当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129976

漏洞标题:某团购网站版本控制信息泄露导致getshell

相关厂商:爱团网

漏洞作者: tnt1200

提交时间:2015-07-30 19:45

修复时间:2015-09-17 20:06

公开时间:2015-09-17 20:06

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开

简要描述:

某团购网站版本控制信息泄露导致getshell

详细说明:

爱团pic服务器存在svn配置文件:
http://pic0.aituan.com/public/images/at/act/.svn/entries 

10
dir
8222
svn://dev.aituan.com/aituan.com/public/images/at/act
svn://dev.aituan.com/aituan.com
2014-11-05T05:51:05.942023Z
8131
wangyupeng
...


从配置文件可以看出svn地址为svn://dev.aituan.com/aituan.com并且存在wangyupeng用户。
这里使用svn_brute(https://gist.github.com/tnt1200/a7afb01c522b92d0b212)对svn进行爆破:

svn.png


可通过svn获得全站代码。
在phone_test.php中发现一处上传漏洞

public function upload() {
        if (($_FILES ["file"] ["size"] < 200000000)) {
            if ($_FILES ["file"] ["error"] > 0) {
                echo "Return Code: " . $_FILES ["file"] ["error"] . "<br />";
            } else {
                $upload_params = config_item('upload_params');
                $file = rand(0, 1000).$_FILES ["file"] ["name"];
                move_uploaded_file ( $_FILES ["file"] ["tmp_name"], $upload_params['upload_path'] . $file);
                $img = base64_encode(base_url().'uploads/'.$file);
                redirect('at/phone_test/show?img='.$img);
            }
        } else {
            echo "Invalid file";
        }
    }


可上传任意文件
上传点为http://www.aituan.com/at/phone_test/display

漏洞证明:

上传phpinfo证明,未深入。

2


3

修复方案:

增强svn口令,修补上传漏洞

版权声明:转载请注明来源 tnt1200@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-03 20:04

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商(或网站管理单位)的直接处置渠道,待认领。

最新状态:

暂无