当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104597

漏洞标题:爱点科技/酷虎游戏厂商管理后台存在命令执行漏洞造成全线业务沦陷

相关厂商:广州爱点信息科技有限公司

漏洞作者: 路人甲

提交时间:2015-03-30 10:14

修复时间:2015-05-14 10:16

公开时间:2015-05-14 10:16

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

爱点科技,酷虎游戏厂商管理后台存在命令执行漏洞造成全线业务沦陷
struts2命令执行漏洞照成公司全线业务沦陷(我所发现的在线业务)
可执行任意命令,ROOT权限
全服文件读写权限
可替换游戏APP文件
数据库泄露
影响13个站点
等~~~~~~

详细说明:

爱点科技,酷虎游戏厂商管理后台存在命令执行漏洞造成全线业务沦陷
struts2命令执行漏洞照成公司全线业务沦陷(我所发现的在线业务)
可执行任意命令,ROOT权限
可替换游戏APP文件
数据库泄露
影响13个站点
等~~~~~~
造成影响站点:

IP地址:58.67.159.23 
http://www.koohoo.cn/app/88720140508120908953.html -> www.koohoo.cn
http://bbs.koohoo.cn/ -> 提示信息 - 酷虎游戏-游戏活动、攻略和礼包站
http://idiantech.com/RELEASE-NOTES.txt -> idiantech.com
http://kuaihuu.com/ -> 快虎市场官网
http://www.idiantech.com/index.html -> 爱点科技 - 爱玩手机,更快一点 | 广州爱点信息科技有限公司
http://weili68.com/ -> 微力—国内最大的微信公众服务平台
http://wifi.kuai51.com/ -> 手机门店软件推广系统
http://weili68.com/site/kefu.html -> 微力—国内最大的微信公众服务平台
http://www.koohoo.cn/special/49.html -> 午后休闲时光 - 酷虎游戏中心 - 最好玩的手机游戏下载 安卓 ...
http://ll.kuai51.com/ -> 流量助手官网_最受欢迎的安卓手机流量监控工具 ...-android流量
http://bbs.koohoo.cn/thread-258-1-1.html -> 提示信息 - 酷虎游戏-游戏活动、攻略和礼包站
http://m.koohoo.cn/app/35020131113213407466.html -> GrooveMixer - 音乐制作_GrooveMixer - 音乐制作官网 ...
http://kuaihuu.com/file/kuaihu.apk -> kuaihuu.com


漏洞证明:

漏洞地址:http://cp.koohoo.cn/sdkcp_login.action


命令执行证明


命令执行432.png


getshell


get52543.png


未做细致整理,深入
附上两张影响站点图


影响站点截图.png


QQ截图20150329150219.png


贴出部分数据库/敏感信息


#jdbc
jdbc.driverClassName=com.mysql.jdbc.Driver
jdbc.url=jdbc:mysql://127.0.0.1:3306/ada_two_db
jdbc.username=root
jdbc.password=aidian20121117
# Hibernate configuration
hibernate.dialect=org.hibernate.dialect.MySQLDialect
hibernate.query.substitutions=true 'T', false 'F';
hibernate.hbm2ddl.auto=update
hibernate.c3p0.minPoolSize=1
hibernate.c3p0.maxPoolSize=20
hibernate.c3p0.timeout=600
hibernate.c3p0.max_statement=50
hibernate.c3p0.testConnectionOnCheckout=false;
hibernate.show_sql=true
hibernate.connection.useUnicode=true
hibernate.connection.characterEncoding=UTF-8


