Uber社区存在多个漏洞(可执行任意SQL)

2017年4月23日02:51:00评论400 views字数 208阅读0分41秒阅读模式

摘要

2016-04-21：细节已通知厂商并且等待厂商处理中
2016-04-22：厂商已经确认，细节仅向厂商公开
2016-05-02：细节向核心白帽子及相关领域专家公开
2016-05-12：细节向普通白帽子公开
2016-05-22：细节向实习白帽子公开
2016-06-06：细节向公众公开

漏洞概要关注数(124) 关注此漏洞

缺陷编号： WooYun-2016-198883

漏洞标题： Uber社区存在多个漏洞(可执行任意SQL)

漏洞作者：猪猪侠

提交时间： 2016-04-21 15:00

公开时间： 2016-06-06 05:00

漏洞类型：敏感信息泄露

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

15人收藏

漏洞详情

披露状态：

简要描述：

Uber社区存在多个漏洞，可进入系统后台，可执行任意SQL，影响8W会员
dig www.uber.com.cn , 解析结果和uber主站在同一IP上

详细说明：

#0 影响描述

dig ubernihao.com

dig uber.com.cn

记录显示，部署在同一个网络内部

#1 .git 文件导致整站源码泄露

code 区域

python wyspider.py http://cms.ubernihao.com
 --------------------------------------------------
 * scan http://cms.ubernihao.com start
 --------------------------------------------------
 [200] http://cms.ubernihao.com => http://cms.ubernihao.com/
 [200] http://cms.ubernihao.com/login.html => http://cms.ubernihao.com/login.html
 [200] http://cms.ubernihao.com/.git/config => http://cms.ubernihao.com/.git/config
 --------------------------------------------------
 * scan complete...
 --------------------------------------------------
 {
   "dirs": {
     "http://cms.ubernihao.com": [
       "http://cms.ubernihao.com/"
     ]
   }, 
   "files": {
     "http://cms.ubernihao.com": {
       "/.git/": [
         "http://cms.ubernihao.com/.git/config"
       ], 
       "/": [
         "http://cms.ubernihao.com/login.html"
       ]
     }
   }
 }

http://cms.ubernihao.com/.git/config

code 区域

[core]
  repositoryformatversion = 0
  filemode = true
  bare = false
  logallrefupdates = true
 [remote "origin"]
  fetch = +refs/heads/*:refs/remotes/origin/*
  url = :muzhibuluo/uber_cms_v2.git
 [branch "master"]
  remote = origin
  merge = refs/heads/master

#2 系统调试日志、错误日志、访问日志可远程访问

http://code.ubernihao.com/logs/

code 区域

Index of /logs/
 
 ../
 access.log                                         21-Apr-2016 06:32    357M
 debug.log                                          21-Apr-2016 06:32    440M
 debug.log-2016-04-13                               13-Apr-2016 09:42     71K
 debug.log-2016-04-14                               14-Apr-2016 17:34    174K
 debug.log-2016-04-15                               16-Apr-2016 15:59    293M
 debug.log-2016-04-16                               17-Apr-2016 15:59    260M
 debug.log-2016-04-17                               18-Apr-2016 08:16    152M
 debug.log-2016-04-18                               19-Apr-2016 15:59    129M
 debug.log-2016-04-19                               20-Apr-2016 09:28     85M
 debug.log-2016-04-20                               21-Apr-2016 04:01     92M
 error.log                                          21-Apr-2016 06:32    329M
 info.log                                           21-Apr-2016 06:32    685M

漏洞证明：

#3 日志泄露大量敏感信息

用户的访问TOKEN，登录密码信息

code 区域

[2016-04-13 16:21:26.008] [INFO] http - 116.23.126.182 - - "PUT /adminUsers/1?authorization=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidHlwZSI6ImxvY2FsIiwiaWF0IjoxNDYwNTM1NjcwLCJleHAiOjE0NjI2MDkyNzB9.dscvgrWIzwL-Kl_jeElfAes93RLGRC3gG4nxa2BwTzU HTTP/1.0" 200 196 "http://cms.ubernihao.com/index.html" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.76 Mobile Safari/537.36"
 [2016-04-13 16:21:26.046] [DEBUG] mysqlDb - query sql : select id,email,nickname,cities,level,create_time as createTime from admin_user where level>=:level { level: '0' }
 [2016-04-13 16:21:26.047] [DEBUG] mysqlDb - formatedSql: select id,email,nickname,cities,level,create_time as createTime from admin_user where level>='0'
 [2016-04-13 16:21:26.049] [DEBUG] mysqlDb - operator back rows length :  1
 [2016-04-13 16:21:26.050] [INFO] http - 116.23.126.182 - - "GET /adminUsers/manage?cities=*&level=0 HTTP/1.0" 304 - "http://cms.ubernihao.com/index.html" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.76 Mobile Safari/537.36"
 [2016-04-13 16:21:37.959] [ERROR] app.js - NoUnauthorizationHeader /adminUsers?email=muzhi&passwd=uber undefined undefined undefined undefined

