漏洞概要
关注数(24)
关注此漏洞
漏洞标题:饿了么内网一日游
提交时间:2015-10-14 19:55
修复时间:2015-11-26 16:12
公开时间:2015-11-26 16:12
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:18
漏洞状态:厂商已经修复
Tags标签:
无
漏洞详情
披露状态:
2015-10-14: 细节已通知厂商并且等待厂商处理中
2015-10-18: 厂商已经确认,细节仅向厂商公开
2015-10-28: 细节向核心白帽子及相关领域专家公开
2015-11-07: 细节向普通白帽子公开
2015-11-17: 细节向实习白帽子公开
2015-11-26: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
写篇议论文
详细说明:
故事要从很久很久以前的两天前说起。
QQ群搜"ele.me 账号",搜到一个群,看群简介。
研究了下
端口扫描、路径扫描并没有发现什么可以利用的东西。网页右上角有ehr咨询,于是点进去下载了很多文档。如下。
然后我就无耻的冒充市场部混进去,后来发现根本没有市场部....可是申请加群却通过了。
找群共享,并没有发现什么可以深入的资料。于是看群成员,发现一个。
但itsm.rajax.me日不进去,但是在忘记密码处发现好玩的,如下图。
访问http://act.rajax.me/ 如图
猜测三个系统密码应该互通,既然密码规律知道了,爆破吧。就拿饿了么老板【张旭豪】试试,burp神器intruder,账号xuhao.zhang,密码ele.me0000~ele.me9999,最后
爆破成功。如图,结果只是个普通员工,叫张旭浩,拼音跟老板一样,也是运气好到爆。后来搜了下老板账户是mark.zhang
内部系统一般比较弱,找找突破口吧,发现申请流程可以上传,有戏,直接选中jsp马上传发现提示【请勿提交非正式文档】,抓改包也不行,不过判断抓不到包,估计是js判断,于是开始审计代码,已审计不要紧,差点哭瞎。
既然如此,改file.js,ctrl+F5刷新页面,burp拦截js,拦截到file.js的时候,改返回包,把"jsp"改成"php",再上传,妥妥的。这里找上传后的路径还费了点时间,算法大致如下
好了,菜刀一句话连接,还是root权限。reGeorg代理,刺探下内网C段80端口,如下
证明就截几个图了
开发文档
这个目测是打包工具服务器
短信平台
公司WiFi信息
....等
不多贴了。
漏洞证明:
如上i参数为系统命令
修复方案:
版权声明:转载请注明来源 DBA@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-10-18 13:38
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在修复中。如有任何新的进展我们将会及时同步。稍后我们将会联系您,进行后续礼品发放。
最新状态:
2015-11-26:漏洞已修复,谢谢对饿了么的支持和关注!
漏洞评价:
评论
-
2015-10-14 20:35 |
DBA ( 普通白帽子 | Rank:111 漏洞数:13 | 零下37.5°C)
-
2015-10-14 21:00 |
Mieless ( 实习白帽子 | Rank:33 漏洞数:9 | 我是来打酱油的。)
-
2015-10-14 21:06 |
爱上平顶山 
( 核心白帽子 | Rank:2828 漏洞数:566 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
-
2015-10-14 21:38 |
沉沦哥 ( 路人 | Rank:13 漏洞数:5 | 等待是幸福的,但哥不喜欢等待。)
-
2015-10-15 11:00 |
疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)
-
2015-10-15 13:49 |
S4M ( 路人 | Rank:24 漏洞数:8 | 吴彦祖)
