当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146779

漏洞标题:饿了么内网一日游

相关厂商:饿了么

漏洞作者: DBA

提交时间:2015-10-14 19:55

修复时间:2015-11-26 16:12

公开时间:2015-11-26 16:12

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:18

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-14: 细节已通知厂商并且等待厂商处理中
2015-10-18: 厂商已经确认,细节仅向厂商公开
2015-10-28: 细节向核心白帽子及相关领域专家公开
2015-11-07: 细节向普通白帽子公开
2015-11-17: 细节向实习白帽子公开
2015-11-26: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

写篇议论文

详细说明:

故事要从很久很久以前的两天前说起。
QQ群搜"ele.me 账号",搜到一个群,看群简介。

ehr.ele.me1.jpg


研究了下

http://ehr.ele.me:9004/portal

端口扫描、路径扫描并没有发现什么可以利用的东西。网页右上角有ehr咨询,于是点进去下载了很多文档。如下。

ehr.ele.me.jpg

ehr.ele.me2.jpg


然后我就无耻的冒充市场部混进去,后来发现根本没有市场部....可是申请加群却通过了。

qun.jpg


找群共享,并没有发现什么可以深入的资料。于是看群成员,发现一个。

ele费控系统咨询.jpg


但itsm.rajax.me日不进去,但是在忘记密码处发现好玩的,如下图。

itsm.jpg


访问http://act.rajax.me/ 如图

act.rajax.me.jpg


猜测三个系统密码应该互通,既然密码规律知道了,爆破吧。就拿饿了么老板【张旭豪】试试,burp神器intruder,账号xuhao.zhang,密码ele.me0000~ele.me9999,最后

mask 区域 
*****e71*****

爆破成功。如图,结果只是个普通员工,叫张旭浩,拼音跟老板一样,也是运气好到爆。后来搜了下老板账户是mark.zhang

ceo.jpg


内部系统一般比较弱,找找突破口吧,发现申请流程可以上传,有戏,直接选中jsp马上传发现提示【请勿提交非正式文档】,抓改包也不行,不过判断抓不到包,估计是js判断,于是开始审计代码,已审计不要紧,差点哭瞎。

jsp.png


既然如此,改file.js,ctrl+F5刷新页面,burp拦截js,拦截到file.js的时候,改返回包,把"jsp"改成"php",再上传,妥妥的。这里找上传后的路径还费了点时间,算法大致如下

uploadfiles = filename.split('@');
etx=uploadfiles[i].split(':');
f = viewurl+ uploadfiles[i].substring(0, 2) + "/" + etx[0];


upload.jpg


好了,菜刀一句话连接,还是root权限。reGeorg代理,刺探下内网C段80端口,如下

caidao.jpg




mask 区域


1.http://**.**.**
2.http://**.**.**
3.http://**.**.**/1.0.15 >>Success_
4.http://**.**.**/1.6.2 >>Success_
5.http://**.**.**
6.http://**.**.**/1.6.2 >>Success_
7.http://**.**.**/1.4.6 (Ubuntu) >>Success_
8.http://**.**.**/1.6.2 >>Success_
9.http://**.**.**/1.6.2 >>Success_
10.http://**.**.**/1.4.6 (Ubuntu) >>Success_
11.http://**.**.**/1.6.2 >>Success_
12.http://**.**.**/1.9.3 >>Success_
13.http://**.**.**/>>nginx/1.0.15 >>Success_
14.http://**.**.**/2.1.0 >>Success_
15.http://**.**.**/1.4.6 (Ubuntu) >>Success_
16.http://**.**.**/1.8.0 >>Success_
17.http://**.**.**/7.5 >>Success_
18.http://**.**.**/1.4.6 (Ubuntu) >>Success_
19.http://**.**.**/1.5.2 >>Success_
20.http://**.**.**/1.6.2 >>Success_
21.http://**.**.**/1.6.3 >>Success_
22.http://**.**.**/2.1.0 >>Success_
23.http://**.**.**/1.6.2 >>Success_
24.http://**.**.**/1.9.3 >>Success_
25.http://**.**.**/2.4.7 (Ubuntu) >>Success_
26.http://**.**.**/1.4.6 (Ubuntu) >>Success_
27.http://**.**.**/1.6.2 >>Success_
28.http://**.**.**
29.http://**.**.**/2.4.7 (Ubuntu) >>Success_
30.http://**.**.**/1.8.0 >>Success_
31.http://**.**.**
32.http://**.**.**
33.http://**.**.**/1.4.6 (Ubuntu) >>Success_
34.http://**.**.**/1.4.6 (Ubuntu) >>Success_
35.http://**.**.**/1.4.6 (Ubuntu) >>Success_
36.http://**.**.**/8.0.23>>Apache-Coyote/1.1 >>Success_
37.http://**.**.**/1.9.4 >>Success_
38.http://**.**.**/7.5 >>Success_
39.http://**.**.**/1.30 >>Success_
40.http://**.**.**/7.5 >>Success_
41.http://**.**.**
42.http://**.**.**
43.http://**.**.**/1.30 >>Success_
44.http://**.**.**/7.5 >>Success_
45.http://**.**.**
46.http://**.**.**
47.http://**.**.**/1.8.0 >>Success_
48.http://**.**.**
49.http://**.**.**/1.4.6 (Ubuntu) >>Success_
50.http://**.**.**/1.6.2 >>Success_
51.http://**.**.**/1.4.6 (Ubuntu) >>Success_
52.http://**.**.**/1.4.6 (Ubuntu) >>Success_
53.http://**.**.**/2.2.15 (CentOS) >>Success_
54.http://**.**.**
55.http://**.**.**/1.4.6 (Ubuntu) >>Success_
56.http://**.**.**/8.5 >>Success_
57.http://**.**.**
58.http://**.**.**


证明就截几个图了
开发文档

BD.jpg


这个目测是打包工具服务器

tar.jpg


短信平台

SMS.jpg


公司WiFi信息

WIFI.jpg


....等
不多贴了。

漏洞证明:

http://act.rajax.me/store/icon/dc/dc71d881ae2a97aed72455b8d2db6ca3fa7a5b16one.jsp?pwd=023&i=ifconfig


如上i参数为系统命令

修复方案:

从解散群开始。

版权声明:转载请注明来源 DBA@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-18 13:38

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在修复中。如有任何新的进展我们将会及时同步。稍后我们将会联系您,进行后续礼品发放。

最新状态:

2015-11-26:漏洞已修复,谢谢对饿了么的支持和关注!