爱奇艺某分站敏感信息泄露导致酷6躺枪

漏洞详情

披露状态:

2014-02-14: 细节已通知厂商并且等待厂商处理中
2014-02-14: 厂商已经确认,细节仅向厂商公开
2014-02-24: 细节向核心白帽子及相关领域专家公开
2014-03-06: 细节向普通白帽子公开
2014-03-16: 细节向实习白帽子公开
2014-03-31: 细节向公众公开

简要描述:

恢复恢复。

详细说明:

起因就是无聊的蛋疼,想检测下奇艺,恢复吧,先扫了下二级域名发现目标omov1.iqiyi.com。

开始收集信息,SuperScan无条件扫描1-9000端口,边扫边看web,用御剑扫了下敏感文件

0.png



发现配置文件,没有发现svn泄露,我猜测可能用了其他工具进行编辑,试着访问config.inc.php.bak,确实存在,根据配置文件发现了数据库敏感信息,尝试telnet上面的ip结果失败,往下看看到了编码是GBK,又想到了宽字节注射,检测了一圈并未发现。

01.png

返回到superscan结果也出来了,有几个特定端口,telnet了下收集了各自端口的信息,

0.png

发现有个ftp,于是乎自定义添加到x-scan里面跑服务器的漏洞。

1.png



web层搞不定,系统层还在收集信息,前面telnet得到了ftp的信息,现在就从ftp入手吧。

ProFTPD 1.3.2 Server,记得在zone里有个基友谈到过这个版本有个proftpd mod_sql injection,但是exp我没有现成的环境啊,妹的操起dw写了段,先测试看能不能绕过登陆。

<?php
$user = "USER %') and 1=2 union select 1,1,uid,gid,homedir,shell from users; --";
$pass = '1';
$conn = ftp_connect("omov1.iqiyi.com",2024,5);
ftp_login($conn,$user,$pass);
?>



运行后

0.png

靠坑爹啊,这是登陆失败的节奏,肯定打补丁了。。。

这个时候x-scan报告也出来了,总结了下信息,系统层估计搞不定了。转回web吧,看到有omov1肯定有omov2啊,尝试了下果然有。

3.png



但是是内网连接,没办法。这两套系统都是一样的,我想用迂回战术吧,就来看看omov2的服务器安全效果怎么样,扫描发现FTP存在匿名登录,也存在cwd越权跳转目录。cwd命令式telnet下交互用的,就用telnet连接ftp开始尝试漏洞。port方式不显示数据,就改用pasv方式吧。

4.png



5.png



发现并不能跳转出pub目录,应该是误报,在检测的时候只要cwd执行成功可能就提示为漏洞。看来还得从web入手。突然想起来3306不是可以外连么,试试从敏感信息文件上获取的数据库信息,结果omov1.iqiyi.com,root,svod3edcvfr4进去了。妹的折腾这么久。select load_file('/etc/sysconfig/network-scripts/ifcfg-eth0');确实是本机ip,然后结合phpinfo的信息导出shell,结果没权限,找上传目录呢发现是另外一个域名,http://pic1.svod.cn/,ping了下发现是同一个ip,并且爆出了路径,就不用去load_file配置文件了。直接写一个一句话完事。

0.png

漏洞证明:

1.png

2.png

3.png

修复方案:

...

版权声明:转载请注明来源 Chora@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-02-14 23:43

厂商回复:

多谢白帽子,这是合作方的漏洞.

最新状态:

暂无


漏洞评价: