--- tags: 活動共筆, 108上 description: 20191021 --- # DEVCORE 那些年我回報的漏洞踩雷經驗 - sli.do/orange ## 前言 - LINE bug bounty - Pwnie Awards 2019 - CI system attacks - bug bounty hunters are the cave crickets of exploitation. - an hour of Black Hat without someone yelling "SUPPLLY CHAIN ATTACKS" into a microphone, then that would be great. It's still hard to give anyone any credit when their goal is bug bounties.`` <!-- 大家都是學生 --> - 鄙視鏈 - 編輯器 - 程式語言 - **PHP是世界上最棒的語言** - 駭客圈? <!-- - 笑點在哪? --> - Bug Bounty 圈很浮躁? - 為什麼要付錢給小小無關緊要的漏洞? - 做 Bug Bounty 可以當好人又可以賺大錢? - 當變成 beg-bounty 時 - 金錢誘惑 VS 做好人 ## 自我介紹 - Orange Tsai - Twitter:[@orange_8361](https://twitter.com/orange_8361) ## Bug Bounty 參與流程 - 挑選對象 - 了解規則 - 尋找漏洞 - 撰寫報告 - 漏洞揭露 ### 1. 挑選對象 - 怎麼挑選一個值得挖洞的Bug Bounty Program? - 錢、名譽、相性、興趣 - 資訊搜集 - AMA of Bug Hunters - @ngalalongc/bug-bounty-reference - Bug Bunty(BB) Community (BB form, BB world and BB & Chill) - What it runs on:Flask, Jinja2, React and jQuery - [Uber Engineering Bug Bounty: The Treasure Map](https://eng.uber.com/bug-bounty/) - [Uber 遠端代碼執行- Uber.com Remote Code Execution via Flask Jinja2 Template Injection ](https://blog.orange.tw/2016/04/bug-bounty-uber-ubercom-remote-code_7.html) - 增加 SSTI ### 2. 了解規則 - 規則定義了你可以做的事情 - 什麼事可以做?什麼事不能做? - 哪些是Out of Scape - 額外的有用資訊 - Instragram 百萬大漏洞 - [Instagram 百萬大漏洞](https://kb.hitcon.org/post/136932439547/instagram-%E7%99%BE%E8%90%AC%E5%A4%A7%E6%BC%8F%E6%B4%9Einstagrams-million-dollar-bug) - [Instagram's Million Dollar Bug](http://exfiltrated.com/research-Instagram-RCE.php) - [从反序列化漏洞到掌控帝国:百万美刀的Instagram漏洞](http://www.vuln.cn/6692) - 網域: sensu.instagram.com - 專案: sensu.io ![](https://66.media.tumblr.com/0d4889b6b15309b6f3fe796d48938cdd/tumblr_inline_o0jblgQ08i1tzxj9y_1280.png) ### 3. 尋找漏洞 - Line ssrf when 一鍵檔案下載 - https://admin-official.line.me/1027188/shopcard/printedqr/file/make/png?pngUrl=http://obs.line-apps.com/0h2TNv-AE9hbxtzD0C7pcMSLE90dxgDSxyQRcRbRMLUSssTmgjHFYHYRhXNiMpCmgrSVMOMEIN - `ping poll.line.me` - PING poll line.me(10.32.128.194) 56(84)bytes of data - /etc/passwd - bash_history - Java Bytecode - RCE條款不能拿到source code - 寫信道歉 - Office 365 when new Outlook - 嘗試新功能、難以被嘗試的功能 - jwt token 沒有簽名(signature) - Yahoo 買賣平台 - 200$ 註冊費 - XSS by wiki - 500 USD Reward - 資安比賽隊伍名稱取 `<svg/onload=alert('')>` 讓新聞網站壞掉 - 不造成別人困擾為主 - 駭客林志炫 - `' OR ''='` - update - 提高危害程度 - Self XSS to XSS - XSS to Account take over - SSRF to RCE - 例 `buy.line.me` (XSS to Account take over) - `http://orange.tw/xss2/?q=[xss]` - 有一些過濾 - `</script>`優先權較高 先閉合 - 繞過Chrome的保護:網址輸入的內容有在網頁內容中出現 - Chrome會看網址內容有無出現在網頁內容內 - 想辦法長不一樣(廢話.. - 剛好在Json裡 - 換行-> \n Tab-> \t - 偷cookie - CORS - 瀏覽器安全模型 - 子域名無法讀取父域名網頁內容 - 子域名卻**可以**設定父域名cookie - 繞過 CSRF 保護 - **Line OAuth** - 取得個資、控制用戶 - Uber.com RCE - 找到遠端代碼執行 - HackerOne 回報給 Uber - HackerOne 說 Uber 希望先把部落格先撤掉 - 廠商通常得確認其他地方是否有其他漏洞 - 雖漏洞已經修復了,但是其他國外的駭客在其他地方重現 - Twitter SSL VPN RCE (Hitcon 橘字有講過) - Infiltrating Corporate Intranet Like NSA<br> Pre-auth RCE on Leading SSL VPNs <br>Orange Tsai, meh [簡報連結](https://hitcon.org/2019/CMT/slide-files/d1_s0_r0_keynote.pdf) - 透過 HackerOne 回報給 Twitter - 詢問在 Public Disclosure 發表 ### 撰寫報告 - 漏洞標題 - 要取得好 - 漏洞內容 - 1. 敘述 - 2. 如何重現(及環境) - 3. 攻擊代碼/截圖/影片 - 4. 造成危害 > 上床的網址??? > Don't sware... ### 漏洞揭露 - 各家政策不同 - HackerOne - 完全揭露 - 不廢揭露 - 無法揭露