当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033675

漏洞标题:友宝自动贩卖机多处高危漏洞导致主控端+内部权限泄漏

相关厂商:友宝在线

漏洞作者: s0mun5

提交时间:2013-08-07 14:03

修复时间:2013-09-21 14:04

公开时间:2013-09-21 14:04

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-07: 细节已通知厂商并且等待厂商处理中
2013-08-07: 厂商已经确认,细节仅向厂商公开
2013-08-17: 细节向核心白帽子及相关领域专家公开
2013-08-27: 细节向普通白帽子公开
2013-09-06: 细节向实习白帽子公开
2013-09-21: 细节向公众公开

简要描述:

每次去友宝买饮料,都有那激动人心的游戏环节,是张根硕?是矿泉水还是珍珍?中奖到底是个什么算法?这个问题深深的埋在了一个少年的心底,让他走上了探索怎么免费喝饮料的不归路。

详细说明:

目测主站是没什么搞的,没有发现可利用的地方。
然后对主站的c段进行扫描,发现了下列几个web系统
http://service.uboxol.com/login/login 客服后台
http://211.151.164.47/seeyon/index.jsp OA系统
http://211.151.164.78/index.php 仙人掌
http://211.151.164.62/ 站台app官网 目测又是一约炮神器
http://neirong.uboxol.com/index.php 友乐汇后台
http://vms.uboxol.com/ubox-vms/login.do 后台管理系统(核心系统)
大致看一下,弱口令没得,嘛也找不到,放弃正面攻击。
回到vms后台管理系统,发现版权后面有一个故障管理的链接,点进去

11111.jpg


http://124.127.89.53:8080/zentao/
来到了禅道项目管理系统,弱口令没的,又是一个c段,又是一顿扫。
http://124.127.89.57/ 客户管理系统(CRM)
https://124.127.89.49/ 友宝统一账号密码修改
http://124.127.89.51:8080/ 目测是一个down脚本的地方
down一个ubox-whitelist.wanup白名单脚本

iptables -I wanout -d 211.151.164.32/27 -j ACCEPT
iptables -I wanout -d 124.127.89.48/28 -j ACCEPT
iptables -I wanout -d 10.0.0.1 -j ACCEPT
iptables -I wanout -d 10.0.0.254 -j ACCEPT


友宝的ip段,跟我开始目测的
124.127.89.47 -124.127.89.64
211.151.164.1 -211.151.164.80
差不多。
既然这样,也就不再找新的ip段了,就在已经找到的系统上下功夫把。
先是故障管理系统又目录遍历,但是没有找到任何有用的东西。
http://124.127.89.53:8080/zentao/datahttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1/
然后。。卡住了
那么多struts的系统,让我秒一个多好啊,可惜好像都补了。
后来突然发现
http://124.127.89.57/ 客户管理系统 是 .NET写的
然后又神器的发现可以目录遍历,然后更神奇的发现是编译好的dll,果断全部脱下来反编译。
先是抓包得到登陆的post地址是
http://124.127.89.57/Login.ashx?&Type=Login
然后源码里找到登陆模块。

22.jpg


各位看官看明白了么,每天晚上7点到8点,返回-1
如果cookie值里的account不为空,就执行
select password from sys_user where ACCOUNT='" + str9 + "'"
活生生的把密码给select出来了。。当然是要用户名存在的情况下
然后给你把用户名和密码显示在 "❄" 这朵菊花的两侧。。这朵菊花。。。
最终利用方法就是修改
http://124.127.89.57/Login.ashx?Type=Load
的cookie 加上一个account
为了方便,写了个php脚本进行中转
http://localhost/zz.php?a=xxx a就是cookie中account的值
用后来获得的一个用户名证明一下

3333.jpg


赤裸裸的菊花和密码就这么显示出来了
想问我是怎么获得的用户名?注意上面的sql语句,这是个注入点!

