敏感信息泄露系列#7 信息泄露导致木蚂蚁450万用户信息告急

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-042215

漏洞标题：敏感信息泄露系列#7 信息泄露导致木蚂蚁450万用户信息告急

漏洞作者：猪猪侠

提交时间：2013-11-07 01:55

修复时间：2013-12-22 01:56

公开时间：2013-12-22 01:56

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-11-07：细节已通知厂商并且等待厂商处理中
2013-11-07：厂商已经确认，细节仅向厂商公开
2013-11-17：细节向核心白帽子及相关领域专家公开
2013-11-27：细节向普通白帽子公开
2013-12-07：细节向实习白帽子公开
2013-12-22：细节向公众公开

简要描述：

由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露，攻击者可能会通过收集这些保护不足的数据，利用这些信息对系统实施进一步的攻击。

详细说明：

#1 信息泄露原因
由于木蚂蚁论坛管理员在更新服务器文件时，未注意到编辑器会默认创建各种.bak文件用来规避错误编辑时引发的数据丢失风险，从而造成了更严重的信息安全问题。
同时使用了第三方数据库管理软件时，未能安全的隐藏路径，导致各种信息泄露被骇客组合，从而利用这些信息对系统实施攻击。
#2 泄露内容
网站：http://bbs.mumayi.com
泄露文件：http://bbs.mumayi.com/config/config_global.php.bak
PHPMYADMIN地址泄露：http://bbs.mumayi.com/{domain_name}phpmyadmin/

<?php
$_config = array();
// ---------------------------- CONFIG DB ----------------------------- //
$_config['db']['1']['dbhost'] = '172.16.228.***';
$_config['db']['1']['dbuser'] = 'bbs_mumayi';
$_config['db']['1']['dbpw'] = '3b***bsO';
$_config['db']['1']['dbcharset'] = 'gbk';
$_config['db']['1']['pconnect'] = '0';
$_config['db']['1']['dbname'] = 'bbs_mumayi';
$_config['db']['1']['tablepre'] = 'pre_';
//隔离主从的表（在线用户表，用户表，附件表，签到表，版主表）
$_config['db']['common']['slave_except_table'] = 'common_session, common_member,forum_attachment_unused,dsu_paulsign,forum_attachment,forum_moderator,common_cron';
$_config['db']['slave'] = array();
$_config['db']['slave']['1']['dbhost'] = '172.16.228.**';
$_config['db']['slave']['1']['dbuser'] = 'bbs_mumayi';
$_config['db']['slave']['1']['dbpw'] = '3b****sO';
$_config['db']['slave']['1']['dbcharset'] = 'gbk';
$_config['db']['slave']['1']['pconnect'] = '0';
$_config['db']['slave']['1']['dbname'] = 'bbs_mumayi';
$_config['db']['slave']['1']['tablepre'] = 'pre_';
/*
$_config['db']['slave']['2']['dbhost'] = '172.16.228.***';
$_config['db']['slave']['2']['dbuser'] = 'bbs_mumayi';
$_config['db']['slave']['2']['dbpw'] = '3b****sO';
$_config['db']['slave']['2']['dbcharset'] = 'gbk';
$_config['db']['slave']['2']['pconnect'] = '0';
$_config['db']['slave']['2']['dbname'] = 'bbs_mumayi';
$_config['db']['slave']['2']['tablepre'] = 'pre_';
*/
// -------------------------- CONFIG MEMORY --------------------------- //
$_config['memory']['prefix'] = 'TAUoef_';
$_config['memory']['eaccelerator'] = 0;
$_config['memory']['apc'] = 0;
$_config['memory']['xcache'] = 0;
//$_config['memory']['memcache']['server'] = '';
//Memcache(单个)
/****************************************************************/
/*
$_config['memory']['memcache']['server'] = '172.16.228.196';
$_config['memory']['memcache']['server'] = '';
$_config['memory']['memcache']['port'] = 11211;
$_config['memory']['memcache']['pconnect'] = 1;
$_config['memory']['memcache']['timeout'] = 1;
*/
/****************************************************************/
//new add memcached config -by kylingood
/****************************************************************/
$_config['memory']['memcached'] = array(
array('172.16.228.196', 11211),
array('172.16.228.195', 11211)
);
/*
$_config['memory']['memcached'] = array(
array('172.16.228.53', 11211)
);
*/
/****************************************************************/
//Redis
/****************************************************************/
/*$_config['memory']['redis']['server'] = '172.16.228.204';
$_config['memory']['redis']['port'] = 6379;
$_config['memory']['redis']['pconnect'] = 1;
$_config['memory']['redis']['timeout'] = 1;
$_config['memory']['redis']['serializer'] = 1;*/
/****************************************************************/
// -------------------------- CONFIG SERVER --------------------------- //
$_config['server']['id'] = 1;
// ------------------------- CONFIG DOWNLOAD -------------------------- //
$_config['download']['readmod'] = 2;
$_config['download']['xsendfile']['type'] = '0';
$_config['download']['xsendfile']['dir'] = '/down/';
// --------------------------- CONFIG CACHE --------------------------- //
$_config['cache']['type'] = 'file';
// -------------------------- CONFIG OUTPUT --------------------------- //
$_config['output']['charset'] = 'gbk';
$_config['output']['forceheader'] = 1;
$_config['output']['gzip'] = '0';
$_config['output']['tplrefresh'] = 1;
$_config['output']['language'] = 'zh_cn';
$_config['output']['staticurl'] = 'static/';
$_config['output']['ajaxvalidate'] = '0';
$_config['output']['iecompatible'] = '0';
// -------------------------- CONFIG COOKIE --------------------------- //
$_config['cookie']['cookiepre'] = 'LwAk_';
$_config['cookie']['cookiedomain'] = '';
$_config['cookie']['cookiepath'] = '/';
// ------------------------- CONFIG SECURITY -------------------------- //
$_config['security']['authkey'] = 'f99653TPFUQZoZPL';
$_config['security']['urlxssdefend'] = 1;
$_config['security']['attackevasive'] = '0';
$_config['security']['querysafe']['status'] = 1;
$_config['security']['querysafe']['dfunction']['0'] = 'load_file';
$_config['security']['querysafe']['dfunction']['1'] = 'hex';
$_config['security']['querysafe']['dfunction']['2'] = 'substring';
$_config['security']['querysafe']['dfunction']['3'] = 'if';
$_config['security']['querysafe']['dfunction']['4'] = 'ord';
$_config['security']['querysafe']['dfunction']['5'] = 'char';
$_config['security']['querysafe']['daction']['0'] = 'intooutfile';
$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
$_config['security']['querysafe']['daction']['2'] = 'unionselect';
$_config['security']['querysafe']['daction']['3'] = '(select';
$_config['security']['querysafe']['daction']['4'] = 'unionall';
$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
$_config['security']['querysafe']['dnote']['0'] = '/*';
$_config['security']['querysafe']['dnote']['1'] = '*/';
$_config['security']['querysafe']['dnote']['2'] = '#';
$_config['security']['querysafe']['dnote']['3'] = '--';
$_config['security']['querysafe']['dnote']['4'] = '"';
$_config['security']['querysafe']['dlikehex'] = 1;
$_config['security']['querysafe']['afullnote'] = '0';
// -------------------------- CONFIG ADMINCP -------------------------- //
// -------- Founders: $_config['admincp']['founder'] = '1,2,3'; --------- //
$_config['admincp']['founder'] = '1426787';
$_config['admincp']['forcesecques'] = '0';
$_config['admincp']['checkip'] = 0;
$_config['admincp']['runquery'] = 1;
$_config['admincp']['dbimport'] = 1;
// -------------------------- CONFIG REMOTE --------------------------- //
$_config['remote']['on'] = '0';
$_config['remote']['dir'] = 'remote';
$_config['remote']['appkey'] = '62cf0b3c3e6a4c9468e7216839721d8e';
$_config['remote']['cron'] = '0';
// --------------------------- CONFIG INPUT --------------------------- //
$_config['input']['compatible'] = 1;
$_config['debug'] = 'comsenz';
// ------------------- THE END -------------------- //
?>

