漏洞概要
关注数(24)
关注此漏洞
漏洞标题:网易某处文件读取可内网拓扑(差点进内网)
相关厂商:网易
提交时间:2015-11-30 17:30
修复时间:2016-01-17 14:54
公开时间:2016-01-17 14:54
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:13
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-11-30: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开
简要描述:
你家楼下的全聚德很好吃,就是排队等号很讨厌。
详细说明:
inputFile: /etc/hosts
127.0.0.1 localhost netease-datanode1
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
192.168.2.108 host.zhu.org host
127.0.0.1 new1.bbs.163.com
#10.100.21.81 test.bbs.163.com
#220.181.29.116 newmq1.bbs.163.com
#220.181.29.116 newmq2.bbs.163.com
#for redis
192.168.86.36 redis.bbs.redis.rebuild
#redis-backup
#192.168.52.109 redis.bbs.redis.rebuild
#192.168.86.200 redis.bbs.redis.rebuild
#DB hosts
#192.168.51.169 bbs.db.mysql.rebuild
#192.168.51.169 new.db.mysql.bbs.news
#new bbs db
#192.168.51.169 v2.bbs.db.mysql
192.168.51.169 v2.2.bbs.db.mysql
#10.100.21.208 v2.2.bbs.db.mysql
10.100.21.208 v2.bbs.db.mysql
#10.100.21.208 sports.bbs.db.mysql
#10.100.21.208 news.bbs.db.mysql
192.168.51.169 sports.bbs.db.mysql
192.168.51.169 news.bbs.db.mysql
10.100.21.208 club.bbs.db.mysql
10.100.21.208 lady.bbs.db.mysql
10.100.21.208 money.bbs.db.mysql
10.100.21.208 bobo.bbs.db.mysql
#192.168.51.169 club.bbs.db.mysql
#192.168.51.169 lady.bbs.db.mysql
#192.168.51.169 money.bbs.db.mysql
192.168.51.169 test.bbs.db.mysql
#192.168.86.152 bbs.lady.bbs.mysql.163.com
#192.168.86.152 bbs.sz.house.bbs.mysql.163.com
#192.168.86.152 bbs.sh.house.bbs.mysql.163.com
#HBase
192.168.86.193 n5
192.168.51.152 n4
192.168.86.200 n3
192.168.86.118 n2
192.168.51.83 n1
10.100.20.173 n6
#106.2.34.79 hongbao.163.com
10.100.20.24 live.163.com
#10.100.20.47 redis.bbs.redis.rebuild
back to demo
可以利用http://wiki.wooyun.org/pentest:filepath里的字典再爆破
漏洞证明:
该接口除了存在文件读取也可以当SSRF用。
使用个正则表达式匹配下ip段
得到ip:
127.0.0.1
192.168.2.108
127.0.0.1
10.100.21.81
220.181.29.116
220.181.29.116
192.168.86.36
192.168.52.109
192.168.86.200
192.168.51.169
192.168.51.169
192.168.51.169
192.168.51.169
10.100.21.208
10.100.21.208
10.100.21.208
10.100.21.208
192.168.51.169
192.168.51.169
10.100.21.208
10.100.21.208
10.100.21.208
10.100.21.208
192.168.51.169
192.168.51.169
192.168.51.169
192.168.51.169
192.168.86.152
192.168.86.152
192.168.86.152
192.168.86.193
192.168.51.152
192.168.86.200
192.168.86.118
192.168.51.83
10.100.20.173
106.2.34.79
10.100.20.24
10.100.20.47
再使用python生成ip段扔入burp suite跑
成功则返回长度和失败的长度一目了然
失败回返回500且长度大概为1650-1660之间。
有些直接返回网页,说明即可正常访问。其中暴露不少后台或者内部系统等。
修复方案:
https://login.netease.com/accounts/login/?next=/sitemgnt/
版权声明:转载请注明来源 殺器王子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-12-03 14:54
厂商回复:
漏洞已修复,感谢您对网易产品的关注。
最新状态:
暂无
漏洞评价:
评价
-
2015-11-30 18:56 |
xsser ( 普通白帽子 | Rank:267 漏洞数:20 | 当我又回首一切,这个世界会好吗?)
-
2015-12-03 16:13 |
土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)
@xsser 二次编辑,求审 http://wooyun.org/bugs/wooyun-2015-0157605
-
2015-12-03 17:30 |
心云 ( 普通白帽子 | Rank:184 漏洞数:57 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)
-
2015-12-03 17:43 |
土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)
-
2015-12-03 17:48 |
心云 ( 普通白帽子 | Rank:184 漏洞数:57 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)
@土夫子 总结出一个道理,提交大厂商的审得很快,小厂商慢慢等