当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075425

漏洞标题:优酷某站配置不当导致getshell,用户泄露,内部邮件泄露,并可内网漫游

相关厂商:优酷

漏洞作者: if、so

提交时间:2014-09-08 10:31

修复时间:2014-10-23 10:32

公开时间:2014-10-23 10:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-08: 细节已通知厂商并且等待厂商处理中
2014-09-08: 厂商已经确认,细节仅向厂商公开
2014-09-18: 细节向核心白帽子及相关领域专家公开
2014-09-28: 细节向普通白帽子公开
2014-10-08: 细节向实习白帽子公开
2014-10-23: 细节向公众公开

简要描述:

大半夜在看视频,看着看着就发现了优酷某站配置不当导致getshell,用户泄露,内部邮件泄露,并可内网漫游等严重问题,尼玛,光看代码看了2个小时!此次渗透可谓是一波三折,提交漏洞时,思路花了好久才理清,花了一夜时间,马上天亮了

详细说明:

晚上在看优酷视频的时候跳出了优酷分享计划,随便点了几下,就跳到了今晚的主角,http://bbs.share.youku.com。

1111.png


论坛使用discuz x3.0搭建,

http://bbs.share.youku.com/home.php?mod=space&uid=1

发现samo是管理员,试了试管理员弱口令,失败,尝试一些配置文件的bak,也提示404.准备离开的时候竟然发现data可以列目录!

1111.png


在里面发现了一个感觉有料的文件log.tar.gz的文件,下载回来发现是一些日志文件。

1111.png


一共45个文件,有些文件就是一些系统日志文件,有些文件记录了详细敏感的信息。
比如smtp.php就记录了发信失败的记录

<?PHP exit;?>	2014-03-13 09:51:14	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?> 2014-03-13 09:51:24 221.10.117.198 1570 /home.php?mod=spacecp&ac=profile&op=password&resend=1 (smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?> 2014-03-13 09:51:36 221.10.117.198 1570 /home.php?mod=spacecp&ac=profile&op=password&resend=1 (smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?> 2014-03-13 09:51:37 221.10.117.198 1570 /home.php?mod=spacecp&ac=profile&op=password&resend=1 (smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?> 2014-03-13 09:51:41 221.10.117.198 1570 /home.php?mod=spacecp&ac=profile&op=password&resend=1 (smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?> 2014-03-13 09:51:43 221.10.117.198 1570 /home.php?mod=spacecp&ac=profile&op=password&resend=1 (smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?> 2014-03-13 09:51:44 221.10.117.198 1570 /home.php?mod=spacecp&ac=profile&op=password&resend=1 (smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
...


而cplog.php和illegallog.php就比较有价值了,分别截取一些片段
cplog

{server=smtp.foxmail.com; port=25; }; 1={server=smtp.163.com; port=25; }; 2={server=smtp.163.com; port=25; }; }; esmtp={0={server=smtp.foxmail.com; port=25; auth=1; [email protected]; [email protected]; auth_password=y********re; }; 1={server=smtp.163.com; port=25; auth=1; [email protected]; [email protected]; auth_password=9********07; }; 2={server=smtp.163.com; port=25; auth=1; [email protected]; [email protected]; auth_password=y********re; }; }; mailusername=1; sendmail_silent=1; }; }; [email protected]; [email protected]; mailcheck=检测邮件发送设置; }; POST={anchor=mailcheck; operation=mailcheck; settingnew={mail={mailsend=2; smtp={0={server=smtp.foxmail.com; port=25; }; 1={server=smtp.163.com; port=25; }; 2={server=smtp.163.com; port=25; }; }; esmtp={0={server=smtp.foxmail.com; port=25; auth=1; [email protected]; [email protected]; auth_password=y********re; }; 1={server=smtp.163.com; port=25; auth=1; [email protected]; [email protected]; auth_password=9********07; }; 2={server=smtp.163.com; port=25; auth=1; [email protected]; [email protected]; auth_password=y********re; }; }; mailusername=1; sendmail_silent=1; }; }; [email protected]; [email protected]; mailcheck=检测邮件发送设置; };


