当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100895

漏洞标题:阿里云某漏洞或可导致进入内网

相关厂商:阿里巴巴

漏洞作者: 杀器王子

提交时间:2015-03-12 13:50

修复时间:2015-04-26 13:52

公开时间:2015-04-26 13:52

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-12: 厂商已经确认,细节仅向厂商公开
2015-03-22: 细节向核心白帽子及相关领域专家公开
2015-04-01: 细节向普通白帽子公开
2015-04-11: 细节向实习白帽子公开
2015-04-26: 细节向公众公开

简要描述:

阿里云某漏洞或者导致进入内网

详细说明:

http://42.156.166.30/cdn/index.php
由于服务器配置 代码无法解析 直接下载

<?php
define("ROOT", dirname(__FILE__) . "/");
date_default_timezone_set('Asia/Chongqing');
ini_set('session.save_handler', 'User');
require('lib/session.lib.php');
$session = new SessionHandler();
$session->setDbDetails('kunlun146076.cm4', 'tb_cdn', 'ttj1tds2', 'taobao_cdn');
$session->setDbTable('cdn_session');
session_set_save_handler(array($session, 'open'),
                        array($session, 'close'),
                        array($session, 'read'),
                        array($session, 'write'),
                        array($session, 'destroy'),
                        array($session, 'gc'));
require('lib/Buc.Lib.php');
$ark_info = $_SESSION['data'];
$ark_info['WorkId'] = $ark_info['empId'];
if(preg_match('/^\/proxyApi/', $_SERVER['REQUEST_URI'])){
    $url = preg_replace('/^\/proxyApi/', '', $_SERVER['REQUEST_URI']);
    // $url = "http:/


mask 区域


*****.195*****






:9999{$url}";
    $url = "http://v125005080.bja:9999{$url}";
    $curl = curl_init();


泄露内网数据库配置
通过层层include 下载到部分代码 并确认是阿里云昆仑镜监控平台的代码

Snip20150312_144.png


Snip20150312_145.png


Snip20150312_146.png


Snip20150312_147.png


cdn监控报告库还有内部api泄露

漏洞证明:

我们回到上面

if(preg_match('/^\/proxyApi/', $_SERVER['REQUEST_URI'])){
    $url = preg_replace('/^\/proxyApi/', '', $_SERVER['REQUEST_URI']);
    // $url = "http://


mask 区域


*****195.*****






:9999{$url}";
    $url = "http://v125005080.bja:9999{$url}";


这这一段明显是个http代理
但是注释的ip已经不可访问 url是内网host
由于9999数据非常见端口 收集全国的ip地址 使用zmap进行扫描匹配
最终找到下面几个ip
42.96.128.7
42.96.128.240
42.96.128.220
42.96.128.141
42.96.128.111
以第一个为例
http://42.96.128.7:9999/

Snip20150312_148.png


应该就是这个代理服务器 但是由于不知道参数无法代理成功
爆破或者下载更多源码可能会有收获

修复方案:

下线

版权声明:转载请注明来源 杀器王子@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-03-12 14:41

厂商回复:

经测试代码泄露为边缘代码,且数据库是内网使用。感谢您对阿里巴巴安全的关注!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-12 16:12 | 崔超杰 ( 普通白帽子 | Rank:192 漏洞数:53 | 知仙)

    我刚成为会员,请问什么时候升级到普通白帽子啊

  2. 2015-03-12 18:07 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    666666

  3. 2015-03-12 19:59 | 感染者 ( 路人 | Rank:19 漏洞数:16 | 喜欢探索,愿与君共勉!)

    听说直接提交到他们自己的报告平台会有mac送的

  4. 2015-03-12 20:31 | 崔超杰 ( 普通白帽子 | Rank:192 漏洞数:53 | 知仙)

    感觉还是提交到第三方好些,乌云理念就是:自由平等开放,自己网站的自家漏洞平台,估计很难做到这点!

  5. 2015-03-12 21:03 | 麦香浓郁 ( 路人 | Rank:2 漏洞数:1 | 前排膜拜乌云ph m锅 凤凰 a11 dot 各种师傅)

    @崔超杰 你大喊三声疯狗万岁 立马普通白帽子

  6. 2015-03-12 21:37 | 崔超杰 ( 普通白帽子 | Rank:192 漏洞数:53 | 知仙)

    @麦香浓郁 好吧,作为新人的我应该多观察少说话

  7. 2015-03-12 22:56 | orange ( 普通白帽子 | Rank:185 漏洞数:38 | 戒骄戒躁。)

    @崔超杰 100rank

  8. 2015-03-12 22:58 | 崔超杰 ( 普通白帽子 | Rank:192 漏洞数:53 | 知仙)

    @orange 10个漏洞提交

  9. 2015-04-26 20:37 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    坚持精神