文件得到的url

https://ecjobs.starbucks.com.cn/retail/tempfiles/temp_uploaded_641dee35-5a62-478e-90d7-f5558a78c60e.html

5、上傳惡意XML文件到服務器，改變_hxpage參數，如圖

或者：改變XML數據的HX_PAGE_NAME參數

發送請求，星巴克的服務器將訪問攻擊者的服務器來獲取DTD文件

漏洞影響

該漏洞可以讓攻擊者上傳到服務器中邪惡的文件，這會欺騙用戶，竊取用戶的cookie和信息。The XXE漏洞泄露一些服務器的信息，拒絕服務攻擊，可能會導致通過XXE（NTLMv2的哈希攻擊星巴克服務器環境是IIS7.5+asp.net+視窗），這可能導致具有在所述服務器和所述整個內域的完全控制的攻擊者。