又一次失败的漫游腾讯内部网络过程 #2

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-042767

漏洞标题：又一次失败的漫游腾讯内部网络过程 #2

漏洞作者：猪猪侠

提交时间：2013-11-13 13:24

修复时间：2013-11-13 15:06

公开时间：2013-11-13 15:06

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-11-13：细节已通知厂商并且等待厂商处理中
2013-11-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

又一次大意导致安全测试失败，不得不赞一下腾讯在PHP安全领域的防护实力，当属国内第一！
将本次测试过程写出来，主要是想让乌云的小伙伴们能从中总结出错误经验，从而避免因为相似的粗心大意而使安全测试终止。
最后扯一句：小伙伴们，一起期待下一篇“又又一次失败的漫游腾讯内部网络过程”吧！
由于没有建立一个通用的标准和防御规则来保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露，攻击者可能会通过收集这些保护不足的数据，利用这些信息对系统实施进一步的攻击。

详细说明：

#1 信息泄露原因
由于腾讯论坛管理员在更新服务器文件时，未注意到编辑器会默认创建各种.bak备份文件用来规避错误编辑时引发的数据丢失风险，从而造成了更严重的信息安全威胁。
#2 泄露内容
网站：tita.qq.com
网站：http://tita.qq.com/bbs
泄露文件1：http://tita.qq.com/bbs/config/config_global.php.bak
泄露文件2：http://tita.qq.com/bbs/config/config_ucenter.php.bak

:<?php
$_config = array();
// ---------------------------- CONFIG DB ----------------------------- //
$_config['db']['1']['dbhost'] = '10.***.**.54:3303';
$_config['db']['1']['dbuser'] = 'mtt';
$_config['db']['1']['dbpw'] = 'mtt***';
$_config['db']['1']['dbcharset'] = 'gbk';
$_config['db']['1']['pconnect'] = '0';
$_config['db']['1']['dbname'] = 'discuz_sky';
$_config['db']['1']['tablepre'] = 'pre_';
$_config['db']['common']['slave_except_table'] = '';
// -------------------------- CONFIG MEMORY --------------------------- //
$_config['memory']['prefix'] = 'BG1mwW_';
$_config['memory']['eaccelerator'] = 1;
$_config['memory']['apc'] = 1;
$_config['memory']['xcache'] = 1;
$_config['memory']['memcache']['server'] = '';
$_config['memory']['memcache']['port'] = 11211;
$_config['memory']['memcache']['pconnect'] = 1;
$_config['memory']['memcache']['timeout'] = 1;
// -------------------------- CONFIG SERVER --------------------------- //
$_config['server']['id'] = 1;
// ------------------------- CONFIG DOWNLOAD -------------------------- //
$_config['download']['readmod'] = 2;
$_config['download']['xsendfile']['type'] = '0';
$_config['download']['xsendfile']['dir'] = '/down/';
// --------------------------- CONFIG CACHE --------------------------- //
$_config['cache']['type'] = 'sql';
// -------------------------- CONFIG OUTPUT --------------------------- //
$_config['output']['charset'] = 'gbk';
$_config['output']['forceheader'] = 1;
$_config['output']['gzip'] = '0';
$_config['output']['tplrefresh'] = 1;
$_config['output']['language'] = 'zh_cn';
$_config['output']['staticurl'] = 'static/';
$_config['output']['ajaxvalidate'] = '0';
$_config['output']['iecompatible'] = '0';
// -------------------------- CONFIG COOKIE --------------------------- //
$_config['cookie']['cookiepre'] = 'HeCR_';
$_config['cookie']['cookiedomain'] = '';
$_config['cookie']['cookiepath'] = '/';
// ------------------------- CONFIG SECURITY -------------------------- //
$_config['security']['authkey'] = '05b9d******BBJRt';
$_config['security']['urlxssdefend'] = 0;
$_config['security']['attackevasive'] = '0';
$_config['security']['querysafe']['status'] = 1;
$_config['security']['querysafe']['dfunction']['0'] = 'load_file';
$_config['security']['querysafe']['dfunction']['1'] = 'hex';
$_config['security']['querysafe']['dfunction']['2'] = 'substring';
$_config['security']['querysafe']['dfunction']['3'] = 'if';
$_config['security']['querysafe']['dfunction']['4'] = 'ord';
$_config['security']['querysafe']['dfunction']['5'] = 'char';
$_config['security']['querysafe']['daction']['0'] = 'intooutfile';
$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
$_config['security']['querysafe']['daction']['2'] = 'unionselect';
$_config['security']['querysafe']['daction']['3'] = '(select';
$_config['security']['querysafe']['daction']['4'] = 'unionall';
$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
$_config['security']['querysafe']['dnote']['0'] = '/*';
$_config['security']['querysafe']['dnote']['1'] = '*/';
$_config['security']['querysafe']['dnote']['2'] = '#';
$_config['security']['querysafe']['dnote']['3'] = '--';
$_config['security']['querysafe']['dnote']['4'] = '"';
$_config['security']['querysafe']['dlikehex'] = 1;
$_config['security']['querysafe']['afullnote'] = '0';
// -------------------------- CONFIG ADMINCP -------------------------- //
// -------- Founders: $_config['admincp']['founder'] = '1,2,3'; --------- //
$_config['admincp']['founder'] = '1';
$_config['admincp']['forcesecques'] = '0';
$_config['admincp']['checkip'] = 0;
$_config['admincp']['runquery'] = 0;
$_config['admincp']['dbimport'] = 0;
// -------------------------- CONFIG REMOTE --------------------------- //
$_config['remote']['on'] = '0';
$_config['remote']['dir'] = 'remote';
$_config['remote']['appkey'] = '62cf0b3c3e**********16839721d8e';
$_config['remote']['cron'] = '0';
// ------------------- QROM DIY -------------------- //
$_config['plugindeveloper'] = yes;
// ------------------- THE END -------------------- //
?>

