当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042767

漏洞标题:又一次失败的漫游腾讯内部网络过程 #2

相关厂商:腾讯

漏洞作者: 猪猪侠

提交时间:2013-11-13 13:24

修复时间:2013-11-13 15:06

公开时间:2013-11-13 15:06

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-13: 细节已通知厂商并且等待厂商处理中
2013-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

又一次大意导致安全测试失败,不得不赞一下腾讯在PHP安全领域的防护实力,当属国内第一!
将本次测试过程写出来,主要是想让乌云的小伙伴们能从中总结出错误经验,从而避免因为相似的粗心大意而使安全测试终止。
最后扯一句:小伙伴们,一起期待下一篇“又又一次失败的漫游腾讯内部网络过程”吧!
由于没有建立一个通用的标准和防御规则来保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。

详细说明:

#1 信息泄露原因
由于腾讯论坛管理员在更新服务器文件时,未注意到编辑器会默认创建各种.bak备份文件用来规避错误编辑时引发的数据丢失风险,从而造成了更严重的信息安全威胁。
#2 泄露内容
网站:tita.qq.com
网站:http://tita.qq.com/bbs
泄露文件1:http://tita.qq.com/bbs/config/config_global.php.bak
泄露文件2:http://tita.qq.com/bbs/config/config_ucenter.php.bak 

:<?php
$_config = array();
// ---------------------------- CONFIG DB ----------------------------- //
$_config['db']['1']['dbhost'] = '10.***.**.54:3303';
$_config['db']['1']['dbuser'] = 'mtt';
$_config['db']['1']['dbpw'] = 'mtt***';
$_config['db']['1']['dbcharset'] = 'gbk';
$_config['db']['1']['pconnect'] = '0';
$_config['db']['1']['dbname'] = 'discuz_sky';
$_config['db']['1']['tablepre'] = 'pre_';
$_config['db']['common']['slave_except_table'] = '';
// -------------------------- CONFIG MEMORY --------------------------- //
$_config['memory']['prefix'] = 'BG1mwW_';
$_config['memory']['eaccelerator'] = 1;
$_config['memory']['apc'] = 1;
$_config['memory']['xcache'] = 1;
$_config['memory']['memcache']['server'] = '';
$_config['memory']['memcache']['port'] = 11211;
$_config['memory']['memcache']['pconnect'] = 1;
$_config['memory']['memcache']['timeout'] = 1;
// -------------------------- CONFIG SERVER --------------------------- //
$_config['server']['id'] = 1;
// ------------------------- CONFIG DOWNLOAD -------------------------- //
$_config['download']['readmod'] = 2;
$_config['download']['xsendfile']['type'] = '0';
$_config['download']['xsendfile']['dir'] = '/down/';
// --------------------------- CONFIG CACHE --------------------------- //
$_config['cache']['type'] = 'sql';
// -------------------------- CONFIG OUTPUT --------------------------- //
$_config['output']['charset'] = 'gbk';
$_config['output']['forceheader'] = 1;
$_config['output']['gzip'] = '0';
$_config['output']['tplrefresh'] = 1;
$_config['output']['language'] = 'zh_cn';
$_config['output']['staticurl'] = 'static/';
$_config['output']['ajaxvalidate'] = '0';
$_config['output']['iecompatible'] = '0';
// -------------------------- CONFIG COOKIE --------------------------- //
$_config['cookie']['cookiepre'] = 'HeCR_';
$_config['cookie']['cookiedomain'] = '';
$_config['cookie']['cookiepath'] = '/';
// ------------------------- CONFIG SECURITY -------------------------- //
$_config['security']['authkey'] = '05b9d******BBJRt';
$_config['security']['urlxssdefend'] = 0;
$_config['security']['attackevasive'] = '0';
$_config['security']['querysafe']['status'] = 1;
$_config['security']['querysafe']['dfunction']['0'] = 'load_file';
$_config['security']['querysafe']['dfunction']['1'] = 'hex';
$_config['security']['querysafe']['dfunction']['2'] = 'substring';
$_config['security']['querysafe']['dfunction']['3'] = 'if';
$_config['security']['querysafe']['dfunction']['4'] = 'ord';
$_config['security']['querysafe']['dfunction']['5'] = 'char';
$_config['security']['querysafe']['daction']['0'] = 'intooutfile';
$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
$_config['security']['querysafe']['daction']['2'] = 'unionselect';
$_config['security']['querysafe']['daction']['3'] = '(select';
$_config['security']['querysafe']['daction']['4'] = 'unionall';
$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
$_config['security']['querysafe']['dnote']['0'] = '/*';
$_config['security']['querysafe']['dnote']['1'] = '*/';
$_config['security']['querysafe']['dnote']['2'] = '#';
$_config['security']['querysafe']['dnote']['3'] = '--';
$_config['security']['querysafe']['dnote']['4'] = '"';
$_config['security']['querysafe']['dlikehex'] = 1;
$_config['security']['querysafe']['afullnote'] = '0';
// -------------------------- CONFIG ADMINCP -------------------------- //
// -------- Founders: $_config['admincp']['founder'] = '1,2,3'; --------- //
$_config['admincp']['founder'] = '1';
$_config['admincp']['forcesecques'] = '0';
$_config['admincp']['checkip'] = 0;
$_config['admincp']['runquery'] = 0;
$_config['admincp']['dbimport'] = 0;
// -------------------------- CONFIG REMOTE --------------------------- //
$_config['remote']['on'] = '0';
$_config['remote']['dir'] = 'remote';
$_config['remote']['appkey'] = '62cf0b3c3e**********16839721d8e';
$_config['remote']['cron'] = '0';
// ------------------- QROM DIY -------------------- //
$_config['plugindeveloper'] = yes;
// ------------------- THE END -------------------- //
?>


