当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096210

漏洞标题:一步一步击垮傲游官网(多处敏感信息泄漏,可替换官网安装包,漫游内网)

相关厂商:傲游

漏洞作者: 梧桐雨

提交时间:2015-02-07 19:13

修复时间:2015-02-11 11:34

公开时间:2015-02-11 11:34

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-07: 细节已通知厂商并且等待厂商处理中
2015-02-11: 厂商已经确认,细节仅向厂商公开
2015-02-11: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

审计傲游浏览器找0day什么的太累人了,还是直接拿下官网替换安装包快啊~

详细说明:

问题出在傲游官网
http://www.maxthon.cn/
根据之前白帽子报告
WooYun: 遨游某服务器配置问题导致部分数据库备份文件泄漏主站可shell
尝试傲游官网后台:
admin/login.php
尝试弱口令:test test,居然进去了,真的吓坏了:
没有想到傲游的官网这么不堪一击

QQ截图20150207181754.jpg


泄漏大量的简历

1233.jpg


但是目前test帐号权限很低,有没有办法提升权限呢?
我忽然想到上面的例子,如果存在test这样的弱口令和弱密码,是否上面泄漏的sql文件也会存在没有更改密码的账户?
花了几毛钱,把 WooYun: 遨游某服务器配置问题导致部分数据库备份文件泄漏主站可shell

22.jpg


里头泄漏了的密码都丢去cmd5跑了一遍,逐个尝试登录,功夫不负有心人,sxf
sxf_gw成功登录,并且属于高权限账户

0.jpg


替换新闻,替换安装包全部不在话下:

an.jpg


找到了一处上传图片的地方,由于对上传后缀没有做任何处理,直接上传php就拿到了webshell:

56.jpg


为了证明确实能黑掉官网,对比了下文件:

55.jpg


漏洞证明:

上传一个php在线代理,即可漫游内网了:

31.jpg


111.jpg


编写了一个简单脚本去遍历内网:

<script>
for(var i=0;i<=254;i++){
	document.write("<iframe src=http://www.maxthon.cn/images/ads/proxy.php?url=10.0.16."+i+"></iframe><br>")
}
</script>


成功弹出的内网网段:10.0.9.x 8.x 192.168.0.x 10.0.16.x

1233321.jpg


999.jpg


18.jpg


25.jpg


某台内网服务器还存在大量的用户调试信息:

ipad.jpg


555.jpg


不一一列举了。。
来个雷可好?0 0

修复方案:

修改后台地址,修改所有泄漏过的口令和账户,杜绝test test这样的账户密码

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-02-11 11:32

厂商回复:

已修复

最新状态:

2015-02-11:已修复. 禁止外网访问后台

漏洞评价:

评论

  1. 2015-02-07 19:17 | Mik3y_14 ( 普通白帽子 | Rank:181 漏洞数:29 | 愿君多采撷,此物最相思。)

    厉害!!带着4哥来围观

  2. 2015-02-07 19:18 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    支持~

  3. 2015-02-07 19:30 | Noxxx ( 普通白帽子 | Rank:509 漏洞数:41 )

    前排

  4. 2015-02-07 19:35 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    围观!

  5. 2015-02-07 19:36 | 苏州同程旅游网络科技有限公司(乌云厂商)

    牛逼

  6. 2015-02-07 19:42 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    @苏州同程旅游网络科技有限公司 ←_←

  7. 2015-02-07 19:45 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    @苏州同程旅游网络科技有限公司 ←_←

  8. 2015-02-07 19:45 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    前排 关注 学习

  9. 2015-02-07 19:46 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    @苏州同程旅游网络科技有限公司 调皮

  10. 2015-02-07 19:59 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明,什么也没有留下)

    牛逼

  11. 2015-02-07 20:00 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    @苏州同程旅游网络科技有限公司 厂商都来凑热闹了

  12. 2015-02-07 20:57 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    干掉遨游的乌云帐号,给2哥20rank!

  13. 2015-02-07 20:58 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    学习了

  14. 2015-02-07 21:06 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    关注

  15. 2015-02-07 21:23 | 天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)

    给跪了

  16. 2015-02-07 21:48 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    今天的膝盖就给你了!

  17. 2015-02-07 21:49 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    厉害

  18. 2015-02-07 22:22 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    一步一步是爪牙,是魔鬼的步伐,是魔鬼的步伐。

  19. 2015-02-07 23:37 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @苏州同程旅游网络科技有限公司 ←_← 厂商感觉你和盛大一样 喜欢热闹_______哈哈

  20. 2015-02-08 11:47 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    终于打雷了

  21. 2015-02-08 11:49 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    妹子喜欢直接的

  22. 2015-02-08 11:55 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    终于打雷了 我就说嘛 这个必须要霹雷啊

  23. 2015-02-08 12:14 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

    调皮

  24. 2015-02-08 12:33 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    妹纸好猛。

  25. 2015-02-08 12:39 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    怎么还没认领?