<?php
define('UC_CONNECT', 'mysql');
define('UC_DBHOST', '10.***.**.54:3303');
define('UC_DBUSER', 'mtt');
define('UC_DBPW', 'mtt***');
define('UC_DBNAME', 'discuz_sky');
define('UC_DBCHARSET', 'gbk');
define('UC_DBTABLEPRE', '`discuz_sky`.pre_ucenter_');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'gbk');
define('UC_KEY', 'bc21Y0P7U4x91fN4Jexdz7********************4M5C8U3NdL8Q3X19eod');
define('UC_API', 'http://tita.qq.com/bbs/uc_server');
define('UC_APPID', '1');
define('UC_IP', '');
define('UC_PPP', 20);

漏洞证明：

#4 漏洞证明 (有UC_KEY，Discuz等于可以做任何事)
详细利用方法参见： WooYun: 途牛网某服务配置失误导致论坛敏感文件泄露(致使百万用户信息告急)
#5 证明细节(对于有些人你不发个SHELL出来，他们永远会觉得这不是安全问题！)
例如盛大： WooYun: 盛大某分站敏感配置文件泄露#1 可导致内网渗透
#6 利用细节
由于Discuz UC_SERVER 的updateapps接口未严格校验客户端提交的数据，导致可写入任意代码至/config/config_ucenter.php。

$code=urlencode(_authcode("time=$timestamp&action=updateapps", 'ENCODE', $uc_key));

鉴于!Discuz在乌云已经属于无良厂商，这里不纰漏详细代码，
另外扯一句：Discuz最好做好“以后都别指望从好心的白帽子手上免费获取任何漏洞信息”的准备了！，用Discuz厂商的们，都夹紧尾巴低调吧，别哪天一不小心就被黑了！
围观： WooYun: 安全测试#1 如何搞定discuz.net官方！
#7 没图没SHELL说个毛线？

我想被腾讯的全量日志监控系统发现的原因是：“执行了phpinfo()这个坑爹的函数，phpinfo()返回的数据包全是未加密的HTTP原文，从而被监控系统直接识别出里面的各种恶心入侵关键字，触发IDS报警，从而发现了这次的测试行为！”

修复方案：

#1 网络边界需要认真对待。
#2 杜绝为了方便而造成的不必要的信息泄露。
#3 安全是一个整体，保证安全不在于强大的地方有多强大，而在于真正薄弱的地方在哪里。

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-11-13 15:06

厂商回复：

该漏洞在渗透过程中我们已经发现并处理，暂未发现对业务和用户造成安全影响，如您有进一步发现，请及时与我们联系。

漏洞Rank：8 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-042767

漏洞标题：又一次失败的漫游腾讯内部网络过程 #2

相关厂商：腾讯

漏洞作者：猪猪侠

提交时间：2013-11-13 13:24

修复时间：2013-11-13 15:06

公开时间：2013-11-13 15:06

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-042767

漏洞标题：又一次失败的漫游腾讯内部网络过程 #2

相关厂商：腾讯

漏洞作者： 猪猪侠

提交时间：2013-11-13 13:24

修复时间：2013-11-13 15:06

公开时间：2013-11-13 15:06

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-042767"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：猪猪侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源猪猪侠@乌云