当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129976

漏洞标题:某团购网站版本控制信息泄露导致getshell

相关厂商:爱团网

漏洞作者: tnt1200

提交时间:2015-07-30 19:45

修复时间:2015-09-17 20:06

公开时间:2015-09-17 20:06

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开

简要描述:

某团购网站版本控制信息泄露导致getshell

详细说明:

爱团pic服务器存在svn配置文件:
http://pic0.aituan.com/public/images/at/act/.svn/entries

10
dir
8222
svn://dev.aituan.com/aituan.com/public/images/at/act
svn://dev.aituan.com/aituan.com
2014-11-05T05:51:05.942023Z
8131
wangyupeng
...


从配置文件可以看出svn地址为svn://dev.aituan.com/aituan.com并且存在wangyupeng用户。
这里使用svn_brute(https://gist.github.com/tnt1200/a7afb01c522b92d0b212)对svn进行爆破:

svn.png


可通过svn获得全站代码。
在phone_test.php中发现一处上传漏洞

public function upload() {
if (($_FILES ["file"] ["size"] < 200000000)) {
if ($_FILES ["file"] ["error"] > 0) {
echo "Return Code: " . $_FILES ["file"] ["error"] . "<br />";
} else {
$upload_params = config_item('upload_params');
$file = rand(0, 1000).$_FILES ["file"] ["name"];
move_uploaded_file ( $_FILES ["file"] ["tmp_name"], $upload_params['upload_path'] . $file);
$img = base64_encode(base_url().'uploads/'.$file);
redirect('at/phone_test/show?img='.$img);
}
} else {
echo "Invalid file";
}
}


可上传任意文件
上传点为http://www.aituan.com/at/phone_test/display

漏洞证明:

上传phpinfo证明,未深入。

2


3

修复方案:

增强svn口令,修补上传漏洞

版权声明:转载请注明来源 tnt1200@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-03 20:04

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商(或网站管理单位)的直接处置渠道,待认领。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-30 21:46 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    我来顶tnt表哥的

  2. 2015-07-30 23:00 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    tnt 没给你首页吗?

  3. 2015-07-30 23:46 | tnt1200 ( 普通白帽子 | Rank:121 漏洞数:17 | 关注飞机安全....)

    @goubuli @从容 小站,没有首页。利用方法应该算一个新思路。

  4. 2015-08-05 16:56 | Smilent ( 实习白帽子 | Rank:34 漏洞数:6 | None)

    我师父就是叼