当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043480

漏洞标题:APP终结者#从某一APP安全到万千厂商APP沦陷

相关厂商:道有道

漏洞作者: zzR

提交时间:2013-11-20 14:54

修复时间:2014-01-04 14:55

公开时间:2014-01-04 14:55

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:13

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-01-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

话说怎么这么多的恶意APP呢,就是这样来的吧!从点到面,APP云端安全不闹!

详细说明:

首先关注了中粮的一个app,在抓包分析的过程中发现其数据并不是到中粮,而是到了另外的站点
请求如下:

GET api.cy.daoyoudao.com/app/diydishlist.do?groupid=11016&shopid=12112&curpage=1&pagesize=15&type=commend&clientid=201311201117453907286&versionrelease=ios_ HTTP/1.1
Host: api.cy.daoyoudao.com
Accept-Encoding: gzip
User-Agent: 中粮君顶华悦 2.2.1 (iPhone; iPhone OS 7.0.4; zh_CN)
Connection: keep-alive
Proxy-Connection: keep-alive


根据Host找到他的官网

http://www.daoyoudao.com/
全球领先的APP开放平台
iDian是全球领先的集APP制作、发布、管理、统计于一体的开放平台。通过这个平台,iDian平台合作伙伴不需要任何技术背景,就可以帮助客户轻松制作、发布、管理APP。
iDian开放平台不但承载道有道研发的APP产品,同时还不断吸纳出色的开发者,汇聚企业APP行业最丰富、最优秀、最具性价比的产品。选择iDian,选择APP行业。iDian现正面向全球招募合作伙伴。


是一个平台哦,看看是不是有其他的客户app

tuiguan.png


客户还不少,再次去下载一个app(西部影城)查看其中的请求

GET /app/gettourmenulist.do?tenantid=10296&shopid=0&systype=ios HTTP/1.1
Host: api.sh2.daoyoudao.com
Accept-Encoding: gzip
User-Agent: 西部影城 2.4.0 (iPhone; iPhone OS 7.0.4; zh_CN)
Connection: keep-alive
Proxy-Connection: keep-alive


确实是出自同一平台!要是能……
的确他还确实存在远程命令执行

漏洞证明:

接下来就简单了
GETshell

apps.png


目测几万APP~恣意更改呀!

[/usr/local/industry/sh2/api/]$ id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:java_t:SystemLow-SystemHigh
[/usr/local/industry/sh2/api/]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
hsqldb:x:96:96::/var/lib/hsqldb:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:4294967294:4294967294:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
avahi:x:70:70:Avahi daemon:/:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
avahi-autoipd:x:100:104:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin
gdm:x:42:42::/var/gdm:/sbin/nologin
mysql:x:500:500::/home/mysql:/bin/bash
nagios:x:501:501::/home/nagios:/bin/bash
[/usr/local/industry/sh2/api/]$
[/usr/local/industry/sh2/api/]$ ipconfig
/bin/sh: ipconfig: command not found
[/usr/local/industry/sh2/api/]$ ifconfig
eth0 Link encap:Ethernet HWaddr F0:1F:AF:DC:E9:31
inet addr:211.144.132.51 Bcast:211.144.132.63 Mask:255.255.255.224
inet6 addr: fe80::f21f:afff:fedc:e931/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:306157769 errors:0 dropped:0 overruns:0 frame:0
TX packets:323832613 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:166805423119 (155.3 GiB) TX bytes:276261539837 (257.2 GiB)
Interrupt:177
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:80762571 errors:0 dropped:0 overruns:0 frame:0
TX packets:80762571 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:252860008976 (235.4 GiB) TX bytes:252860008976 (235.4 GiB)


话说怎么这么多的恶意APP呢,就是这样来的吧!

修复方案:

人民群众需要安全的平台!

版权声明:转载请注明来源 zzR@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2013-11-20 16:55 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    你在乌云这么淫荡,你家里人知道吗?

  2. 2013-11-20 16:59 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @小胖子 你猜·

  3. 2013-11-20 17:55 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    淫荡啊

  4. 2013-11-22 15:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这么给力?

  5. 2013-11-22 16:15 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @wefgod @niliu 事情呢就是这么个事情,情况呢就是这么个情况

  6. 2013-11-22 18:50 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @zzR 速速公开。

  7. 2014-01-04 16:17 | 乌云 ( 实习白帽子 | Rank:66 漏洞数:14 | a)

    我擦。。。这就忽略了。。。。

  8. 2014-12-31 21:45 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    远程命令执行是怎么弄的??