当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075425

漏洞标题:优酷某站配置不当导致getshell,用户泄露,内部邮件泄露,并可内网漫游

相关厂商:优酷

漏洞作者: if、so

提交时间:2014-09-08 10:31

修复时间:2014-10-23 10:32

公开时间:2014-10-23 10:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-08: 细节已通知厂商并且等待厂商处理中
2014-09-08: 厂商已经确认,细节仅向厂商公开
2014-09-18: 细节向核心白帽子及相关领域专家公开
2014-09-28: 细节向普通白帽子公开
2014-10-08: 细节向实习白帽子公开
2014-10-23: 细节向公众公开

简要描述:

大半夜在看视频,看着看着就发现了优酷某站配置不当导致getshell,用户泄露,内部邮件泄露,并可内网漫游等严重问题,尼玛,光看代码看了2个小时!此次渗透可谓是一波三折,提交漏洞时,思路花了好久才理清,花了一夜时间,马上天亮了

详细说明:

晚上在看优酷视频的时候跳出了优酷分享计划,随便点了几下,就跳到了今晚的主角,http://bbs.share.youku.com。

1111.png


论坛使用discuz x3.0搭建,

http://bbs.share.youku.com/home.php?mod=space&uid=1

发现samo是管理员,试了试管理员弱口令,失败,尝试一些配置文件的bak,也提示404.准备离开的时候竟然发现data可以列目录!

1111.png


在里面发现了一个感觉有料的文件log.tar.gz的文件,下载回来发现是一些日志文件。

1111.png


一共45个文件,有些文件就是一些系统日志文件,有些文件记录了详细敏感的信息。
比如smtp.php就记录了发信失败的记录

<?PHP exit;?>	2014-03-13 09:51:14	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:24	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:36	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:37	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:41	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:43	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:44	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
...


而cplog.php和illegallog.php就比较有价值了,分别截取一些片段
cplog

{server=smtp.foxmail.com; port=25; }; 1={server=smtp.163.com; port=25; }; 2={server=smtp.163.com; port=25; }; }; esmtp={0={server=smtp.foxmail.com; port=25; auth=1; from=yuanchuang-test@foxmail.com; auth_username=yuanchuang-test@foxmail.com; auth_password=y********re; }; 1={server=smtp.163.com; port=25; auth=1; from=youkusamo@163.com; auth_username=youkusamo@163.com; auth_password=9********07; }; 2={server=smtp.163.com; port=25; auth=1; from=shaiyuanchuang@163.com; auth_username=shaiyuanchuang@163.com; auth_password=y********re; }; }; mailusername=1; sendmail_silent=1; }; }; test_from=shaiyuanchuang@163.com; test_to=315832738@qq.com; mailcheck=检测邮件发送设置; }; POST={anchor=mailcheck; operation=mailcheck; settingnew={mail={mailsend=2; smtp={0={server=smtp.foxmail.com; port=25; }; 1={server=smtp.163.com; port=25; }; 2={server=smtp.163.com; port=25; }; }; esmtp={0={server=smtp.foxmail.com; port=25; auth=1; from=yuanchuang-test@foxmail.com; auth_username=yuanchuang-test@foxmail.com; auth_password=y********re; }; 1={server=smtp.163.com; port=25; auth=1; from=youkusamo@163.com; auth_username=youkusamo@163.com; auth_password=9********07; }; 2={server=smtp.163.com; port=25; auth=1; from=shaiyuanchuang@163.com; auth_username=shaiyuanchuang@163.com; auth_password=y********re; }; }; mailusername=1; sendmail_silent=1; }; }; test_from=shaiyuanchuang@163.com; test_to=315832738@qq.com; mailcheck=检测邮件发送设置; };


illegallog.php

<?PHP exit;?>	1381895976	test	1***5	Ques #0	211.157.171.226
<?PHP exit;?>	1381977787		12***6	Ques #0	211.157.171.226
<?PHP exit;?>	1382342805	samo	9***7	Ques #0	211.157.171.226
<?PHP exit;?>	1382342825	samo	9***7	Ques #0	211.157.171.226
<?PHP exit;?>	1382698952	samo	s***o	Ques #0	211.157.171.226
<?PHP exit;?>	1382931098	裂舞	19***7	Ques #0	10.155.9.34
<?PHP exit;?>	1382931108	裂舞	19***7	Ques #0	10.155.9.34
<?PHP exit;?>	1382931120	裂舞	54MW***en	Ques #0	10.155.9.34
<?PHP exit;?>	1382931184	裂舞	mao***ot	Ques #0	10.155.9.34
<?PHP exit;?>	1383144109	lan	la***n	Ques #0	124.204.144.76