444.jpg


很开心有木有。注入后获得管理员账号是gly密码是1,对,就一个1。
进入后台后发现毫无可利用的地方,只是一个管理和查询客户信息的后台。
但是不要紧,这里的注入点给我们提供了宝贵的员工账号和密码资源。

漏洞证明:

有账号密码了怎么搞,当然是登陆最有可能有内部信息的地方,邮箱。
挑了一些账号测试,发现几乎有一小半的账号密码能直接登陆邮箱,下面贴出一部分获得的信息,仅作为证明危害。

data.uboxol.com:8001
组织:dom
ID:admin
密码:admin
望账号:xa_songmengen
期望账号密码:woaibaobao
您的VMS后台账号已经建立。
用户名: suyi
密  码:  sy@2012
账号zongjiajun 密码ubox1369
新VMS后台访问地址:
http://vms.uboxol.com:9080/ubox-vms
mengyan2012 mengyan2012
mengyan邮箱 my430@#
bj-haidao	haidao@0828
用户名:xuge
密码:xg@2013
地址:http://vs2.ubox.cn/ubox-vms/
http://ubox-fms-tmp.uboxol.com/logins/toLogin  (盒饭管理系统,之前在扫描时没有发现)
wenyong
1ubox123
新同事刘轩崇的账号已开通:
企业邮箱用户名:liuxuanchong 密码:2013@ubox 登录地址为http://mail.ubox.cn/
友宝统一账号:liuxuanchong 密码:2013@ubox 密码修改地址为http://password.ubox.cn
杨炯
内网技术组
Add:北京市朝阳区亮马桥路39号第一上海中心C座6层 (100016)
Tel: 5798 2456
Email:yangjiong@ubox.cn
limulan
企业邮箱用户名:yangguoqing 密码:2013@ubox 登录地址为http://mail.ubox.cn/
友宝统一账号:yangguoqing 密码:2013@ubox 密码修改地址为http://password.ubox.cn
同时,文件共享服务器启用,共享地址为\\192.168.8.6,请使用新的域帐号、密码进行登录,在用户名处输入ubox\chenyang或者chenyang@ubox.cn 均可登录。目前“友宝总部”、“友宝北分”文件夹下尚未创建太多共享文件夹,有需要的部门或项目组请发邮件与我联系。
内网技术组 陈洋
各位好:
       现请大家马上登陆新的客服系统。           (客服电话,这个比较犀利!!)
       系统网址:http://119.254.230.74:32766/agent/  (建议在IE7-IE9浏览器下使用)
       登陆密码及账号(分配的两个账号):
     
   第一个账号:
       队列号码:200
       电话分机: 801  (以电话机上的贴的标签为准)或按*61听取分机号码。
       工号:1201
       密码:1234
      
   第二个账号:
       队列号码:200
       电话分机: 802  (以电话机上的贴的标签为准)或按*61听取分机号码。
       工号:1202
       密码:1234
       系统的使用说明书,昨天已发过附件。
       
        特别注意:
       在退出客服系统时,不能直接将IE浏览器关闭。要点击系统中的退出系统按钮才可以。请大家牢记。
	   
	   
	   wangjiaren邮箱 wjr122400
	   chenxi tc6119
	   lishu kiki6011
	   zhuji 071217kkpajkklcz


这些信息当时不是我的最终目的,我的目的是免费喝饮料,游戏必中将!
通过分析一些信息后发现 VMS 后台是管理整个友宝网络的核心系统
于是继续拿之前获得的账号登陆。
成功进入一个高权限账号,顺便说一下,这个后台的权限控制很严,等级分明,比较赞。

55555.jpg


哈哈,运气比较好,已经可以直接喝免费饮料了

6666.jpg


随便改,可以控制全国任意一台友宝机器的价格,开售停售,等等等等,并且还可以直接下发文件,更新机器屏幕上显示的东西。
尼玛,全国性的屏幕广告啊!!!!!!!!
然后发现了一个不痛不痒的注入,对我来说不痛不痒,应为我没有获得任何有用的信息,不能执行子查询。

77777.jpg


不过,这个人的权限好像不是最高的,好想获得一个admin级别的账号,肿么办么。
分析邮件发现,公司里经常会有员工申请开设某一模块的权限,刚才说过了,这个系统权限控制的非常严格。也就是说,超级管理员每天会登陆后台编辑用户权限,也就是说后台会存在一个用户列表。这又什么用呢? 跨他!
修改个人资料,