<?php
define('UC_CONNECT', 'mysql');
define('UC_DBHOST', '10.***.**.54:3303');
define('UC_DBUSER', 'mtt');
define('UC_DBPW', 'mtt***');
define('UC_DBNAME', 'discuz_sky');
define('UC_DBCHARSET', 'gbk');
define('UC_DBTABLEPRE', '`discuz_sky`.pre_ucenter_');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'gbk');
define('UC_KEY', 'bc21Y0P7U4x91fN4Jexdz7********************4M5C8U3NdL8Q3X19eod');
define('UC_API', 'http://tita.qq.com/bbs/uc_server');
define('UC_APPID', '1');
define('UC_IP', '');
define('UC_PPP', 20);


漏洞证明:

#4 漏洞证明 (有UC_KEY,Discuz等于可以做任何事)
详细利用方法参见: WooYun: 途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急)
#5 证明细节(对于有些人你不发个SHELL出来,他们永远会觉得这不是安全问题!)
例如盛大: WooYun: 盛大某分站敏感配置文件泄露#1 可导致内网渗透
#6 利用细节
由于Discuz UC_SERVER 的updateapps接口未严格校验客户端提交的数据,导致可写入任意代码至/config/config_ucenter.php。

$code=urlencode(_authcode("time=$timestamp&action=updateapps", 'ENCODE', $uc_key));


鉴于!Discuz在乌云已经属于无良厂商,这里不纰漏详细代码,
另外扯一句:Discuz最好做好“以后都别指望从好心的白帽子手上免费获取任何漏洞信息”的准备了!,用Discuz厂商的们,都夹紧尾巴低调吧,别哪天一不小心就被黑了!
围观: WooYun: 安全测试#1 如何搞定discuz.net官方!
#7 没图没SHELL说个毛线?

discuz_qq.jpg


我想被腾讯的全量日志监控系统发现的原因是:“执行了phpinfo()这个坑爹的函数,phpinfo()返回的数据包全是未加密的HTTP原文,从而被监控系统直接识别出里面的各种恶心入侵关键字,触发IDS报警,从而发现了这次的测试行为!”

修复方案:

#1 网络边界需要认真对待。
#2 杜绝为了方便而造成的不必要的信息泄露。
#3 安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-13 15:06

厂商回复:

该漏洞在渗透过程中我们已经发现并处理,暂未发现对业务和用户造成安全影响,如您有进一步发现,请及时与我们联系。

漏洞Rank:8 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-13 13:25 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    碰巧坐上沙发,我是一楼。坐等忽略。

  2. 2013-11-13 13:26 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark!!

  3. 2013-11-13 13:26 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    又一次....

  4. 2013-11-13 13:27 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    小伙伴们,一起期待下一篇“又又一次失败的漫游腾讯内部网络过程”吧!

  5. 2013-11-13 13:27 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    路过,请敲门。

  6. 2013-11-13 13:27 | 光头强 ( 路人 | Rank:30 漏洞数:3 | 惹我光头强,揍你没商量!)

    @猪猪侠 又又,切克闹,腾讯裤子来一套,来一套!!!

  7. 2013-11-13 13:29 | Evi1m0 ( 路人 | Rank:8 漏洞数:2 | 邪红色信息安全组织)

    1024

  8. 2013-11-13 13:37 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    1024

  9. 2013-11-13 13:38 | solihat ( 路人 | Rank:10 漏洞数:3 | white hat,webapp security)

    感谢猪猪侠同学的友情检测,我们会继续提升能力,也请各位白帽子在安全测试中注意遵守国家相关法律!

  10. 2013-11-13 13:41 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    期待下一篇“一次成功的漫游腾讯内部网络过程”!

  11. 2013-11-13 13:42 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    我的偶像啊。。。。@猪猪侠 可以爆个照么。求签名吧

  12. 2013-11-13 13:47 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    期待下一篇“我是如何在腾讯内部找到某某接口”!

