当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033650

漏洞标题:17k小说网waf防护存在缺陷可绕过(1600万用户信息告急)

相关厂商:17k小说网

漏洞作者: 猪猪侠

提交时间:2013-08-06 17:24

修复时间:2013-09-20 17:25

公开时间:2013-09-20 17:25

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-06: 细节已通知厂商并且等待厂商处理中
2013-08-06: 厂商已经确认,细节仅向厂商公开
2013-08-16: 细节向核心白帽子及相关领域专家公开
2013-08-26: 细节向普通白帽子公开
2013-09-05: 细节向实习白帽子公开
2013-09-20: 细节向公众公开

简要描述:

由于WAF拦截规则存在设计缺陷,导致可绕过继续OOXX。

详细说明:

17k小说网在处理struts2漏洞时,只是简单的写了个WAF拦截规则,过滤掉相关攻击行为。
但这个WAF只是简单的过滤的用户的GET请求数据,POST数据并未处理,所以导致命令执行漏洞依然存在。
# 挑选两个典型的

http://search.17k.com/query.do
http://manager.17k.com/login.action


# 获取WEBROOT、执行命令

17k_exec1.jpg


17k_exec2.jpg


17k_manager.jpg


# 核心数据库配置

<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close">
        <property name="driverClassName" value="com.mysql.jdbc.Driver" />
        <property name="url" value="jdbc:mysql://db.17k.com:3306/chi*****ll?useUnicode=true&amp;characterEncoding=utf8&amp;autoReconnect=true" />
        <property name="username" value="chi*****ll" />
        <property name="password" value="cha*************" />
        <property name="maxActive" value="20"/>
        <property name="maxIdle" value="10"/>
        <property name="maxWait" value="1000"/>

漏洞证明:

# 1600万用户

17k_users_count.jpg


17k_users.jpg


# 涉及用户信息

17k_userdetail.jpg

修复方案:

#1 WAF针对所有类型的客户端请求进行安全过滤。
#2 更新官方补丁:
http://struts.apache.org/release/2.3.x/docs/s2-016.html
http://struts.apache.org/release/2.3.x/docs/s2-017.htm

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-08-06 18:25

厂商回复:

十分感谢你关注17k网站,祝您身体健康,工作愉快,多谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-06 17:29 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    16000000 ...

  2. 2013-08-06 17:33 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    @疯狗 这么多人看小说?

  3. 2013-08-06 17:33 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @疯狗 我会告诉你我曾经连接过他们数据库吗?嘻嘻嘻嘻

  4. 2013-08-06 17:39 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @疯狗 我会告诉你这里面有15000000是我的测试账号么....

  5. 2013-08-06 17:43 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Hxai11 没瞧见,不信

  6. 2013-08-06 17:47 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    洞主怎么知道有waf

  7. 2013-08-06 17:51 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    = =1600万 一半的测试帐号?......表示我从来不看小说 不看小说的楼下举个手

  8. 2013-08-06 17:54 | dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])

    @xsser 标题不是waf存在缺陷,可绕过,不知道有waf,dz怎么绕过的...

  9. 2013-08-06 18:02 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    原来宅男屌丝群体这么大了

  10. 2013-08-06 19:03 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    黑哥,人家要看xxoo小说的啊

  11. 2013-08-06 19:40 | feng ( 普通白帽子 | Rank:664 漏洞数:79 | 想刷个6D)

    几个零啊,1234567890好多

  12. 2013-08-06 21:41 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    求刷凹凸票,贵宾票

  13. 2013-08-07 18:08 | Spid3r ( 实习白帽子 | Rank:50 漏洞数:10 | 常年撒网打鱼.)

    祝洞主身体健康...工作愉快... 哈哈

  14. 2013-09-09 01:48 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    绕过...

  15. 2013-11-14 13:10 | feng ( 普通白帽子 | Rank:664 漏洞数:79 | 想刷个6D)

    这图是不是暴露了你把人家裤子给脱了

  16. 2013-12-15 12:47 | 风风 ( 普通白帽子 | Rank:101 漏洞数:43 | 。)

    @feng 你以为猪哥稀罕他的1600万的库啊。猪哥google的库都有 不上亿根本上不上的