当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140315

漏洞标题:乐视网某系统配置不当导致Getshell

相关厂商:乐视网

漏洞作者: 蓝冰

提交时间:2015-09-10 21:40

修复时间:2015-10-26 10:12

公开时间:2015-10-26 10:12

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-10: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

RT

详细说明:

历史漏洞:  WooYun: 乐视网某站SQL注入导致泄漏多个数据库 


URL: http://bbs.g.letv.com
当时通过注入 把uckey给注出来了,结果你们没有更换.
对DZ接触不多搞了很久
第一种姿势:
从网上找了dzx系列利用uckey来getshell的代码,结果给我报了非法字符错误.
后来知道是防灌水机制,需要带一个formhash参数就没事了.然后带了formhash不报错了.但还是失败,于是下了个dzx3.2到本地测试发现没有从单引号逃逸出去,目测打了补丁.
另一种可能就是配置文件没有写权限.
第二种姿势

 WooYun: 途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急) 


本地搭建一个dz利用uckey重置目标网站任意用户.
登录到后台,利用已公布的后台getshell方法均失败.
第三种姿势

http://drops.wooyun.org/papers/7830


POST一段xml数据

屏幕快照 2015-09-10 21.29.24.png


然后利用这个代码

$code = 'time='.$time.'&uid=1&username=admin&action=synlogin';


登录任意用户发送短消息

屏幕快照 2015-09-10 21.28.49.png


成功执行phpinfo()

屏幕快照 2015-09-10 21.29.04.png


成功Getshell!!!

屏幕快照 2015-09-10 21.31.42.png

漏洞证明:

已证明
全程只需一个UCKEY

修复方案:

运维配置要及时,当有人上报漏洞后,要及时更换重要的配置信息
否则漏洞公开后会造成不必要的损失
:)

版权声明:转载请注明来源 蓝冰@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-11 10:10

厂商回复:

感谢提交!该站为第三方合作站点,明确告知过合作方要更新漏洞中所提的配置信息,论坛未运行过,目前直接下线。感谢蓝冰!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-11 10:02 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1707 漏洞数:273 | ...........................................)

    mark!蓝冰师傅就是屌

  2. 2015-09-11 10:05 | Y4ngshu ( 实习白帽子 | Rank:38 漏洞数:7 | 十年磨一剑。)

    蓝冰师傅又来瞎jb飞了

  3. 2015-09-11 12:28 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    又来日了

  4. 2015-09-11 14:13 | 蓝冰 ( 核心白帽子 | Rank:652 漏洞数:52 | -.-)

    @HackBraid bin师傅你都大v了 ^_^

  5. 2015-09-21 11:37 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    好可怕 我就是那个重置密码搞不定 第三种学习了

  6. 2015-09-21 11:40 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    想起来了我利用的时候被自带的防护给拦了 求科普

  7. 2015-09-21 12:43 | 蓝冰 ( 核心白帽子 | Rank:652 漏洞数:52 | -.-)

    @scanf 是不是 error错误? 带上form hash参数就行啦 进首页或者其他页面都行 源代码搜索formhash 把值复制出来就行了 利用的时候带上这个值

  8. 2015-09-21 13:03 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    不是 是dz自带的拦截 而且就是这个站

  9. 2015-09-21 16:18 | 蓝冰 ( 核心白帽子 | Rank:652 漏洞数:52 | -.-)

    @scanf 没错啊 不带formhash 确实会被拦截的 你试过带这个参数了吗

  10. 2015-09-21 21:27 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    带了 看来写的脚本提交有时候不可靠