盛大某系统设计缺陷可导致上千后台地址暴露

UAM，是盛大的一款统一应用管理系统，它提供盛大各子系统统一的授权管理服务，以此来保护盛大各业务系统后台的授权安全。

当访问接入UAM的盛大系统后台时，会自动跳转到UAM的登录界面，并传递两个参数：SubSystemCode、ReturnUrl。

http://kfmail.sdo.com/
 Host: kfmail.sdo.com
 User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
 Accept-Encoding: gzip, deflate
 Cookie:
 Connection: keep-alive
 
 HTTP/1.1 302 Found
 Date: Sun, 26 Oct 2014 08:33:15 GMT
 Server: Microsoft-IIS/6.0
 X-Powered-By: ASP.NET
 X-AspNet-Version: 2.0.50727
 Location: http://uam.sdo.com/Login.aspx?SubSystemCode=3146&ReturnUrl=http%3a%2f%2fkfmail.sdo.com%2fLogin.aspx
 Cache-Control: private
 Content-Type: text/html; charset=utf-8
 Content-Length: 220

授权IP下，会跳转到UAM的登录界面。

经过验证，此系统有个设计缺陷，当只SubSystemCode参数时，也会在返回源码中给出对应的系统登录地址。

经过分析，目前SubSystemCode的最大值为3700左右，那么意味着我们可以获取到盛大3700左右个后台的地址被获取。

那么我们可以写个脚本批量导出这么千个后台的地址。

去重、去空后大概后台数有2300个左右。

·修改部分逻辑。改为权限验证成功后再输出后台地址并跳转。

·给20Rank不过分吧..?

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-10-26 21:04

厂商回复：

经验证不存在此漏洞，需要授权IP，还有，不要把以前的漏洞发上来！！！

最新状态：

暂无

1. 2014-10-26 19:42 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习，求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)

   1

   大牛就是叼。

   1# 回复此人

2. 2014-10-26 19:51 | 兔兔侠 ( 路人 | Rank:2 漏洞数:1 )

   0

   你这是要逆天啊

   2# 回复此人

3. 2014-10-26 20:04 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

   0

   死磕盛大了

   3# 回复此人

4. 2014-10-26 20:28 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

   0

   这个屌!

   4# 回复此人

5. 2014-10-26 22:26 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

   0

   @盛大网络 你看清楚内容了吗？ 我已说明需要在授权IP下可以触发此漏洞，而且给出了详细的证明和截图，你说不存在此漏洞，是什么意思？ 这个漏洞是基于我累计获取过你们几十台服务器权限的发现的，你们边界的脆弱度相信你也知道，如果你认为这种内部系统漏洞不是漏洞，或者认为后台地址不属于敏感数据，那好，我直接公开就是了！ 0Rank是对白帽子劳动成果的一种蔑视！

   5# 回复此人

6. 2014-10-26 22:31 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

   0

   为什么会说是以前的洞? 有么有传送门啊?

   6# 回复此人

7. 2014-10-26 22:35 | 盛大网络(乌云厂商)

   0

   @3King 我们的uam设计就是这样 这个没法改！

   7# 回复此人

8. 2014-10-26 22:38 | 卡卡 ( 普通白帽子 | Rank:468 漏洞数:57 | <script>alert('安全团队长期招人')</scrip...)

   0

   @3King 认真你就输了~

   8# 回复此人

9. 2014-10-26 22:40 | 盛大网络(乌云厂商)

   0

   还有这个漏洞是你两年前报给我们的 我们给了不少礼物了吧 还在这里报 我们当初已经说了这个没法改，是嫌礼物少吗？

   9# 回复此人

10. 2014-10-26 22:46 | XOXO ( 路人 | Rank:4 漏洞数:4 | 终于有邀请码了！)

    0

    大牛就是叼 一个月爆了盛大13个 膝盖给你了

    10# 回复此人

11. 2014-10-26 22:49 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

    0

    楼主没日没夜的给盛大做安全，盛大就这态度。。

    11# 回复此人

12. 2014-10-26 22:52 | 盛大网络(乌云厂商)

    0

    @darkrerror 有新漏洞 我们绝对给20分 你这样说我们 我很伤心!!!

