当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-031975

漏洞标题:OPPO用户中心源码泄露后的噩梦 600W用户敏感信息&明文密码

相关厂商:广东欧珀移动通讯有限公司

漏洞作者: 猪猪侠

提交时间:2013-07-23 16:24

修复时间:2013-09-06 16:25

公开时间:2013-09-06 16:25

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-23: 细节已通知厂商并且等待厂商处理中
2013-07-24: 厂商已经确认,细节仅向厂商公开
2013-08-03: 细节向核心白帽子及相关领域专家公开
2013-08-13: 细节向普通白帽子公开
2013-08-23: 细节向实习白帽子公开
2013-09-06: 细节向公众公开

简要描述:

一个小小的运维缺陷,直接造成了600万用户信息,2000万机主信息的敏感隐私泄露。
声明:我只是简单的看了一下,未导任何一条数据,嗯,现在看过的东西都已经忘得差不多了,希望不要找我灭口啊~

详细说明:

#1 测试发现
最近看到wooyun上有不少同学在提交OPPO的漏洞,于是就开了下扫描器,扫了扫!
发现了这么个玩意儿:http://account.oppo.com/sysadmin.tar.gz
^_^,这是什么呢?下回来瞧一瞧!,从域名来看就知道是OPPO的用户中心了
#2 进一步研究
下回来解压缩后,吓我一跳,还真是整个用户中心的源代码。

oppo_source.jpg


瞧一瞧这些配置文件里面都有什么?

<?php
/**
 * @version $Id: config.db.php 64 2008-12-10 15:02:02Z Administrator $
 *
 * $dsn = "数据库类://用户名:密码@主机:端口/数据库名/编码/是否长连接";
 */
$dbname = array();
$siteConf = isset($siteConf) && is_array($siteConf) ? $siteConf : array();
$dbname['uni'] = 'oppo_universal'; // database name
#$siteConf['dsn']['uni']['writer'] = "MySQL://sso_rpc1225:fdG******dEGsd@***.***.*.82:33306/{$dbname['uni']}/utf8/false";
$siteConf['dsn']['uni']['writer'] = "MySQL://oppo_account1225:Bz******JEUBBFQxL%!yCjvbV@***.***.*.82:33306/{$dbname['uni']}/utf8/false";
$siteConf['dsn']['uni']['reader'] = $siteConf['dsn']['uni']['writer'];
$dbname['bbs'] = 'oppo_product_bbs15'; 
$siteConf['dsn']['bbs']['writer'] = "MySQL://oppo_bbs1225:afb0z******qfT9f1^57tW2wx5@***.***.*.47:33306/{$dbname['bbs']}/utf8/false";
$siteConf['dsn']['bbs']['reader'] = $siteConf['dsn']['bbs']['writer'];
$dbname['mp3'] = 'oppo_mp3'; // database name
$siteConf['dsn']['mp3']['writer'] = "MySQL://oppo_mp31225:7hfW******WKRXpnF6@***.***.*.82:33306/{$dbname['mp3']}/utf8/false";
$siteConf['dsn']['mp3']['reader'] = $siteConf['dsn']['mp3']['writer'];
$dbname['fansbbs'] = 'oppo_fans_bbs'; // database name
$siteConf['dsn']['fansbbs']['writer'] = "MySQL://oppo_fans1225:abb8f******JSNPrxJs@***.***.*.82:33306/{$dbname['fansbbs']}/utf8/false";
$siteConf['dsn']['fansbbs']['reader'] = $siteConf['dsn']['fansbbs']['writer'];
$dbname['oppoweb'] = 'oppoweb'; // database name
$siteConf['dsn']['oppoweb']['writer'] = "MySQL://oppoweb1225:zY3_a******JBPmy_UChiqO5oI@***.***.*.82:33306/{$dbname['oppoweb']}/utf8/false"; 
$siteConf['dsn']['oppoweb']['reader'] = $siteConf['dsn']['oppoweb']['writer'];
$dbname['med'] = 'oppo_med'; // database name
$siteConf['dsn']['med']['writer'] = "MySQL://oppoweb1225:zY3_aNzES******y_UChiqO5oI@***.***.*.82:33306/{$dbname['med']}/utf8/true/false";
$siteConf['dsn']['med']['reader'] = $siteConf['dsn']['med']['writer'];
$dbname['www'] = 'oppo_www'; // database name
$siteConf['dsn']['www']['writer'] = "MySQL://oppo_www:%cNK1C******Y82_0Q8Qg7nL@***.***.*.82:33306/{$dbname['www']}/utf8/false"; 
$siteConf['dsn']['www']['reader'] = $siteConf['dsn']['www']['writer'];
//$siteConf['dbcharset'] = 'utf8';
?>


#3 有了源码,有了配置文件,有时候有些厚脸皮的管理员或开发人员会说,你照样影响不到的我的数据啊!
看了下OPPO在乌云上的一堆漏洞,你们对待安全问题的态度真的很差,大部分漏洞都置之不理的,你让那些白帽子们情何以堪?
其实我也担心你们针对的这个报告给予同样的态度,所以,我喝了瓶可乐,开始好好研究你们。
花了半天看源码,找了个小BUG,总算拿到个SHELL。

0.jpg


#4 更多漏洞利用
邮件配置内容:
WooYun: WEIPHONE威锋网任意用户密码修改 直探700万用户数据
结合这个漏洞,可以让你找回任意用户的密码!