从上面2个文件我们得出:论坛使用163或者Foxmail作为系统邮箱,然后就是发现samo的密码可能为:9***7,s***o这2个,可是文件里面中间都是3位星号,不确定密码到底是几位,不然就可以直接爆破了。
于是现在就卡在这里了,看看上面的smtp日志,感觉yuanchuang-test@foxmail.com和shaiyuanchuang@163.com邮箱的密码就是youkushare,从长度和可能性都很像,我们尝试登录进邮箱看看了,最后只登陆进去了shaiyuanchuang@163.com。

1111.png


发现这个邮箱只有系统发信的内容,没有其他敏感信息。。
峰回路转##
再仔细拍查了下,发现了

auth_username=youkusamo@163.com; auth_password=9********07

(见上面的cplog.php代码片段)
发现youkusamo@163.com应该就是管理员的邮箱,9********07和illegallog.php里面的记录也很相似,密码应该就是9********07,可是中间密码都被隐去了,都不确定几位数,真是想暴力破解都不行。又卡在这里了。最后实在没办法,只能一个个php文件翻了,希望能发现好东西。cplog.php代码特别多,特别长,我看完足足花了2个小时,代码繁多,一不小心就看花眼了老天见我如此勤劳,觉得奖赏我,我竟然发现了没有隐去密码的9********071!
发现的一霎那,我都不敢乱动,生怕鼠标移走了又找不到了

1111.png


卧槽,真是再看这些代码就要吐了
果断立刻尝试登录后台
http://bbs.share.youku.com/admin.php samo 901107
成功进入!!

1111.png


发现版本是discuz 3.0,可以使用 WooYun: Discuz的利用UC_KEY进行getshell 来getshell
成功getshell:

http://bbs.share.youku.com/config/config_ucenter.php


密码:c

1111.png


6000多名分享计划人员信息泄露

1111.png


执行命令发现在内网

[/bbshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/config/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1	localhost.localdomain localhost
::1		localhost6.localdomain6 localhost6
10.103.52.121   localhost.localdomain
10.103.20.163   mcenterapi.youku.com
#10.25.10.50     api.tudou.com
10.108.89.19    login.tudou.com
10.103.52.121   b01.web.revenue.b28.youku
123.126.98.166	api.tudou.com


可以架设一个代理来进行内网漫游!可是我实在没力气了,就不深入了。
可是还没有完,我又想到了youkusamo@163.com的密码有没有可能也是901107?
尝试登陆下,果然登陆进去了,在里面发现更为给力的东西

1111.png


2222.png


4444.png


如图示,他应该设置了邮件服务器的转发功能,也是就是把自己youku的公司信箱转发到了这个163邮箱!!安全意识啊!

漏洞证明:

1111.png


[/bbshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/config/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1	localhost.localdomain localhost
::1		localhost6.localdomain6 localhost6
10.103.52.121   localhost.localdomain
10.103.20.163   mcenterapi.youku.com
#10.25.10.50     api.tudou.com
10.108.89.19    login.tudou.com
10.103.52.121   b01.web.revenue.b28.youku
123.126.98.166	api.tudou.com


1111.png


2222.png


4444.png

修复方案:

好好修复吧

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-09-08 11:15

厂商回复:

多谢提醒,马上修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-08 10:39 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    看洞主发的洞,估计是内射上瘾了,哈哈哈

  2. 2014-09-08 10:43 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    看视频看着看着……

  3. 2014-09-08 12:18 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    别人也要放中秋的好吧,就不能迟一天发?作死!!

  4. 2014-09-08 12:35 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @Stardustsky 他们只需点下确认

  5. 2014-09-08 12:41 | 炊烟 ( 普通白帽子 | Rank:238 漏洞数:44 | 每一天都需要努力。)

    mark

  6. 2014-09-08 15:42 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    看视频看着看着……

  7. 2014-09-09 20:32 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    围观中

  8. 2014-09-28 15:36 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    佩服洞主心细如尘,之前这个站尝试很多次无果的:(

  9. 2014-09-28 15:42 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @梧桐雨 。。主要不会编程,不然写个正则匹配检测那些php文件,妥妥的

  10. 2014-10-08 15:12 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

    @if、so grep,find,可以省2个小时~总的来说,还是灰常佩服的~

  11. 2014-10-08 17:39 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    干的漂亮

  12. 2014-10-14 15:29 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    欲哭无泪,大概三个月前我看到这里 没有洞主细心 没找到 ╮(╯▽╰)╭ 膜拜

  13. 2014-10-23 10:55 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    幸福的歌声传遍·四方~

  14. 2014-10-23 10:59 | JulyTornado ( 普通白帽子 | Rank:339 漏洞数:43 | 善战者,无赫赫之功)

    运维已被开除。。。

  15. 2014-10-23 11:33 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    优酷的广告,真他娘的烦,长达一分钟,要逆天哪????

  16. 2014-11-28 11:39 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

    干的漂亮

  17. 2014-12-11 14:21 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    赞一个~另外,notepad++支持在打开的所有文件里搜索指定字符串,你可以试试