链家地产某站点上传过滤不严格导致Getshell约40万账号泄露

漏洞概要

缺陷编号:WooYun-2015-0125012

漏洞标题:链家地产某站点上传过滤不严格导致Getshell约40万账号泄露

相关厂商:homelink.com.cn

漏洞作者:默之

提交时间:2015-07-07 09:11

公开时间:2015-07-08 17:39

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-08: 厂商已经确认,细节仅向厂商公开
2015-07-08: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

链家地产某站点上传过滤不严格导致Getshell+约40万账号泄露

详细说明:

站点:http://www.fang360.com在http://test.fang360.com证明一下是你们的网站,联系邮箱什么的是链家的邮箱

注册一个账号,然后再账号设置中,对头像进行修改http://test.fang360.com/index.php?app=user&ac=set&ts=face

然后抓包,最后00阶段就可以上传php文件了

之后找到头像,复制头像地址就是php一句话的地址了http://test.fang360.com/cache/user/0/0/48/e3b45ae09c_48_48.php密码:pass

看来已经被前人来过了。。。http://test.fang360.com/cache/user/0/0/48/40676d5140_48_48.php 密码:pwd

这利还有一个深藏的

#2 数据库/home/fang360/api/uc_config.php,共计39万的会员信息

/home/fang360/data/config.inc.php,数百名账号密码泄露

漏洞证明:

此处着重证明一下这是链家的站点/home/fang360/app/weibo/config_v2.php

不可以的话还有首页微博http://weibo.com/1911224075/跳转到http://weibo.com/bjhomelink

修复方案:

过滤吧,装个杀马的,最起码过滤那么一点点

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-0811:31

厂商回复:

确认,谢谢。

最新状态:

2015-07-08:已经修复

评价

  1. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    涨姿势了

  2. 2010-01-01 00:00 幻老头儿 白帽子 | Rank:80 漏洞数:5)

    最后00截断怎么做?菜鸟求解

  3. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @幻老头儿 在burpsuit里改包,php .jpg(php与.之间有个空格),然后hex处找到代表空格的20,改成00就行了。网上一大堆呢

  4. 2010-01-01 00:00 幻老头儿 白帽子 | Rank:80 漏洞数:5)

    @默之 只对win其作用吧?如果是linux,对00也是有用?

  5. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @幻老头儿 貌似是的。。。我这个有点问题,谢谢提醒了,还是需要多学习啊

  6. 2010-01-01 00:00 幻老头儿 白帽子 | Rank:80 漏洞数:5)

    @默之 哈哈,你是大神,

  7. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @幻老头儿 过奖了,我是真正的菜啊!哈哈

  8. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @幻老头儿 我查了一下,Linux也可以截断的,很多时候的文件遍历都会用到/etc/passwd%00.php来读取。你可以看看lijiejie的一些关于这方面的例子

  9. 2010-01-01 00:00 Arthur 白帽子 | Rank:17 漏洞数:5)

    @默之 真?Linux可以?还从来没研究过这一块。win倒是验证了。