// 邮件服务器配置
$siteConf['mailer'] = array(
	"smtp_host" => "mail.oppo.com", 
	"smtp_port" => "9988", 
	"smtp_user" => "getpass@oppo.com", 
	"smtp_pass" => "ge***88", 
	"smtp_mail" => "support@oppo.com"
);
$siteConf['mailer'] = array(
        "smtp_host" => "121.12.164.116",
        "smtp_port" => "9988",
        "smtp_user" => "register",
        "smtp_pass" => "oppo*******988",
        "smtp_mail" => "register@oppo.com"
);


漏洞证明:

#5 血淋淋的内幕揭露
~! 用户密码明文存储

1.jpg


~! 记录用户的登录行为,而且记录用户的明文密码 (上千万的记录,5张表)

oppo_login_history.jpg


3.jpg


~! 接近2000万的记住信息,IMEI信息

4.jpg


修复方案:

#1 针对安全问题的态度。
#2 运维缺陷,安全意识普及。

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-07-24 09:47

厂商回复:

非常感谢,相关历史数据已经清理!全力修复漏洞中...

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-23 16:25 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    600w明文密码吗我去,怎么现在厂商还明着记?

  2. 2013-07-23 16:28 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    围观。又是大数据~

  3. 2013-07-23 16:33 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    又被雷劈了!

  4. 2013-07-23 16:35 | cnbird ( 普通白帽子 | Rank:547 漏洞数:47 | http://blog.csdn.net/cnbird2008)

    我就非常不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?禽兽,shell公开让我来。

  5. 2013-07-23 16:35 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    求明文裤子~

  6. 2013-07-23 16:38 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    其实oppo的裤子很久前就被人给下了。我不明白的是,为什么到现在了,还有厂商要明文存储密码~

  7. 2013-07-23 16:40 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    又被雷劈了!

  8. 2013-07-23 16:42 | warrioj4 ( 路人 | Rank:4 漏洞数:2 | 专注工具30年)

    楼主 滚出 让我来

  9. 2013-07-23 16:45 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    我就非常不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?禽兽,shell公开让我来。

  10. 2013-07-23 16:58 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    我就非常不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?禽兽,shell公开让我来。

  11. 2013-07-23 17:14 | m0r5 ( 路人 | Rank:30 漏洞数:6 )

    楼主 滚出 让我来

  12. 2013-07-23 17:27 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    我去。。。

  13. 2013-07-23 17:36 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    我就非常不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?禽兽,shell公开让我来。

  14. 2013-07-23 18:24 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    洞主。留下内裤。

  15. 2013-07-23 18:36 | 戏子_AINI ( 路人 | Rank:21 漏洞数:7 | 我是一只小小小小鸟,想要飞却飞也飞不高。...)

    对于楼上各位无耻的求裤行为,我表示深深的鄙视,作为新一代的乌云帽子,我一定要树立全新的乌云形象,对于脱裤什么的,我想说:请联系我!

  16. 2013-07-23 21:05 | Master ( 路人 | Rank:29 漏洞数:10 )

    baidu pan

  17. 2013-07-23 21:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    我去,又一个明文密码、、

  18. 2013-07-23 21:22 | feng ( 普通白帽子 | Rank:664 漏洞数:79 | 想刷个6D)

    猪哥如此v5

  19. 2013-07-23 21:51 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    select pwd,count(0) as num from user group by pwd order by num desc

  20. 2013-07-23 22:08 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    我就非常不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?禽兽,shell公开让我来。

  21. 2013-07-23 22:16 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    求忽略

  22. 2013-07-23 22:26 | Yaseng ( 实习白帽子 | Rank:62 漏洞数:7 | 干)

    看了16L的前一句话,感觉层主是一个大义凌然,愿意对这黑暗社会发出微弱的正义之声的有识之士!但是读完了楼主的后一句话,我这种印象大为改观,我很鄙视16L,我只想对洞主说:尼玛裤子让我来拖

  23. 2013-07-23 22:53 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    @Yaseng 是15L吧

  24. 2013-07-24 08:46 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    对于楼上各位无耻的求裤行为,我表示深深的鄙视,作为新一代的乌云帽子,我一定要树立全新的乌云形象,对于脱裤什么的,我想说:请联系我!

  25. 2013-07-24 10:54 | j0phy ( 路人 | Rank:26 漏洞数:4 | Bloger & Scanner & Optimist)

    对于楼上各位无耻的求裤行为,我表示深深的鄙视,作为新一代的乌云帽子,我一定要树立全新的乌云形象,对于脱裤什么的,我想说:请联系我!

  26. 2013-08-09 13:18 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    @Yaseng 这可别撕烂了裤子,这么多人来抢

  27. 2013-08-15 05:42 | chord ( 路人 | Rank:9 漏洞数:3 | 纯属路过的)

    对于楼上各位无耻的求裤行为,我表示深深的鄙视,作为新一代的乌云帽子,我一定要树立全新的乌云形象,对于脱裤什么的,我想说:请发给我chord@chord.me

  28. 2013-08-23 11:31 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    好劲爆!我好像有他们一个分站的后台权限。

  29. 2013-09-06 16:56 | 雷少 ( 实习白帽子 | Rank:80 漏洞数:31 | 热爱网络的爱好者,需求同道中人。)

    你们啊,真罪恶。脱人家裤子是不对的但是我愿意让你们把这些事情给我做。-.-

  30. 2013-09-07 14:27 | tmp ( 路人 | Rank:15 漏洞数:1 | 此人很懒)

    @cnbird @all 你们这帮猪.硬盘都不送几个给黑锅.还在这里JJYY. 黑锅不弄数据.是硬盘不够大.

  31. 2013-11-21 17:47 | 深圳华强电子交易网络有限公司(乌云厂商)

    牛啊