当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0199167

漏洞标题:土豆某重要系统多处越权可操作各种后台功能

相关厂商:土豆网

漏洞作者: 路人甲

提交时间:2016-04-22 11:58

修复时间:2016-06-10 15:10

公开时间:2016-06-10 15:10

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-22: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开

简要描述:

没有内网渗透,没有Webshell!

详细说明:

书接3年前前文
<a href="http://wooyun.org/bugs/wooyun-2013-021889">http://wooyun.org/bugs/wooyun-2013-021889</a>
上文介绍的东西不多,在这里我详细介绍下。不过,我技术差,就直接拿图片补吧。
此页面正片查看(可操作清理缓存,查看版权,也就仅此)
http://cms.tudou.com/album/album/toItemList.html?channelId=xx&display=0&copyright=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=xxxxxx&itemType=1&page=1

1.png


这是周边页面(可查看影片来源)
http://cms.tudou.com/album/album/toItemList.html?channelId=30&display=0&copyright=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=249690&itemType=2&page=1

2.0.png


这是官方库详情(注:此部分可修改剧情介绍,可修改封面,亦可操作播放。理论上可写入恶意代码!不过,我并未测)
http://cms.tudou.com/album/album/viewAlbum.html?channelId=30&display=0&copyright=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=249690&page=1

3.png


这两个为封面介绍和播放页面。经过上面的操作直接生成。这要是随便加点料谁能知道。大海捞针。细雨无声。。。
http://www.tudou.com/albumcover/R6DK___-dqE.html
http://www.tudou.com/albumplay/R6DK___-dqE.html

4.png

5.png


这里有一个回写和导出。由于需要确认,我没忍住好奇测试了一下。我看回写的时间慢,就没继续了。
http://cms.tudou.com/album/album/search.html

6.png


这就是最危险的地方了!!!可查看修改任意影片信息!!!三年了!!!
http://cms.tudou.com/album/album/toEdit.html?album.id=249690&channelId=30&copyright=-1&page=1&type=-1

7.png


所有的影片信息都要POST到这里,由于我用的是手机,太过麻烦。并未测试。(大家可以看见,页面并未提供提交按钮,其实只需下载页面到本地在加个Submit就行了)
http://cms.tudou.com/album/album/update.html

8.png


9.png


10.png


在下面就是一些其他的功能了。就不一一截图了。
例如:影片添加
http://cms.tudou.com/album/album/toAdd.html
影片删除(只需提供两个id即可删除影片!)
http://cms.tudou.com/album/album/delete.html?album.id=xxxxxx&channelId=xx
剧集更新
http://cms.tudou.com/album/youku/updateYoukuInfo.html?album.id=xxxxxx&channelId=xx
回写操作
http://cms.tudou.com/album/youku/rewriteTudouId.html?album.id=xxxxxx&channelId=xx
影片信息导出
http://cms.tudou.com/album/album/doExport.html
影片信息到处至本地
http://cms.tudou.com/album/album/peekExport.html
http://cms.tudou.com/album/album/getExportResult.html
影片专辑更新
http://cms.tudou.com/album/youku/updateYoukuInfoByAlbumIds.html
最后提一下:此为修改日志(所有修改均有在此记录!有一些未知用户的修改操作。)
http://cms.tudou.com/album/album/viewLogs.html?channelId=30&display=0&copyright=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=249690&page=0&lastPage=1

11.png


漏洞证明:

下面是测试上传的文件,无奈的是只能执行javascript,不能执行php。
http://g4.tdimg.com/b/20160422/c1.txt
http://g3.tdimg.com/b/20160422/c2.php
http://g3.tdimg.com/b/20160422/c3.html
http://g3.tdimg.com/b/20160422/c4.php
以上就介绍完了,不咸不淡。没有Webshell,没有内网渗透。看到这里大家可能觉得有些不值。在这里我想说明一下,我知道我技术很差。连Shell都拿不到,连个马都挂不了。这个漏洞将近三年了,其他人就不一定了。土豆官方。。。

修复方案:

1.加个登录吧。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-04-26 15:03

厂商回复:

小哥儿,你好!该问题我们已经确认,并火速联系相关开发人员进行修补了,非常感谢您对土豆安全的关注!

最新状态:

暂无

漏洞评价:

评价