首页 >> 网络安全 >>渗透测试 >> Apple Bug赏金计划记录过程
详细内容

Apple Bug赏金计划记录过程

时间:2020-10-22        阅读

在7月6日至10月6日期间,我本人Brett Buerhaus,Ben Sadeghipour,Samuel Erb和Tanner Barnes一起工作,并入侵了Apple Bug赏金计划。

  • 山姆咖喱(@samwcyo

  • 布雷特·布尔豪斯(@bbuerhaus

  • Ben Sadeghipour(@nahamsec

  • 塞缪尔·埃尔布@erbbysam

  • 坦纳·巴恩斯(@_StaticFlow_

在参与过程中,我们发现其基础结构核心部分存在各种漏洞,这些漏洞可能使攻击者完全破坏客户和员工的应用程序,启动能够自动接管受害者的iCloud帐户的蠕虫,并检索内部的源代码。Apple计划充分利用Apple使用的工业控制仓库软件,并接管具有访问管理工具和敏感资源能力的Apple员工会议。

总共发现55个漏洞,其中11个严重严重性,29个高严重性,13个中严重性和2个低严重性报告。我们出于汇总目的评估了这些严重性,并且取决于CVSS和我们对与业务相关的影响的理解。

截至2020年10月6日,这些发现中的绝大多数已得到修复并得到认可。通常会在1-2个工作日内对它们进行补救(其中一些修复会在4-6个小时之内完成)。

介绍

当我在7月左右某个时间滚动浏览Twitter时,我注意到有一篇博客文章被分享,一位研究人员因发现身份验证绕行而获得苹果公司10万美元的奖励,该绕行使得他们可以随意访问任何Apple客户帐户。这让我感到惊讶,因为我以前了解到,Apple的漏洞赏金计划仅授予影响其物理产品的安全漏洞,而没有为影响其Web资产的问题付款。

读完这篇文章后,我进行了一次Google快速搜索,找到了他们的程序页面,其中详细说明了Apple愿意为“对用户有重大影响”的漏洞支付费用,而不管资产是否在范围内明确列出。

这引起了我的注意,因为这是一个有趣的机会,可以研究一个似乎范围广泛且有趣的新程序。当时我从未从事过Apple Bug赏金计划,因此我真的不知道该期待什么,但决定为什么不试试我的运气,看看能找到什么。

为了使该项目更有趣,我向过去与之合作过的黑客发送了一些消息,并询问他们是否愿意在该程序上共同努力。即使不能保证支出,也不能保证程序的工作原理,但每个人都说可以,我们开始在Apple上进行黑客攻击。

侦察

入侵Apple的第一步是弄清楚实际目标是什么。Ben和Tanner都是这里的专家,所以他们开始弄清楚我们可以访问的所有Apple拥有的东西。他们扫描的所有结果都在仪表板中建立了索引,该仪表板包括HTTP状态代码,标头,响应正文以及Apple拥有的各个域下可访问的Web服务器的屏幕快照,我们将在参与过程中参考这些屏幕。

1.png

简而言之:苹果的基础设施规模巨大。

他们拥有整个17.0.0.0/8 IP范围,其中包括25,000个Web服务器,其中apple.com下拥有10,000个Web服务器,另外7,000个唯一域,最重要的是拥有自己的TLD(点苹果)。我们的时间主要花费在17.0.0.0/8 IP范围,.apple.com和.icloud.com上,因为那是有趣的功能所在。

列出所有Web服务器后,我们开始在更有趣的服务器上运行目录暴力破解。

自动扫描的一些直接发现是...

  • 受Cisco CVE-2020-3452本地文件读取1天(x22)影响的VPN服务器

  • 破碎页面上的错误消息中泄漏的Spotify访问令牌

这些过程获得的信息有助于理解授权/身份验证在整个Apple中的工作方式,存在的客户/员工应用程序,使用的集成/开发工具以及各种可观察到的行为,例如使用某些Cookie或重定向到某些应用程序的Web服务器。

在完成所有扫描之后,我们认为我们对Apple基础架构有了一个总体了解,我们开始针对单个Web服务器,这些Web服务器本能地比其他服务器更容易受到攻击。

这开始了一系列发现,这些发现在我们的整个参与过程中一直持续,并逐渐增加了我们对Apple计划的了解。

发现的漏洞

image.png

漏洞记录

我们无法写出发现的所有漏洞,但这是一些更有趣的漏洞的示例。

  1. 通过身份验证和授权绕过Apple杰出教育者计划的全面妥协

  2. 通过身份验证旁路完全破坏了DELMIA Apriso应用程序

  3. 漏洞存储的跨站点脚本漏洞使攻击者可以通过修改后的电子邮件窃取iCloud数据

  4. 作者的ePublisher中的命令注入

  5. iCloud上的完全响应SSRF允许攻击者检索Apple源代码

  6. 通过REST错误泄漏访问Nova Admin调试面板

  7. 通过PhantomJS iTune标语和书名XSS的AWS密钥

  8. Apple eSign上的堆转储使攻击者可以破坏各种外部员工管理工具

  9. XML外部实体处理到Java Management API上的Blind SSRF

  10. GBI Vertica SQL注入和公开的GSF API

  11. 各种IDOR漏洞

  12. 各种盲XSS漏洞

全文文献:https://mp.weixin.qq.com/s/g34FwyZV9ej3Qc4Te9rC8w

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录