一、 发现过程

时间回到5月8号的中午12点30分,饭后同事说新出的Jenknis漏洞RCE的EXP网上已经在转播了,当时记得那个漏洞是大概在5月1号出的,然后在网上迅速流出针对Jenknis2.23.1的RCE漏洞POC和EXP。

随后上了Fofa进行查询,查询语句: 

header=”jenkins”

当时第一眼的是ci.tensorflow.org,现在的检索结果已经改变了

因为平时关注到机器学习和深度学习,当然就注意到了这个域名就是Google旗下的Tensorflow分支项目二级域名(当时心里想的是666啊)。

打开域名一看,果真是使用的Jenkins。

14976666462995.png!small

随后想到Tensorflow作为深度学习框架,又具有主从的测试机器。就99%肯定有Python环境了,所以思路是通过Jenkins Exp先上传可反弹Shell的Python脚本(这里的Py脚本应该尽量不引用第三方库),然后再执行上传的Python脚本。

Python脚本如下:

14976666531978.png!small

因为怕对应目标上有杀软之类的安全防护软件,所以选择反弹到53端口。

然后生成第一个下载文件的payload文件:

14976666639321.png!small

然后生成第二个反弹Shell的payload文件:

14976666692215.png!small

随后反弹成功: 

$ id 
uid=114(jenkins) gid=121(jenkins)groups=121(jenkins),999(docker)
$

当天中午13点11分左右匆忙写了封信给Google应急响应中心的三位大佬。很快三个小时后收到来信确认:

1497666682400.png!small

5月13号确认漏洞存在并打算奖励1337美刀:

14976666873887.png!small

二、 挖洞思路

1、关注Fofa、Shodan、Zoomeye等网络空间数据平台;

国内外常见的网络空间数据平台有:

14976666975148.png!small

2、关注热门实时的漏洞,特别是高危漏洞

3、可尝试编写搭建自己的网络空间搜索平台。

专注于Alex排名前1000且给钱多的公司,比如关注其业务变动,新业务上线时和出新的高危漏洞是挖洞的最好时机(活少来钱快)。

三、 如何接收国外奖励

国内的现金奖励基本会要求漏洞提交者提供姓名、身份证、银行卡号、开户行地址。

然而国外公司不太一样,需要我们填写W8表单信息:

以Google为例总结下国外公司需要提交的信息和流程如下:

1、    注册为Google的供应商:

1.打印并填写W8表单,然后扫描填好的表单。

2.填写信息注册为Google供应商,填写地址:

https://www.google.com/corporate/suppliers/business.html

3.在上面的表单最后记得提交填好的W8表单扫描附件(pdf/img)

2、    等待Google开PO

PO的意思是purchaseorder,相当于Google收了我们帮他们挖洞(也属于劳动力,我们已经属于雇佣者),需要支付雇佣者奖励,自然需要开税单,也就是PO。

值得注意的是在开放PO之前需要先注册成为Google的供应商。

3、    耐心等待付款

1、.到银行取钱时需要向国家申报,然后等1-3个工作日就可以取钱(美刀)出来。

四、总结

时间线:

1、5月8号12:30-13:20在Fofa上找到Google漏洞站点并提交漏洞

2、5月8号Google接受漏洞等待审核

3、5月13号Google确认漏洞并打算奖励$1337

4、6月16号申请PO完毕(太懒一直没注册成为其供应商,逃…)

5、6月16号确认付款

其他:

写本篇文章目的只有一个,就是希望白(各)帽(位)子(大)们(佬)多思考挖洞的途径和效率。

*本文原创作者:常运