8888.jpg


这里js验证不能填写特殊字符,那么burp改包,在姓名里插入xss代码,果然没有过滤,截至执行。那么,等吧。
一段时间过后,pia,cookie来了。

999.jpg


原来权限控制是单独的后台。

a.jpg


然后成功进入后台,最高权限账号,哇哈哈。

QQ截图20130806185927.gif


现在终于可以舒舒坦坦的喝上免费饮料了,留后门什么的都不是问题。
最后 附送一个盒饭管理系统

QQ截图20130806193524.gif


xxx.jpg


问题比较多,能想到的比较严重的就这样了。目的已经达到了,就不再窥探内网了,到此为止。

修复方案:

测试过程中收集的数据已经全部销毁,不过,还是让员工统一改一次密码吧。
对整个系统进行一次安全评估,乌云众测是个不错的方式。

版权声明:转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-08-07 16:07

厂商回复:

非常感谢 s0mun5 ,我们正在积级处理此漏洞。可否留下您的联系方式。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-07 14:22 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark 又见硬件黑阔

  2. 2013-08-07 14:23 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    估计忽略

  3. 2013-08-07 14:25 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    忽略了就有福利了 哈哈

  4. 2013-08-07 15:02 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @VIP 没有,是搞了主控端,可以改全国几万台售货机的任意商品的价格,中奖几率等,还可以改售货机屏幕的显示内容,比那什么户外传媒牛逼多了

  5. 2013-08-07 16:19 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @友宝在线 你是张雄么

  6. 2013-08-07 16:55 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    非常感谢 s0mun5 ,我们正在积级处理此漏洞。可否留下您的联系方式,以便日后查水表用。

  7. 2013-08-07 17:05 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    对于自助贩卖机,炮姐表示毫无压力。

  8. 2013-08-07 19:46 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    畅饮礼物已经送到 :)

  9. 2013-08-08 09:34 | secer ( 路人 | Rank:5 漏洞数:2 | 来乌云学习学习)

    @s0mun5 效率这么高...

  10. 2013-08-08 09:45 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @s0mun5 畅饮是说随便你喝么

  11. 2013-08-08 10:03 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    @s0mun5 畅饮是说随便你喝么

  12. 2013-08-08 10:52 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @secer @VIP @niliu 够我喝上几年的了

  13. 2013-08-08 11:14 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @s0mun5 哇.....好流弊

  14. 2013-08-08 11:32 | sun ( 实习白帽子 | Rank:76 漏洞数:12 )

    @s0mun5 小心直接查水表~

  15. 2013-08-29 11:03 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    @s0mun5 啥叫畅饮礼物啊?

  16. 2013-09-15 14:44 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    @s0mun5 代码帝就是牛逼 直接反汇编.NET找注入,还碰见这么奇葩的查询语句,lucky!

  17. 2013-09-21 14:38 | sdj ( 实习白帽子 | Rank:45 漏洞数:6 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    good job!

  18. 2013-10-31 01:41 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

    - -妹的 难怪我的shell全登不上了

  19. 2013-11-16 23:00 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    非常感谢 s0mun5 ,我们正在积级处理此漏洞。可否留下您的联系方式,以便日后查水表用。

  20. 2013-11-16 23:35 | 未来还没来 ( 路人 | Rank:16 漏洞数:5 | 每个人都期望成为主角,却不知道世界上从来...)

    大牛。

  21. 2013-11-17 00:19 | Moogong ( 实习白帽子 | Rank:33 漏洞数:8 | 伪法医)

    我擦 好赞!

  22. 2013-12-31 20:33 | Joker ( 实习白帽子 | Rank:44 漏洞数:6 | while(age++) { make(rmb); if (outOf(...)

    good fuck!

  23. 2014-01-13 21:57 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    好牛逼的一次测试经历!

  24. 2014-09-26 08:48 | B1uH4ck ( 路人 | Rank:1 漏洞数:2 | 大牛们你们好,小弟刚来。)

    @s0mun5 我想知道看源码那里,ashx文件是怎么看到源码的,非常不明白。

  25. 2014-09-26 09:57 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @B1uH4ck dll文件

  26. 2014-09-26 13:16 | B1uH4ck ( 路人 | Rank:1 漏洞数:2 | 大牛们你们好,小弟刚来。)

    @s0mun5 没有webshell的话dll文件貌似也是不能下载的啊。

  27. 2014-09-26 13:42 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @B1uH4ck 配置不当的时候是可以下载的

  28. 2014-11-05 18:09 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    长姿势了 原来自动贩卖机是这样黑的