当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0161119

漏洞标题:高德导航某接口XML实体注入

相关厂商:高德软件

漏洞作者: Aasron

提交时间:2015-12-14 09:05

修复时间:2016-01-28 17:10

公开时间:2016-01-28 17:10

漏洞类型:文件包含

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-14: 细节已通知厂商并且等待厂商处理中
2015-12-16: 厂商已经确认,细节仅向厂商公开
2015-12-26: 细节向核心白帽子及相关领域专家公开
2016-01-05: 细节向普通白帽子公开
2016-01-15: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

我不能再默默无闻下去了...
PS:我上次听说你们是要送礼物的?

详细说明:

1.png


在我对高德地图离线版进行测试时抓到一个接口

http://us.autonavi.com

便进行了深入测试
实际产生漏洞的接口:

http://us.autonavi.com/navisoftware/tips


一个正常的页面

1.png


抓包内容:

POST /navisoftware/tips HTTP/1.1
Host: us.autonavi.com
Content-Type: application/x-www-form-urlencoded
Accept: */*
userid: 
syscode: 41001
apkversion: 14
os: 9.1
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
mapversion: 30.1.031005.0010
imei: 4EFFB44F-E719-4F74-950E-CDC055EA9E89
User-Agent: %E9%AB%98%E5%BE%B7%E5%AF%BC%E8%88%AA/9.6.4 CFNetwork/758.1.6 Darwin/15.0.0
Content-Length: 242
Connection: keep-alive
pid: 2
model: iPhone
resolution: 1242x2208
sign: 3a175d2b8a0ddb113c60fad427ffa8ac


测试了一下发现存在XML注入
构造代码读取etc/passwd
成功返回,root权限

1.png


root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinuucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologingopher:x:13:30:gopher:/var/gopher:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologinabrt:x:173:173::/etc/abrt:/sbin/nologinsaslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologinhaldaemon:x:68:68:HAL daemon:/:/sbin/nologinntp:x:38:38::/etc/ntp:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologintcpdump:x:72:72::/:/sbin/nologinoprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologinbacula:x:133:133:Bacula Backup System:/var/spool/bacula:/sbin/nologinradiusd:x:95:95:radiusd user:/home/radiusd:/sbin/nologinmysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bashdovecot:x:97:97:Dovecot IMAP server:/usr/libexec/dovecot:/sbin/nologindovenull:x:498:499:Dovecot's unauthorized user:/usr/libexec/dovecot:/sbin/nologinapache:x:48:48:Apache:/var/www:/sbin/nologinqpidd:x:497:498:Owner of Qpidd Daemons:/var/lib/qpidd:/sbin/nologinautonavi:x:500:500::/home/autonavi:/bin/bashnagios:x:501:501::/home/nagios:/sbin/nologinzabbix:x:502:502::/home/zabbix:/bin/bashzongning:x:503:503::/home/zongning:/bin/bash


危害挺大,可以进行其它操作,或构造XML语句进行攻击!

漏洞证明:

1.png


在我对高德地图离线版进行测试时抓到一个接口

http://us.autonavi.com

便进行了深入测试
实际产生漏洞的接口:

http://us.autonavi.com/navisoftware/tips


一个正常的页面

1.png


抓包内容:

POST /navisoftware/tips HTTP/1.1
Host: us.autonavi.com
Content-Type: application/x-www-form-urlencoded
Accept: */*
userid: 
syscode: 41001
apkversion: 14
os: 9.1
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
mapversion: 30.1.031005.0010
imei: 4EFFB44F-E719-4F74-950E-CDC055EA9E89
User-Agent: %E9%AB%98%E5%BE%B7%E5%AF%BC%E8%88%AA/9.6.4 CFNetwork/758.1.6 Darwin/15.0.0
Content-Length: 242
Connection: keep-alive
pid: 2
model: iPhone
resolution: 1242x2208
sign: 3a175d2b8a0ddb113c60fad427ffa8ac


测试了一下发现存在XML注入
构造代码读取etc/passwd
成功返回,root权限

1.png


root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinuucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologingopher:x:13:30:gopher:/var/gopher:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologinabrt:x:173:173::/etc/abrt:/sbin/nologinsaslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologinhaldaemon:x:68:68:HAL daemon:/:/sbin/nologinntp:x:38:38::/etc/ntp:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologintcpdump:x:72:72::/:/sbin/nologinoprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologinbacula:x:133:133:Bacula Backup System:/var/spool/bacula:/sbin/nologinradiusd:x:95:95:radiusd user:/home/radiusd:/sbin/nologinmysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bashdovecot:x:97:97:Dovecot IMAP server:/usr/libexec/dovecot:/sbin/nologindovenull:x:498:499:Dovecot's unauthorized user:/usr/libexec/dovecot:/sbin/nologinapache:x:48:48:Apache:/var/www:/sbin/nologinqpidd:x:497:498:Owner of Qpidd Daemons:/var/lib/qpidd:/sbin/nologinautonavi:x:500:500::/home/autonavi:/bin/bashnagios:x:501:501::/home/nagios:/sbin/nologinzabbix:x:502:502::/home/zabbix:/bin/bashzongning:x:503:503::/home/zongning:/bin/bash


危害挺大,可以进行其它操作,或构造XML语句进行攻击!

修复方案:

你们更专业

版权声明:转载请注明来源 Aasron@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-12-16 16:32

厂商回复:

亲,漏洞已经在处理中,感谢您对阿里巴巴的关注和支持!

最新状态:

暂无

漏洞评价:

评价

  1. 2015-12-14 12:16 | Aasron ( 普通白帽子 | Rank:208 漏洞数:57 | 工欲善其事,必先利其器)

    我还以为跟百度一样的要打个雷!

  2. 2015-12-14 12:40 | 紫霞仙子 认证白帽子 ( 普通白帽子 | Rank:2223 漏洞数:301 | 天天向上 !!!)

    @Aasron 额。。。。还没打雷那么屌。快多刷些洞来。

  3. 2015-12-14 13:12 | Aasron ( 普通白帽子 | Rank:208 漏洞数:57 | 工欲善其事,必先利其器)

    @紫霞仙子 好,等我刷起来了,再和你愉快的玩耍

  4. 2015-12-15 15:35 | Aasron ( 普通白帽子 | Rank:208 漏洞数:57 | 工欲善其事,必先利其器)

    @紫霞仙子 是不是要忽略的节奏

  5. 2016-01-05 17:03 | 小红猪 ( 普通白帽子 | Rank:285 漏洞数:48 | little red pig!)

    怎么是阿里巴巴?!

  6. 2016-01-06 02:48 | XiaoXu ( 路人 | Rank:4 漏洞数:1 | ?)

    @小红猪 因为高德地图被阿里收购了