联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

admin
admin
admin
139803
文章
114
评论
2017年3月17日07:59:03评论361 views字数 258阅读0分51秒阅读模式
摘要

2016-03-15: 细节已通知厂商并且等待厂商处理中
2016-03-15: 厂商已经确认,细节仅向厂商公开
2016-03-25: 细节向核心白帽子及相关领域专家公开
2016-04-04: 细节向普通白帽子公开
2016-04-14: 细节向实习白帽子公开
2016-04-29: 细节向公众公开

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2016-184896

漏洞标题: 联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

相关厂商: 联想

漏洞作者: 路人甲

提交时间: 2016-03-15 13:44

公开时间: 2016-04-29 14:23

漏洞类型: 应用配置错误

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 配置错误 大量敏感信息

1人收藏

漏洞详情

披露状态:

2016-03-15: 细节已通知厂商并且等待厂商处理中
2016-03-15: 厂商已经确认,细节仅向厂商公开
2016-03-25: 细节向核心白帽子及相关领域专家公开
2016-04-04: 细节向普通白帽子公开
2016-04-14: 细节向实习白帽子公开
2016-04-29: 细节向公众公开

简要描述:

rt

详细说明:

mask 区域 
*****题*****
 1.http://**.**.**/_
 **********
 *****81194a2dc2b9ec54a7c8.png&qu*****
 **********
 *****到*****
 **********
 2.http://**.**.**/printenv.cgi_
 **********
 *****始*****
 **********
 *****2cf12156d47af2fa7bad.png&qu*****
 **********
 **********
 *****7b7dc9522ba387a38916.png&qu*****
 **********
 *****;=>"root", "password"=>"Ral*****
 **********
 *****d985c98fbb856f336bee.png&qu*****
 **********
 **********
 *****34台*****
 *****0687159e1fd444814567.png&qu*****
 **********
 *****e8b48facbe8f5003b33c.png&qu*****
 **********
 *****051920586b7c62cec835.png&qu*****
 **********
 *****592e36971b1ce45122a0.png&qu*****
 **********
 *****9a1e9862873ebf9260e4.png&qu*****
 **********
 *****123a9b8996aef38a62ec.png&qu*****
 **********
 *****8d1425a136f156d708b0.png&qu*****
 **********
 *****9e5a464d161261a29850.png&qu*****
 **********
 *****的。别的*****
 **********
 *****;, "user"=>"wangzyf", &quo*****
 **********
 *****ot;=>"oneadmin"}, "90ead621833f4fe4a3f0b375e15a584ce8a8c4d8ec4b90acb36cb6630e9d1772"=>{}, "e0f27c560bf21deeff57e1ef273b60d444c34f830c5295ea4e56649eb29a1f53"=>{}, "d20cf59b402e9113196e654fbe0267d4d27097261e6f7e52f0bb7e5d52346893"=>{}, "affaac009dd12e74f115675ae7c106c84e665b4740c5beeb9169534c213fcd23"=>{}, "eb04cf3b377ce244e1121245fcf8ce5d7210d1b9245c988750c5e66bc901c3b6"=>{}, "4f78f0693bb148ec75300e14a9513d81beaadf65d3e2b31e13b71dbfd52ac1fb"=>{}, "7b9136b4c3da6c993de64e8ad46dfd84b035d730d1b7267fab3e55e8b243e089"=>{"default_view"=>"user", "vnc_wss"=>"no", "user_gid"=>"0", "remember"=>"false", "ticket_code"=>"wnDNUeCIQvNsBMAsHhIySzJmrbiQaBcg", "user_id"=>"27", "lang"=>"en_US", "ip"=>"118.144.186.208", "password"=>"#box", "user"=>"wangzyf", "user_gname"=>"oneadmin"}, "6fffd75a0f14e0dc66c11df50fb33e907b9bb6f6047e4ca52bf5cb39728088f3"=>{}, "97d8bcb2a2707dc5848a4deda2e2e7ea50c468d9ee669b84a299d188630d6ec6"=>{}, "76ce00c23b92efeaf9f1a59a54d4ff73d692173f5d9cb288586afbccfb3cc1e5"=>{}, "c259023f87567039e5323c97a47bf96c2aa5b776*****