##################################################
log4j.rootLogger=INFO, CONSOLE,serviceAppender
#log4j.logger.com.wallimn.JDBC=INFO,JDBC 
####################################################
log4j.appender.CONSOLE=org.apache.log4j.ConsoleAppender 
log4j.appender.CONSOLE.Threshold=DEBUG 
log4j.appender.CONSOLE.Target=System.out 
log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=[log] %d - %c -%-4r [%t] %-5p %c %x - %m%n
## everyDay #
log4j.appender.serviceAppender=org.apache.log4j.DailyRollingFileAppender
#log4j.appender.serviceAppender.File=${bbs.webapp.root}/WEB-INF/logs/services.log
#log4j.appender.serviceAppender.File=${catalina.base}/WebRoot/log/services.log
log4j.appender.serviceAppender.DatePattern='.'yyyy-MM-dd 
log4j.appender.serviceAppender.Append=false
log4j.appender.serviceAppender.layout=org.apache.log4j.PatternLayout
log4j.appender.serviceAppender.layout.ConversionPattern=%p %c{1} %-d{HH:mm:ss} %m%n
#insert into DataBase#
##log4j.appender.JDBC=org.apache.log4j.jdbc.JDBCAppender 
##log4j.appender.JDBC.URL=jdbc:mysql://127.0.0.1:3306/db_bbs 
##log4j.appender.JDBC.driver=com.mysql.jdbc.Driver 
##log4j.appender.JDBC.user=root 
##log4j.appender.JDBC.password=root 
##log4j.appender.JDBC.sql=INSERT INTO LOG4J (Message) VALUES ([log] %d - %c -%-4r [%t] %-5p %c %x - %m%n') 
##log4j.appender.JDBC.layout=org.apache.log4j.PatternLayout 
##log4j.appender.JDBC.layout.ConversionPattern=[log]  %d     -   %c  -%-4r  [%t]  %-5p %c %x - %m%n


支付请求地址,可做钓鱼/恶意跳转哦~等~

#商户编号
p1_MerId=10012085546
#商户密钥
keyValue=039348961JbTA8U1FmR94W51VPE475wr0j14RxR5Y87a2tn89o5NQC76Nl44
#支付请求正式地址
annulCardReqURL=https\://www.yeepay.com/app-merchant-proxy/command.action
#annulCardReqURL=http\://tech.yeepay.com\:8080/robot/debug.action


酷虎游戏论坛数据库信息:

define('UC_CONNECT', 'mysql');				// 杩?? UCenter ???寮? mysql/NULL, 榛??涓虹┖?朵负 fscoketopen(), mysql ????ヨ??ョ??版?搴? 涓轰????, 寤鸿???? mysql
// ?版?搴????(mysql 杩????
define('UC_DBHOST', 'localhost');			// UCenter ?版?搴?富??
define('UC_DBUSER', 'root');				// UCenter ?版?搴???峰?
define('UC_DBPW', 'root');				// UCenter ?版?搴????
define('UC_DBNAME', 'ucenter');				// UCenter ?版?搴??绉?
define('UC_DBCHARSET', 'utf8');				// UCenter ?版?搴??绗??
define('UC_DBTABLEPRE', '`ucenter`.uc_');		// UCenter ?版?搴?〃???
define('UC_DBCONNECT', '0');				// UCenter ?版?搴??涔????0=?抽?, 1=???
// ??俊?稿?
define('UC_KEY', 'yeN3g9EbNfiaYfodV63dI1j8Fbk5HaL7W4yaW4y7u2j4Mf45mfg2v899g451k576');	// 涓?UCenter ???淇″??? 瑕?? UCenter 淇??涓??
define('UC_API', 'http://localhost/ucenter/branches/1.5.0/server'); // UCenter ??URL ?板?, ?ㄨ??ㄥご???渚??姝ゅ父??
define('UC_CHARSET', 'utf-8');				// UCenter ???绗??
define('UC_IP', '127.0.0.1');				// UCenter ??IP, 褰?UC_CONNECT 涓洪? mysql ?瑰??? 骞朵?褰??搴??????ㄨВ??????????? 璇疯?缃????
define('UC_APPID', '1');				// 褰??搴????ID


疑似全服数据库,带部分数据库截图合成


QQ图片20150329153924.png


未命名_meitu_.jpg


修复方案:

升级,打补丁,然后从新配一下权限吧~ 这都是跨目录的权限过高造成的
大概就深入到这里了~~~
话说越详细rank越高对吗?
这下够详细了吧~~~
算通用吗?
加$吗?
能高rank?
有礼品吗?
不过这个公司还真的让人挺捉急的~~
一个漏洞照成的~~哎~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)