当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063700

漏洞标题:魅族两处任意文件上传,root权限可内网渗透,邮箱泄露,潜在被拖库

相关厂商:魅族科技

漏洞作者: lijiejie

提交时间:2014-06-06 00:26

修复时间:2014-06-11 00:26

公开时间:2014-06-11 00:26

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-06: 细节已通知厂商并且等待厂商处理中
2014-06-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上次给魅族提个漏洞,被直接忽略了。。。 于是乎,我想,不如来个更大力点的,让他们不好意思忽略?

详细说明:

任意文件上传的地方位于
http://developer.meizu.com/common/upload
还有上传身份证的地方。Flash本地判断扩展名啊,魅族的大神...
一开始测试发现存在任意文件上传,但无法得到上传路径。于是,早上用假身份证去注册了个账号,下午发现你们已经审核通过了。
轻松拿到shell,root呐,内网呐:

webshell2.png


ifconfig.png


找到account@meizu.com,登录了邮箱,限于时间,还没拿得到的密码去爆你们其他的账号:

meizu_email_2.png


魅族的密码Salt是:
meizu.system.salt.v1=xxx@meizu.com@xxx
数据库连接密码被jetty cipher加密了,以前没逆过,但是AES哥是成功逆过的,呵呵
两台数据库服务器是192.168.16.XXX。
过了会儿发现哥的shell被删了,原来魅族服务器上安装了个叫tencent.security.packagescan的玩意儿。。。 一开始太疏忽了,额。。。
就玩到这里吧,都被发现。 无力拖库了。。。 不过我试了下,随时都还能再上传成功,说明只是被扫描器干掉了,管理员指不定还不清楚状况呢?

漏洞证明:

修复方案:

你们更专业

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-06-11 00:26

厂商回复:

最新状态:

2014-06-12:该问题已经引起我们的高度重视,并第一时间进行了处理和对相关文件进行了检查!非常感谢大家对魅族的关注,谢谢!

2014-06-12:非常抱歉没有第一时间和作者确认漏洞,我们会进一步加强我们的业务安全,同时再次感谢大家对魅族业务的关注!

漏洞评价:

评论

  1. 2014-06-06 02:14 | M4ster ( 实习白帽子 | Rank:39 漏洞数:7 | www.m4ster@gmail.com)

    这个牛逼,mark一下。

  2. 2014-06-06 06:41 | YouYaX(乌云厂商)

    魅族用户飘过

  3. 2014-06-06 07:08 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    魅族用户飘过

  4. 2014-06-06 08:11 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    我去,脱裤

  5. 2014-06-06 08:54 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    求忽略...求详情...

  6. 2014-06-06 08:59 | 柠檬菜 ( 路人 | Rank:0 漏洞数:1 | 新手一枚)

    魅族在安全方面做的真心不足

  7. 2014-06-06 09:05 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    靠..MX3飘过

  8. 2014-06-06 09:13 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    魅族用户飘过

  9. 2014-06-06 09:34 | wkc_2014 ( 普通白帽子 | Rank:164 漏洞数:45 | 2014-)

    MX3

  10. 2014-06-06 10:40 | 影刺 ( 实习白帽子 | Rank:67 漏洞数:25 | 关注web安全)

    魅族用户飘过

  11. 2014-06-06 11:21 | Martial ( 普通白帽子 | Rank:544 漏洞数:103 )

    Iphone飘过

  12. 2014-06-06 13:45 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    厂商已忽略.

  13. 2014-06-06 14:34 | aaaaty ( 实习白帽子 | Rank:83 漏洞数:28 | 爱情就像,我问服务器whoami,它说root)

    魅族用户飘过

  14. 2014-06-06 16:47 | Lucien ( 路人 | Rank:4 漏洞数:1 | 一个普通用户)

    魅族忽略率76%

  15. 2014-06-06 17:42 | 4ck ( 路人 | Rank:8 漏洞数:1 | 过来转转)

    魅族

  16. 2014-06-09 20:24 | z7y丶 ( 路人 | Rank:4 漏洞数:1 | 我是z7y的表弟)