漏洞证明:

存在问题的url

http://cloud.lenovo.com.cn/

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

通过神器找到一个url

http://cloud.lenovo.com.cn/printenv.cgi

有意思的开始了。。

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

往下翻

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

code 区域 
"ip"=>"118.144.186.210", "lang"=>"en_US", "user"=>"root", "password"=>"Raleigh518", "user_gname"=>"oneadmin"},

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

可以看到 有34台虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

联想一处比较有意思的漏洞/登陆日志泄露/多个用户密码泄露(包括root)/可控制多个41个存储/28个弹性ip/16台物理机/37个虚拟机

我直接拿root用户测试的。别的贴几个出来吧

code 区域 
"ip"=>"118.144.186.208", "lang"=>"en_US", "user"=>"wangzyf", "password"=>"#box",
code 区域 
#<Rack::NullLogger:0x7f58745a66c0 @app=#<Rack::Protection::FrameOptions:0x7f58745a6990 @app=#<Rack::Protection::IPSpoofing:0x7f58745a6b20 @app=#<Rack::Protection::JsonCsrf:0x7f58745a6cb0 @app=#<Rack::Protection::PathTraversal:0x7f58745a6e40 @app=#<Rack::Protection::XSSHeader:0x7f58745a7098 @app=#<Rack::Session::Pool:0x7f58745b7100 @default_options={:httponly=>true, :renew=>false, :defer=>false, :expire_after=>nil, :sidbits=>128, :domain=>nil, :secure_random=>SecureRandom, :secure=>false, :path=>"/", :drop=>false}, @sid_length=32, @key="sunstone", @sid_secure=SecureRandom, @mutex=#<Mutex:0x7f58745b7060>, @app=#<Rack::CommonLogger:0x7f58745b7240 @logger=#<CloudLogger::CloudLogger:0x7f58791f2e70 @progname=nil, @level=0, @formatter=#<Proc:0x00007f587937f4a0@/LenovoCloudRuntime/lib/ruby/cloud/CloudServer.rb:137>, @logdev=#<Logger::LogDevice:0x7f58791f2cb8 @shift_size=1048576, @mutex=#<Logger::LogDevice::LogDeviceMutex:0x7f58791f2c68 @mon_count=0, @mon_owner=nil, @mon_waiting_queue=[], @mon_entering_queue=[]>, @filename="/LenovoCloudRuntime/var/sunstone.log", @shift_age=0, @dev=#<File:/LenovoCloudRuntime/var/sunstone.log>>, @default_formatter=#<Logger::Formatter:0x7f58791f2d08 @datetime_format=nil>>, @app=#<Sinatra::Application:0x7f58745b7498 @default_layout=:layout, @template_cache=#<Tilt::Cache:0x7f58745b7448 @cache={}>, @app=nil>>, @sidbits=128, @cookie_only=true, @pool={"3d60ba888101f3cb7d709c57ff2cb75907a7010b1015836198b055ec62f47d08"=>{}, "9b183e41e03a3f19c3906a91ad1c435614f9730aba45eda74d2c4f0f0958ec8b"=>{}, "5a856dc34055c90ea8309269f5184041055645852a1d160cc0537f27ec145168"=>{}, "dfdd49b31daf9b9d3fc064bbfa54ec0be1951be0ce670d9d7e43f1b1f6371239"=>{}, "3e693a4856ad7bdb84c93fcf62622864e6315b4769b2a41d234514e67ff53644"=>{}, "a341d629943c4f3af61e65920b425ac903baccd9df0de7e6deb7a8f8c5f2e756"=>{}, "67631e20c8d0ea42040fd65616ddbda76a1c5def727384eb8009a76d6e00f258"=>{}, "076a1117428d3d3d71358b05c910e7fa366ff8f8dae1bbe1477882db667db058"=>{}, "36df85e6a60731f2a662b3da014c08e94f378eadd988ab6a044daf3e6d1b2f45"=>{}, "a6d04e22e8749458e0f0fb74423ed597ab0c840d6097cfa0c90ee23a1b3a3b04"=>{}, "ff98a4582226781bd61cf9efb49dcf8a9e78fcf4d4758bf0300910447ea3e57d"=>{}, "dbc7356a343f4385aca80b3debc1bfab90cd6806aa583b4268a595bd63cdd255"=>{