  26. 2015-02-08 17:43 | Jeremy ( 普通白帽子 | Rank:106 漏洞数:11 | )

    先拜。遨游TV看这里。

  27. 2015-02-08 21:10 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    一步两步,一步两步,一步一步似爪牙

  28. 2015-02-08 21:15 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    无影响厂商积极忽略

  29. 2015-02-09 12:54 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    无影响厂商积极忽略

  30. 2015-02-09 13:03 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    我来围观师傅入侵大站

  31. 2015-02-09 17:57 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  32. 2015-02-09 22:46 | 空格 ( 路人 | Rank:6 漏洞数:3 | 呃?)

    @苏州同程旅游网络科技有限公司 ←_←

  33. 2015-02-11 11:39 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    良心厂商

  34. 2015-02-11 11:42 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    看完我就蛋疼了,弱口令引发的血案!

  35. 2015-02-11 11:46 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    看完就觉得牛逼啊

  36. 2015-02-11 11:58 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    梧桐雨大神 在线代理能共享吗?

  37. 2015-02-11 12:49 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    下次去找你和lion啊

  38. 2015-02-11 13:23 | Wulala ( 普通白帽子 | Rank:223 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    @scanf 这就是一个用php和curl做的网页代理,这里有一个这样的代码https://github.com/acanimal/Openlayers-Cookbook/blob/master/utils/proxy.php

  39. 2015-02-11 13:26 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    @Wulala 谢了.

  40. 2015-02-11 14:22 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    我怎么从来没有弱口令的人品

  41. 2015-02-11 15:10 | 飞鞋拍小强 ( 路人 | Rank:2 漏洞数:1 | 小强)

    这种安全防护级别,看了也是醉了

  42. 2015-02-11 15:49 | ( 普通白帽子 | Rank:276 漏洞数:69 | ❤)

    牛逼

  43. 2015-02-11 16:10 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    这个代理是用的nginx反向代理么

  44. 2015-02-11 16:17 | justforfun ( 实习白帽子 | Rank:35 漏洞数:4 | 纯爱好。。。求各种猥琐淫荡思路)

    梧老师,开大招啦

  45. 2015-02-11 16:45 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    大神,请收下我的膝盖。

  46. 2015-02-11 18:03 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    @Wulala 报错,怎么回事呢?

  47. 2015-02-11 19:30 | Wulala ( 普通白帽子 | Rank:223 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    @ki11y0u @scanf 我刚才测试了一下这个具体的代码,有时会出现错误,出错的原因是原来的代码指定content-type:application/xml,所以当返回的数据不符合xml标准就报错了,我对这个代码进行了修正,目前在我这里测试一切正常,你们可以做一下测试.修正的代码地址:https://github.com/KaiyiZhang/Secipt/blob/master/Proxy.php

  48. 2015-02-11 19:33 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    来看一下大婶们大招放雷。

  49. 2015-02-11 22:46 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    @Wulala 想问下,如何在这个基础上扫描内网呢

  50. 2015-02-11 22:47 | jianFen ( 普通白帽子 | Rank:530 漏洞数:83 | 避其锋芒,剑走偏锋)

    运维必须跪了,test test都可以进官网后台

  51. 2015-02-12 09:08 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    @Jumbo <script>for(var i=0;i<=254;i++){ document.write("<iframe src=http://www.maxthon.cn/images/ads/proxy.php?url=10.0.16."+i+"></iframe><br>")}</script>直接在控制台运行

  52. 2015-02-12 10:14 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    @Wulala 感谢基友分享,测试成功。

  53. 2015-02-12 10:26 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    @sky 谢谢

  54. 2015-02-12 12:40 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    哈哈哈,学习了

  55. 2015-02-17 17:04 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    @Wulala 有jsp版的吗?

  56. 2015-02-18 12:16 | Wulala ( 普通白帽子 | Rank:223 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    @scanf 我这没有,可以上网找找,或者参考代码写一个 。

  57. 2015-03-04 16:07 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @苏州同程旅游网络科技有限公司 厂商你为何这么调皮

  58. 2015-03-09 01:01 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    叼叼叼

  59. 2015-03-24 09:12 | Fire ant ( 实习白帽子 | Rank:73 漏洞数:26 | 他们回来了................)

    @苏州同程旅游网络科技有限公司 约

  60. 2015-04-23 15:50 | hh2014 ( 普通白帽子 | Rank:225 漏洞数:39 | 继续)

    学习了