当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033920

漏洞标题:盛大在线某处存在文件读取漏洞(padding oracle使用技巧)

相关厂商:盛大在线

漏洞作者: 梧桐雨

提交时间:2013-08-09 09:39

修复时间:2013-09-23 09:40

公开时间:2013-09-23 09:40

漏洞类型:任意文件遍历/下载

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-09: 细节已通知厂商并且等待厂商处理中
2013-08-09: 厂商已经确认,细节仅向厂商公开
2013-08-19: 细节向核心白帽子及相关领域专家公开
2013-08-29: 细节向普通白帽子公开
2013-09-08: 细节向实习白帽子公开
2013-09-23: 细节向公众公开

简要描述:

这过程很曲折。知道盛大不少站点都是用这种架构,但是真正能用到的,这么曲折的估计就这么一个了。

详细说明:

如何找到利用的点就不说了(谷歌百度各种都行),在上一节唯品会的利用已经说的很多了。
这次主要讲讲有些朋友们和我说我跑了一天都没出来啊。
找到一个url 178.sdo.com/Activity/youni/login.aspx
右击查看源代码

222.jpg


黑,找到了。应该有戏,拿去跑一下

1.jpg


果不其然

2.jpg


在跑的过程中,多次失败了。看返回字节码,不甘心。
于是继续(相信不少人在这里就放弃了,但是实际上是可以继续跑的)

3.jpg


到下面,基本眉目都出来了(到这里基本你离跑出你想要的文件已经八九不离十了,不要放弃)

4.jpg


5.jpg


到上图,有了密钥。破解基本上都能成,剩下的就是时间问题了。
在这里说下,一般而言,正常情况最后那步骤都会在半个小时到一个小时完成,如果没跑出来,则中断,重新再跑。如此类推,跑出来为止。

漏洞证明:

最后破解出来的web.config:

ww.jpg

修复方案:

微软已经有补丁了

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-08-09 10:28

厂商回复:

十分感谢!已联系业务部门处理

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-09 09:41 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    拿这个方法测试了不少aspx架构的站点,基本都能成。跑不出的同学们可以关注一下~

  2. 2013-08-09 09:47 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    @梧桐雨 snda的补丁也不打,堪忧啊。。

  3. 2013-08-09 09:48 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @winsyk 我测试了几个这个比较经典就发上来了。

  4. 2013-08-09 09:55 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    @梧桐雨 呵呵,学习一下

  5. 2013-08-09 09:58 | 啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )

    看这个趋势,POD要在wooyun大规模提交了

  6. 2013-08-09 10:01 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @啦绯哥 大规模提交比较难,因为想找到能利用的并不多,而且不少已经打了补丁,即便存在漏洞,方法不正确也是很难跑出密钥文件的。

  7. 2013-08-09 10:06 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    ....估计难普及

  8. 2013-08-09 10:21 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    关注

  9. 2013-08-09 10:24 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    关注妹子

  10. 2013-08-09 11:22 | lxj616 ( 普通白帽子 | Rank:438 漏洞数:90 | <hohoho>)

    我也碰到过报padding oracle 的站,但是一方面我不做.NET开发,另一方面这个比较繁琐,所以直接忽略了

  11. 2013-08-09 11:43 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    这本质上不是web漏洞,可能很多人把这个当成了web漏洞,漏洞的本质是因为微软的安全漏洞ms10-070,打补丁的都不受影响,so,这根本原因是补丁不及时。

  12. 2013-08-09 11:46 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @winsyk 你这么理解我也赞同,根本原因的确是补丁不及时。但是可以造成遍历文件的危害。还是感谢你的提出

  13. 2013-08-26 16:54 | HRay ( 普通白帽子 | Rank:196 漏洞数:28 | 018)

    围观正确的利用方法

  14. 2013-09-12 17:24 | applychen ( 普通白帽子 | Rank:163 漏洞数:16 | 白发现首)

    不是16位的KEY能行不

  15. 2013-09-23 11:16 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @梧桐雨 我一直以为 d 后面字符串中如果有 - 符号就不能利用呢,看来我错了。。。。

  16. 2014-04-16 12:00 | wooyunmibu ( 路人 | Rank:0 漏洞数:1 | 嗯嗯嗯)

    makk