当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043417

漏洞标题:500wan彩票站sql注入可导致注册信息泄露

相关厂商:500wan.com

漏洞作者: sql

提交时间:2013-11-19 23:31

修复时间:2014-01-03 23:32

公开时间:2014-01-03 23:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-19: 细节已通知厂商并且等待厂商处理中
2013-11-24: 厂商已经确认,细节仅向厂商公开
2013-12-04: 细节向核心白帽子及相关领域专家公开
2013-12-14: 细节向普通白帽子公开
2013-12-24: 细节向实习白帽子公开
2014-01-03: 细节向公众公开

简要描述:

500wan彩票站sql注入可导致800万用户信息泄露

详细说明:

其实就是论坛的二次注入。
我看到http://bbs.500.com 论坛采用的是 discuzx1.5 所以才去测试是否存在二次注入的。
但是过程很郁闷。
首先刚注册用户不让发帖,我只好注册后等了2天。等能发帖了 我发现 一小时内只能发10个帖子
并且一分钟之后 就不能编辑了。所以 补充的时候必须很快的改回来,弄个本吊很狼狈。
中间我还浪费几个帖子 导致我等了1个小时。。。。。
好了不说这些了。上图。

111113.jpg


这是数据库信息。

xxxxx.jpg


这是其中一个管理员的密码。

ddddd.jpg


这是用户数
我查了3遍 真的是790多万啊 我还以为几十万呢。
然后我随便导出来了几条用户数据。

vvvvvvvvvvvv.jpg


800万啊
其实这个拿shell很简单的,
进后台 不是创始人也可以 模板那里 直接上传xml,shell就到手了。
不过我没拿你们shell 也没脱你们库哦
所以求礼物啊。。。。

漏洞证明:

其实就是论坛的二次注入。
我看到http://bbs.500.com 论坛采用的是 discuzx1.5 所以才去测试是否存在二次注入的。
但是过程很郁闷。
首先刚注册用户不让发帖,我只好注册后等了2天。等能发帖了 我发现 一小时内只能发10个帖子
并且一分钟之后 就不能编辑了。所以 补充的时候必须很快的改回来,弄个本吊很狼狈。
中间我还浪费几个帖子 导致我等了1个小时。。。。。
好了不说这些了。上图。

111113.jpg


这是数据库信息。

xxxxx.jpg


这是其中一个管理员的密码。

ddddd.jpg


这是用户数
我查了3遍 真的是790多万啊 我还以为几十万呢。
然后我随便导出来了几条用户数据。

vvvvvvvvvvvv.jpg


800万啊
其实这个拿shell很简单的,
进后台 不是创始人也可以 模板那里 直接上传xml,shell就到手了。
不过我没拿你们shell 也没脱你们库哦
所以求礼物啊。。。。

修复方案:

升级discuz!论坛 打补丁。
所以求礼物啊。。。。

版权声明:转载请注明来源 sql@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-11-24 21:44

厂商回复:

