当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086150

漏洞标题:暴风某站WebShell泄露大量信息&&疑似可修改客户端视频接口

相关厂商:暴风影音

漏洞作者: pangshenjie

提交时间:2014-12-06 16:42

修复时间:2014-12-11 16:44

公开时间:2014-12-11 16:44

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-06: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

弱口令引发的血案。疑似可影响暴风影音客户端。

详细说明:

Ucenter弱口令:
bbs.shouji.baofeng.com/uc_server
admin

ucenter admin .png


可获取webshell。拿shell的过程就不说了。

SHELL.jpg


在/opt/modu***/nginx/conf/nginx.conf文件中看了下nginx的配置:

listen              80;
root /opt/live;
server_name 127.0.0.1 img.shouji.baofeng.com api.shouji.baofeng.com ipad.shouji.* iphone.shouji.* live.shouji.baofeng.com;


看到还绑了几个其他域名,从域名判断应该是客户端的一些api
继续找数据库配置文件:

/opt/thu***/settings.py:
conf = {}
conf['cover-db'] = 'live'
conf['cover-host'] = '192.168.1.78'
conf['cover-port'] = 27017
conf['cover-user'] = ''
conf['cover-pwd'] = ''
conf['replicaset'] = 'rs0'
conf['timeout'] = 5000
if USE_TEST_MONGO:
conf["host"] = "192.168.1.144"
conf["cover-user"] = None
conf['cover-pwd'] = None
else:
conf["cover-user"] = "live_**"
conf['cover-pwd'] = 'live_****ongodb'
if PRODUCTION:
conf['cover-host'] = "192.168.2.15"
else:
conf['cover-host'] = "114.112.82.15"


尝试用得到的密码连了下公网的那个mongodb:

pubmongo.jpg


吓尿,看起来是设置视频直播源的db,可修改台标cover_url、视频地址live_url
cover_url http://i0.letvimg.com/phone/201208/17/201208171335166961.png
live_url:http://live.gslb.letv.com/gslb?stream_id=zhejiang&tag=live&ext=m3u8&sign=live_phone
继续看了下,/opt/live/****/settings.py 找到另一处配置文件:

DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql', # Add 'postgresql_psycopg2', 'mysql', 'sqlite3' or 'oracle'.
'NAME': 'live', # Or path to database file if using sqlite3.
'USER': 'live***',
'PASSWORD': 'ndi1T****',
'HOST': '192.168.3.6*', # Empty for localhost through domain sockets or '127.0.0.1' for localhost through TCP.
'PORT': '3306', # Set to empty string for default.
}
}


可成功连接:

live database.jpg


live count video.jpg


视频数量也很大,通过表结构,发现这个数据库可控制
http://live.shouji.baofeng.com/live/channel_detail/?channel_id=16&os_version=ipad&bf_version=3.6.5
这个接口的信息。
同样的还有api.shouji.baofeng.com 等api的返回。可以YY一下,这个地方改一下,就要上头条了。

漏洞证明:

SHELL.jpg


live.jpg


vvv2.jpg


pubmongo.jpg


修复方案:

改密码。
过程获取的所有信息已删除。

版权声明:转载请注明来源 pangshenjie@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-11 16:44

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-12-06 19:22 | RainShine ( 路人 | Rank:2 漏洞数:4 )

    卧槽,那不是helen的Webshell么?

  2. 2014-12-09 10:10 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @RainShine 吓尿。

  3. 2014-12-11 19:26 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @暴风影音 无影响?呵呵

  4. 2014-12-11 19:30 | dir ( 路人 | Rank:8 漏洞数:3 | http://www.wooyun.org/)

    @暴风影音 无影响???节操何在???

  5. 2014-12-11 19:32 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

    @pangshenjie 怎么拿的shell

  6. 2014-12-11 20:01 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )