漏洞概要
关注数(24)
关注此漏洞
漏洞标题:七牛某站SSRF可探测内网
提交时间:2016-05-20 17:59
修复时间:2016-07-06 14:20
公开时间:2016-07-06 14:20
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2016-05-20: 细节已通知厂商并且等待厂商处理中
2016-05-22: 厂商已经确认,细节仅向厂商公开
2016-06-01: 细节向核心白帽子及相关领域专家公开
2016-06-11: 细节向普通白帽子公开
2016-06-21: 细节向实习白帽子公开
2016-07-06: 细节向公众公开
简要描述:
七牛某站SSRF可探测内网+Ldap匿名访问
详细说明:
一、SSRF漏洞
有漏洞的貌似是一个测试站。
存在SSRF漏洞接口的作用是先获取远程的图片,然后把图片制作成水印覆盖在当前图片上,用百度的logo做演示,效果如下:
image后边的那串base64编码是你要探测的IP和端口,如何知道内网的IP呢。这里探测到七牛的一个IP存在elasticsearch未授权访问。
可知内网中至少存在这样一个网段:
将http://172.30.251.168:9200编码为base64放在image后。
如果当前IP存活且端口开放的话,会返回501错误。如探测 http://172.30.251.168:9200
如果当前IP不存活或者端口不开放的话,会返回502错误。如探测 http://172.30.251.168:1356
经过测试总结出以下规律。
这里为了方便测试,写了一个探测172.30.251网段80端口是否开放的脚本,返回501错误的就是IP存活且端口开放。当然如果再深入些,可以通过探测程序的默认logo或者favicon.ico来判断目标是什么应用。
这是返回的结果
二、LDAP匿名访问
可获取企业的所有人员信息,利用这些信息可以用来爆破邮箱或者使用ldap登录的应用。
在测试时,你们搭的一个洋葱的应用(115.231.182.75:8090)因为有漏洞,不小心测挂掉了,实在是抱歉。
漏洞证明:
修复方案:
1. SSRF漏洞,可以统一下返回错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态,且限制服务器访问的IP不能是内网IP。
2. Ldap漏洞,建议关掉Ldap的匿名访问功能。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2016-05-22 14:18
厂商回复:
感谢您对七牛的关心。
1. 是我们的演示网站。由于地址判断问题,因此存在漏洞。需要限制访问的地址范围。
2. 运行在我们的云计算系统上,对内层网络没有访问权限。
3. 115.231.182.75同为测试性ldap,运行在云计算系统上。其中灌入的是非真实数据,因此没有严重数据泄密问题。但是为了使用方便,其中不少用户名是真实的。因此需要关闭这个系统的匿名访问。
另:终于知道洋葱的系统为什么莫名其妙挂掉了。
再次感谢。
最新状态:
暂无
漏洞评价:
评价