优酷某站配置不当导致getshell，用户泄露，内部邮件泄露，并可内网漫游

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075425

漏洞标题：优酷某站配置不当导致getshell，用户泄露，内部邮件泄露，并可内网漫游

漏洞作者： if、so

提交时间：2014-09-08 10:31

修复时间：2014-10-23 10:32

公开时间：2014-10-23 10:32

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-08：细节已通知厂商并且等待厂商处理中
2014-09-08：厂商已经确认，细节仅向厂商公开
2014-09-18：细节向核心白帽子及相关领域专家公开
2014-09-28：细节向普通白帽子公开
2014-10-08：细节向实习白帽子公开
2014-10-23：细节向公众公开

简要描述：

大半夜在看视频，看着看着就发现了优酷某站配置不当导致getshell，用户泄露，内部邮件泄露，并可内网漫游等严重问题，尼玛，光看代码看了2个小时！此次渗透可谓是一波三折，提交漏洞时，思路花了好久才理清，花了一夜时间，马上天亮了

详细说明：

晚上在看优酷视频的时候跳出了优酷分享计划，随便点了几下，就跳到了今晚的主角，http://bbs.share.youku.com。

论坛使用discuz x3.0搭建，

http://bbs.share.youku.com/home.php?mod=space&uid=1

发现samo是管理员，试了试管理员弱口令，失败，尝试一些配置文件的bak，也提示404.准备离开的时候竟然发现data可以列目录！

在里面发现了一个感觉有料的文件log.tar.gz的文件，下载回来发现是一些日志文件。

一共45个文件，有些文件就是一些系统日志文件，有些文件记录了详细敏感的信息。
比如smtp.php就记录了发信失败的记录

<?PHP exit;?>	2014-03-13 09:51:14	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:24	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:36	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:37	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:41	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:43	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
<?PHP exit;?>	2014-03-13 09:51:44	221.10.117.198	1570	/home.php?mod=spacecp&ac=profile&op=password&resend=1	(smtp.163.com:25) CONNECT - Unable to connect to the SMTP server
...

而cplog.php和illegallog.php就比较有价值了,分别截取一些片段
cplog

{server=smtp.foxmail.com; port=25; }; 1={server=smtp.163.com; port=25; }; 2={server=smtp.163.com; port=25; }; }; esmtp={0={server=smtp.foxmail.com; port=25; auth=1; from=yuanchuang-test@foxmail.com; auth_username=yuanchuang-test@foxmail.com; auth_password=y********re; }; 1={server=smtp.163.com; port=25; auth=1; from=youkusamo@163.com; auth_username=youkusamo@163.com; auth_password=9********07; }; 2={server=smtp.163.com; port=25; auth=1; from=shaiyuanchuang@163.com; auth_username=shaiyuanchuang@163.com; auth_password=y********re; }; }; mailusername=1; sendmail_silent=1; }; }; test_from=shaiyuanchuang@163.com; test_to=315832738@qq.com; mailcheck=检测邮件发送设置; }; POST={anchor=mailcheck; operation=mailcheck; settingnew={mail={mailsend=2; smtp={0={server=smtp.foxmail.com; port=25; }; 1={server=smtp.163.com; port=25; }; 2={server=smtp.163.com; port=25; }; }; esmtp={0={server=smtp.foxmail.com; port=25; auth=1; from=yuanchuang-test@foxmail.com; auth_username=yuanchuang-test@foxmail.com; auth_password=y********re; }; 1={server=smtp.163.com; port=25; auth=1; from=youkusamo@163.com; auth_username=youkusamo@163.com; auth_password=9********07; }; 2={server=smtp.163.com; port=25; auth=1; from=shaiyuanchuang@163.com; auth_username=shaiyuanchuang@163.com; auth_password=y********re; }; }; mailusername=1; sendmail_silent=1; }; }; test_from=shaiyuanchuang@163.com; test_to=315832738@qq.com; mailcheck=检测邮件发送设置; };

illegallog.php

<?PHP exit;?>	1381895976	test	1***5	Ques #0	211.157.171.226
<?PHP exit;?>	1381977787		12***6	Ques #0	211.157.171.226
<?PHP exit;?>	1382342805	samo	9***7	Ques #0	211.157.171.226
<?PHP exit;?>	1382342825	samo	9***7	Ques #0	211.157.171.226
<?PHP exit;?>	1382698952	samo	s***o	Ques #0	211.157.171.226
<?PHP exit;?>	1382931098	裂舞	19***7	Ques #0	10.155.9.34
<?PHP exit;?>	1382931108	裂舞	19***7	Ques #0	10.155.9.34
<?PHP exit;?>	1382931120	裂舞	54MW***en	Ques #0	10.155.9.34
<?PHP exit;?>	1382931184	裂舞	mao***ot	Ques #0	10.155.9.34
<?PHP exit;?>	1383144109	lan	la***n	Ques #0	124.204.144.76

