漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0116674
漏洞标题:UC某功能XML实体注入
相关厂商:UC Mobile
漏洞作者: 我是小号
提交时间:2015-05-28 13:58
修复时间:2015-07-12 22:54
公开时间:2015-07-12 22:54
漏洞类型:任意文件遍历/下载
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-28: 细节已通知厂商并且等待厂商处理中
2015-05-28: 厂商已经确认,细节仅向厂商公开
2015-06-07: 细节向核心白帽子及相关领域专家公开
2015-06-17: 细节向普通白帽子公开
2015-06-27: 细节向实习白帽子公开
2015-07-12: 细节向公众公开
简要描述:
影响有限但案例有点奇葩所以和大家分享一下
详细说明:
问题功能:
在框框里面胡乱敲了一段XML以后提交抓包,是一个POST请求:
id参数疑似存在SQL注射,因为传入一个单引号返回非正常数据,传入两个返回正常,我就拿起SQLMAP跑一跑结果大失所望
但是我觉得这边还是脆弱可能存在漏洞,XML相关的漏洞当然就是XXE,所以我们尝试一下是否存在XXE漏洞呢?因为在手工进行盲注测试的时候,返回的错误信息里有entity字眼,所以更加坚定这边有可能存在XXE的信念。
乌云之前的XXE案例,都是通过传入一份完整的XML文档,文档的DTD内的实体部分引用外部实体导致本地文件包含。
二哥的百度XML实体注入案例(SVG标签):
WooYun: 百度某功能XML实体注入
Xml格式文件处理不当导致XXE:
WooYun: 天翼云一处xxe漏洞可读取任意文件
然而这边非常的奇葩,按照前辈的思路本来我把重点放在xml参数上面的,传入了一个引用外部实体的Xml内容,结果毫无所获。结果在向id参数传入一个判断mysql版本的注射命令却发现了XXE,最终利用如下:
/etc/passwd一定要和前面的内容用空格隔开,UC的解析器就把它的内容包含了进来....
漏洞证明:
POC:
上图红框中的内容就是etc/passwd的内容了,要复现直接导入Fiddler重新发一下包就行了
修复方案:
不知道你们后端的逻辑是怎么样的,禁止外部实体
版权声明:转载请注明来源 我是小号@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-05-28 18:14
厂商回复:
漏洞存在,已转给相关同学处理,谢谢!
最新状态:
暂无