新浪微博任意代码执行漏洞+突破限制拿shell+可能深入其他动作

漏洞概要

缺陷编号:WooYun-2012-06018

漏洞标题:新浪微博任意代码执行漏洞+突破限制拿shell+可能深入其他动作

相关厂商:新浪

漏洞作者:牛奶坦克

提交时间:2012-04-13 15:29

公开时间:2012-05-28 15:30

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-13: 细节已通知厂商并且等待厂商处理中
2012-04-13: 厂商已经确认,细节仅向厂商公开
2012-04-23: 细节向核心白帽子及相关领域专家公开
2012-05-03: 细节向普通白帽子公开
2012-05-13: 细节向实习白帽子公开
2012-05-28: 细节向公众公开

简要描述:

新浪微博存在一处任意代码执行漏洞,但服务器有些disable_function限制,可惜太粗糙,导致绕过,反弹服务器shell,并可进一步渗透攻击。

详细说明:

Thinkphp的补丁被wooyun平台分析后,自己也读了一把,对漏洞发现者甚是膜拜,同时wofeiwo的出色分析也让人精神为之一爽,顿时湿了。这个漏洞因为工作原因跟的慢了一些,去官方成功案例看了一下,没想到看到新浪微博一个应用用了这个框架,看了一把,确实存在哟。http:[email protected]_r($_SERVER)%7D读取到了服务器的$_SERVER变量,里面甚至还存在数据库地址与密码。。本想执行个命令就提交wooyun,但是disable_functions了

返回:

呵呵,弱了点,突破方法很多,这里用popen做个exploit

为什么用POST是因为框架的URI取值问题,POST就畅通无阻了这个地方没处理单引号,方便了一些,但是poc里面的某些代码会干扰取值,所以encode一下

嘿。这个因为访问权限的问题,可以访问到这个服务器上所有的源码。因为是服务器群,所以执行的命令可能一会A,一会B,一会C。。这个自己想办法吧,既然可以执行命令了,直接弹shell。

漏洞证明:

一些截图:

修复方案:

修复方案:https://code.google.com/p/thinkphp/source/detail?spec=svn2904&r=2838ThinkPHP漏洞分析:http://zone.wooyun.org/index.php?do=view&id=44

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-04-13 15:55

厂商回复:

感谢提供,您所提到的这个问题在您提交WOOYUN之前新浪已在修复,再次感谢您对新浪安全的支持!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 坏人咖啡 白帽子 | Rank:33 漏洞数:4)

    沙发
    看来新浪不怎么关注安全新闻呀!!!

  2. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    这,微博,不要啊!!!!!

  3. 2010-01-01 00:00 Lee 白帽子 | Rank:113 漏洞数:24)

    @xsser 我操。这个严重。

  4. 2010-01-01 00:00 z@cx 白帽子 | Rank:323 漏洞数:37)

    这个爽。。。

  5. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @[email protected] 渗透师在哪里

  6. 2010-01-01 00:00 冷冷的夜 白帽子 | Rank:75 漏洞数:12)

    火前留名

  7. 2010-01-01 00:00 z@cx 白帽子 | Rank:323 漏洞数:37)

    @xsser 纯观望中。。。

  8. 2010-01-01 00:00 GaRY 白帽子 | Rank:24 漏洞数:3)

    神了,重点关注

  9. 2010-01-01 00:00 GaRY 白帽子 | Rank:24 漏洞数:3)

    rank只有10?看来不是很严重么?

  10. 2010-01-01 00:00 adsltsee 白帽子 | Rank:5 漏洞数:1)

    亲爱的微博。。。又出洞洞了

  11. 2010-01-01 00:00 Z-0ne 白帽子 | Rank:499 漏洞数:39)

    没用过微博的路过!

  12. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    mark

  13. 2010-01-01 00:00 小一 白帽子 | Rank:22 漏洞数:13)

    这个犀利了,要是深入的话不知要泄漏多少信息了。。

  14. 2010-01-01 00:00 明. 白帽子 | Rank:8 漏洞数:7)

    求深入啊.

  15. 2010-01-01 00:00 http://www.wooyun.org/corps/新浪 白帽子 | Rank:0 漏洞数:0)

    @小一 是一个微博应用 上使用的Thinkphp 框架没有打补丁,使用该微博应用使用open api开发,用户使用时需要单独授权,实际上相当于一个开放平台第三方应用。应用中没有用户的什么信息,所以也不会泄露微博用户的信息。

  16. 2010-01-01 00:00 牛奶坦克 白帽子 | Rank:253 漏洞数:20)

    @新浪 呵呵,还没有看到问题的本质么?

  17. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @新浪 问题在于内部安全区域的限制被攻破吧,谁说A应用出漏洞就不会影响到B应用呢?

  18. 2010-01-01 00:00 GaRY 白帽子 | Rank:24 漏洞数:3)

    @新浪 被楼上几位围攻,我也凑热闹at一下

  19. 2010-01-01 00:00 紫梦芊 白帽子 | Rank:83 漏洞数:9)

    @新浪 框架没打补丁以及不升级 不知害了多少无辜的服务器~ 哎

  20. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    这个确实严重

  21. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    新浪应该给洞主妹纸,不应该送娃娃了

  22. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    这个事件是由一个点,反映出一个面的问题,希望厂商重视暴露出的其他安全问题。

  23. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    @疯狗 是的。。rank给少了。。并且报告写得不错。

  24. 2010-01-01 00:00 unic02n 白帽子 | Rank:48 漏洞数:6)

    这个确实不应该给10.进入点的漏洞虽然级别不高(在sina看来),但是实际影响的是另一个层次。人家不是给你汇报你存在框架漏洞,是告诉你你的服务器被搞了,

  25. 2010-01-01 00:00 牛奶坦克 白帽子 | Rank:253 漏洞数:20)

    感谢大家支持,没有针对厂商的意思,但是希望大家能看到wooyun给任何一方带来的额外信息,而不是单只看漏洞。