  13. 2013-11-13 13:50 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    猪猪侠应该先去腾讯应聘,然后就有“我是如何成功打入腾讯内部”

  14. 2013-11-13 13:50 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    期待下一篇“我是如何入侵乌云并给每个人1000 WB”!

  15. 2013-11-13 13:51 | Mr.醉心 ( 路人 | Rank:2 漏洞数:2 | 爱生活,爱音乐,爱美女,更爱波多野结衣)

    又又,切克闹,腾讯裤子来一套,来一套!!!

  16. 2013-11-13 13:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    老失败啊 怎么

  17. 2013-11-13 14:00 | y0umer ( 普通白帽子 | Rank:103 漏洞数:11 | 装逼就像大姨妈,一月来一次足矣)

    这个必须..

  18. 2013-11-13 14:02 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    怎么又失败了啊!期待你下次成功啊!

  19. 2013-11-13 14:07 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    - -无数个膜拜不说话

  20. 2013-11-13 14:16 | Sleshep ( 路人 | Rank:2 漏洞数:1 | 隼)

    失败是成功他妈

  21. 2013-11-13 14:22 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    后排占位~~~~~~~~猪猪太霸气了~~~~必须学习

  22. 2013-11-13 14:53 | 剑无名 ( 普通白帽子 | Rank:146 漏洞数:32 | 此剑无名。)

    小伙伴们,一起期待下一篇“又又一次失败的漫游腾讯内部网络过程”吧!

  23. 2013-11-13 14:57 | 机械迷城 ( 路人 | Rank:4 漏洞数:1 | 菜鸟一枚。。大牛飘过)

    期待

  24. 2013-11-13 15:06 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    期待下一篇“一次成功的漫游腾讯内部网络过程”!

  25. 2013-11-13 15:24 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    太好了...公布了...学习学习。。。

  26. 2013-11-13 15:34 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    执行了phpinfo()这个坑爹的函数....就被发现了?好强大的防御系统。感谢TX忽略此漏洞,让小伙伴们提前查看细节!

  27. 2013-11-13 15:41 | M0nster ( 实习白帽子 | Rank:53 漏洞数:17 | 允许我国的艺术家先富起来)

    偶像

  28. 2013-11-13 16:19 | sql 认证白帽子 ( 核心白帽子 | Rank:1127 漏洞数:145 | 带着两个MM(mysql,mssql),玩3p(asp,php...)

    貌似猪哥的扫描器 扫 config_global.php.bak 之类很牛逼的样子哦

  29. 2013-11-13 16:33 | 剑无名 ( 普通白帽子 | Rank:146 漏洞数:32 | 此剑无名。)

    @sql 我总觉得你的sql扫描器也很牛逼,可以分享给我吗?

  30. 2013-11-13 16:44 | xx123 ( 路人 | Rank:1 漏洞数:1 | 雷锋)

    MARK,猪哥V5

  31. 2013-11-13 18:25 | 盛大网络(乌云厂商)

    UC_API GBK吧

  32. 2013-11-13 18:33 | feng ( 普通白帽子 | Rank:664 漏洞数:79 | 想刷个6D)

    敢成功一次不

  33. 2013-11-13 19:43 | jaojan ( 路人 | Rank:21 漏洞数:10 | xss my life)

    猪哥V587

  34. 2013-11-13 20:25 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    V587

  35. 2013-11-13 22:12 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @猪猪侠 一哥你好 一哥再见

  36. 2013-11-14 00:36 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    memcached利用了没

  37. 2013-11-14 08:56 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    霸气测漏,大家一起渗透测试腾讯内网吧 期待与猪哥在腾讯内网见面

  38. 2013-11-14 09:52 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    - -!这是什么节奏,无影响,厂商忽略...

  39. 2013-11-15 10:03 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    @盛大网络 你又来调皮了

  40. 2013-11-15 11:49 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    砖石已到帐请注意查收。

  41. 2013-11-16 10:59 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    黑哥成为一哥啦

  42. 2013-11-17 11:38 | insight-labs 认证白帽子 ( 普通白帽子 | Rank:623 漏洞数:75 | Security guys)

    应该不是通过返回的数据被发现,估计是那个直接出现在url里的phpinfo

  43. 2013-11-22 23:16 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    heige 真是个牛逼人物

  44. 2013-11-24 13:15 | 腾讯厂商 ( 路人 | Rank:0 漏洞数:1 | script>document.cookie("http//a.cc/21.js...)

    哈哈 猪猪侠你好!

  45. 2013-12-09 22:58 | Cpt.Tony ( 路人 | Rank:0 漏洞数:1 | 兴趣)

    腾讯表示再也受不了了……

  46. 2013-12-09 23:02 | Cpt.Tony ( 路人 | Rank:0 漏洞数:1 | 兴趣)

    @腾讯厂商 tita这玩意实在坑爹,麻烦你们处理好了再上线成不?

  47. 2013-12-11 08:57 | 低调 ( 实习白帽子 | Rank:42 漏洞数:18 | .......)

    咱能成功次吗?