首先感谢sql对500wan彩票网信息安全作出的卓越贡献!虽然礼物的价格和漏洞的价值相距甚远,但礼物是必须的,聊表谢意,请留下您的联系方式,相关的同事会联系您。
再说说rank,从漏洞危害上说,这个漏洞大概是中危左右(原因详见下文分析),但从对我们公司及乌云上其他的同行的帮助来说,这个漏洞给个20分一点都不为过,所以选了高危。嗯,做好心理准备,这应该是乌云上有史以来最长的厂商回复。
接着我说说我收到这个漏洞信息后发生的事,整个过程的情节跌宕起伏,希望大家能从中有所收获(敲了很多字,怕丢失,没敢在乌云上写,如果格式变乱了,大家将就着看吧)。
1、收到漏洞上报
看到图片上的漏洞信息,心中缓缓的惦记了负责BBS研发的孩纸若干次。这得回溯到3年前,由于那时discuz的小花经常开,我们和研发讨论过BBS升级的事,研发当时的反馈是“BBS已经做了大量的二次开发,升级的工作量较大;并且BBS的身份认证是通过主站的单点登陆实现,BBS没有用户登陆入口,其漏洞不会影响到主站。”
这个观点我们显然不敢苟同,因为即使BBS本身的身份认证不会影响到主站,但黑客可能会先攻击BBS,然后通过BBS攻击其他服务器,所以在当时,我们和运维对BBS服务器做了如下的措施:
*把BBS服务器托管到一个单独的机房,和主站服务器在物理上隔离。
*把BBS系统重装,并部署了服务器安全基线,例如安全内核,PHP安全模式,危险函数禁用等措施。
*把BBS的代码做一次检查,确认没有和主站相关的代码存在。
遗憾的是,3年前我们没对BBS数据库里的哈希进行检查和核对,当然了,这是基于筒子之间的信任。
历史回顾完毕,但是当我们看到sql反馈的这个漏洞,我们不得不怀疑在那之后有没什么变更是我们不知道的?同时还产生了好些疑问,特别是主站的和BBS的哈希算法不一样,为啥会有两个库,为啥单点登陆还需要个库?想着想着有点凌乱了。
带着问题,我们开始了下一步的工作。
2、确认漏洞及影响。
在一阵忆苦思甜之后,我们决定拉上负责WEB安全、研发和运维的同事一起确认这个漏洞及影响。
#定损
*漏洞是否可以重现?确认了,确实是BBS存在一个SQL二次注入漏洞,也确实可以读到数据库的信息。
*利用该漏洞是否可以读出BBS库的所有信息?确认了,确实可以,用户相关的记录数是在800W左右。
*利用该漏洞是否可以获得OS权限?由于我们能力有限,我们无法获得OS权限;sql应该是可以的拿到OS权限的,但是BBS实施了安全基线,绝大部分人是拿不到可以方便渗透和提权的交互shell的,同时BBS还运行在安全内核之上,想要localroot也是比较困难(至少对我们来说是很困难的);当然了,对于大婶来说,渗透不一定需要交互shell或者localroot的,这个话题博大精深,我们无法评论更多,希望乌云的白帽子可以在zone里讨论一下。
*利用该漏洞是否可以对其他系统、网络或主机进行渗透?同上,受到我们自身能力的限制,加上BBS服务器与主站服务器物理隔离及安全基线的防护,我们难以基于BBS的注入漏洞对其他系统、网络和主机进行渗透。
*为神马会有这么多哈希存在?800W左右的哈希到底是怎么来的?研发的同事解释如下:在做单点登陆的时候,为了保证BBS程序的完整性,避免代码改动过大导致其他BUG,同时后台管理员、客服等角色的身份认证及授权需要通过BBS自身完成,所以保留了数据库中ucenter_members表里的password和salt字段。只有当主站注册的用户访问过BBS,这个表里才产生用户名及对应的哈希和salt。这也从侧面解释了为什么BBS里用户的数量和主站数量相差很大。并且这个哈希和salt是随机产生的,可以随意更改,但不影响用户登陆BBS。
研发的同事拿出了BBS单点登陆相关代码,大家一起围观后确实如此。
*二次确认。哈希的原因搞清楚了,但是基于这次漏洞的教训,我们决定再次确认一次。让DBA当场把某个同事的帐号在BBS数据库里对应的哈希和salt替换掉,然后用他帐号登陆主站,并且访问BBS。果然可以正常登陆主站和BBS,看来BBS里的哈希和主站及BBS的用户信息及登陆确实没啥关系。
为了充分的说明这个问题,我们让DBA截了个图。
*三次确认。经过上面的验证,虽然说基本确认了漏洞对用户数据的影响了,但看到这800W哈希,某位筒子还是忍不住提出了他的请求:“我想对这些哈希进行碰撞,再确认一次”。经过与研发、运维讨论,可以给他导出除了客服及管理员之外的哈希和salt。
这位筒子拿到800W的哈希后,祭出了他两年前的ATI 6950*3的挖矿机和大名鼎鼎的hashcat+对这800W哈希进行碰撞(隐隐的感觉到他是一个壕,两年前ATI 6950*3 可是顶配,而且两年前的比特币现在价格翻了N翻了,这货绝对是个矿主,不过他性别男,所以大家也别求联系方式了)。碰撞的具体过程不赘述了,分享几个关键点给各位看官。
discuz用的是md5(md5(password).动态salt)的哈希算法,这个在hashcat+中对应的hash-type是2611,也就是VBB< v.3.8.5,注意了,要用hashcat+ 0.11以上的版本进行尝试,因为0.11以下的版本2611的salt位数只能是3,而discuz的salt位数是6,顺便说一下VBB > 3.8.5的,也就是2711的hash-type,对应的是30位的salt。
hashcat+碰撞动态salt的一次哈希载入量是200W条,如果超过200W条,貌似会报错退出。
hashcat+碰撞200W条md5(md5(password).动态salt的哈希速度极慢,跑了3天没跑出来一条。一开始怀疑是不是因为哈希是随机生成的,本来就没法跑出来,后来仔细一看,进度慢着呢,不是哈希的问题,怀疑可能是由于200W个哈希*200W个salt导致碰撞空间被放大了N倍导致的。
*结论:
BBS数据库的问题影响一部分需要登陆后台的帐号,例如客服,管理员。
BBS数据库的问题如果导致部分用户名泄漏,主站的撞库攻击可能会有增长。
3、反思,止损
*为什么会造成这个漏洞?
理论上discuz后台是有升级提醒的,但是管理员觉得不爽,让研发把这个功能在二次开发的过程中给干掉了,安全团队并不知情。
安全团队负责应用安全的筒子以为discuz会在后台提示补丁,也以为补丁一直在打,实际上是安全团队对公司非核心业务的安全跟进不足。
数据库里的哈希和salt本来就是没意义的,但是研发并没有在生成哈希和salt的时候做处理,让大家知道这些信息是没意义的。
从根本上说,就是大家对一个已经隔离且加固了的边缘系统的安全不够重视。
*怎么降低漏洞的危害?
为了避免后台密码被破解进而访问后台,BBS的后台做了访问控制。
另外为了避免大家怀疑我们在忽悠大家,我们让DBA把哈希统的最后10位统一替换成"randomhash",把salt统一替换成salt11(有图有真像,图截好了,图床也找好了,但图片在得到公司授权之前不能发出来),同时让研发也修改了代码,单点登陆BBS时,在BBS数据库中产生符合上述特征的哈希和salt。
让研发开启discuz的补丁提醒功能,同时增加邮件提醒的功能,一旦出现补丁,安全团队可以收到告警邮件并推进安全补丁实施。
由于部分用户名可能泄漏,需加强撞库的监控及拦截。
*怎么解决当前的问题?
修复到现在为止discuz的所有漏洞。
*怎么呈现漏洞的价值?以后如何避免类似问题再次出现?
由于公司保密的原因,这部分能分享的干货不多。只能谈一些虚的,从思想上重视边缘业务,因为这些边缘业务可能是安全的短板,千里之堤可能毁于蚁穴;实践出真知。
最后,再次感谢白帽子sql对500wan彩票网信息安全作出的卓越贡献!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-19 23:40 | y0umer ( 普通白帽子 | Rank:103 漏洞数:11 | 装逼就像大姨妈,一月来一次足矣)

