暴风某站WebShell泄露大量信息&&疑似可修改客户端视频接口

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-086150

漏洞标题：暴风某站WebShell泄露大量信息&&疑似可修改客户端视频接口

漏洞作者： pangshenjie

提交时间：2014-12-06 16:42

修复时间：2014-12-11 16:44

公开时间：2014-12-11 16:44

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-06：细节已通知厂商并且等待厂商处理中
2014-12-11：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

弱口令引发的血案。疑似可影响暴风影音客户端。

详细说明：

Ucenter弱口令：
bbs.shouji.baofeng.com/uc_server
admin

可获取webshell。拿shell的过程就不说了。

在/opt/modu***/nginx/conf/nginx.conf文件中看了下nginx的配置：

listen              80;
         root                /opt/live;
         server_name 127.0.0.1 img.shouji.baofeng.com api.shouji.baofeng.com ipad.shouji.* iphone.shouji.* live.shouji.baofeng.com;

看到还绑了几个其他域名，从域名判断应该是客户端的一些api
继续找数据库配置文件：

/opt/thu***/settings.py:
conf = {}
conf['cover-db'] = 'live'
conf['cover-host'] = '192.168.1.78'
conf['cover-port'] = 27017
conf['cover-user'] = ''
conf['cover-pwd'] = ''
conf['replicaset'] = 'rs0'
conf['timeout'] = 5000
if USE_TEST_MONGO:
    conf["host"] = "192.168.1.144"
    conf["cover-user"] = None
    conf['cover-pwd'] = None
else:
    conf["cover-user"] = "live_**"
    conf['cover-pwd'] = 'live_****ongodb'
    if PRODUCTION:
        conf['cover-host'] = "192.168.2.15"
    else:
        conf['cover-host'] = "114.112.82.15"

尝试用得到的密码连了下公网的那个mongodb：

吓尿，看起来是设置视频直播源的db，可修改台标cover_url、视频地址live_url
cover_url http://i0.letvimg.com/phone/201208/17/201208171335166961.png
live_url:http://live.gslb.letv.com/gslb?stream_id=zhejiang&tag=live&ext=m3u8&sign=live_phone
继续看了下，/opt/live/****/settings.py 找到另一处配置文件：

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql', # Add 'postgresql_psycopg2', 'mysql', 'sqlite3' or 'oracle'.
        'NAME': 'live',                      # Or path to database file if using sqlite3.
        'USER': 'live***',
        'PASSWORD': 'ndi1T****',
        'HOST': '192.168.3.6*',                      # Empty for localhost through domain sockets or '127.0.0.1' for localhost through TCP.
        'PORT': '3306',                      # Set to empty string for default.
    }
}

可成功连接：

视频数量也很大，通过表结构，发现这个数据库可控制
http://live.shouji.baofeng.com/live/channel_detail/?channel_id=16&os_version=ipad&bf_version=3.6.5
这个接口的信息。
同样的还有api.shouji.baofeng.com 等api的返回。可以YY一下，这个地方改一下，就要上头条了。

漏洞证明：

修复方案：

改密码。
过程获取的所有信息已删除。

版权声明：转载请注明来源 pangshenjie@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-11 16:44

厂商回复：

漏洞评价：

2014-12-06 19:22 | RainShine ( 路人 | Rank:2 漏洞数:4 )

卧槽，那不是helen的Webshell么？
2014-12-09 10:10 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

@RainShine 吓尿。
2014-12-11 19:26 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

@暴风影音无影响？呵呵
2014-12-11 19:30 | dir ( 路人 | Rank:8 漏洞数:3 | http://www.wooyun.org/)

@暴风影音无影响？？？节操何在？？？
2014-12-11 19:32 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

@pangshenjie 怎么拿的shell
2014-12-11 20:01 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

@小鸡鸡 WooYun: Discuz UC_Server 本地文件包含漏洞（有条件限制）

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-086150

漏洞标题：暴风某站WebShell泄露大量信息&&疑似可修改客户端视频接口

相关厂商：暴风影音

漏洞作者： pangshenjie

提交时间：2014-12-06 16:42

修复时间：2014-12-11 16:44

公开时间：2014-12-11 16:44

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 pangshenjie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-086150

漏洞标题：暴风某站WebShell泄露大量信息&&疑似可修改客户端视频接口

相关厂商：暴风影音

漏洞作者： pangshenjie

提交时间：2014-12-06 16:42

修复时间：2014-12-11 16:44

公开时间：2014-12-11 16:44

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-086150"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 pangshenjie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：