当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089869

漏洞标题:完美时空某站点任意上传殃及内网数十台主机

相关厂商:完美时空

漏洞作者: zhangfei

提交时间:2015-01-04 09:44

修复时间:2015-02-18 09:46

公开时间:2015-02-18 09:46

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-04: 细节已通知厂商并且等待厂商处理中
2015-01-05: 厂商已经确认,细节仅向厂商公开
2015-01-15: 细节向核心白帽子及相关领域专家公开
2015-01-25: 细节向普通白帽子公开
2015-02-04: 细节向实习白帽子公开
2015-02-18: 细节向公众公开

简要描述:

完美某游戏7年老玩家~~能用漏洞换几件神装不

详细说明:

一、首先:
cafe.dota2.com.cn
处任意上传

cafe上传.png


用完美通行证登录后,点击申请特权

cafe上传2.png


然后随便找个地方就……把马上去了

上传成功.png


还直接给了位置,太贴心了~~~

马位置.png


结果

jspdama.png


反弹.png


反弹shell,发现好多端口反弹不出去,最后试了试80端口,可以了

passwd.png


内核版本

uname -a
Linux gw41 3.7.0lvs.20130608.R620 #3 SMP Mon Sep 16 19:13:02 CST 2013 x86_64 x86_64 x86_64 GNU/Linux


提权:漏洞利用CVE-2013-2094

提权exp.png


id
uid=0(root) gid=0(root) groups=0(root),99(nobody)


习惯性的翻了翻/root/.ssh里面的东西

ls -lah /root/.ssh


known_hosts.png


好像连过好多机器的样子
再翻翻hosts文件

cat /etc/hosts


host文件.png


好像IP和本机不在同一段里面啊
是不是换过IP?试试连接172.21.57.254

ssh 172.21.57.254


manager.png


嗯?连上去了?
这次再翻翻hosts文件

cat /etc/hosts
127.0.0.1               localhost
172.21.57.254           manager
172.21.57.253           manager_bak             bak
172.21.57.4             gw4             web4            members         sys             test
172.21.57.6             gw6             web6            jms
172.21.57.9             gw9             web9            new             wangbaolong
172.21.57.10            gw10            web10           WXmarket                xuzhongpeng
172.21.57.11            gw11            web11           WXmarket                xuzhongpeng
172.21.57.12            gw12            web12           WXmarket                xuzhongpeng
172.21.57.14            gw14            web14           dota2           sms             chenhao
172.21.57.15            gw15            web15           dota2           sms             chenhao
172.21.57.18            gw18            web18           ngx1
172.21.57.19            gw19            web19           wangbaolog              test            old             172.30.255.19
172.21.57.21            gw21            web21           wx              hanyahui
172.21.57.22            gw22            web22           wangpingtao             liujun          test            message         send
172.21.57.23            gw23            web23           dota2bbs                discuz          x2.5            test            173bbs          nwxbox.wanmei.com
172.21.57.24            gw24            web24           p2sp            fanzhenyu
172.21.57.25            gw25            web25           www.173.com             liaomin         old
172.21.57.26            gw26            web26           sanfangdenglu           weijianghu              daoke           shediao_appser
172.21.57.27            gw27            web27           sanfangdenglu           interface.173.com               api.lianyun.173.com
172.21.57.28            gw28            web28           sanfangdenglu           api.173.com
172.21.57.29            gw29            web29           dota2&173DB
172.21.57.30            gw30            web30           dota2&173DB
172.21.57.31            gw31            web31           mail_service
172.21.57.32            gw32            web32           173             test
172.21.57.33            gw33            web33           sanfangdenglu           DBmaster
172.21.57.34            gw34            web34           sanfangdenglu           DBslave
172.21.57.35            gw35            web35           sanfangdenglu           haproxy
172.21.57.36            gw36            web36           sanfangdenglu           haproxy
172.21.57.37            gw37            web37           eventie         DBmaster
172.21.57.38            gw38            web38           eventie         DBslave
172.21.57.39            gw39            web39           api.dota2.com.cn
172.21.57.41            gw41            web41           Dota2           CMS
172.21.57.43            gw43            web43           www.173.com             bak
172.21.57.46            gw46            web46           new
172.21.57.47            gw47            web47           lvs             172.30.255.49
172.21.57.48            gw48            web48           lvs_bak         172.30.255.50
172.21.57.49            gw49            web49           api             172.30.255.51
172.21.57.50            gw50            web50           api             172.30.255.52
172.21.57.51            gw51            web51           api             172.30.255.53
172.21.57.52            gw52            web52           api             172.30.255.54
172.21.57.53            gw53            web53           members         172.30.255.55           173             pay.dota2.com.cn                school.dota2.com
172.21.57.54            gw54            web54           members         172.30.255.56           173             pay.dota2.com.cn                school.dota2.com
172.21.57.55            gw55            web55           members         172.30.255.57           173             pay.dota2.com.cn                school.dota2.com
172.21.57.56            gw56            web56           new             no_ip
58.215.52.140           members.dota2.com.cn
*.*.*.95            *.*.*.wanmei.com                *.*.wanmei.com #我自己打码


