当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086150

漏洞标题:暴风某站WebShell泄露大量信息&&疑似可修改客户端视频接口

相关厂商:暴风影音

漏洞作者: pangshenjie

提交时间:2014-12-06 16:42

修复时间:2014-12-11 16:44

公开时间:2014-12-11 16:44

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-06: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

弱口令引发的血案。疑似可影响暴风影音客户端。

详细说明:

Ucenter弱口令:
bbs.shouji.baofeng.com/uc_server
admin

ucenter admin .png


可获取webshell。拿shell的过程就不说了。

SHELL.jpg


在/opt/modu***/nginx/conf/nginx.conf文件中看了下nginx的配置:

listen              80;
         root                /opt/live;
         server_name 127.0.0.1 img.shouji.baofeng.com api.shouji.baofeng.com ipad.shouji.* iphone.shouji.* live.shouji.baofeng.com;


看到还绑了几个其他域名,从域名判断应该是客户端的一些api
继续找数据库配置文件:

/opt/thu***/settings.py:
conf = {}
conf['cover-db'] = 'live'
conf['cover-host'] = '192.168.1.78'
conf['cover-port'] = 27017
conf['cover-user'] = ''
conf['cover-pwd'] = ''
conf['replicaset'] = 'rs0'
conf['timeout'] = 5000
if USE_TEST_MONGO:
    conf["host"] = "192.168.1.144"
    conf["cover-user"] = None
    conf['cover-pwd'] = None
else:
    conf["cover-user"] = "live_**"
    conf['cover-pwd'] = 'live_****ongodb'
    if PRODUCTION:
        conf['cover-host'] = "192.168.2.15"
    else:
        conf['cover-host'] = "114.112.82.15"


尝试用得到的密码连了下公网的那个mongodb:

pubmongo.jpg


吓尿,看起来是设置视频直播源的db,可修改台标cover_url、视频地址live_url
cover_url http://i0.letvimg.com/phone/201208/17/201208171335166961.png
live_url:http://live.gslb.letv.com/gslb?stream_id=zhejiang&tag=live&ext=m3u8&sign=live_phone
继续看了下,/opt/live/****/settings.py 找到另一处配置文件:

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql', # Add 'postgresql_psycopg2', 'mysql', 'sqlite3' or 'oracle'.
        'NAME': 'live',                      # Or path to database file if using sqlite3.
        'USER': 'live***',
        'PASSWORD': 'ndi1T****',
        'HOST': '192.168.3.6*',                      # Empty for localhost through domain sockets or '127.0.0.1' for localhost through TCP.
        'PORT': '3306',                      # Set to empty string for default.
    }
}


可成功连接:

live database.jpg


live count video.jpg


视频数量也很大,通过表结构,发现这个数据库可控制
http://live.shouji.baofeng.com/live/channel_detail/?channel_id=16&os_version=ipad&bf_version=3.6.5
这个接口的信息。
同样的还有api.shouji.baofeng.com 等api的返回。可以YY一下,这个地方改一下,就要上头条了。

漏洞证明:

SHELL.jpg


live.jpg


vvv2.jpg


pubmongo.jpg


修复方案:

改密码。
过程获取的所有信息已删除。

版权声明:转载请注明来源 pangshenjie@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-11 16:44

厂商回复:

最新状态:

暂无