当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(16) 关注此漏洞

缺陷编号: WooYun-2014-86747

漏洞标题: 新浪某服务器getshell

相关厂商: 新浪

漏洞作者: 鸟云厂商认证白帽子

提交时间: 2014-12-11 08:55

公开时间: 2015-01-25 08:56

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

1人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-11: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经确认,细节仅向厂商公开
2014-12-21: 细节向核心白帽子及相关领域专家公开
2014-12-31: 细节向普通白帽子公开
2015-01-10: 细节向实习白帽子公开
2015-01-25: 细节向公众公开

简要描述:

新浪某服务器getshell

详细说明:

新浪某台服务器,论坛信息显示是新浪SHOW的一个外挂的论坛,可是为毛在新浪的C段上呵呵你们懂得。

71E4BDBB-9FB7-4CA9-A435-CD9E4B6973EA.png



http://123.103.108.50/uc_server

对应域名是http://bbs.uctools.net/uc_server

密码是123456789



重置管理员密码进了后台

DZ3.1,但是貌似修复了。生成不了HTM



本来想退出了,但是突发奇想,用了dz自带的文件校验工具,果然在未知文件里发现了不知道哪位留下的shell。

0.php

1.php

2.php

三个都在根目录下且密码都为a

BFBFF0FF-D4C2-430B-AFDA-4FE586F50D87.png



菜刀链接之,更呵呵了

屏幕快照 2014-12-11 上午5.18.55.png



这尼玛不是外挂的网站吗为什么你新浪的业务也在上面

/data0/web_root/vroom.show.sina.com.cn/www/inc/SSOCookie.class.php

code 区域
<?php
/**
* set & get cookie for sina.com.cn
* cookie format: [ uniqueid:userid:appgroup:displayname:gender:paysign ]
*/
class SSOCookie {
const COOKIE_SUE = 'SUE'; //sina user encrypt info
const COOKIE_SUP = 'SUP'; //sina user plain info
const COOKIE_KEY_FILE = '/data0/web_root/client.show.sina.com.cn/www/inc/cookie.conf';

private $_arrConf; // the infomation in cookie.conf

public function __construct($config = self::COOKIE_KEY_FILE) {
if(!$this->_parseConfigFile($config)){
throw new Exception("parse config file failed");
}else{
echo 14314;
}
}
public function getCookie(&$arrUserInfo) {
// 不存在密文cookie或明文cookie视为无效
if( !isset($_COOKIE[self::COOKIE_SUE]) ||
!isset($_COOKIE[self::COOKIE_SUP])) {
return false;
}



code 区域
/**
* SSO登录接口调用函数
*
* @param $ip 客户端IP地址
* @param $pin SSO接口调用PIN码
* @param $entry 项目代码
* @param $ag 用户类型
* @param $userId 用户ID
* @param $pwd 用户密码
* @param $url SSO接口调用地址
* @param $succ SSO接口调用结果集
* @return $resultArr 返回结果(数组类型)
*/
public static function ssoLogin($userId, $pwd){
$ip = $_SERVER['REMOTE_ADDR']; // 客户端IP地址
$pin = '70269226506e773f52a5ed9471f1691c'; // PIN码
$entry = 'desktop'; // 项目代码
$ag = ''; // 用户类型
$mchk = md5($userId.$ag.$pwd.$ip.$pin); // 加密串
$userId = rawurlencode($userId);
$pwd = rawurlencode($pwd); // 转换为统一字符编码
$url = ("http://ilogin.sina.com.cn/api/chksso.php?entry={$entry}&user={$userId}&ag={$ag}&pw={$pwd}&ip={$ip}&m={$mchk}"); // 接口调用地址
//Zend_Debug::dump($url);
$succ = file_get_contents($url); // 接口调用结果
// var_dump($succ);
//echo "succ={$succ}<br>";
$result = '';
parse_str($succ,$result);
foreach ($result as $key =>$value){
$result[$key] = urldecode($value);
}
//Zend_Debug::dump($succ);
//print_r($result);
return $result;
}

/**
* 注入COOKIE
*
* @param $str SSO接口返回值
* @param $strOne 拆分字符串1
* @param $strTwo 拆分字符串2
* @param $strThree 拆分字符串3
* @param $delArray 删除数组内第1个元素
*/
public static function setCookieStr($str) {
$strOne = explode('Set-Cookie:',$str['cookies']);
$delArray = array_shift($strOne);
$cookie = array();
foreach ($strOne as $key => $value) {
$strTwo = explode('=',$value,2);
$strThree = explode(';',$strTwo['1']);
//echo $strTwo['1'],"<br>";
$cookieName = trim($strTwo['0']);
$cookieValue = trim($strThree['0']);
$cookie[$cookieName] = $cookieValue;
if (stripos($strTwo['1'],'httponly')){
$httponly = 1;
//echo $strTwo['0'];
//print_r($strThree);
//echo "<br>";
}else{
$httponly = 0;
}
//echo "cookieName=$cookieName,cookieValue=$cookieValue,$httponly<br>";
setcookie($cookieName, $cookieValue, 0, "/", "sina.com.cn",0,$httponly);
}
//print_r($cookie);
return $cookie;
}
}



code 区域
<?php
define("AG",1);
define("AG_PIN",'e22760687e1ad7132a84ebf21fc18490');
define("AG_ENTRY",'sinashow');
define("AG_DOMAIN",'.show.sina.com.cn');

$cookie_key = array(
'v0'=>'v030f6b787dd6f37157e6a2493e83714a63f1438fc30217955ca3f8f952cdef4',
'v1'=>'v130f6b787dd6f37157e6a2493e83714a63f1438fc30217955ca3f8f952cdef4'
);

class ShowSSO{
public $_url = "";
public $_host = "http://login.show.sina.com.cn/";
public $_format = 'json';
public $_Encrypt;
public $_uid;
public $_pwd;
public $_ip;
public $_ag;
public $_ag_pin;
public $_ag_entry;
public $_request='cURL';
public $_method='POST';
public $_result='';

function __construct($ag,$ag_pin,$entry,$uid,$pwd){//echo $pwd;

if(!empty($ag))$this->_ag=$ag;
if(!empty($ag_pin))$this->_ag_pin=$ag_pin;
if(!empty($entry))$this->_ag_entry=$entry;
if(!empty($uid))$this->_uid=$uid;
if(!empty($pwd))$this->_pwd=$pwd;

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-12-11 14:37

厂商回复:

感谢关注新浪安全,此为第三方业务,已通知修复。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录