当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053386

漏洞标题:XY苹果助手暴力破解+爆路径+弱口令+sql注入

相关厂商:xyzs.com

漏洞作者: 浩天

提交时间:2014-03-13 16:12

修复时间:2014-04-27 16:12

公开时间:2014-04-27 16:12

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-13: 细节已通知厂商并且等待厂商处理中
2014-03-13: 厂商已经确认,细节仅向厂商公开
2014-03-23: 细节向核心白帽子及相关领域专家公开
2014-04-02: 细节向普通白帽子公开
2014-04-12: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

想找个清理手机缓存的软件,就遇到了它,挺好用的

详细说明:

1.下载了下这个软件清理手机垃圾,随手捡了个后台
网站:XY苹果助手
地址:http://xyzs.com/
后台:http://admin.xyzs.com/
2、后台登录毫无限制,就暴力破解admin账号,看看有没有弱口令,结果无功而返

0.jpg


3、回到首页看到一个邮箱,天助我也

0.1.jpg


4、liping,弱口令:123456,还是个领导
下面这两个也是弱口令的:zhangy,tongzesheng 密码:123456
还应该有很多账号弱口令,呵呵

1.jpg


5、可以干很多事,上传、发表文章、数据统计啥的也都有

1.1.jpg


1.2.jpg


1.3.jpg


漏洞证明:

6、暴力破解的时候不小心爆出路径了,请求太大,程序报错了

.jpg


7、存在sql注入吖,但是只是测试确定存在,没有读库获取用户表啥的,啥也没干
http://admin.xyzs.com/stat/getDayStat?channelid=100011%20and%201=1
数据正常返回

2.1.jpg


http://admin.xyzs.com/stat/getDayStat?channelid=100011%20and%201=2
数据返回异常,确定是整型sql注入点

2.2.jpg


8、线上运行的网站,就没干啥了,危害如下
a、sql暴库读用户表,找权限更大的账号,或者用户表泄露
b、不知道是否有账号可以修改应用的app包,这个挺严重的哦
c、mysql数据库吧,而且知道网站绝对路径,没开gpc,是不是可以拿shell

修复方案:

不要抄水表,啥也没干
赶着下班回家!!!

版权声明:转载请注明来源 浩天@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-03-13 17:14

厂商回复:

谢谢!已修补!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-03-13 17:50 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    把你放在小厂商里了,感觉不小