16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

2016年11月2日 15205点热度 0人点赞 0条评论

缺陷编号： WooYun-2016-221168

漏洞标题： 16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

漏洞作者：路人甲

提交时间： 2016-06-20 15:10

修复时间： 2016-06-23 20:26

公开时间： 2016-06-23 20:26

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：远程命令执行

漏洞详情

披露状态：

2016-06-20：细节已通知厂商并且等待厂商处理中
2016-06-23：厂商已经确认，细节仅向厂商公开
2016-06-23：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

详细说明：

mask 区域

1.http://**.**.**/_
**********
*****令用*****
*****, Passwor*****
***** Passwo*****
*****, Passwo*****
*****asswo*****
*****, Passwo*****
*****, Passwor*****
*****, Passwor*****
*****, Passwo*****
*****sword:li*****
***** Passwor*****

我用lideqiang登录的这个权限比较高

命令执行

4个节点

http://*.*.*.*:9080/computer/(master)/script

http://*.*.*.*:9080/computer/11/script

剩下的两台不在演示

涉及大量源码

code 区域

Failed	40%	Last/current build console output	ANDROID_16WIFI_STUDIO	2 days 20 小时 - #13	2 days 19 小时 - #14	3 分 14 秒	计划一次构建: ANDROID_16WIFI_STUDIO	 
Success	100%	Last/current build console output	ANDROID_DEV_MAIN	2 小时 28 分 - #24	6 days 0 小时 - #15	3 分 21 秒	计划一次构建: ANDROID_DEV_MAIN	 
Failed	0%	Last/current build console output	ANDROID_DEV_SDK	没有	2 days 22 小时 - #20	31 秒	计划一次构建: ANDROID_DEV_SDK	 
Failed	0%	Last/current build console output	ANDROID_DEV_SHOP	没有	5 days 23 小时 - #7	29 秒	计划一次构建: ANDROID_DEV_SHOP	 
Aborted	80%	Last/current build console output	CI_AUTH	3 days 2 小时 - #12	5 days 18 小时 - #9	50 秒	计划一次构建: CI_AUTH	 
Success	100%	Last/current build console output	CI_BAIWU	2 days 22 小时 - #16	6 days 2 小时 - #10	19 秒	计划一次构建: CI_BAIWU	 
Success	80%	Last/current build console output	CI_BASEPOM	5 days 4 小时 - #8	6 days 4 小时 - #4	13 秒	计划一次构建: CI_BASEPOM	 
Success	100%	Last/current build console output	CI_BORN	2 days 21 小时 - #6	无	16 秒	计划一次构建: CI_BORN	 
Success	40%	Last/current build console output	CI_COMMUNICAT	5 days 4 小时 - #5	5 days 19 小时 - #3	33 秒	计划一次构建: CI_COMMUNICAT	 
Unstable	78%	Last/current build console output	CI_DEVICE	2 days 19 小时 - #20	3 days 3 小时 - #17	1 分 30 秒	计划一次带参数的构建: CI_DEVICE	 
Success	40%	Last/current build console output	CI_E6WIFI_CONTENT	5 days 18 小时 - #7	5 days 18 小时 - #5	1 分 13 秒	计划一次构建: CI_E6WIFI_CONTENT	 
Unstable	40%	Last/current build console output	CI_E6WIFI_MOVIE	2 days 22 小时 - #5	4 days 0 小时 - #4	1 分 20 秒	计划一次构建: CI_E6WIFI_MOVIE	 
Success	100%	Last/current build console output	CI_E6WIFI_PARENT	18 days - #6	无	16 秒	计划一次构建: CI_E6WIFI_PARENT	 
Success	80%	Last/current build console output	CI_ORDER	48 分 - #45	2 days 22 小时 - #41	26 秒	计划一次构建: CI_ORDER	 
Success	100%	Last/current build console output	CI_PAY	2 days 21 小时 - #19	18 days - #13	17 秒	计划一次构建: CI_PAY	 
Success	80%	Last/current build console output	CI_SHOP	20 分 - #81	4 小时 20 分 - #78	1 分 7 秒	计划一次构建: CI_SHOP	 
Failed	0%	Last/current build console output	CI_SMS	没有	3 days 4 小时 - #8	28 秒	计划一次构建: CI_SMS	 
Success	100%	Last/current build console output	CI_SMS_CORE	5 days 4 小时 - #6	17 days - #1	17 秒	计划一次构建: CI_SMS_CORE	 
Success	60%	Last/current build console output	CI_SMS_SGCMGM	5 days 18 小时 - #6	17 days - #3	1 分 4 秒	计划一次构建: CI_SMS_SGCMGM	 
Success	80%	Last/current build console output	CI_TRADE	4 小时 42 分 - #10	2 days 22 小时 - #8	41 秒	计划一次构建: CI_TRADE	 
Failed	40%	Last/current build console output	CI_USER	5 days 18 小时 - #4	4 days 1 小时 - #5	39 秒	计划一次构建: CI_USER	 
Failed	80%	Last/current build console output	CI_UTILITY	4 days 2 小时 - #7	2 days 20 小时 - #8	1 分 0 秒	计划一次构建: CI_UTILITY	 
Failed	50%	Last/current build console output	SONAR_AUTH	4 days 5 小时 - #1	3 days 4 小时 - #2	1 分 19 秒	计划一次构建: SONAR_AUTH	 
Success	100%	Last/current build console output	SONAR_BAIWU	2 days 20 小时 - #2	无	29 秒	计划一次构建: SONAR_BAIWU	 
Success	100%	Last/current build console output	SONAR_BORN	2 days 21 小时 - #2	无	27 秒	计划一次构建: SONAR_BORN	 
Success	100%	Last/current build console output	SONAR_COMMUNICAT	4 days 4 小时 - #1	无	58 秒	计划一次构建: SONAR_COMMUNICAT	 
Unstable	78%	Last/current build console output	SONAR_DEVICE	2 days 20 小时 - #9	3 days 2 小时 - #8	3 分 17 秒	计划一次构建: SONAR_DEVICE	 
Success	100%	Last/current build console output	SONAR_E6WIFI_CONTENT	4 days 4 小时 - #1	无	1 分 32 秒	计划一次构建: SONAR_E6WIFI_CONTENT	 
Unstable	66%	Last/current build console output	SONAR_E6WIFI_MOVIE	2 days 22 小时 - #3	4 days 0 小时 - #2	1 分 24 秒	计划一次构建: SONAR_E6WIFI_MOVIE	 
Success	100%	Last/current build console output	SONAR_ORDER	24 分 - #28	3 days 18 小时 - #21	51 秒	计划一次构建: SONAR_ORDER	 
Success	80%	Last/current build console output	SONAR_PAY	2 days 20 小时 - #11	17 days - #7	36 秒	计划一次构建: SONAR_PAY	 
Success	40%	Last/current build console output	SONAR_SHOP	19 分 - #59	4 小时 19 分 - #57	2 分 13 秒	计划一次构建: SONAR_SHOP	 
Failed	0%	Last/current build console output	SONAR_SMS	没有	3 days 2 小时 - #2	24 秒	计划一次构建: SONAR_SMS	 
Success	100%	Last/current build console output	SONAR_SMS_CORE	4 days 4 小时 - #1	无	28 秒	计划一次构建: SONAR_SMS_CORE	 
Success	100%	Last/current build console output	SONAR_SMS_SGCMGM	4 days 4 小时 - #1	无	1 分 34 秒	计划一次构建: SONAR_SMS_SGCMGM	 
Success	75%	Last/current build console output	SONAR_TRADE	4 小时 40 分 - #4	2 days 22 小时 - #2	54 秒	计划一次构建: SONAR_TRADE	 
Success	100%	Last/current build console output	SONAR_USER	4 days 4 小时 - #1	无	1 分 13 秒	计划一次构建: SONAR_USER	 
Failed	66%	Last/current build console output	SONAR_UTILITY	4 days 2 小时 - #2	2 days 18 小时 - #3	1 分 31 秒

