完美时空某站点任意上传殃及内网数十台主机

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089869

漏洞标题：完美时空某站点任意上传殃及内网数十台主机

漏洞作者： zhangfei

提交时间：2015-01-04 09:44

修复时间：2015-02-18 09:46

公开时间：2015-02-18 09:46

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-04：细节已通知厂商并且等待厂商处理中
2015-01-05：厂商已经确认，细节仅向厂商公开
2015-01-15：细节向核心白帽子及相关领域专家公开
2015-01-25：细节向普通白帽子公开
2015-02-04：细节向实习白帽子公开
2015-02-18：细节向公众公开

简要描述：

完美某游戏7年老玩家~~能用漏洞换几件神装不

详细说明：

一、首先：
cafe.dota2.com.cn
处任意上传

用完美通行证登录后，点击申请特权

然后随便找个地方就……把马上去了

还直接给了位置，太贴心了~~~

结果

反弹shell，发现好多端口反弹不出去，最后试了试80端口，可以了

内核版本

uname -a
Linux gw41 3.7.0lvs.20130608.R620 #3 SMP Mon Sep 16 19:13:02 CST 2013 x86_64 x86_64 x86_64 GNU/Linux

提权：漏洞利用CVE-2013-2094

id
uid=0(root) gid=0(root) groups=0(root),99(nobody)

习惯性的翻了翻/root/.ssh里面的东西

ls -lah /root/.ssh

好像连过好多机器的样子
再翻翻hosts文件

cat /etc/hosts

好像IP和本机不在同一段里面啊
是不是换过IP？试试连接172.21.57.254

ssh 172.21.57.254

嗯？连上去了？
这次再翻翻hosts文件

cat /etc/hosts
127.0.0.1               localhost
172.21.57.254           manager
172.21.57.253           manager_bak             bak
172.21.57.4             gw4             web4            members         sys             test
172.21.57.6             gw6             web6            jms
172.21.57.9             gw9             web9            new             wangbaolong
172.21.57.10            gw10            web10           WXmarket                xuzhongpeng
172.21.57.11            gw11            web11           WXmarket                xuzhongpeng
172.21.57.12            gw12            web12           WXmarket                xuzhongpeng
172.21.57.14            gw14            web14           dota2           sms             chenhao
172.21.57.15            gw15            web15           dota2           sms             chenhao
172.21.57.18            gw18            web18           ngx1
172.21.57.19            gw19            web19           wangbaolog              test            old             172.30.255.19
172.21.57.21            gw21            web21           wx              hanyahui
172.21.57.22            gw22            web22           wangpingtao             liujun          test            message         send
172.21.57.23            gw23            web23           dota2bbs                discuz          x2.5            test            173bbs          nwxbox.wanmei.com
172.21.57.24            gw24            web24           p2sp            fanzhenyu
172.21.57.25            gw25            web25           www.173.com             liaomin         old
172.21.57.26            gw26            web26           sanfangdenglu           weijianghu              daoke           shediao_appser
172.21.57.27            gw27            web27           sanfangdenglu           interface.173.com               api.lianyun.173.com
172.21.57.28            gw28            web28           sanfangdenglu           api.173.com
172.21.57.29            gw29            web29           dota2&173DB
172.21.57.30            gw30            web30           dota2&173DB
172.21.57.31            gw31            web31           mail_service
172.21.57.32            gw32            web32           173             test
172.21.57.33            gw33            web33           sanfangdenglu           DBmaster
172.21.57.34            gw34            web34           sanfangdenglu           DBslave
172.21.57.35            gw35            web35           sanfangdenglu           haproxy
172.21.57.36            gw36            web36           sanfangdenglu           haproxy
172.21.57.37            gw37            web37           eventie         DBmaster
172.21.57.38            gw38            web38           eventie         DBslave
172.21.57.39            gw39            web39           api.dota2.com.cn
172.21.57.41            gw41            web41           Dota2           CMS
172.21.57.43            gw43            web43           www.173.com             bak
172.21.57.46            gw46            web46           new
172.21.57.47            gw47            web47           lvs             172.30.255.49
172.21.57.48            gw48            web48           lvs_bak         172.30.255.50
172.21.57.49            gw49            web49           api             172.30.255.51
172.21.57.50            gw50            web50           api             172.30.255.52
172.21.57.51            gw51            web51           api             172.30.255.53
172.21.57.52            gw52            web52           api             172.30.255.54
172.21.57.53            gw53            web53           members         172.30.255.55           173             pay.dota2.com.cn                school.dota2.com
172.21.57.54            gw54            web54           members         172.30.255.56           173             pay.dota2.com.cn                school.dota2.com
172.21.57.55            gw55            web55           members         172.30.255.57           173             pay.dota2.com.cn                school.dota2.com
172.21.57.56            gw56            web56           new             no_ip
58.215.52.140           members.dota2.com.cn
*.*.*.95            *.*.*.wanmei.com                *.*.wanmei.com #我自己打码

