当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042086

漏洞标题:敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露 (目测酷狗有3.6亿用户)

相关厂商:酷狗

漏洞作者: 猪猪侠

提交时间:2013-11-05 20:23

修复时间:2013-12-20 20:23

公开时间:2013-12-20 20:23

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-05: 细节已通知厂商并且等待厂商处理中
2013-11-06: 厂商已经确认,细节仅向厂商公开
2013-11-16: 细节向核心白帽子及相关领域专家公开
2013-11-26: 细节向普通白帽子公开
2013-12-06: 细节向实习白帽子公开
2013-12-20: 细节向公众公开

简要描述:

多数应用程序、中间件、服务端程序在部署前,未针对安全进行严格的基线配置定义和部署,将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器目录目录遍历、数据库服务器自带管理功能默认后台和管理口令。
本漏洞报告涉及内容:
通过互联网扫描,发现酷狗用户数据库备份文件可直接通过互联网公开下载,从而造成海量用户信息泄露!

详细说明:

#1 概述
由于酷狗某台服务器IIS配置错误,导致任意HTTP请求均可列出服务器上的WEB目录,致使骇客可下载到任意数据或文件,骇客可以通过收集或挖掘这些保护不足的数据,利用这些信息对酷狗信息系统实施进一步的攻击。
#2 问题服务器
http://120.31.133.202/
http://61.142.208.206:8081/
#3 漏洞描述(配置错误导致的目录遍历)

kugoo_default_list_1.jpg


120.31.133.202 - /226/
[转到父目录]
              2013年7月8日    18:36           18 change.cmd
             2013年7月17日    19:21   8793860608 KuGooUserInfo_35_backup_201307171920.tar


kugoo_default_list_2.jpg


61.142.208.206 - /
             2011年2月22日    11:12         4787 FTP20110216.PY
            2013年10月10日     2:00    110609920 KuGooCounterlogs_backup_201310100200.bak
            2013年10月14日     2:00   5798151680 KuGooCounterlogs_backup_201310140200.bak
            2013年10月17日     2:00     87541248 KuGooCounterlogs_backup_201310170200.bak
            2013年10月23日    17:15   5825070592 KuGooCounterlogs_backup_201310231714.bak
            2013年10月23日    19:47      3446272 KuGooCounterlogs_backup_201310231947.trn
            2013年10月24日     2:00     43619840 KuGooCounterlogs_backup_201310240200.bak
            2013年10月28日     2:00   5847292416 KuGooCounterlogs_backup_201310280200.bak
            2013年10月31日     2:00     35018240 KuGooCounterlogs_backup_201310310200.bak
            2013年10月10日     2:00     11631104 KugooMusicLib_backup_201310100200.bak
            2013年10月11日    22:49  10449156608 KugooMusicLib_backup_201310112248.bak
            2013年10月12日     0:13        94720 KugooMusicLib_backup_201310120012.trn


漏洞证明:

#4 通过HTTP请求,即可下载服务器上的文件至本地
{为了安全测试,我下载了这个文件到本地,测试完毕后已经删除!}
http://120.31.133.202/226/xxxxx.tar
打开的时候提示错误,表明这并不是一个tar的压缩文件

kugoo_file_edit.jpg


通过十六进制编辑,结合其他遍历出来的文件名,我们发现这完完全全是一个SQL Server数据库备份文件。
#5 还原数据KuGooUserInfo表

kugoo_database_restore.jpg


#6 信息挖掘
通过还原信息,得出默认的数据库名为:KuGooUserInfo_35,统计了数据表条数记录,为1000万条。
说明酷狗针对用户信息做了分表处理,_35 代表第35个表,35 * 1000万,刚好3.5亿!

kugoo_count.jpg


继续分析,泄露的数据跨度为2个半月,大致推算出3个月增长1000万用户,所以得出(目测酷狗有3.6亿用户)的结论!

select top 10 * from tbl_UserMainInfo order by UM_UserID DESC
UM_RegTime = 2013-07-08
select top 10 * from tbl_UserMainInfo order by UM_UserID ASC
UM_RegTime = 2013-05-13


# 数据泄露的大致内容,有用户名、密码、邮箱、安全提问回答信息、个人用户地址等等

kugoo_userinfotop100.jpg

修复方案:

#1 网络边界需要认真对待。
#2 杜绝为了方便而造成的不必要的安全风险或信息泄露。
#3 安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-11-06 10:04

厂商回复:

非常感谢您的发现,已经将有问题的站点关闭!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-05 20:24 | xlz0iza1 ( 普通白帽子 | Rank:1027 漏洞数:207 | "><script/src=data:,alert(1)%2b")

    @猪猪侠 前辈就是给力,努力学习.求指路!

  2. 2013-11-05 20:26 | 光头强 ( 路人 | Rank:30 漏洞数:3 | 惹我光头强,揍你没商量!)

    标题不长吓唬不到人,3.6亿,我和我的小伙伴都惊呆了!

  3. 2013-11-05 20:32 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    真是海量啊!

  4. 2013-11-05 20:40 | xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)

    牛逼了。。。

  5. 2013-11-05 21:21 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB

  6. 2013-11-05 21:24 | feng ( 普通白帽子 | Rank:664 漏洞数:79 | 想刷个6D)

    要是iis短文件名就NB了

  7. 2013-11-05 21:41 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    叼炸天

  8. 2013-11-05 22:24 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    连起来绕地球好几圈

  9. 2013-11-06 09:16 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    求地址。。

  10. 2013-11-06 09:53 | woody ( 路人 | Rank:8 漏洞数:1 | 菜鸟一枚)

    求脱裤,求爆菊

  11. 2013-11-07 13:43 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    目测中国网民也没有几亿,你这是要发吖

  12. 2013-11-08 20:15 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    为何要这么牛逼

  13. 2013-12-20 20:53 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    ring04h扫目录很厉害

  14. 2013-12-20 22:11 | scholar ( 路人 | Rank:2 漏洞数:3 | 关注互联网安全)

    绕地球好几圈了

  15. 2013-12-20 22:51 | hanole ( 路人 | Rank:0 漏洞数:1 | [用鼠标的那只手有没有很冷?])

    牛逼啊

  16. 2014-03-25 20:37 | 脚本菜菜 ( 路人 | Rank:10 漏洞数:4 | 我只是混个邀请码。)

    好专业啊