互联网多台MongoDB服务器未授权访问内存大量用户与群等敏感数据

admin

140747
文章

117
评论

2017年5月3日10:10:08评论364 views字数 236阅读0分47秒阅读模式

摘要

2016-05-09：细节已通知厂商并且等待厂商处理中
2016-05-09：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-14：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(26) 关注此漏洞

缺陷编号： WooYun-2016-206390

漏洞标题：互联网多台MongoDB服务器未授权访问内存大量用户与群等敏感数据

漏洞作者：路人甲

提交时间： 2016-05-09 17:42

公开时间： 2016-05-14 01:54

漏洞类型：网络未授权访问

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：未授权访问内部敏感信息泄漏

2人收藏

漏洞详情

披露状态：

简要描述：

某MongoDB未授权访问，泄露大量数据，影响800gb数据，上亿的数据肯定是跑不了了
无意中发现了一个段，看了看内容和整个IP段，推断应该是腾讯的
查了好久，但是还是查不到整个段的信息
但是xxxxxx整个段都开了MongoDB，再结合数据内容还有数据大小
这么大的手笔，应该就是腾讯了，TMD希望不是乌龙！！TMD希望不是乌龙！！TMD希望不是乌龙！！

详细说明：

地址：

mask 区域

1.://**.**.**

查了好久，但是还是查不到整个段的信息

但是114.228.201.1-254整个段都开了MongoDB，再结合数据内容还有数据大小

这么大的手笔，应该就是腾讯了

只看部分主机

mask 区域

*****for 114.2*****
 *****.043s l*****
 *****TE    S*****
 *****iltere*****
 **********
 *****for 114.2*****
 *****.067s l*****
 *****TATE  *****
 *****losed *****
 **********
 *****for 114.2*****
 *****.052s l*****
 *****TE    S*****
 *****iltere*****
 **********
 *****for 114.2*****
 *****.016s l*****
 *****TE    S*****
 *****iltere*****
 **********
 *****for 114.2*****
 *****.072s l*****
 *****TATE S*****
 *****pen  m*****
 ***** execution fail*****
 **********
 *****for 114.2*****
 *****.042s l*****
 *****TE    S*****
 *****iltere*****
 **********
 *****for 114.2*****
 *****.052s l*****
 *****TATE  *****
 *****losed *****
 *****for 114.2*****
 *****.047s l*****
 *****TATE S*****
 *****pen  m*****
 *****db-i*****
 ***** Build*****
 *****NCREMENTAL:NO /LARG*****
 *****ctSize = *****
 *****on = 3*****
 *****its *****

来看未授权的主机的数据多少

看看所有的库

再看看其中的QQZONE这个最大的库

按照城市记录了QQ空间的信息，包括时间，名字，等等字段太多了

再看看其他的，记录了不少的登录状态，推断出应该是不是爬虫

同样是大量的登录状态还有每个用户的名字，图片地址，等等很全的信息

还有大量的QQ群的信息

然后就是QQ号和QQ空间的信息

漏洞证明：

修复方案：

TMD希望不是乌龙！！TMD希望不是乌龙！！TMD希望不是乌龙！！不是乌龙求送礼物

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-05-14 01:54

厂商回复：

感谢白帽子对腾讯公司安全的关注。收到乌云通知后，我们第一时间进行漏洞验证，所提及IP不是腾讯公司的IP。同时，我们无法访问报告中所描述的MongoDB服务器，并在与乌云沟通后了解到漏洞报告者也未能下载提及的数据。目前根据漏洞报告者所提供的图片判断，所涉及内容属于QQ及QQ空间的公开信息，不涉及用户隐私信息。腾讯公司高度关注用户账号安全，会对此事进行持续关注。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-05-09 17:00 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

0

-_-

1# 回复此人
2016-05-09 17:47 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:304 | 最近有人冒充该账号行骗，任何自称HackBrai...)

0

@疯狗吓死宝宝了

2# 回复此人
2016-05-09 18:40 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

0

前排

3# 回复此人
2016-05-09 18:47 | 陆由乙 ( 普通白帽子 | Rank:620 漏洞数:137 | 我是突突兔！)

0

有可能是黑产采集的，也有可能是腾讯的。

4# 回复此人
2016-05-09 19:13 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

0

坐等公开

5# 回复此人
2016-05-09 19:40 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

0

吓死楼上了

6# 回复此人
2016-05-09 19:50 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

0

吓死楼下了

7# 回复此人
2016-05-09 20:16 | Faith4444 ( 路人 | Rank:26 漏洞数:10 | 说出来可能你不信，我就是个垃圾)

0

@陆由乙同意

8# 回复此人
2016-05-14 07:12 | 天地不仁以万物为刍狗 ( 普通白帽子 | Rank:1464 漏洞数:403 | 本乌云账户唯一QQ 1777xxxx4)

0

我竟然看到了 pass字段还是明文的。。。。

9# 回复此人
2016-05-14 08:42 | 卖C4的小男孩 ( 普通白帽子 | Rank:110 漏洞数:19 | 啦啦啦啦啦啦我是一个卖C 4的小行家!...)

0

这个要不是乌龙那咱们CCTV见

10# 回复此人
2016-05-14 09:02 | Faith4444 ( 路人 | Rank:26 漏洞数:10 | 说出来可能你不信，我就是个垃圾)

0

我竟然看到了 pass字段还是明文的。。。还有手机号。。。

11# 回复此人
2016-05-16 08:54 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

0

@ 卖C4的小男孩,CCTV见

12# 回复此人
2016-05-23 10:41 | Budi ( 普通白帽子 | Rank:213 漏洞数:44 | 希望能成为一个合格的白帽子，不断完善自己...)

0

围观

13# 回复此人

漏洞概要 关注数(26) 关注此漏洞

缺陷编号： WooYun-2016-206390

漏洞标题： 互联网多台MongoDB服务器未授权访问内存大量用户与群等敏感数据

相关厂商： 腾讯

漏洞作者： 路人甲