    12# 回复此人

13. 2014-10-26 23:13 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

    0

    @盛大网络 这个漏洞的确是去年私下和你们提到过，但是请你给出证据，当时什么时候给过我反馈说这个问题没法改？我这里有当时聊天的全部记录备份，你要的话，我可以现在查给你看。嫌礼物少，你们这是在怀疑我的为人吗？你现在用的是厂商帐号，我可以理解为这是你们公司的态度吗？

    13# 回复此人

14. 2014-10-26 23:27 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    0

    @3King @盛大网络 我说句公道话 如果现在3king还能这样跳转 说明他的IP是授权的 那么既然IP是授权的 这些跳不跳转也无所谓了 应该是可以直接内网或者进一步渗透了 如果是没有授权的话就就算知道后台地址也还是会跳转到UAM 所以我觉得应算是一个鸡肋的逻辑漏洞 因为这个需要你挂上VPN 然后进一步渗透的时候使用.

    14# 回复此人

15. 2014-10-26 23:36 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    0

    不是没法改，只是消耗的人力物力太大了。。。

    15# 回复此人

16. 2014-10-26 23:40 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

    0

    @盛大网络 我是当时没收到任何反馈说你们已知晓且没法改。如果你认为是因为我已知晓没法改而再报出来，那么只能说，这是个误会。

    16# 回复此人

17. 2014-10-27 00:07 | 盛大网络(乌云厂商)

    0

    @3King 好了 这事情到此为止，有新漏洞提交照样给分，还有我不可能每次都给20分，！

    17# 回复此人

18. 2014-10-27 00:16 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

    0

    @盛大网络 你就按乌云漏洞标准给分，该高的高该低的低，别搞得我好像有什么特权似的。

    18# 回复此人

19. 2014-10-27 04:18 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

    0

    @3King @盛大网络 你二位冷静一下吧。看待漏洞这问题。必须冷静客观。不是意气用事的时候。。。。。。

    19# 回复此人

20. 2014-10-27 08:43 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

    0

    @雅柏菲卡 这属于内网系统，他认为这个缺陷他们无法修复，所以认为这不是漏洞。而我认为第一，即使内网系统漏洞他们也应确认并评估危害，而不是不讲理地选择忽略；第二，通过这个缺陷确实能导致敏感信息泄露，这与他们能不能修复它无关。就这个漏洞来说，我们可以通过讨论来交流看法，因为乌云本身就是一个交流的平台。让我气愤的是，当时私下讨论的时候我确实没有收到这个问题的任何反馈，而他却说当时已经反馈给我已知晓。在没有弄清事实的情况下还说什么给了不少礼物 还在这里报 嫌礼物少这类言论。你说你很伤心，反过来你不觉得这些话很伤人吗？

    20# 回复此人

21. 2014-10-27 08:56 | 盛大网络(乌云厂商)

    4

    你已经彻底把我惹火

    21# 回复此人

22. 2014-10-27 09:09 | by灰客 ( 路人 | Rank:26 漏洞数:14 | &#8238;)

    0

    哦呐啦 哦呐啦 啊足哦呐 咖达啦 咖达啦 啊足咖呐 呐呐哩 达lio哆 莫哆呐呢 啊呢哩 啊呢哩 啊呢哆ne he衣呀 D衣呀 he衣呀呢啦呢哆 哦几哆 莫哈呐 咖lio咖嘛

    22# 回复此人

23. 2014-10-27 09:36 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

    0

    你就和盛大干上了

    23# 回复此人

24. 2014-10-27 09:39 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    0

    看你们俩对话半天才明白 @3King你一年前收了人家礼物 一年后又把漏洞发出来 真是业界良心哈！！！！

    24# 回复此人

25. 2014-10-27 09:42 | sky ( 实习白帽子 | Rank:94 漏洞数:35 | 有一天， 的园长...)

