凡客诚品某站存在多个安全漏洞（内网、本地文件探测与解析漏洞）

凡客诚品某站存在解析漏洞，可能导致getshell。

http://ir.vancl.com/

此站存在多个问题：

1.远程获取图片功能可探内网。

由于没有做好有效的隔离，此功能可用来探测内网web开放状态、本机指定文件是否存在、内网FTP密码爆破。

我们具体来看，内网web开放状态，将图片地址填写内网地址然后用burp即可批量探测。

证明：

返回400字节的状态码404，说明内网对应服务器的80端口web服务开放。

同理也可探测其它端口。

可探测本地文件。由于url格式没有进行限制，此功能也可探测该服务器文件存在状态。

证明：

我们输入不存在的文件名，返回not found。

输入应该存在的文件名，返回溢出。

爆破内网FTP。因为url支持ftp格式，所以可以利用来爆破内网FTP密码。

2.解析漏洞+上传点可能导致getshell。

经过检测，此站存在解析漏洞。

并且有一个上传点，且图片保存到该服务器上。

那么我们只要在图片内插入恶意代码，即可执行。

但是这里有个问题，无论上传什么图片，都会在保存前转码为特定png图像，所以我们构造的恶意代码也会被冲掉。

在这里，我翻阅了一些资料，发现国外有利用PNG的结构IDAT chunks填充一句话webshell的技术。

但是png图像类型也分为多种，他研究的png和这个实例的不同，所以无法将他的poc应用到这里。

不过依然能够证明通过这个方法getshell此服务器，是可能的。

详情可以参考乌云小伙伴的讨论：

http://zone.wooyun.org/content/5429

http://zone.wooyun.org/content/1284

·理论上修复php解析漏洞即可。

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-11-05 16:36

厂商回复：

漏洞Rank：15 (WooYun评价)

最新状态：

暂无

1. 2014-10-31 16:38 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

   0

   根据凡客最近半年的漏洞确认情况，目测这个漏洞会忽略啊！

   1# 回复此人

2. 2014-10-31 16:43 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

   0

   @px1624 wooyun的挂机厂商越来越大了 我觉得以后wooyun忽略最好能弄个忽略理由 不成立的理由不能忽略 @zeracker @疯狗 @xsser

   2# 回复此人

3. 2014-10-31 16:50 | Honker红颜 ( 普通白帽子 | Rank:157 漏洞数:53 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

   0

   根据凡客最近半年的漏洞确认情况，目测这个漏洞会忽略啊！

   3# 回复此人

4. 2014-10-31 17:28 | leizihahaa ( 路人 | Rank:10 漏洞数:10 | 学习。)

   0

   你关注的白帽子 3King 发表了漏洞 凡客诚品某站存在多个安全漏洞（内网、本地文件探测与解析漏洞）

   4# 回复此人

5. 2014-10-31 17:47 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

   0

   因为凡客基本是要挂了！！！

   5# 回复此人

6. 2014-10-31 20:28 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

   0

   @凡客诚品 关站学挖掘机去吧...

   6# 回复此人

7. 2014-11-01 00:22 | 0c0c0f ( 实习白帽子 | Rank:50 漏洞数:16 | My H34rt c4n 3xploit 4ny h0les!)

   0

   这种行为真理解不了。

   7# 回复此人

8. 2014-11-05 17:25 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了，也来挖挖漏洞，为创建安全...)

   0

   看来。。。要想拿SHELL，还得玩二进制。

   8# 回复此人

9. 2014-11-05 17:34 | niliu ( 核心白帽子 | Rank:1803 漏洞数:235 | 逆流而上)

   0

   @3king 赞啊

   9# 回复此人