当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04146

漏洞标题:国内知名手机网站xda.cn极其以下两个站点崩溃,80万用户数据危险!!!

相关厂商:xda.cn

漏洞作者: Hxai11

提交时间:2012-02-04 21:10

修复时间:2012-03-20 21:11

公开时间:2012-03-20 21:11

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-03-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

xda.cn极其同服务器下的两个站点均被成功入侵
87万用户数据危险!

详细说明:

漏洞证明:


webshell地址


87万用户数据,虽然有md5加密,但是对于黑客来说,只要获取想要的用户的md5,危害已经很大了,还有用户的邮箱,可以利用邮箱进行欺骗工作(用户数据库并未传播给任何人任何组织,请勿担心,只是为了演示危害)

修复方案:

修复漏洞:1、请严格分配网站管理和各个后台用户的密码,经过我的发现,许多后台用户都是用户名密码相同,需要全部更改密码!!!这一点很重要。
2、网站内的上传内容限制,网站后台的某些上传处由于过滤不严格导致任何文能够成功上传,包括aspx等脚本文件,所以请重新研究后台架构
3、mysql密码不及时更改,导致用户数据库可下载,当黑客拿到webshell之后,经过查看老版本的dz论坛里的某些文件,可以看到很多mysql的密码和帐号,经过我的测试,顺利连接内外另一台服务器拿到用户87万数据!!所以请要么更改密码,要么禁用掉mysql老的数据库,以免造成严重损失!!
4、网站权限的问题,由于权限的大小问题,导致其余的分站全部沦陷,可以考虑更改目录用户为普通用户,限制允许访问哪些目录和不允许访问哪些目录!!再利用sudo分配适当权限。
5、网站维护不过关!经过我的发现,我上传木马是在几天前,而当我今天访问木马时,任然存在,可以发现维护的力度不够,请加强,请养成天天翻阅日志的习惯!!!
给出的修复方案请思考后在进行相关方案修复!
以上的webshell地址和87万用户数据未泄漏给任何人任何组织,用户数据库也只是零时,请放心。

版权声明:转载请注明来源 Hxai11@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:18 (WooYun评价)

漏洞评价:

评论

  1. 2012-02-05 01:02 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    动不动就是XX万,很吓人的。

  2. 2012-02-26 20:09 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    Tag标签:Discuz????与此有关?

  3. 2012-03-20 21:31 | 歌颂 ( 实习白帽子 | Rank:36 漏洞数:5 | #1024)

    lz疑似装B,shell地址不给看,洞洞也不发出来,就秀数据。1024了你

  4. 2012-03-21 07:43 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @歌颂 公开shell地址我感觉不怎么妥当,看看现在都公开大众了,我倒是怕某些黑阔去玩。

  5. 2012-03-21 10:02 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    从图中看出,导出的表是common_member,在DX(更准确的来说是DZ 6.1及以后)中,这个表其实并非存留md5密码的(真实的md5-salt是在UCenter),是用于用户自动登录和cookies校验的。但是有一种例外情况:如果论坛是从dz6.0及以前升级到UCenter的,在运行转换脚本的过程中,脚本不会更改该password值,导致原来dz6.0的用户md5还在里面。除非老用户更改密码,否则都不会更新为一个虚值。所以,影响的是升级后没有更改密码的老用户......当时个人是这样紧急处理的:UPDATE pre_common_member SET `password` = md5(rand()); 但这可能存在新的问题,比如串cookie等。

  6. 2012-03-21 11:05 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @horseluke 说实话,这个本来就是老的库,不是最新版本的dz的库,应该是她们以前备份的库,但是有很多用户不注意自己帐号安全,不更改密码,所以可能导致安全问题的发生

  7. 2012-03-21 11:08 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @Hxai11 其实个人觉得dz出品方康盛也有一定责任,升级脚本没有清除敏感信息。这事情如果不是一次二次开发要操作那个表时都不知道,当时惊出一身冷汗。@腾讯 通知一下你旗下的公司吧!

  8. 2012-03-21 11:15 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @horseluke dz所有版本都存在这个问题???

  9. 2012-03-21 11:18 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @Hxai11 只要从dz6.0及以下升级到UCenter版本的,在转换过程中,其原来的member表仍然会保留md5信息,除非用户改动密码,否则不会更新为虚值。算了我报个漏洞详细说明吧,这样各位就明白了。

  10. 2012-03-21 11:20 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @horseluke 嗯

  11. 2012-11-10 17:38 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    每次就是啥...几十w,你是吓唬党么?

  12. 2013-04-24 18:13 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    Tags标签: 安全意识不足 弱口令 设计不当导致攻击界面扩大 盲目信任用户数据 内网渗透 任意文件上传 后台地址泄露 服务器配置不当 数据库密码泄漏 管理后台对外 用户敏感信息泄露 渗透测试思路 运维管理不当 内部敏感信息泄漏 webshell 内部管理不完善 员工意识不足 Discuz

  13. 2013-04-24 18:51 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @乌帽子 ???

  14. 2013-05-11 19:01 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    看到标签我欣慰的笑了。