当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(16) 关注此漏洞

缺陷编号: WooYun-2014-86747

漏洞标题: 新浪某服务器getshell

相关厂商: 新浪

漏洞作者: 鸟云厂商认证白帽子

提交时间: 2014-12-11 08:55

公开时间: 2015-01-25 08:56

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-11: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经确认,细节仅向厂商公开
2014-12-21: 细节向核心白帽子及相关领域专家公开
2014-12-31: 细节向普通白帽子公开
2015-01-10: 细节向实习白帽子公开
2015-01-25: 细节向公众公开

简要描述:

新浪某服务器getshell

详细说明:

新浪某台服务器,论坛信息显示是新浪SHOW的一个外挂的论坛,可是为毛在新浪的C段上呵呵你们懂得。

71E4BDBB-9FB7-4CA9-A435-CD9E4B6973EA.png



http://123.103.108.50/uc_server

对应域名是http://bbs.uctools.net/uc_server

密码是123456789



重置管理员密码进了后台

DZ3.1,但是貌似修复了。生成不了HTM



本来想退出了,但是突发奇想,用了dz自带的文件校验工具,果然在未知文件里发现了不知道哪位留下的shell。

0.php

1.php

2.php

三个都在根目录下且密码都为a

BFBFF0FF-D4C2-430B-AFDA-4FE586F50D87.png



菜刀链接之,更呵呵了

屏幕快照 2014-12-11 上午5.18.55.png



这尼玛不是外挂的网站吗为什么你新浪的业务也在上面

/data0/web_root/vroom.show.sina.com.cn/www/inc/SSOCookie.class.php

code 区域
<?php


/**


 * set & get cookie for sina.com.cn


 * cookie format:  [ uniqueid:userid:appgroup:displayname:gender:paysign ]


 */


class SSOCookie {


    const COOKIE_SUE = 'SUE';   //sina user encrypt info


    const COOKIE_SUP = 'SUP';   //sina user plain info


	const COOKIE_KEY_FILE = '/data0/web_root/client.show.sina.com.cn/www/inc/cookie.conf';





	private $_arrConf; // the infomation in cookie.conf





	public function __construct($config = self::COOKIE_KEY_FILE) {


		if(!$this->_parseConfigFile($config)){


			throw new Exception("parse config file failed");


		}else{


			echo 14314;


		}


	}


    public function getCookie(&$arrUserInfo) {


        // 不存在密文cookie或明文cookie视为无效


        if( !isset($_COOKIE[self::COOKIE_SUE]) ||


            !isset($_COOKIE[self::COOKIE_SUP])) {


                return false;


			}



code 区域
/**


	 * SSO登录接口调用函数


	 * 


	 * @param  $ip        客户端IP地址


	 * @param  $pin       SSO接口调用PIN码


	 * @param  $entry     项目代码


	 * @param  $ag        用户类型


	 * @param  $userId    用户ID


	 * @param  $pwd       用户密码


	 * @param  $url       SSO接口调用地址


	 * @param  $succ      SSO接口调用结果集


	 * @return $resultArr 返回结果(数组类型)


	 */


	public static function ssoLogin($userId, $pwd){


	    $ip = $_SERVER['REMOTE_ADDR'];              // 客户端IP地址


	    $pin = '70269226506e773f52a5ed9471f1691c';  // PIN码


	    $entry = 'desktop';                         // 项目代码


	    $ag = '';                                   // 用户类型	


	    $mchk = md5($userId.$ag.$pwd.$ip.$pin);       // 加密串


		$userId = rawurlencode($userId);


	    $pwd = rawurlencode($pwd);                  // 转换为统一字符编码


	    $url = ("http://ilogin.sina.com.cn/api/chksso.php?entry={$entry}&user={$userId}&ag={$ag}&pw={$pwd}&ip={$ip}&m={$mchk}"); // 接口调用地址


	    //Zend_Debug::dump($url);


	    $succ = file_get_contents($url);  // 接口调用结果


		// var_dump($succ);


	    //echo "succ={$succ}<br>";


	    $result = '';


	    parse_str($succ,$result);	


	    foreach ($result as $key =>$value){


	    	$result[$key] = urldecode($value);


	    }	    


	    //Zend_Debug::dump($succ);


	    //print_r($result);    


	    return $result;


	}


	


	/**


	 * 注入COOKIE


	 * 


	 * @param  $str      SSO接口返回值


	 * @param  $strOne   拆分字符串1


	 * @param  $strTwo   拆分字符串2


	 * @param  $strThree 拆分字符串3


	 * @param  $delArray 删除数组内第1个元素


	 */


	public static function setCookieStr($str) {


		$strOne = explode('Set-Cookie:',$str['cookies']);


		$delArray = array_shift($strOne);


		$cookie = array();


		foreach ($strOne as $key => $value) {


			$strTwo = explode('=',$value,2);


			$strThree = explode(';',$strTwo['1']);


            //echo $strTwo['1'],"<br>";


			$cookieName = trim($strTwo['0']);


			$cookieValue = trim($strThree['0']);


			$cookie[$cookieName] = $cookieValue;


            if (stripos($strTwo['1'],'httponly')){


            	$httponly = 1;


                //echo $strTwo['0'];


                //print_r($strThree);


                //echo "<br>";


            }else{            	


                $httponly = 0;


            }


            //echo "cookieName=$cookieName,cookieValue=$cookieValue,$httponly<br>";


			setcookie($cookieName, $cookieValue, 0, "/", "sina.com.cn",0,$httponly);


		}


		//print_r($cookie);


		return $cookie;


	}


}



code 区域
<?php


define("AG",1);


define("AG_PIN",'e22760687e1ad7132a84ebf21fc18490');


define("AG_ENTRY",'sinashow');


define("AG_DOMAIN",'.show.sina.com.cn');





$cookie_key = array(


'v0'=>'v030f6b787dd6f37157e6a2493e83714a63f1438fc30217955ca3f8f952cdef4',


'v1'=>'v130f6b787dd6f37157e6a2493e83714a63f1438fc30217955ca3f8f952cdef4'


);





class ShowSSO{


	public $_url = "";


	public $_host = "http://login.show.sina.com.cn/";


	public $_format = 'json';


	public $_Encrypt;


	public $_uid;


	public $_pwd;


	public $_ip;


	public $_ag;


	public $_ag_pin;


	public $_ag_entry;


	public $_request='cURL';


	public $_method='POST';


	public $_result='';





	function __construct($ag,$ag_pin,$entry,$uid,$pwd){//echo $pwd;


	


		if(!empty($ag))$this->_ag=$ag;


		if(!empty($ag_pin))$this->_ag_pin=$ag_pin;


		if(!empty($entry))$this->_ag_entry=$entry;


		if(!empty($uid))$this->_uid=$uid;


		if(!empty($pwd))$this->_pwd=$pwd;

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-12-11 14:37

厂商回复:

感谢关注新浪安全,此为第三方业务,已通知修复。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录