    瓜子..花生 唉唉 抬一下你的脚 楼主脱了没?

  2. 2013-11-20 10:19 | rqndx ( 路人 | Rank:9 漏洞数:3 | 种子发我邮箱:01010101010101010101010101...)

    SORRY,踩到你了,薯片,爆米花,裤子都脱了,电影怎么还不开始??

  3. 2013-11-20 10:20 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    小明,来认领漏洞了!

  4. 2013-11-24 21:48 | 最热微博 ( 路人 | Rank:26 漏洞数:10 | ...)

    mark

  5. 2013-11-24 22:18 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    厂商太给力了。

  6. 2013-11-25 00:22 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser

  7. 2013-11-25 00:35 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser

  8. 2013-11-25 02:35 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    答复很精彩

  9. 2013-11-25 09:10 | 笨小孩 ( 实习白帽子 | Rank:50 漏洞数:7 | 逆水行舟,不进则退。)

    厂商真是用心回复,赞

  10. 2013-11-25 10:02 | 搁浅的水妖 ( 路人 | Rank:11 漏洞数:2 | 无)

    这样负责的厂商难得

  11. 2013-12-06 16:05 | clown岩 ( 实习白帽子 | Rank:42 漏洞数:13 | 哎呀 谁的肥皂? 各位大牛多多关照!陪聊 ...)

    我擦 顶!感动得想哭

  12. 2013-12-06 17:13 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    厂商真心格力`赞一个

  13. 2013-12-06 17:13 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    厂商可以给乌云币么,我想给厂商一点乌云币

  14. 2013-12-06 17:44 | uedte4t ( 路人 | Rank:10 漏洞数:1 | 屌丝男)

    厂商可以给乌云币么,我想给厂商一点乌云币

  15. 2013-12-06 19:17 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    厂商请到北京喊我 我请喝大酒!

  16. 2013-12-06 20:13 | j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)

    哇 好长啊

  17. 2013-12-06 21:18 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    用心在回复呢

  18. 2013-12-06 21:23 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    好厉害

  19. 2013-12-06 21:34 | saar ( 路人 | Rank:30 漏洞数:15 | 努力学习web安全的小菜鸟。)

    泪流满面

  20. 2013-12-06 21:40 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    太感动了

  21. 2013-12-06 21:57 | 500wan.com(乌云厂商)

    可以喊上洞主一起。@xsser @sql

  22. 2013-12-06 22:00 | Evi1m0 ( 路人 | Rank:8 漏洞数:2 | 邪红色信息安全组织)

    @500wan.com 业界良心!

  23. 2013-12-06 22:05 | Nimda ( 路人 | Rank:13 漏洞数:3 | 人的欲望就是一个超级大坑,永远也填不满。...)

