当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091791

漏洞标题:宜信某漏洞的技术利用深度挖掘过程(shell多多)

相关厂商:宜信

漏洞作者: 白非白

提交时间:2015-01-14 12:17

修复时间:2015-02-28 12:18

公开时间:2015-02-28 12:18

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-14: 细节已通知厂商并且等待厂商处理中
2015-01-15: 厂商已经确认,细节仅向厂商公开
2015-01-25: 细节向核心白帽子及相关领域专家公开
2015-02-04: 细节向普通白帽子公开
2015-02-14: 细节向实习白帽子公开
2015-02-28: 细节向公众公开

简要描述:

宜信说:曾经有一份高危的漏洞摆在我的面前我没有去珍惜,等我忽略的时候才追悔莫及,人间最痛苦的事莫过于此。如果上天能给我一次再来一次的机会,我会对哪个漏洞说三个字:我认领,如果非要在这份漏洞上加一个rank,我希望是40rank!

详细说明:

利用方式很简单,只要在如下连接{{}}位置填入想要查看的文件路径即可

http://xinyi.creditease.cn/ajax.do?action=download&file=../../../../../../../../../../{{}}


2.最近刚看猪猪侠提交了一个rsync的漏洞,那就来看看这个站点的rsync配置吧。
下载/etc/rsync/rsyncd.conf查看

1.png


可以看出使用了用户认证,虽然是弱密码123456,但是也限制了ip。无解
3.继续深入一下,操起nmap看一下开放端口

3.png


4.nice,开放了不少服务,拿ftp来演示吧。
下载/etc/vsftpd/vsftpd.conf查看:使用了pam进行身份认证,禁止了匿名访问。

2.png


下载/etc/pam.d/vsftpd :看到身份认证数据库

3.png


下载ftp的身份认证文件:/etc/vsftpd/vftpuser.db,使用notepad++打开:得到ftp的用户名和密码(从右向左看,一个用户名一个密码,关键用户打码)

4.png


5.使用马赛克用户和对应密码登录ftp

1.png


上传下载均可。猜测目录内容均为网站目录。xiaowei目录猜测是宜信的小微金融站点。
6.上传一个test.txt到该目录下,并且在这个连接访问一下http://xiaowei.yixin.com/test.txt,同步成功。

5.png


心中一喜,直接传个php马儿不就ok了,结果在实践过程中遇到障碍,上传的php文件用菜刀连接提示404,到ftp目录里刷新一下,发现php马没了,但是test.txt还在,猜测可能有某种杀毒或者规则将php文件kill掉了。
于是改变了一下思路,nginx的服务器,测试一下解析漏洞吧http://xiaowei.yixin.com/test.txt/1.php,访问该连接成功解析,nginx解析漏洞存在。
继续上传一个xiaowei.txt的文件,用菜刀连接http://xiaowei.yixin.com/xiaowei.txt/1.php成功

2.png


7.一句话连上了,xiaowei目录的站点也找到了,其他目录对应的站点呢?手工查找太麻烦,直接看nginx配置文件吧,结果/etc里翻了一遍没找到nginx配置。。。换个方法:虚拟终端里locate一下吧:

4.png


nginx.conf中每个server_name会对应一个目录,下图显示出ftp目录与域名的对应关系(2个为例):

5.png


nsd:nsd.yixin.com
english:english.creditease.cn
影响范围:
nginx配置文件中的任意站点:目测大概也有10-20个
每个目录下上传个马,都可以拿到对应域名的shell,不多谈。
8.need more???
shell了,数据库就随便翻随便看了,涉及的都是金融用户,我就不继续了。
nmap里还有很多服务类端口,其中管理用户与密码写在配置文件中的,均可以深入,由于在同一个ip,继续也乏味,我就不深入,只拿ftp服务演示一下。

漏洞证明:

当任意文件读取遇到ftp/tomcat/nginx,就会产生上面的各种奇幻之旅。

修复方案:

1.任意文件下载需要修复
2.各种配置文件随便下载,这web容器权限也太大了,限制
3.既然rsync服务限制了ip,ftp服务与其他服务最好也能限制一下
4.nginx解析漏洞要修复
5.这个ip上站点这么多,最好做一下权限划分与隔离

版权声明:转载请注明来源 白非白@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-15 10:16

厂商回复:

非常详细,十分感谢对我们安全问题的帮助。

最新状态:

暂无