漏洞证明：

#3 风险利用
通过泄露的信息，结合PHPMYADMIN，刚好可访问到木蚂蚁的用户数据信息！

{没办法得到SHELL的风险都不算漏洞，测试后已删除}

修复方案：

#1 网络边界需要认真对待。
#2 杜绝为了方便而造成的不必要的信息泄露。
#3 安全是一个整体，保证安全不在于强大的地方有多强大，而在于真正薄弱的地方在哪里。

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2013-11-07 03:27

厂商回复：

立即对该文件进行了安全处理，确实是工作不够严谨导致，感谢漏洞发现者

漏洞评价：

2013-11-07 02:00 | 光头强 ( 路人 | Rank:30 漏洞数:3 | 惹我光头强，揍你没商量！)

乌云内裤大盗，你要脱掉多少人的裤子才善罢甘休呀？为何不把他们脱掉裤子后的样子拍个照，让我们所有人围观呢？
2013-11-07 02:02 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫，我笑世人看不穿~)

偶像~~你又来了？我好稀饭你哦！
2013-11-07 02:23 | big、face ( 普通白帽子 | Rank:144 漏洞数:36 | |上天请赐我一个洞|想要一件乌云衣服|)

霸气
2013-11-07 02:48 | 猪是念着倒V ( 实习白帽子 | Rank:45 漏洞数:8 | 世间没有大牛这样的称号，只有逐渐走向大牛...)

猪哥出品必属精品 .
2013-11-07 03:27 | 木蚂蚁应用市场(乌云厂商)

已经修复完毕，感谢提醒
2013-11-07 07:54 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得，小心寸步难行。)

叼炸天
2013-11-07 08:18 | 雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)

猪猪侠。秋风扫落叶？
2013-11-07 09:15 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

简直了。。
2013-11-07 09:44 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)

这提交时间。。。这确认时间。。。。。。。NB！
2013-11-07 09:59 | 猪猪侠 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了，还要自由干吗？)

@木蚂蚁应用市场这确认时间，中国好厂商呀！
2013-11-07 10:20 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

猪哥出品，必属精品
2013-11-07 10:56 | 脚本菜菜 ( 路人 | Rank:10 漏洞数:4 | 我只是混个邀请码。)

猪猪侠这几天各种挖坑啊...
2013-11-07 18:48 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

0.0好厉害
2013-12-07 19:33 | 花生^_^ ( 路人 | Rank:0 漏洞数:1 | 加强学习~~)

这提交时间。。。这确认时间。。。。。。。膜拜！！
2013-12-22 10:33 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

内裤大盗……
2014-01-11 13:01 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

楼主 =-=的运气好好...

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-042215

漏洞标题：敏感信息泄露系列#7 信息泄露导致木蚂蚁450万用户信息告急

相关厂商：mumayi.com

漏洞作者：猪猪侠

提交时间：2013-11-07 01:55

修复时间：2013-12-22 01:56

公开时间：2013-12-22 01:56

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-042215

漏洞标题：敏感信息泄露系列#7 信息泄露导致木蚂蚁450万用户信息告急

相关厂商：mumayi.com

漏洞作者： 猪猪侠

提交时间：2013-11-07 01:55

修复时间：2013-12-22 01:56

公开时间：2013-12-22 01:56

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-042215"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：猪猪侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源猪猪侠@乌云