    @500wan.com 业界良心!

  24. 2013-12-06 22:25 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    业界良心!

  25. 2013-12-06 23:41 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    @腾讯

  26. 2013-12-07 00:52 | 孤独贱客 ( 路人 | Rank:4 漏洞数:1 | 中学生。低调人伙。求志同道合的朋友)

    业界良心@腾讯

  27. 2013-12-07 12:26 | 花生^_^ ( 路人 | Rank:0 漏洞数:1 | 加强学习~~)

    @500wan.com 业界良心!

  28. 2013-12-07 22:21 | 菜菜 ( 实习白帽子 | Rank:83 漏洞数:7 | 人,可以白手起家,但不可以手无寸铁,紧记...)

    @500wan.com 业界良心!

  29. 2013-12-09 17:21 | 喂,胖子 ( 路人 | Rank:0 漏洞数:2 | 喂,胖子,给爷站住,不许跑!!!)

    @500wan.com 业界良心!

  30. 2013-12-09 17:59 | ice ( 路人 | Rank:0 漏洞数:1 | inevitable...)

    @500wan.com 业界良心!

  31. 2013-12-15 20:28 | 不好不坏 ( 路人 | Rank:0 漏洞数:1 )

    好认真

  32. 2013-12-16 21:29 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @500wan.com 业界良心!

  33. 2013-12-26 15:08 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    感动!

  34. 2014-01-04 00:53 | 黄小昏 ( 实习白帽子 | Rank:55 漏洞数:7 | alert(妹子))

    业界良心,文中的筒子果然土豪

  35. 2014-01-04 00:58 | LinE ( 实习白帽子 | Rank:31 漏洞数:13 | Just For Like Hack)

    好认真的厂商,给跪了

  36. 2014-01-04 08:45 | Testsky ( 路人 | Rank:0 漏洞数:4 | 你一直在玩吧 。)

    - - 我跪了 史上最长的回复没错!!

  37. 2014-01-04 09:32 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @xsser 500wan要么是腾讯的站,要么是和腾讯合作的站,他们的站在qq域名下是有页面的

  38. 2014-01-04 11:09 | Vigoss_Z ( 普通白帽子 | Rank:404 漏洞数:63 | 楞娃)

    怎么对厂商点不了感谢

  39. 2014-01-04 11:15 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    业界良心~@tsrc

  40. 2014-01-04 11:46 | X-Sec ( 路人 | Rank:0 漏洞数:1 | X-Sec)

    给跪了

  41. 2014-01-04 12:58 | 马丁 ( 路人 | Rank:27 漏洞数:23 | 大爷~给口饭吧。)

    给跪了

  42. 2014-01-04 22:25 | Ska ( 路人 | Rank:15 漏洞数:2 )

    真心业界良心 厂商很给力

  43. 2014-01-05 09:35 | 547 ( 路人 | Rank:11 漏洞数:5 | ::)

    @500wan.com 业界良心!

  44. 2014-01-05 14:44 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @500wan.com 业界良心!

  45. 2014-01-05 17:14 | shaonian ( 路人 | Rank:14 漏洞数:8 | web渗透爱好者)

    厂商,你能不能不要这么叼。。。

  46. 2014-01-07 21:00 | o丨Reborn ( 路人 | Rank:4 漏洞数:2 | 白帽子)

    厂商太碉了...

  47. 2014-01-08 11:01 | 木偶 ( 路人 | Rank:2 漏洞数:2 | 二货.....)

    厂商的技术人员!你们在公司这么碉,你家人知道么?

  48. 2014-01-25 22:01 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    @500wan.com 业界良心!

  49. 2014-03-26 18:51 | ty4z2008 ( 路人 | Rank:21 漏洞数:5 | Web与数据库习者)

    @500wan.com 业界良心!

  50. 2014-04-02 23:07 | oldsun ( 路人 | Rank:16 漏洞数:4 | 啪啪啪啪啪啪啪啪啪啪啪啪)

    厂商牛X

  51. 2014-04-13 16:45 | 超级大菜鸟 ( 路人 | Rank:5 漏洞数:3 | <<<<<<<<<<<<<<<<<<<<<<<<________________...)

    业界良心

  52. 2014-04-18 11:42 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

    业界良心

  53. 2014-04-26 09:14 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    业界良心!

  54. 2014-08-08 13:17 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    这样负责的厂商难得

  55. 2015-08-26 21:02 | 暗羽 ( 路人 | Rank:21 漏洞数:6 | 喵呜,给人类的智商跪了)

    业界良心!

  56. 2015-08-29 18:24 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    业界良心啊,

  57. 2015-08-29 20:06 | Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)

    喜欢这样的厂商,可是找不到厂商的洞