漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0199167
漏洞标题:土豆某重要系统多处越权可操作各种后台功能
相关厂商:土豆网
漏洞作者: 路人甲
提交时间:2016-04-22 11:58
修复时间:2016-06-10 15:10
公开时间:2016-06-10 15:10
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-22: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开
简要描述:
没有内网渗透,没有Webshell!
详细说明:
书接3年前前文
<a href="http://wooyun.org/bugs/wooyun-2013-021889">http://wooyun.org/bugs/wooyun-2013-021889</a>
上文介绍的东西不多,在这里我详细介绍下。不过,我技术差,就直接拿图片补吧。
此页面正片查看(可操作清理缓存,查看版权,也就仅此)
http://cms.tudou.com/album/album/toItemList.html?channelId=xx&display=0©right=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=xxxxxx&itemType=1&page=1
这是周边页面(可查看影片来源)
http://cms.tudou.com/album/album/toItemList.html?channelId=30&display=0©right=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=249690&itemType=2&page=1
这是官方库详情(注:此部分可修改剧情介绍,可修改封面,亦可操作播放。理论上可写入恶意代码!不过,我并未测)
http://cms.tudou.com/album/album/viewAlbum.html?channelId=30&display=0©right=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=249690&page=1
这两个为封面介绍和播放页面。经过上面的操作直接生成。这要是随便加点料谁能知道。大海捞针。细雨无声。。。
http://www.tudou.com/albumcover/R6DK___-dqE.html
http://www.tudou.com/albumplay/R6DK___-dqE.html
这里有一个回写和导出。由于需要确认,我没忍住好奇测试了一下。我看回写的时间慢,就没继续了。
http://cms.tudou.com/album/album/search.html
这就是最危险的地方了!!!可查看修改任意影片信息!!!三年了!!!
http://cms.tudou.com/album/album/toEdit.html?album.id=249690&channelId=30©right=-1&page=1&type=-1
所有的影片信息都要POST到这里,由于我用的是手机,太过麻烦。并未测试。(大家可以看见,页面并未提供提交按钮,其实只需下载页面到本地在加个Submit就行了)
http://cms.tudou.com/album/album/update.html
在下面就是一些其他的功能了。就不一一截图了。
例如:影片添加
http://cms.tudou.com/album/album/toAdd.html
影片删除(只需提供两个id即可删除影片!)
http://cms.tudou.com/album/album/delete.html?album.id=xxxxxx&channelId=xx
剧集更新
http://cms.tudou.com/album/youku/updateYoukuInfo.html?album.id=xxxxxx&channelId=xx
回写操作
http://cms.tudou.com/album/youku/rewriteTudouId.html?album.id=xxxxxx&channelId=xx
影片信息导出
http://cms.tudou.com/album/album/doExport.html
影片信息到处至本地
http://cms.tudou.com/album/album/peekExport.html
http://cms.tudou.com/album/album/getExportResult.html
影片专辑更新
http://cms.tudou.com/album/youku/updateYoukuInfoByAlbumIds.html
最后提一下:此为修改日志(所有修改均有在此记录!有一些未知用户的修改操作。)
http://cms.tudou.com/album/album/viewLogs.html?channelId=30&display=0©right=-1&partner=-1&paid=-1&cartoonType=-1&isSerial=-1&episodeStatus=0&logFromDate=&logToDate=&keyType=0&keyValue=&manualSearch=false&hrefLink=true&album.id=249690&page=0&lastPage=1
漏洞证明:
下面是测试上传的文件,无奈的是只能执行javascript,不能执行php。
http://g4.tdimg.com/b/20160422/c1.txt
http://g3.tdimg.com/b/20160422/c2.php
http://g3.tdimg.com/b/20160422/c3.html
http://g3.tdimg.com/b/20160422/c4.php
以上就介绍完了,不咸不淡。没有Webshell,没有内网渗透。看到这里大家可能觉得有些不值。在这里我想说明一下,我知道我技术很差。连Shell都拿不到,连个马都挂不了。这个漏洞将近三年了,其他人就不一定了。土豆官方。。。
修复方案:
1.加个登录吧。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2016-04-26 15:03
厂商回复:
小哥儿,你好!该问题我们已经确认,并火速联系相关开发人员进行修补了,非常感谢您对土豆安全的关注!
最新状态:
暂无