当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156043

漏洞标题:某电竞平台(dota2)一些列问题导致Getshell影响内网安全

相关厂商:imbatv.cn

漏洞作者: we8_

提交时间:2015-12-08 21:49

修复时间:2016-01-11 16:56

公开时间:2016-01-11 16:56

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-08: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

ImbaTV是一个以 DOTA2 游戏为中心的原创性内容供应平台,已经转播了 TI4 联赛,并且制作了水友赛、比赛点播,游戏 MV。2015年10月完成约1亿人民币的B轮融资。该轮融资由毅达资本旗下紫金文化基金领投,普思资本跟投,A轮投资方红杉资本与创新工场继续跟投。
ImbaTV是一家以DOTA2相关视频为核心的游戏内容分发平台。其创业过程异乎寻常的顺利——在设备没有配备完整情况下,转播TI4预选赛,创造最高38万人次直播。其后又获得了创新工场和红杉资本联合投资的数百万美元。据悉这是创新工场在游戏领域迄今为止首轮投资额最多的公司之一,仅次于此前被收购的智明星通。
--没有脱任何重要文件和数据:)

详细说明:

1、信息搜集:
bbs.imbatv.cn(Discuz! X3.1)
http://bbs.imbatv.cn/test.php
http://bbs.imbatv.cn/.git/config
http://bbs.imbatv.cn/robots.txt
http://bbs.imbatv.cn/admin.php
http://i.imbatv.cn/phpinfo.php
http://i.imbatv.cn/admin.php
http://i.imbatv.cn/.svn/entries
http://imbatv.cn/admin/
http://imbatv.cn/i.php
http://imbatv.cn/search?keywords=1 注入
http://webdev.imbatv.cn/admin/
一个一个进行测试,我们逐一进行分析:)
1、BBS的dzx3.1 本身貌似大概没什么卵洞,但是上天给了我一丝希望,让我找到了个phpinfo,我们查看下phpinfo的后半部分。

imba1.png


imba2.png


发现账号密码木有,uc的,bbs的,db的,但是试试证明.....全都不好使。。。。
我们可以留作一个信息搜集库继续向下看。。。。
突然见,发现了个.git的玩意,没尽兴测试前给我高兴蒙B了,之后发现只有一张logo.....
BBS暂时跳过,继续看下面的字域名:)
2、i.imbatv.cn
phpinfo,发现的东西基本和上面的形式差不多,甚至也出现了ucenter的东西,并且让我看到了

imba3.png


之后我感觉这个网站应该有很多目录是挂载过来的。
网站后台admin.php先放着,上天又让我激动了一下子,发现了svn泄漏:)
http://i.imbatv.cn/.svn/entries
之后我进行文件查看(公司网打开svn的文件有的看不鸟。。我以为没戏了,结果回家一看。。诶?粗来了卧槽。。。)
首先admin.php文件:
最上面写的:

<?php
include 'auth.php';
$login = false;
session_start();
if (isset($_SESSION['user_name']) && $_SESSION['user_name'] == $AUTH['user_name'])
$login = true;
?>


ok,我们看到了如果等于$AUTH[‘user_name’]的时候就$login=true,那我们看看auth在哪,翻翻svn...结果发现了auth.php的代码:

<?php
define("AUTH_SUFFIX", ".imbatv");
$AUTH = array();
$AUTH['user_name'] = 'ileague';
//imbatv9090!@#$
$AUTH['passwd'] = '276051cbeda009552cb68436b60d9c44';
?>


用户名密码。。都有了,登录吧:)看看后台有啥好玩的(例如说上传之类的可以利用的)。

imba4.png


imba5.png


看到第一个名字我笑了.....老带劲了。。。第三个我也留着吧。。。。
翻了一圈,没什么有用的,我就继续看了下svn..
hs_match目录下有个login.php:

<?php
$verify = md5('Just4HsBp2015');
$admin_pwd = md5('Just4AdminHsBp2015');
if(!empty($_POST)){
if(empty($_POST['user']) || $_POST['user'] == ""){
echo '<script type="text/javascript">
alert("用户名不能为空");
</script>’;


发现了admin_pwd的明文密码,然后不知道用户名是啥。。瞎猜的admin进去的。
关于重置数据的,就一个按钮你整了一个页面。。。。哎。。。心碎了。。。

imba6.png


继续看其他的svn没什么卵收获。
3、应该先测试主站的,其实最开始发现也有个phpinfo(http://imbatv.cn/i.php),挺激动,没啥用。。。。然后发现了注入点(http://imbatv.cn/search?keywords=1)有waf,开始测试xss来着无意间发现了可能有waf了,双引号闭合mysql爆错。

imba7.png


用tamper放sqlmap里面跑,跑出了数据;

imba8.png


跑出了后台的用户名密码:
admin:imba*********#$
成功登陆了后台:)

imba9.png


权限还是不小的。
在浏览后台过程中,发现了,存在上传点,但是服务器对content-type有严格的限制,目测白名单,该上传啥上传啥,弄了好几个小时没搞定,期间也搞了一下http://webdev.imbatv.cn/admin/同样存在注入,后台口令和那个主站的一样。。。
晚上突然发现是否能够换个方式在后台上传php格式的文件呢?
浏览页面:
抓包:(路径信息phpinfo里面有,跨目录吧)

imba9.1.png


imba10.png


之后成功上传了卧槽。。。(/mnt/web/*********/dota***/upfiles.php)

imba11.png


可以执行cmd命令,可以msf或者ssock等进行内网代理。可进一步进行内网渗透。
还有个svn的用户名密码成功登陆,各种key,各种config,各种源代码:)

imba12.png


漏洞证明:

imba11.png


可以执行cmd命令,可以msf或者ssock等进行内网代理。可进一步进行内网渗透。
还有个svn的用户名密码成功登陆,各种key,各种config,各种源代码:)

imba12.png


http://webdev.imbatv.cn/admin/这个域名和主站用的是同一个模板,估计数据库也一样,可以登录并且getshell。

修复方案:

1、phpinfo删除
2、svn合理配置
3、sql注入修复
4、各种修复吧:)

版权声明:转载请注明来源 we8_@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-10 20:04

厂商回复:

感谢发现我们的漏洞,给我们很好的上了一课,我们将尽快修补,然后请你们再次扫描我们是否还存在高危险级别的漏洞,作为技术人员,本人学艺不精,将对漏洞发现者给予一定礼物。

最新状态:

暂无