    魅族用户飘过

  17. 2014-06-11 00:45 | d0u ( 路人 | Rank:10 漏洞数:1 | 大道至简,衍化至繁)

    密码salt有点脑残

  18. 2014-06-11 03:58 | ヤ深蓝T透 ( 路人 | Rank:8 漏洞数:1 | 菜鸟求发展)

    [img src="http://logo.99965.org/weixiao.jpg"/] iphone飘过

  19. 2014-06-11 06:51 | Siro ( 实习白帽子 | Rank:66 漏洞数:11 | ) <Freedom /> (Fuck)

    忽略……

  20. 2014-06-11 08:20 | diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)

    这种厂商不多说什么了。洞主辛苦

  21. 2014-06-11 08:26 | j14n ( 普通白帽子 | Rank:114 漏洞数:23 | 我是一只小小小小鸟....)

    忽略。。

  22. 2014-06-11 09:20 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    拖库走起

  23. 2014-06-11 09:21 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    洞主提交时 看看厂商 魅族就没确认过 - - 提了也是白提。

  24. 2014-06-11 09:30 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    忽略。。

  25. 2014-06-11 11:00 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我靠?这也忽略?尼玛的,我tm用的可是你魅族的东西,乱忽略好不,给力点找人及时看看啊

  26. 2014-06-11 11:39 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    还好没用魅族的。。

  27. 2014-06-11 11:43 | 49miner ( 路人 | Rank:4 漏洞数:2 | 哈喽)

    @超威蓝猫 sqlmap提示:Sqlmap.exe: error: missing a mandatory option 该怎么办?

  28. 2014-06-11 11:44 | 49miner ( 路人 | Rank:4 漏洞数:2 | 哈喽)

    @wefgod 请问?

  29. 2014-06-11 12:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @49miner ?what

  30. 2014-06-11 12:48 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @49miner 缺必要的参数。(您不会用翻译吗?

  31. 2014-06-11 13:08 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    @wefgod 擦,我用的也是。。。

  32. 2014-06-11 13:10 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    魅族真TMD弱智

  33. 2014-06-11 13:10 | cooFool ( 路人 | Rank:0 漏洞数:2 | 终于通过了。)

    忽略。。。

  34. 2014-06-11 13:16 | 49miner ( 路人 | Rank:4 漏洞数:2 | 哈喽)

    @超威蓝猫 谢谢

  35. 2014-06-11 13:48 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    这厂商,没话说

  36. 2014-06-11 14:03 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    这个忽略的的牛叉了

  37. 2014-06-11 16:13 | hackesc ( 路人 | Rank:11 漏洞数:3 | 求各种基友)

    我用的MX3

  38. 2014-06-11 18:16 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    五天...这是超时忽略了吧

  39. 2014-06-11 18:49 | 云云 ( 路人 | Rank:0 漏洞数:2 | 我就一个马甲还要填信息?)

    居然又忽略....

  40. 2014-06-12 17:33 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    就魅族的态度,作为MX3用户的我 估计很快就能在网上下载到自己的库子了!

  41. 2014-06-12 17:53 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。就没看到魅族有确认几个漏洞。。

  42. 2014-06-15 00:14 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    心疼老大!

  43. 2014-09-23 09:50 | 百晓生 ( 实习白帽子 | Rank:40 漏洞数:14 | 我的时代,我做主)

    楼主不知道上传路径,后来是怎么拿到shell的?

  44. 2015-06-25 16:43 | 魅族科技(乌云厂商)

    @lijiejie 非常感谢白帽子lijiejie对魅族安全做出的贡献,我司安全部门刚刚成立不久,接管魅族厂商帐号之后,确实觉得之前的漏洞确认和评分不尽人意,特地申请了一批手机,一则感谢白帽子提供漏洞,二则反馈Wooyun社区,届时乌云管理员会联系你提供地址的,再次感谢您对魅族安全的关注。

  45. 2015-06-25 17:43 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @魅族科技 好的,多谢

  46. 2015-06-25 22:48 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哇,申请了MX4 PRO?别是魅蓝哈

  47. 2015-06-26 12:27 | j14n ( 普通白帽子 | Rank:114 漏洞数:23 | 我是一只小小小小鸟....)

    直接mx5吧