当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063700

漏洞标题:魅族两处任意文件上传,root权限可内网渗透,邮箱泄露,潜在被拖库

相关厂商:魅族科技

漏洞作者: lijiejie

提交时间:2014-06-06 00:26

修复时间:2014-06-11 00:26

公开时间:2014-06-11 00:26

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-06: 细节已通知厂商并且等待厂商处理中
2014-06-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上次给魅族提个漏洞,被直接忽略了。。。 于是乎,我想,不如来个更大力点的,让他们不好意思忽略?

详细说明:

任意文件上传的地方位于
http://developer.meizu.com/common/upload
还有上传身份证的地方。Flash本地判断扩展名啊,魅族的大神...
一开始测试发现存在任意文件上传,但无法得到上传路径。于是,早上用假身份证去注册了个账号,下午发现你们已经审核通过了。
轻松拿到shell,root呐,内网呐:

webshell2.png


ifconfig.png


找到account@meizu.com,登录了邮箱,限于时间,还没拿得到的密码去爆你们其他的账号:

meizu_email_2.png


魅族的密码Salt是:
meizu.system.salt.v1=xxx@meizu.com@xxx
数据库连接密码被jetty cipher加密了,以前没逆过,但是AES哥是成功逆过的,呵呵
两台数据库服务器是192.168.16.XXX。
过了会儿发现哥的shell被删了,原来魅族服务器上安装了个叫tencent.security.packagescan的玩意儿。。。 一开始太疏忽了,额。。。
就玩到这里吧,都被发现。 无力拖库了。。。 不过我试了下,随时都还能再上传成功,说明只是被扫描器干掉了,管理员指不定还不清楚状况呢?

漏洞证明:

修复方案:

你们更专业

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-06-11 00:26

厂商回复:

最新状态:

2014-06-12:该问题已经引起我们的高度重视,并第一时间进行了处理和对相关文件进行了检查!非常感谢大家对魅族的关注,谢谢!

2014-06-12:非常抱歉没有第一时间和作者确认漏洞,我们会进一步加强我们的业务安全,同时再次感谢大家对魅族业务的关注!