2015-08-03: 细节已通知厂商并且等待厂商处理中 2015-08-08: 厂商已经主动忽略漏洞,细节向公众公开
点到为止,影响多大你自己懂得!
0x01:配置不当
http://xhd.iyiyun.com/xhd.tar.gz
此处配置不当导致xhd整站程序可被下载,包含各类敏感信息或可涉及用户信息
看数据,不解释:
<?phpreturn array( //'配置项'=>'配置值' 'APP_DEBUG' => true, 'URL_MODEL' => 2, 'URL_CASE_INSENSITIVE' => true, //大小写 'TOKEN_ON' => false, 'SESSION_AUTO_START' => true, // 'LOG_RECORD' => true, // 开启日志记录 // 'LOG_RECORD_LEVEL' => array('EMERG','ALERT','CRIT','ERR', 'WARN', 'DEBUG'), //分组 'APP_GROUP_LIST' => 'Home,Admin', 'DEFAULT_GROUP' => 'Home', //自定义变量 TMPL_PARSE_STRING => array( '__UPLOAD__' => __ROOT__.'/Upload', 'SITE_URL' => 'http://'.$_SERVER['HTTP_HOST'] ), 'DB_TYPE' => 'mysql', 'DB_HOST' => 'localhost', 'DB_NAME' => 'xhd', 'DB_USER' => 'xhd', 'DB_PWD' => 'DmdHy/J%!eubZ$1}', 'DB_PORT' => '3306', 'DB_PREFIX' => 'xhd_', 'TOKEN_ON'=>true, // 是否开启令牌验证 'TOKEN_NAME'=>'__hash__', // 令牌验证的表单隐藏字段名称 'TOKEN_TYPE'=>'md5', //令牌哈希验证规则 默认为MD5 'TOKEN_RESET'=>true, //令牌验证出错后是否重置令牌 默认为true 'SITE_URL' => 'http://'.$_SERVER['HTTP_HOST']."/", 'BAIDU_API' => '2d9a98266c38177f3ef9688f3c228243', // 'DATA_CACHE_TYPE' => 'Memcache', //默认是file方式进行缓存的,修改为memcache // 'MEMCACHE_HOST' => '172.100.10.161:11211', //memcache服务器地址和端口,这里为本机。 // 'DATA_CACHE_TIME' => '3600', //过期的秒数。 //mail设置 'MAIL_SMTP' => 'smtp.exmail.qq.com', 'MAIL_LOGINNAME' => 'admin@iyiyun.com', 'MAIL_PASSWORD' => 'NetEasy@2012', 'MAIL_ADDRESS' => 'admin@iyiyun.com', 'DEFAULT_THEME' => '', //腾讯QQ登录配置 'THINK_SDK_QQ' => array( 'APP_KEY' => '100249014', //应用注册成功后分配的 APP ID 'APP_SECRET' => '36e8c3b8045332ca54bd7159ba824499', //应用注册成功后分配的KEY 'CALLBACK' => URL_CALLBACKQQ, ), //新浪微博配置 'THINK_SDK_SINA' => array( 'APP_KEY' => '4265654592', //应用注册成功后分配的 APP ID 'APP_SECRET' => '63a1c1385b4f1b61106b1bec738be781', //应用注册成功后分配的KEY 'CALLBACK' => URL_CALLBACK . 'sina', ), //百度配置 'THINK_SDK_BAIDU' => array( 'APP_KEY' => 'GLcb5G5pqH1Schq14t6kNDhg', //应用注册成功后分配的 APP ID 'APP_SECRET' => 'gEoq4qw6qbWQuNqX2uzUF9j2WApRuMaY', //应用注册成功后分配的KEY 'CALLBACK' => URL_CALLBACK . 'baidu', ), //路由规则 'URL_ROUTER_ON' => true, );
整个程序包含什么东东你懂得包括不限于:phpmyadmin/多个邮箱系统key/upload/等多处信息!
0x02:6处配置不当http://map.iyiyun.com/Public/.svn/entrieshttp://map.iyiyun.com/Public/image/.svn/entrieshttp://xhd.iyiyun.com/Public/.svn/entrieshttp://yibo.iyiyun.com/huijia/.svn/entrieshttp://user.iyiyun.com/phpinfo.phphttp://yibo.iyiyun.com/phpinfo.php随便演示一个。如:
我是来找礼物的!
危害等级:无影响厂商忽略
忽略时间:2015-08-08 10:18
漏洞Rank:4 (WooYun评价)
暂无