当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033343

漏洞标题:我是如何从暴风游戏(外网)到暴风内网的(大量安全隐患)

相关厂商:暴风影音

漏洞作者: Valo洛洛

提交时间:2013-08-02 18:26

修复时间:2013-09-16 18:27

公开时间:2013-09-16 18:27

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-02: 细节已通知厂商并且等待厂商处理中
2013-08-02: 厂商已经确认,细节仅向厂商公开
2013-08-12: 细节向核心白帽子及相关领域专家公开
2013-08-22: 细节向普通白帽子公开
2013-09-01: 细节向实习白帽子公开
2013-09-16: 细节向公众公开

简要描述:

从暴风游戏到暴风内网,内网仅在web层面进行了一些检测。考虑到会影响系统运行和时间问题,木有搞员工网段。

详细说明:

http://g.baofeng.com/
暴风游戏官网。
http://g.baofeng.com/userservice/submitquestion
客服中心我要提问。没有进行过滤,可以插入xss代码。
随后收到cookie进入后台 http://g.baofeng.com/admin/login
在游戏内容编辑时,游戏的图片上传没有进行严密过滤,可通过改包获取shell。
由于忘记截图,就不具体说明了。
此时已经获得shell。

捕获11.JPG


作为一台游戏主页的服务器,用户数据是必不可少的。
要说明的是,游戏采用的是sso登陆,但是sso登陆的源码没有权限访问,也就不能分析具体的登陆方式。
查找数据库的配置,发现文件。

222222222.JPG


有数据库配置 还有缓存服务器配置 充值接口配置等。
(parameters.yml.test这个文件里,配置的ip是192.168.60.147,后面经过分析基本确认这是员工工作机的ip网段。)
连接数据库,比较有价值的是game_bbs库。
http://bbs.g.baofeng.com/ 这个论坛的数据库。

3333333333333.JPG


44444444444.JPG


用户不多5w+。推广的同志需要努力。
这台服务器不翻了,作为跳板跳进内网。

5555555555.JPG

漏洞证明:

我擦!!!!!!!
http://192.168.2.74/index.php/user/login/
数据集群管理机,刚要截图,服务器挂了,妹的!!不是我弄的。。
登陆框注入,用户名写
' and 1=2 union select 1 from (select+count(*),concat(floor(rand(0)*2),(select user from mysql.user limit 0,1))a from information_schema.tables group by a)b--
之前测试到时root权限了,路径/var/www/html/,没得截图证明了,没开gpc,可以写shell。
http://192.168.2.160:8080/ella/
集群监控平台。

6666666666.JPG

没有密码。
http://192.168.2.186/
http://192.168.2.187/
暴风cms管理中心。
弱口令test/test

7777777.JPG


http://192.168.2.54/gotologin.box
BD数据系统。struts命令执行。

8888888888.JPG


先这样,吃饭去。

修复方案:

有用的补洞,废弃的关机。

版权声明:转载请注明来源 Valo洛洛@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-08-02 19:12

厂商回复:

感谢您发现并提交漏洞公布细节,我们会尽快修补。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-02 18:29 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    感动啊

  2. 2013-08-02 18:38 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    来了来了

  3. 2013-08-02 18:42 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @疯狗 偷改标题,jc何在

  4. 2013-08-02 18:51 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    原标题是啥

  5. 2013-08-02 18:54 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    @疯狗 为啥感动?

  6. 2013-08-02 19:07 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    马克

  7. 2013-08-02 19:08 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @ppt 乌云,感动常在

  8. 2013-08-02 19:11 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    话说这个很流弊??

  9. 2013-08-02 19:21 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @niliu 从暴风游戏到暴风内网

  10. 2013-08-02 19:21 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    RANK还不值我打字截图的工夫- -

  11. 2013-08-02 22:15 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    他应该是打了100 可惜只能2位数 就只有10了

  12. 2013-08-03 18:06 | f0r ( 实习白帽子 | Rank:64 漏洞数:12 | 寻声暗问弹者谁?那人却在灯火阑珊处)

    等公开

  13. 2013-09-02 16:55 | 农夫娃哈哈 ( 路人 | Rank:2 漏洞数:3 | 初来乍到 请多关照)

    这个Rank怎么也得20吧

  14. 2013-09-16 22:27 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    zzz你好,快递

  15. 2013-09-17 09:56 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    这个Rank怎么也得20+

  16. 2013-09-17 12:48 | Ivan ( 实习白帽子 | Rank:81 漏洞数:9 | 小菜逼一个)

    40都不过分

  17. 2013-09-17 14:15 | 中国公民 ( 路人 | Rank:25 漏洞数:12 | 脱裤不提交,提交不脱裤)

    请问,楼主用什么工具把ip代理出来的。

  18. 2013-09-18 08:22 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @中国公民 Socks 代理