我是如何通过Fofa拿到Google $1337现金奖励的

文章已发布于Freebuf!

链接:http://www.freebuf.com/articles/web/138198.html


首先不得不感谢白帽汇旗下的Fofa这个网络空间数据平台,是它帮助我发现了下面提到的安全漏洞并获得的Google奖励!通过它可以很快地找到网络空间中的“目标”,白帽汇的Fofa网络空间搜索平台在平时可以帮助我们快速地对一些安全问题的影响范围进行数据统计。Fofa上有Web应用指纹和7000多条匹配规则,我们能想到的东西在Fofa上都能检索到的,比如通过Fofa三分钟内去了解一个Web 0Day漏洞在全球的影响分布情况。同时,个人觉得Fofa一个非常棒的地方就是能够帮助白帽子们挖洞赚“零花钱”,从Fofa的创始人也是Pangolin的作者口中得知Fofa会根据站点的更新频率来决定爬取信息,由此可猜想其Fofa产品的研发过程应是很注重细节的吧。

一、 发现的过程


时间回到5月8号的中午12点30分,饭后同事说新出的Jenknis漏洞RCE的EXP网上已经在转播了,当时记得那个漏洞是大概在5月1号出的,然后在网上迅速流出针对Jenknis2.23.1的RCE漏洞POC和EXP。

随后上了Fofa进行查询,查询语句:

当时第一眼的是ci.tensorflow.org,现在的检索结果已经改变了,难道是Fofa会判断是否存在漏洞,优先给出有漏洞的站点?如果是真的话,这对于白帽子是非常Nice的福利:)。

14976666399684.png!small

因为平时关注到机器学习和深度学习,当然就注意到了这个域名就是Google旗下的Tensorflow分支项目二级域名(当时心里想的是666啊)。

打开域名一看,果真是使用的Jenkins。

14976666462995.png!small

随后想到Tensorflow作为深度学习框架,又具有主从的测试机器。就99%肯定有Python环境了,所以思路是通过Jenkins Exp先上传可反弹Shell的Python脚本(这里的Py脚本应该尽量不引用第三方库),然后再执行上传的Python脚本。

Python脚本如下:

14976666531978.png!small

因为怕对应目标上有杀软之类的安全防护软件,所以选择反弹到53端口。

然后生成第一个下载文件的payload文件:

14976666639321.png!small

然后生成第二个反弹Shell的payload文件:

14976666692215.png!small

随后反弹成功:

当天中午13点11分左右匆忙写了封信给Google应急响应中心的三位大佬。很快三个小时后收到来信确认:

1497666682400.png!small

5月13号确认漏洞存在并打算奖励1337美刀:

14976666873887.png!small

 

二、 挖洞思路


1、关注Fofa等网络4平台;

国内外常见的网络空间数据平台有:

14976666975148.png!small

目前我也只买有Fofa的会员账号,毕竟相对好用。

注:最后一个“烛龙”是成都一家公司未上线的项目,考虑购买其系统的可以联系我,我可帮助你联系对方。

2、关注热门实时的漏洞,特别是高危漏洞

3、可尝试编写搭建自己的网络空间搜索平台。

专注于Alex排名前1000且给钱多的公司,比如关注其业务变动,新业务上线时和出新的高危漏洞是挖洞的最好时机(活少来钱快)。

三、 如何接收国外奖励


国内的现金奖励基本会要求漏洞提交者提供姓名、身份证、银行卡号、开户行地址。

然而国外公司不太一样,需要我们填写W8表单信息:

以Google为例总结下国外公司需要提交的信息和流程如下:

一、    注册为Google的供应商:

1、打印并填写W8表单,然后扫描填好的表单。

2、填写信息注册为Google供应商,填写地址:

https://www.google.com/corporate/suppliers/business.html

3、在上面的表单最后记得提交填好的W8表单扫描附件(pdf/img)

二、    等待Google开PO

PO的意思是purchaseorder,相当于Google收了我们帮他们挖洞(也属于劳动力,我们已经属于雇佣者),需要支付雇佣者奖励,自然需要开税单,也就是PO。

值得注意的是在开放PO之前需要先注册成为Google的供应商。

三、    耐心等待付款

1、 到银行取钱时需要向国家申报,然后等1-3个工作日就可以取钱(美刀)出来。

四、总结


时间线:

1、5月8号12:30-13:20在Fofa上找到Google漏洞站点并提交漏洞

2、5月8号Google接受漏洞等待审核

3、5月13号Google确认漏洞并打算奖励$1337

4、6月16号申请PO完毕(太懒一直没注册成为其供应商,逃…)

5、6月16号确认付款

其他:

写本篇文章目的只有一个,就是希望白(各)帽(位)子(大)们(佬)多思考挖洞的途径。

14976667041074.jpg!small

4 1

Leave a Reply

Your email address will not be published. Required fields are marked *