从上面2个文件我们得出：论坛使用163或者Foxmail作为系统邮箱，然后就是发现samo的密码可能为：9***7，s***o这2个，可是文件里面中间都是3位星号，不确定密码到底是几位，不然就可以直接爆破了。
于是现在就卡在这里了，看看上面的smtp日志，感觉yuanchuang-test@foxmail.com和shaiyuanchuang@163.com邮箱的密码就是youkushare，从长度和可能性都很像，我们尝试登录进邮箱看看了，最后只登陆进去了shaiyuanchuang@163.com。

发现这个邮箱只有系统发信的内容，没有其他敏感信息。。
峰回路转##
再仔细拍查了下，发现了

auth_username=youkusamo@163.com; auth_password=9********07

（见上面的cplog.php代码片段）
发现youkusamo@163.com应该就是管理员的邮箱，9********07和illegallog.php里面的记录也很相似，密码应该就是9********07，可是中间密码都被隐去了，都不确定几位数，真是想暴力破解都不行。又卡在这里了。最后实在没办法，只能一个个php文件翻了，希望能发现好东西。cplog.php代码特别多，特别长，我看完足足花了2个小时，代码繁多，一不小心就看花眼了老天见我如此勤劳，觉得奖赏我，我竟然发现了没有隐去密码的9********071!
发现的一霎那，我都不敢乱动，生怕鼠标移走了又找不到了

卧槽，真是再看这些代码就要吐了
果断立刻尝试登录后台
http://bbs.share.youku.com/admin.php samo 901107
成功进入！！

发现版本是discuz 3.0，可以使用 WooYun: Discuz的利用UC_KEY进行getshell 来getshell
成功getshell:

http://bbs.share.youku.com/config/config_ucenter.php

密码：c

6000多名分享计划人员信息泄露

执行命令发现在内网

[/bbs/upload/config/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1	localhost.localdomain localhost
::1		localhost6.localdomain6 localhost6
10.103.52.121   localhost.localdomain
10.103.20.163   mcenterapi.youku.com
#10.25.10.50     api.tudou.com
10.108.89.19    login.tudou.com
10.103.52.121   b01.web.revenue.b28.youku
123.126.98.166	api.tudou.com

可以架设一个代理来进行内网漫游！可是我实在没力气了，就不深入了。
可是还没有完，我又想到了youkusamo@163.com的密码有没有可能也是901107？
尝试登陆下，果然登陆进去了，在里面发现更为给力的东西

如图示，他应该设置了邮件服务器的转发功能，也是就是把自己youku的公司信箱转发到了这个163邮箱！！安全意识啊！

漏洞证明：

[/bbs/upload/config/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1	localhost.localdomain localhost
::1		localhost6.localdomain6 localhost6
10.103.52.121   localhost.localdomain
10.103.20.163   mcenterapi.youku.com
#10.25.10.50     api.tudou.com
10.108.89.19    login.tudou.com
10.103.52.121   b01.web.revenue.b28.youku
123.126.98.166	api.tudou.com

修复方案：

好好修复吧

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-09-08 11:15

厂商回复：

多谢提醒，马上修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075425

漏洞标题：优酷某站配置不当导致getshell，用户泄露，内部邮件泄露，并可内网漫游

相关厂商：优酷

漏洞作者： if、so

提交时间：2014-09-08 10:31

修复时间：2014-10-23 10:32

公开时间：2014-10-23 10:32

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075425

漏洞标题：优酷某站配置不当导致getshell，用户泄露，内部邮件泄露，并可内网漫游

相关厂商：优酷

漏洞作者： if、so

提交时间：2014-09-08 10:31

修复时间：2014-10-23 10:32

公开时间：2014-10-23 10:32

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-075425"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：