illegallog.php

<?PHP exit;?>	1381895976	test	1***5	Ques #0	211.157.171.226
<?PHP exit;?> 1381977787 12***6 Ques #0 211.157.171.226
<?PHP exit;?> 1382342805 samo 9***7 Ques #0 211.157.171.226
<?PHP exit;?> 1382342825 samo 9***7 Ques #0 211.157.171.226
<?PHP exit;?> 1382698952 samo s***o Ques #0 211.157.171.226
<?PHP exit;?> 1382931098 裂舞 19***7 Ques #0 10.155.9.34
<?PHP exit;?> 1382931108 裂舞 19***7 Ques #0 10.155.9.34
<?PHP exit;?> 1382931120 裂舞 54MW***en Ques #0 10.155.9.34
<?PHP exit;?> 1382931184 裂舞 mao***ot Ques #0 10.155.9.34
<?PHP exit;?> 1383144109 lan la***n Ques #0 124.204.144.76


从上面2个文件我们得出:论坛使用163或者Foxmail作为系统邮箱,然后就是发现samo的密码可能为:9***7,s***o这2个,可是文件里面中间都是3位星号,不确定密码到底是几位,不然就可以直接爆破了。
于是现在就卡在这里了,看看上面的smtp日志,感觉[email protected][email protected]邮箱的密码就是youkushare,从长度和可能性都很像,我们尝试登录进邮箱看看了,最后只登陆进去了[email protected]

1111.png


发现这个邮箱只有系统发信的内容,没有其他敏感信息。。
峰回路转##
再仔细拍查了下,发现了

[email protected]; auth_password=9********07

(见上面的cplog.php代码片段)
发现[email protected]应该就是管理员的邮箱,9********07和illegallog.php里面的记录也很相似,密码应该就是9********07,可是中间密码都被隐去了,都不确定几位数,真是想暴力破解都不行。又卡在这里了。最后实在没办法,只能一个个php文件翻了,希望能发现好东西。cplog.php代码特别多,特别长,我看完足足花了2个小时,代码繁多,一不小心就看花眼了老天见我如此勤劳,觉得奖赏我,我竟然发现了没有隐去密码的9********071!
发现的一霎那,我都不敢乱动,生怕鼠标移走了又找不到了

1111.png


卧槽,真是再看这些代码就要吐了
果断立刻尝试登录后台
http://bbs.share.youku.com/admin.php samo 901107
成功进入!!

1111.png


发现版本是discuz 3.0,可以使用 WooYun: Discuz的利用UC_KEY进行getshell 来getshell
成功getshell:

http://bbs.share.youku.com/config/config_ucenter.php


密码:c

1111.png


6000多名分享计划人员信息泄露

1111.png


执行命令发现在内网

[/bbs/upload/config/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
10.103.52.121 localhost.localdomain
10.103.20.163 mcenterapi.youku.com
#10.25.10.50 api.tudou.com
10.108.89.19 login.tudou.com
10.103.52.121 b01.web.revenue.b28.youku
123.126.98.166 api.tudou.com


可以架设一个代理来进行内网漫游!可是我实在没力气了,就不深入了。
可是还没有完,我又想到了[email protected]的密码有没有可能也是901107?
尝试登陆下,果然登陆进去了,在里面发现更为给力的东西

1111.png


2222.png


4444.png


如图示,他应该设置了邮件服务器的转发功能,也是就是把自己youku的公司信箱转发到了这个163邮箱!!安全意识啊!

漏洞证明:

1111.png


[/bbs/upload/config/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
10.103.52.121 localhost.localdomain
10.103.20.163 mcenterapi.youku.com
#10.25.10.50 api.tudou.com
10.108.89.19 login.tudou.com
10.103.52.121 b01.web.revenue.b28.youku
123.126.98.166 api.tudou.com


1111.png


2222.png


4444.png

修复方案:

好好修复吧

版权声明:转载请注明来源 if、so@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-09-08 11:15

厂商回复:

多谢提醒,马上修复。

最新状态:

暂无