}, "e151ba05799f23c7429c064efb619042bb5afc62f7a972234fe6b5ccb87aff4d"=>{"user_gid"=>"0", "vnc_wss"=>"no", "default_view"=>"user", "ticket_code"=>"hwiOM5XuI4Npl1EorblPHLNqJfIzqTz6", "remember"=>"false", "user_id"=>"27", "ip"=>"118.144.186.208", "lang"=>"en_US", "user"=>"wangzyf", "password"=>"#box", "user"=>"wangzyf", "user_gname"=>"oneadmin"}, "a4279bcf03a0fb030c54367acf1e7febe50b9b63b468116b4436521c7bcd8b88"=>{"user_gid"=>"106", "vnc_wss"=>"no", "default_view"=>"user", "ticket_code"=>"3D2HapuDxrqqACTREN1dKoMQ6rwJKlfx", "remember"=>"false", "user_id"=>"10", "ip"=>"139.162.145.142", "lang"=>"en_US", "userBalance"=>97897.42, "user"=>"lizy14", "password"=>"1qazxsw23edc", "user_gname"=>"lizy14"}, "1f7774f787930084518157ec95f1dd31bd25548faa2fc061727aab9848a1b361"=>{}, "04a709aede516ea1011dffe40c4b548993e175f8ff56145504b97220d0891411"=>{}, "f94d5f3cc8b51f0cd29c8c175ea15bf0dd032f375229dd9685a3545e88cf43f1"=>{}, "54e5e6520a0b715ba2141489b65a7cf7c1c822dda1c66adba6f9005f46a3d012"=>{"default_view"=>"admin", "vnc_wss"=>"no", "user_gid"=>"0", "ticket_code"=>"w7ASuAb1rSoIzw1kYkYl8X7uPT0NATtD", "remember"=>"false", "user_id"=>"0", "lang"=>"en_US", "ip"=>"111.202.176.139", "password"=>"Raleigh518", "user"=>"root", "user_gname"=>"oneadmin"}, "348866a4fe26d160a4735e20106e639c238a2702d70128af04cb8deeaa9726ba"=>{}, "669be7f11108a5907211c65157664dd1a936d7c72287bedc23a0f194e3994e59"=>{}, "9f9732cd09fb17f3d0ee757a1de55e5ef273b17a94f5d1502aefd8ec1f778a39"=>{}}>, @options={:status=>403, :allow_empty_referrer=>true, :reaction=>:drop_session, :message=>"Forbidden", :logging=>true, :xss_mode=>:block, :except=>[:session_hijacking, :remote_token], :encryptor=>Digest::SHA1, :session_key=>"rack.session"}>, @options={:status=>403, :allow_empty_referrer=>true, :reaction=>:drop_session, :message=>"Forbidden", :logging=>true, :except=>[:session_hijacking, :remote_token], :encryptor=>Digest::SHA1, :session_key=>"rack.session"}>, @options={:status=>403, :allow_empty_referrer=>true, :reaction=>:drop_session, :message=>"Forbidden", :logging=>true, :except=>[:session_hijacking, :remote_token], :encryptor=>Digest::SHA1, :session_key=>"rack.session"}>, @options={:status=>403, :allow_empty_referrer=>true, :reaction=>:drop_session, :message=>"Forbidden", :logging=>true, :except=>[:session_hijacking, :remote_token], :encryptor=>Digest::SHA1, :session_key=>"rack.session"}>, @options={:status=>403, :allow_empty_referrer=>true, :reaction=>:drop_session, :message=>"Forbidden", :xss_mode=>:block, :logging=>true, :except=>[:session_hijacking, :remote_token], :frame_options=>:sameorigin, :encryptor=>Digest::SHA1, :session_key=>"rack.session"}>>

修复方案:

不要担心泄露 我已经mask了。。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-15 14:23

厂商回复:

感谢提交漏洞,已经通知管理员修复

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

0%

0%

0%

0%

评价

  1. 2016-05-27 14:56 | llkoio ( 实习白帽子 | Rank:46 漏洞数:14 | 听佛陀的教诲)

    0

    mark

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin