当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012209

漏洞标题:沦陷学生之家,一次漂亮的渗透与源码分析

相关厂商:StarStudio

漏洞作者: 剑心

提交时间:2012-09-14 15:50

修复时间:2012-10-29 15:51

公开时间:2012-10-29 15:51

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-09-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-10-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某某河畔是郫县男子dota技术专修学校里各种骚男闷女无聊打发时间的地方。使用的是pw+php bluster搭建的。负责维护的童鞋几乎把pw的基础代码都改写过了,代码安全性还是比较高的。但是这次无情的被沦陷了。

详细说明:

1. 沦陷备份服务器
各种弱口令+cacti拿shell
访问http://xxx.xxxhome.net,使用弱密码admin/admin进入管理页面
上网找了几个cacti的漏洞,都没能利用上。于是自己开始下了一套cacti开始折磨。
看到install目录下有几个.php文件,顿时眼前一亮


把cacti的日志文件设置为这几个文件中的一个,重新登陆一下,可以看到日志确实被写进去了,那么只要想办法产生一些<?php这样的日志,就能执行代码了。最直接的想法那就是用<?php这样的用户去登录,有兴趣的同学可以继续深入,我反正没成功,cacti把尖括号神马的都过滤掉了。这条路暂时封死了。



无聊之中,发现了同机器上竟然装了pma,尝试了下,默认密码竟然进去了。


数据库中的poller_command引起了我的兴趣,照理说这应该是一个会导致命令执行的地方。大致看了下源码,水平搓,没有看懂究竟是执行shell命令还是php命令,实践出真知,直接写一句吧。



等了5分钟,poller执行(试过的童鞋应该知道,啥命令都不会被执行,不知道为啥),虽然没有直接效果,但是却在log中成功写入了php代码。Then,get shell


2. 代码漏洞,拿到bbs的shell
通过观察,可以知道cacti的服务器同时还是备份服务器,bbs的代码被同步到了这个机器上。然后就是长期而苦逼的读代码的过程了。当然最直接的想法是去找调用了eval或者preg_replace这类直接能执行代码的地方。


下面要扯一下某某河畔的论坛的登录。某某河畔论坛登录采用的是usercenter方式认证,bbs作为uc的一个application存在,每次需要认证的时候产生一个rand,记录在session中,并把需要的相关参数拼接上rand、app_key计算md5散列后作为附加参数,通过用户浏览器GET传递给uc;uc验证用户登录授权是否合法之后,将用户uid拼接上rand和app_key计算md5作为附加参数,通过用户浏览器GET回bbs。
仔细观察登录验证的api代码,惊喜的发现一个eval。


回查调用代码,只要通过下面代码的检查就会执行到eval,数据库密码明写在代码中,那么只要在数据库中添加一个名为“xxx.eval($_REQUEST[cmd]);//”的api就可以执行代码了。接下来的写一句话,自是不提。



这次检测有几点感觉:
1. 很过管理密码保持默认的危害性非常大,你完全不知道什么时候这个应用会被发现并威胁到服务器安全。特别是各种内部系统会对外开放的时候。
2. 很多应用都是对外部数据防护得很好,而内部数据过于信任,根本就没有任何过滤措施。如这次cacti,可以任意指定log文件的位置,没有检查拓展名;没有检查数据库中commad的内容,直接将错误信息输出到log中;uc没有对api名做基本的检查,导致任意代码执行。
3. 很多机器web目录权限总是设置不当
4. APT攻击几乎总能成功
5. 安全问题总是很难防护得很完善,一处被击破,处处都受影响

漏洞证明:

见漏洞详情

修复方案:

1. cacti不用就卸载掉
2. web目录的除了上传目录,都不应该让www用户有写权限,而上传目录应该限制死不能执行脚本
3. bbs验证登录时,需要判断referer,从非用户渠道获取是否真正成功登陆,以避免app_key泄漏带来的各种风险
4. 仅仅对于用户提交的数据严格过滤是不够的,对于来自数据库,session,文件这样的内部数据也要进行安全检查

版权声明:转载请注明来源 剑心@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2012-09-14 16:05 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    题目 很漂亮 呵呵

  2. 2012-09-14 17:37 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    围观我大河畔

  3. 2012-09-14 17:38 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    瞅瞅有多漂亮

  4. 2012-09-14 18:46 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    郫县dota?dota是豆瓣的翻译么

  5. 2012-09-14 19:15 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @蟋蟀哥哥 俺们学校额。。。

  6. 2012-09-14 19:48 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @pangshenjie 郫县...那个镇上...对吧....菊花学校...是不是

  7. 2012-09-14 20:05 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @蟋蟀哥哥 你太聪明了。。。。你不是还来过么。

  8. 2012-09-14 20:54 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    围观技巧性动作

  9. 2012-09-14 23:43 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @pangshenjie 在那边逛过

  10. 2012-09-15 08:47 | ghy459 ( 实习白帽子 | Rank:62 漏洞数:5 | 深挖洞,广积shell。)

    坐等被无视,StarStudio知道的都懂的~

  11. 2012-09-15 08:48 | ghy459 ( 实习白帽子 | Rank:62 漏洞数:5 | 深挖洞,广积shell。)

    还有某某河畔是半个小时搭好的我会乱说~

  12. 2012-09-15 13:53 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    围观名字

  13. 2012-09-15 16:40 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    围观LZ,撸主很细心的读源码读了很久我会乱说~!

  14. 2012-09-15 22:50 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    等着观看文章,“漂亮的渗透” --吸引人啊 =.=

  15. 2012-09-17 16:00 | yyytest ( 路人 | Rank:8 漏洞数:2 | 菜鸟一枚,学习来的.........)

    是郫县纺专么???????

  16. 2012-09-17 18:29 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @yyytest 显然不是,985啊亲

  17. 2012-10-16 19:01 | Golova ( 路人 | Rank:22 漏洞数:3 | 过去过不去的终究会过去。)

    进来看pangshenjie的菊花。

  18. 2012-10-29 16:00 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    漂亮的爆菊

  19. 2012-10-30 00:35 | 云中鹰 ( 实习白帽子 | Rank:65 漏洞数:10 | 云中鹰)

    多么好的名字~

  20. 2012-10-30 09:16 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    确实漂亮!

  21. 2012-10-30 23:12 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @Golova 看你妹

  22. 2012-12-25 21:36 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    清水河畔现在没限制源IP了?@星辰

  23. 2012-12-25 22:22 | ghy459 ( 实习白帽子 | Rank:62 漏洞数:5 | 深挖洞,广积shell。)

    @O.o 有外网访问地址 bbs.qshpan.com

  24. 2012-12-25 23:27 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @ghy459 唔=。=收藏夹没收藏它,果断了~

  25. 2014-04-05 01:47 | 风之子 ( 路人 | Rank:0 漏洞数:1 | 好好学习...囧)

    围观,河畔现已改版。。。

  26. 2014-04-24 12:08 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    @蟋蟀哥哥 什么学校·· 电子科大?

  27. 2014-05-04 11:39 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    围观