明文密码传输获取

code 区域

cat debug.log-2016-04-16 | grep passwd
 [2016-04-17 00:48:14.330] [ERROR] app.js - NoUnauthorizationHeader /adminUsers?email=muzhi&passwd=ubernihao undefined undefined undefined undefined
 [2016-04-17 00:48:14.334] [DEBUG] mysqlDb - query sql : select id,email,nickname,passwd,cities,level,status,create_time,create_by,update_time,update_by from admin_user where 1=1  and email='muzhi' and passwd='f1a89ad1f8388af2fe5b99ee07d2f468' order by  id desc
 [2016-04-17 00:48:14.336] [INFO] http - ::ffff:127.0.0.1 - - "GET /adminUsers?email=muzhi&passwd=ubernihao HTTP/1.1" 200 270 "" "undefined"
 [2016-04-17 14:31:32.614] [ERROR] app.js - NoUnauthorizationHeader /adminUsers?email=gz01&passwd=gz0101 undefined undefined undefined undefined
 [2016-04-17 14:31:32.618] [DEBUG] mysqlDb - query sql : select id,email,nickname,passwd,cities,level,status,create_time,create_by,update_time,update_by from admin_user where 1=1  and email='gz01' and passwd='e6144bda3a2f257ac9b59c9007bd9dbb' order by  id desc
 [2016-04-17 14:31:32.620] [INFO] http - ::ffff:127.0.0.1 - - "GET /adminUsers?email=gz01&passwd=gz0101 HTTP/1.1" 200 260 "" "undefined"

#4 利用调试信息里面找到的用户信息进入后台

修复方案：

加强安全意识，就这样

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2016-04-22 04:54

厂商回复：

谢谢您提供的信息，我们正在尽快处理中

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-21 15:03 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:2 | 没有什么能够阻挡，我对静静的向往)

0

靠

1# 回复此人
2016-04-21 15:06 | 87技术联盟-Jack ( 路人 | Rank:12 漏洞数:6 | 来自于浩瀚网络中的小白！)

0

前排

2# 回复此人
2016-04-21 15:16 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:59 | 要想Rank给高，标题一定得屌)

0

我擦

3# 回复此人
2016-04-21 15:21 | 土夫子 ( 普通白帽子 | Rank:527 漏洞数:86 | 看似山穷水尽，终将柳暗花明)

0

猪哥霸气

4# 回复此人
2016-04-21 15:26 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

0

能解封不？帮我解封下啊~

5# 回复此人
2016-04-21 15:43 | hoopyoung ( 实习白帽子 | Rank:50 漏洞数:7 )

0

猪哥又出动了，不用看，股票又跌了。

6# 回复此人
2016-04-21 15:49 | 牛小帅 ( 普通白帽子 | Rank:1597 漏洞数:116 | bye)

0

猪哥又收割了100万

7# 回复此人
2016-04-21 15:57 | 猪猪侠 ( 核心白帽子 | Rank:5372 漏洞数:282 | 你都有那么多超级棒棒糖了，还要自由干吗？)

0

@hoopyoung 暴跌啊

8# 回复此人
2016-04-21 15:58 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

0

@hoopyoung 哈哈

9# 回复此人
2016-04-21 16:10 | 猪猪侠的男朋友 ( 路人 | 还没有发布任何漏洞 )

1

乌云股市播报者:猪猪侠

10# 回复此人
2016-04-21 16:54 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:59 | 要想Rank给高，标题一定得屌)

0

@猪猪侠的男朋友你这ID让猪哥很尴尬啊

11# 回复此人
2016-04-21 17:04 | 孤梦° ( 普通白帽子 | Rank:149 漏洞数:43 )

0

猪哥又出动了，不用看，股票又跌了。

12# 回复此人
2016-04-21 17:07 | zkk ( 路人 | Rank:8 漏洞数:4 | 只留下清澈的心)

0

屌爆了，666

13# 回复此人
2016-04-21 17:10 | sql小神 ( 实习白帽子 | Rank:56 漏洞数:4 | 有些漏洞可以提，有些漏洞不可以提。)

0

@猪猪侠的男朋友你这id也是够吊的。。。。。

14# 回复此人
2016-04-21 19:02 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

0

报官方hackone 1w美刀

15# 回复此人
2016-04-21 19:30 | dragon110 ( 路人 | Rank:12 漏洞数:1 | 其实我是龙6)

1

@猪猪侠的男朋友顶一个。

16# 回复此人
2016-04-21 19:35 | 土豆俠 ( 路人 | Rank:2 漏洞数:1 | 我爱吃土豆)

0

土豆侠到此一游！！！

17# 回复此人
2016-04-21 20:38 | Freebug ( 普通白帽子 | Rank:110 漏洞数:13 | 流氓是一种高尚的职业！)

0

后排火速留名。

18# 回复此人
2016-04-21 23:41 | STCX ( 路人 | Rank:21 漏洞数:8 | 向大黑阔们致敬)

0

留个名

19# 回复此人
2016-04-22 07:36 | 我在不想理你 ( 普通白帽子 | Rank:203 漏洞数:60 | 人生路漫漫)

0

666

20# 回复此人
2016-05-09 11:15 | 过客 ( 实习白帽子 | Rank:42 漏洞数:13 )

0

看到 uber 3000$ 的 xss 了 https://hackerone.com/reports/117068

21# 回复此人
2016-05-09 13:37 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

0

@过客。。。我擦一个反射xss 2w块rmb

22# 回复此人

漏洞概要 关注数(124) 关注此漏洞

缺陷编号： WooYun-2016-198883

漏洞标题： Uber社区存在多个漏洞(可执行任意SQL)

相关厂商： 优步Uber

漏洞作者： 猪猪侠

提交时间： 2016-04-21 15:00

公开时间： 2016-06-06 05:00

漏洞类型： 敏感信息泄露

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

15人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(124) 关注此漏洞

相关厂商：优步Uber

漏洞作者：猪猪侠

漏洞类型：敏感信息泄露

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

版权声明：转载请注明来源猪猪侠@乌云

漏洞评价(共0人评价):

登陆后才能进行评分