hosts文件写的很详细，导致的结果就是，这40多台主机我全部可以控制。
其中包含无冬之夜主站，173.com主站，members.dota2.com.cn，完美精灵，微信客服平台等重要站点可以被完全操纵
用几个webshell证明一下
无冬之夜OL主站

↑↑↑↑↑
这货第二次上乌云了，哈哈
members.dota2.com.cn的其中一个IP的shell

robot.cs.wanmei.com客服机器人站点的大马

危害：
1.如果被别有用心的人利用，尤其是像members.dota2.com.cn这样的站点进行挂马一天盗的号数量相当可观；
2.被人修改了pay.dota2.com.cn的源码，导致直接的经济损失
3.被挂黑链
4.被人脱裤，造成大量运营方面的和用户的敏感信息泄露，被竞争对手拿去做大数据分析
5.被扣奖金
受到脑洞的限制，只想到了这么多~~~

漏洞证明：

172.21.57.10 /web/webapps/csrobot/js/jspdama.jsp
http://robot.cs.wanmei.com/js/jspdama.jsp
172.21.57.23 /web/webapps/nwanmei/nwanmei.com/resources/js/jquery.jsp
http://www.neverwinterol.com.cn/resources/js/jquery.jsp
172.21.57.26 /web/webapps/shediaoApp-server/backoffice/wooyun.txt
http://ams.sd.wanmei.com/wooyun.txt
172.21.57.41 /export/webapps/dota2_bar/upload/uploadimg/jspdama-1418562689987.jsp
http://cafe.dota2.com.cn/upload/uploadimg/jspdama-1418562689987.jsp
172.21.57.55 /export/webapps/pwpk_dota2/common/wushaobintest.jsp
http://members.dota2.com.cn/common/wushaobintest.jsp host指向58.241.15.141
搞清楚这40台主机跑了什么站真的很费时间……

修复方案：

1.备份并重启172.21.57.41，我也不知道提权是否对主机真的有影响，现在跑tomcat的这个用户都变得很奇怪
2.打一顿写cafe.dota2.com.cn上传图片的人，让他记住，要对上传的文件类型进行过滤
3.安全管理方面的问题：主机之间登录不要相互信任，单向信任管理机就行

版权声明：转载请注明来源 zhangfei@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-01-05 17:04

厂商回复：

感谢洞主能够提交漏洞，礼物作为管理员也在向上面申请，尽量帮你整个吧，最后还是谢谢你能够比较详细的描述能够帮助我们修改漏洞，谢谢！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089869

漏洞标题：完美时空某站点任意上传殃及内网数十台主机

相关厂商：完美时空

漏洞作者： zhangfei

提交时间：2015-01-04 09:44

修复时间：2015-02-18 09:46

公开时间：2015-02-18 09:46

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zhangfei@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089869

漏洞标题：完美时空某站点任意上传殃及内网数十台主机

相关厂商：完美时空

漏洞作者： zhangfei

提交时间：2015-01-04 09:44

修复时间：2015-02-18 09:46

公开时间：2015-02-18 09:46

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-089869"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zhangfei@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：