hosts文件写的很详细,导致的结果就是,这40多台主机我全部可以控制。
其中包含无冬之夜主站,173.com主站,members.dota2.com.cn,完美精灵,微信客服平台等重要站点可以被完全操纵
用几个webshell证明一下
无冬之夜OL主站

wudong.png


↑↑↑↑↑
这货第二次上乌云了,哈哈
members.dota2.com.cn的其中一个IP的shell

members.png


robot.cs.wanmei.com客服机器人站点的大马

robot.png


危害:
1.如果被别有用心的人利用,尤其是像members.dota2.com.cn这样的站点进行挂马一天盗的号数量相当可观;
2.被人修改了pay.dota2.com.cn的源码,导致直接的经济损失
3.被挂黑链
4.被人脱裤,造成大量运营方面的和用户的敏感信息泄露,被竞争对手拿去做大数据分析
5.被扣奖金
受到脑洞的限制,只想到了这么多~~~

漏洞证明:

172.21.57.10 /web/webapps/csrobot/js/jspdama.jsp
http://robot.cs.wanmei.com/js/jspdama.jsp
172.21.57.23 /web/webapps/nwanmei/nwanmei.com/resources/js/jquery.jsp
http://www.neverwinterol.com.cn/resources/js/jquery.jsp
172.21.57.26 /web/webapps/shediaoApp-server/backoffice/wooyun.txt
http://ams.sd.wanmei.com/wooyun.txt
172.21.57.41 /export/webapps/dota2_barhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/uploadimg/jspdama-1418562689987.jsp
http://cafe.dota2.com.cnhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/uploadimg/jspdama-1418562689987.jsp
172.21.57.55 /export/webapps/pwpk_dota2/common/wushaobintest.jsp
http://members.dota2.com.cn/common/wushaobintest.jsp host指向58.241.15.141
搞清楚这40台主机跑了什么站真的很费时间……

修复方案:

1.备份并重启172.21.57.41,我也不知道提权是否对主机真的有影响,现在跑tomcat的这个用户都变得很奇怪
2.打一顿写cafe.dota2.com.cn上传图片的人,让他记住,要对上传的文件类型进行过滤
3.安全管理方面的问题:主机之间登录不要相互信任,单向信任管理机就行

版权声明:转载请注明来源 zhangfei@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-01-05 17:04

厂商回复:

感谢洞主能够提交漏洞,礼物作为管理员也在向上面申请,尽量帮你整个吧,最后还是谢谢你能够比较详细的描述能够帮助我们修改漏洞,谢谢!

最新状态:

2015-01-05:请作者提供联系方式,方便我们发放礼物。 谢谢

2015-02-12:感谢洞主提交的漏洞,目前已经把礼物发放完毕,并且洞主已经确认收到,发放的礼物情况如下:樱桃(Cherry) MX-Board 3.0 G80-3850 黑色红轴 机械键盘,再次感谢洞主的辛苦付出!

漏洞评价:

评论

  1. 2015-01-04 09:48 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    红蓝药水已经打入你游戏帐户,请注意查收。

  2. 2015-01-04 10:53 | Ivan ( 实习白帽子 | Rank:81 漏洞数:9 | 小菜逼一个)

    给下点会员呗

  3. 2015-01-04 14:28 | crackershi ( 普通白帽子 | Rank:122 漏洞数:18 | 云标准制定 CISP ISO审核员)

    GM说乌云专属套装量身为你打造,有洞就是这么任性,你要火哥们。

  4. 2015-01-05 17:20 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    好直接 。。。

  5. 2015-01-05 18:30 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    乌云专属神装 + 1000....

  6. 2015-01-05 19:04 | zhangfei ( 实习白帽子 | Rank:59 漏洞数:5 | (╯°Д°)╯︵ ┻━┻)

    @小饼仔 哈哈,最高+20

  7. 2015-01-05 20:08 | 盛大网络(乌云厂商)

    @char 放学别走

  8. 2015-01-05 22:48 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @char 放学别走

  9. 2015-01-06 09:15 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    @盛大网络 今晚7点,张江地铁站5号口,有本事你来。

  10. 2015-02-12 11:41 | zhangfei ( 实习白帽子 | Rank:59 漏洞数:5 | (╯°Д°)╯︵ ┻━┻)

    @完美时空 礼物已收到!

  11. 2015-02-28 11:38 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    不错哦,有通用的站吗,有源码吗

  12. 2015-02-28 15:37 | zhangfei ( 实习白帽子 | Rank:59 漏洞数:5 | (╯°Д°)╯︵ ┻━┻)

    @wefgod 通用的就看见了discuz

  13. 2015-03-01 15:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @zhangfei 这样,还以为他们应该会用到什么商业通用的系统呢