主干

很多敏感信息不在一一证明

cat /etc/passwd

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin

abrt:x:173:173::/etc/abrt:/sbin/nologin

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin

mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin

zabbix:x:500:500::/home/zabbix:/bin/bash

mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin

smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

image:x:501:501::/opt/clientpicture.16wifi.com/16wifi/client/index/img/:/bin/bash

jenkins:x:497:497:Jenkins Continuous Integration Server:/var/lib/jenkins:/bin/false

nexus:x:502:502::/var/lib/nexus:/bin/bash

貌似可以直入内网

漏洞证明：

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin

abrt:x:173:173::/etc/abrt:/sbin/nologin

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin

mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin

zabbix:x:500:500::/home/zabbix:/bin/bash

mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin

smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

image:x:501:501::/opt/clientpicture.16wifi.com/16wifi/client/index/img/:/bin/bash

jenkins:x:497:497:Jenkins Continuous Integration Server:/var/lib/jenkins:/bin/false

nexus:x:502:502::/var/lib/nexus:/bin/bash

修复方案：

弱口令

版权声明：转载请注明来源路人甲@乌云

0day

16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

缺陷编号： WooYun-2016-221168

漏洞标题： 16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

相关厂商： 16wifi.com

漏洞作者：路人甲

提交时间： 2016-06-20 15:10

修复时间： 2016-06-23 20:26

公开时间： 2016-06-23 20:26

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：远程命令执行

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

文章评论

16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

缺陷编号： WooYun-2016-221168

漏洞标题： 16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

相关厂商： 16wifi.com

漏洞作者： 路人甲

提交时间： 2016-06-20 15:10

修复时间： 2016-06-23 20:26

公开时间： 2016-06-23 20:26

漏洞类型： 命令执行

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 远程命令执行

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

文章评论

漏洞作者：路人甲

漏洞类型：命令执行

危害等级：高

漏洞状态：厂商已经修复

Tags标签：远程命令执行

版权声明：转载请注明来源路人甲@乌云