当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045242

漏洞标题:【盛大游戏】扩散性百万亚瑟王-官网后台管理系统(多漏洞综合利用成功进入后台)

相关厂商:盛大游戏

漏洞作者: Tang

提交时间:2013-12-07 20:18

修复时间:2014-01-21 20:19

公开时间:2014-01-21 20:19

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-07: 细节已通知厂商并且等待厂商处理中
2013-12-07: 厂商已经确认,细节仅向厂商公开
2013-12-17: 细节向核心白帽子及相关领域专家公开
2013-12-27: 细节向普通白帽子公开
2014-01-06: 细节向实习白帽子公开
2014-01-21: 细节向公众公开

简要描述:

之前提交过一个未通过审核的漏洞,是关于绕过盛大外围安全系统的。
今天有时间了,把所有能收集到的信息整理后再一次进行尝试。
测试过程中发现某个非常不应该存在的漏洞存在,进一步深入后成功进入官网管理系统。
另外,目测可以通过非常曲折的方式拿下游戏服务器等。

详细说明:

入侵前所收集到的信息:
1、根据 WooYun: 盛大百万亚瑟王支付漏洞,一分钱充MC 了解到官网使用了ThinkPHP框架等。
2、之前通过搜索引擎获得后台入口:http://mam.sdo.com/index.php?g=Admin&m=Index(现在似乎搜不到了,但猜解等其他方式也不是没可能获得此入口)
第一阶段(也就是之前提交未通过的那个“盛大百万亚瑟王"Ma官网后台"绕过IP检测(可穷举)”):
1、登陆后台,提示“IP限制”,有被外围安全系统保护
2、尝试由应用层绕过,无果,放弃
3、稍作了解或得知大多数盛大的站点都被“统一安全系统”(似乎是这名字)保护
4、通过所知信息,经过尝试惊现此入口http://api.mam.sdo.com/index.php?g=Admin&m=Index(似乎游戏服务器也是这个域名)
5、尝试登陆

21.jpg


此阶段获得以下关键信息:
1、登陆验证会返回用户是否存在(算用户名穷举漏洞了,无验证码及尝试登陆限制等)
2、查看HTML代码发现用户名表单名为email,那么用户名格式即为邮箱地址?(后续测试发现确实如此)
第二阶段(通过收集到的信息发现系统存在“ThinkPHP SQL注射”漏洞,可用户名注射):
1、尝试常见弱口令登陆,无果(这里我漏过了一个很容易想到的用户名,后面会提到)
2、尝试ThinkPHP框架的命令行执行漏洞(必然没戏,事实也确实如此)
3、通过搜索,发现ThinkPHP框架似乎有个比较隐秘的注入漏洞,在用户名处进行尝试。

22.jpg


23.jpg


返回“账号或密码错误”而不是帐户不存在
此阶段获得以下关键信息:
1、存在ThinkPHP SQL注射漏洞,位置为登陆页面用户名处
第三阶段(盲注获得管理员帐号):
1、之前通过HTML代码得知用户名表单名为email,密码表单名为pwd,经过测试发现数据库中字段名亦是如此。
2、构造SQL语句,进行盲注
3、写了份脚本,跑出以下信息(id为10的帐户信息是由于前者密码MD5无法破解故再盲注获得)

id=1
email=admin@admin.com
pwd=b8ad13f4c999d14c992ad15fe46a8301
id=10
email=yushutan@snda.com
pwd=87d910d874d56821bd06a5f2eaccf9c6


(admin@admin.com,好吧,你赢了,我本来应该能猜出这个的)
4、根据格式很容易发现是MD5加密,遂解之!
5、第二个帐号的密码为“yushutan”(这条MD5是某站的收费信息,你又赢了,喵的浪费钱了竟然这么简单,不过加密方式是二次MD5,不过你这邮箱竟然官网上有!http://ma.sdo.com/web1/data/business.asp看来即便没有注入漏洞也是可以猜解出来的)
6、登陆成功
各页面看了下,未发现明显可近一步入侵的漏洞,但是这个注入点稍加利用估计可以直接拿下服务器吧。
另外,发现似乎此站和ma.sdo.com似乎数据并不共享,但是游戏支付接口是在此站点,继续花时间深入估计可以再挖点有意思的东西出来。
最后,该服务器还开着8000端口,尚不清楚作何用。
P.s. 有礼物咩?乃们坑了咱那么多茶了,这期排位咱没茶喝了咋办~

漏洞证明:

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg

修复方案:

1、加固“统一安全系统”(似乎是这个名字,这东西完全就是摆设。。。)
2、表单名勿等于数据库字段名
3、修复TinkPHP SQL注入漏洞
4、杜绝弱口令

版权声明:转载请注明来源 Tang@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-12-07 22:27

厂商回复:

谢谢白帽子提交漏洞!虽然这个不是官网后台系统,但是还是给20分。这个api可能是测试服务器中的其中一台,官网并没有这个sql注入。

最新状态:

2013-12-07:洞主说"未发现明显可近一步入侵的漏洞,但是这个注入点稍加利用估计可以直接拿下服务器吧", 其实sql注入能不能服务器还是得看这个后台有没有漏洞。

2013-12-07:关于弱口令,星期一会找到相关负责人。


漏洞评价:

评论

  1. 2013-12-07 20:21 | 丶潇洒哥 ( 路人 | Rank:5 漏洞数:2 | 我是一枚农民工。)

    厂商忽略,无影响。

  2. 2013-12-07 20:25 | sdj ( 实习白帽子 | Rank:45 漏洞数:6 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    看起来很碉堡的样子啊。

  3. 2013-12-07 20:37 | Tang ( 实习白帽子 | Rank:38 漏洞数:5 | 忙碌状态)

    @丶潇洒哥 盛大游戏还是有点节操的吧。。。这个要是忽略那真无语了。。。

  4. 2013-12-07 20:50 | 丶潇洒哥 ( 路人 | Rank:5 漏洞数:2 | 我是一枚农民工。)

    @Tang 呵呵,节操掉了一地。忽略了,偷偷修补的事情,又不是没有发生过。

  5. 2013-12-07 21:39 | Br4iden ( 路人 | Rank:26 漏洞数:5 | 塞翁失马,焉知非福)

    厂商忽略,无影响。

  6. 2013-12-07 22:44 | Tang ( 实习白帽子 | Rank:38 漏洞数:5 | 忙碌状态)

    @盛大游戏 数据库和http://mam.sdo.com/是相同的,这个站还是会威胁到主站的。一开始我也纳闷怎么会这样不过看到数据确实有更新就确认这个站并不是废弃的了。

  7. 2013-12-08 00:23 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @盛大游戏 这才是良心厂商

  8. 2013-12-11 13:31 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    扩散性百万WB王

  9. 2014-01-21 21:26 | 乌云 ( 实习白帽子 | Rank:66 漏洞数:14 | a)

    @盛大游戏 这个弱口令问题不是很严重把?有一定的责任,但不是主要责任啊,

  10. 2014-01-22 16:01 | 马丁 ( 路人 | Rank:27 漏洞数:23 | 大爷~给口饭吧。)

    @盛大游戏 良心厂商啊 我觉得乌云应该按期选些十佳信誉厂商

  11. 2014-01-22 19:30 | 乌云 ( 实习白帽子 | Rank:66 漏洞数:14 | a)

    @马丁 是的。有必要