    0

    厂商太牛，我们这群屌丝有什么办法呢？人家说不认你就不认你，你能把人家咋样？唉~人心难测

    25# 回复此人

26. 2014-10-27 10:37 | 0x334 ( 普通白帽子 | Rank:181 漏洞数:39 | 漏洞无影响，已忽略～～～～～～～)

    0

    话说路人都不知道到底啥情况，就别瞎评论了。。

    26# 回复此人

27. 2014-10-27 10:57 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    0

    @盛大网络 淡定淡定 出发点是好的 只是有误会

    27# 回复此人

28. 2014-10-27 10:58 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

    0

    强势丶围观

    28# 回复此人

29. 2014-10-27 10:59 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

    0

    强势丶围观

    29# 回复此人

30. 2014-10-27 11:00 | 白非白 ( 普通白帽子 | Rank:559 漏洞数:85 | ♫ Freedom - Anthony Hamilton ♫)

    0

    强势丶围观

    30# 回复此人

31. 2014-10-27 11:05 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    2

    说什么嫌礼物少的厂商最鸡巴蛋疼了！那玩意能值几个钱。。。

    31# 回复此人

32. 2014-10-27 11:09 | DM_ ( 实习白帽子 | Rank:76 漏洞数:18 )

    0

    在一起吧。

    32# 回复此人

33. 2014-10-27 11:30 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了，也来挖挖漏洞，为创建安全...)

    0

    @3King 淡定~抽空把它再渗透一下，它就老实了~

    33# 回复此人

34. 2014-10-27 13:20 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了，刷分还是不刷？)

    0

    强势丶围观

    34# 回复此人

35. 2014-10-27 13:22 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    1

    奉劝厂商不要NB 搞你也就是多花点时间问题 白帽好心提给你不错了

    35# 回复此人

36. 2014-10-27 13:26 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

    2

    @盛大网络 @炯炯虾 关于礼物的事，你应该是长期在sdg工作的，有些情况你可能不知道，毕竟sdg和sdo都有安全部，我说明一下情况。12年9月当时刚入乌云，发到盛大漏洞第六个时，他们盛大在线私下联系我，说希望由于一些东西比较敏感，希望不要把漏洞发到乌云了，为了表示感谢，可以送点实用的礼物。当时和他们那个联系我的员工（许**）聊得很不错，从那时开始，大漏洞都是私下给了他们的。13年4月左右，收到了盛大在线的礼物bambook手机和电子书和你们盛大游戏的一个鼠标垫、一个小吉祥物。就后来盛大在线合并到了盛大游戏，也就是现在的你。截止到现在，就再没收到过你们任何礼物了。这两年里私下向你们提交了70多个漏洞，涉及数据库300多个，而且两年前你们送的鼠标垫原因是你们盛大游戏的全游戏活动平台sql debug，和今天的漏洞没半毛钱关系。情况就是这样。盛大游戏，你们给的真的不多。。。何况也不是求着你们给的。

    36# 回复此人

37. 2014-10-27 13:27 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    0

    @3King 好白帽 求给个方式认识下

    37# 回复此人

38. 2014-10-27 13:32 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)

    0

    @盛大网络 关于今天的这个漏洞，在4月收到礼物和你们盛大在线的员工提到过，但是没有得到任何回复，昨天看了下漏洞还存在，就发上来了。今天获知你们多人讨论后不认为这是漏洞，我尊重你们的看法，但保留我的意见。因为去年你们全游戏平台激活码问题就是通过这个缺陷发现的。无意冒犯。ok，以上就是我的全部看法，就此结贴，不再回复。

    38# 回复此人

39. 2014-10-27 13:39 | 盛大网络(乌云厂商)

    0

    盛大以后漏洞评分标准提高，不重要的系统一律给五分及以下，如果拿到webshell一律给20分，特此通告！各位白帽子请参考腾讯评分标准！

    39# 回复此人

40. 2014-10-27 15:04 | PgHook ( 普通白帽子 | Rank:1020 漏洞数:123 | Portulaca grandiflora Hook.)

