当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051133

漏洞标题:迅雷分站逻辑错误GetShell后可内网渗透

相关厂商:迅雷

漏洞作者: Chora

提交时间:2014-02-16 21:38

修复时间:2014-04-02 21:38

公开时间:2014-04-02 21:38

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-16: 细节已通知厂商并且等待厂商处理中
2014-02-18: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向核心白帽子及相关领域专家公开
2014-03-10: 细节向普通白帽子公开
2014-03-20: 细节向实习白帽子公开
2014-04-02: 细节向公众公开

简要描述:

发现迅雷跟奇艺顶级域名网段都用的一套系统,可惜java审计能力是渣渣,无能为力,待老衲回东莞修炼500年。

详细说明:

通过nslookup,子域名,phpinfo收集了一些迅雷的网段,这次看的都是应用层并没有对几个网段进行扫描。119.147.41.209
123.162.191.9
121.10.120.187
183.60.209.87
121.14.82.142
116.255.248.126
58.61.39.254
顶级域名段有个JIRA项目系统,奇艺也有,但是迅雷开了注册,可以登陆进去,但是没拿到shell,但是能收集到内网里面的项目跟信息,为了防止社工跟爆破还是禁止注册吧。下次分析了0day再来看这套系统。

0.png


在google,site:xunlei.com 上传,找到一个可上传的种子的站点,ping了下没有采用cdn在另外一个网段,迅雷这么大多业务,肯定有好多网段啦,于是开始行动。

1.png


传图片提示失败,看来用javascript限制了类型只能为种子文件torrent。本想禁止javascript上传但太麻烦,还是抓包吧。

2.png


改成1.php上传发现后上传成功,但是访问的时候却没有这个文件,

3.png

为了证实到底被删了还是根本没穿上去,于是又改成gif传了到,发现上传上去了,但是是处理过的图片,说明程序定义了这个content-type,

4.png


这个时候我有两个想法,第一个就是上传一个压缩文件看看是否会被处理,是否定义,是否有单独的文件,然后在改content-type进行欺骗;第二个就是注意到表单里面是files[]数组,说明能够同时上传多个文件,尝试下双文件欺骗,于是乎新建了个表单

<form enctype="multipart/form-data" method="post" action="http://pai.xunlei.com/server/">
<input type="file" name="files[]" />
<input type="file" name="files[]" />
<input type="submit">
</form>
第一个上传1.torrent,第二个上传2.php,发现上传成功。


5.png


成功拿到shell。

6.png


权限有点死就只能看到这几个站,其他看不到,于是乎就找数据库,发现了root账号密码。

7.png


进去看了下发现http://spark.m.xunlei.com/的数据库,登陆进去打了会儿酱油,但是没拿到shell,

8.png


后面才反应过来是mysql root权限。基本可以做任何事情,看了下网卡确实是迅雷网段的。本来想进一步udf提权进行渗透,但是只是检测,点到为止。等苦练几百年得到迅雷的授权书再深入吧。

9.png

漏洞证明:

附送一个分站吧,当时知道是跑偏了手贱还是去看了下用的08cms的。懒得分析0day了,搜索了下网上现成的拿了shell。

1.png


2.png


3.png


两个站一个站一个一句话,删除即可。

修复方案:

第一个站数组改用变量吧。

版权声明:转载请注明来源 Chora@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-02-18 23:12

厂商回复:

已经在处理相关问题,感谢您对迅雷安全的支持

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-16 22:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    牛淫

  2. 2014-02-16 22:31 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    @xsser 淫牛需要莞式服务吗?

  3. 2014-02-17 09:08 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    再次膜拜下。。。

  4. 2014-02-17 10:31 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    源码来

  5. 2014-02-17 11:24 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    @wefgod JIRA项目管理系统

  6. 2014-02-17 11:29 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Chora 查了下,似乎不是开源的

  7. 2014-02-17 11:31 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    @wefgod 是开源的网上能下到,大型公司基本都有这个。小的我还能审计,大型java项目我就是渣渣啊。

  8. 2014-02-17 11:42 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Chora 居然开源的?好像木有找到源码不过也是粗看了一眼……

  9. 2014-02-17 11:53 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 狗哥求审核漏洞。不通过也木有事情……

  10. 2014-04-03 09:44 | gh0stbo ( 路人 | Rank:7 漏洞数:4 | 网络安全狂热爱好者!)

    通过nslookup,子域名,phpinfo收集了一些迅雷的网段nslookup怎么收集网段信息啊?

  11. 2014-04-04 10:15 | lkboboy ( 路人 | Rank:2 漏洞数:1 | 无所事事)

    威武!!!

  12. 2014-11-02 21:59 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    Mark

  13. 2015-09-18 13:13 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    不得不说,楼主确实牛逼!