    0

    强势丶围观

    40# 回复此人

41. 2014-10-27 16:15 | sky ( 实习白帽子 | Rank:94 漏洞数:35 | 有一天， 的园长...)

    0

    @盛大网络 呵呵

    41# 回复此人

42. 2014-10-27 17:15 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

    0

    @3King 为什么要私下提交70多个漏洞？

    42# 回复此人

43. 2014-10-27 17:39 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    0

    @3King 70多个漏洞就那点东西？这厂商还要在这喊。。。你还不如去挖挖阿里或者携程的，貌似走那个协助厂商修补漏洞的流程，一个漏洞还有2k-1w不等的奖金呢。给这种高高在上，完全不尊重白帽子劳动成果的厂商挖掘漏洞有啥意义。。。

    43# 回复此人

44. 2014-10-28 14:14 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    0

    "你已经彻底把我惹火" .........笑尿了 哈哈， 我想说:请不要把私人情绪带到工作当中，哈哈。

    44# 回复此人

45. 2014-10-28 14:30 | hcyoo ( 路人 | Rank:4 漏洞数:4 | 自从得了精神病，感觉整个人都精神多了。)

    0

    都是大鸟，我来围观，

    45# 回复此人

46. 2014-10-29 10:11 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    1

    看大牛吵架都能学到不少知识~~~不错，不错

    46# 回复此人

47. 2014-10-29 10:22 | Adra1n ( 普通白帽子 | Rank:441 漏洞数:69 )

    0

    有个疑为，这个uam是加了ip限制的吧。只有在可信ip下才可以获取到后台地址，若不是可信ip下的应该是获取不到的吧。

    47# 回复此人

48. 2014-10-29 10:27 | Wangl ( 实习白帽子 | Rank:33 漏洞数:4 | 新浪支付，值得拥有)

    0

    @盛大网络 都到这一步了，楼主肯定已经有部分权限了，赶快去自插吧，看你们这架势，赶脚楼主要去脱你们的裤了。。。。

    48# 回复此人

49. 2014-10-29 10:35 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    0

    你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火

    49# 回复此人

50. 2014-10-29 11:43 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

    1

    17亿上市的盛大就是这样？？？ 呵呵 那我们这群屌丝无话可说

    50# 回复此人

51. 2014-10-29 12:53 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想，没有道德，没有自由，没有人权的...)

    0

    你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火

    51# 回复此人

52. 2014-10-30 13:43 | 侠之心 ( 路人 | Rank:6 漏洞数:3 | 我是小白 请各位多多指教)

    0

    @盛大网络 惹火了你 你咬人吗

    52# 回复此人

53. 2014-11-21 01:06 | 学习中的菜鸟 ( 路人 | Rank:20 漏洞数:1 | 学习中的菜鸟)

    1

    这下脸被打得好痛吧？？？(^。^)y-~~233

    53# 回复此人

54. 2014-12-13 13:16 | 劳资就是美国佬 ( 路人 | Rank:2 漏洞数:2 | 劳资就是美国佬)

    1

    八嘎呀路啊哈哈哈哈哈哈哈和

    54# 回复此人

55. 2014-12-13 16:59 | 学习中的菜鸟 ( 路人 | Rank:20 漏洞数:1 | 学习中的菜鸟)

    1

    你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火你已经彻底把我惹火

    55# 回复此人

56. 2014-12-13 23:06 | little_bird ( 路人 | Rank:1 漏洞数:1 | 低调求发展)

    1

    目测此贴要火,我为留名,

    56# 回复此人

57. 2015-03-25 17:31 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心，爱好广泛，求女女带走。。...)

    0

    楼主没日没夜的给盛大做安全，盛大就这态度。。

    57# 回复此人

58. 2015-03-25 18:00 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    0

    我想知道未授权的小伙子哪来那么大脾气 如果厂商愿意 是否够个3-7年呢

    58# 回复此人