当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063875

漏洞标题:穷游网某漏洞造成一系列严重问题可沦陷官方支付宝账户[可提现]

相关厂商:穷游网

漏洞作者: 梧桐雨

提交时间:2014-06-07 12:27

修复时间:2014-07-23 22:04

公开时间:2014-07-23 22:04

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-07: 细节已通知厂商并且等待厂商处理中
2014-06-07: 厂商已经确认,细节仅向厂商公开
2014-06-17: 细节向核心白帽子及相关领域专家公开
2014-06-27: 细节向普通白帽子公开
2014-07-07: 细节向实习白帽子公开
2014-07-23: 细节向公众公开

简要描述:

一个极小极小的漏洞造成的严重安全问题,有可能导致大量的收入外流,如果拿去洗黑钱。当然我没有这么做。这个收入比得上30个众测高危漏洞的奖金了。来个雷吧?ps:没有动你们的一分钱,仅仅只是为了提醒下你们。不多说了,看细节。

详细说明:

不知道是否有精华?好了,我要开始讲述这个故事了。
0x01:
故事得先从2013年的某个秋天,批量扫了qyer.com的二级域名,当时扫完发现没有什么漏洞,便存着列表,没有去做什么。
0x02:
最近心血来潮,随便挑选了一个域名,biu.qyer.com。

1.jpg


通过对以上域名的探测,我发现了一个轻微的信息泄漏:

2.jpg


大概翻了一下没有什么进展。
但是当我随手输入data目录想看看是否有数据文件的时候出现了以下场景:

3.jpg


直觉告诉我有戏。在table目录下,我找到了biu.qyer.com的数据库备份:

4.jpg


把sql文件下载回来之后,第一时间要做的,显然就是找对应用户破解密码进后台了。
0x03:
不出意料,biu.sql的确是一份网站的备份文件:

5.jpg


通过对md5破解,运气不佳。仅仅破解出一个可以登录的用户,并且成功登录后台:

6.jpg


7.jpg


后台没有特殊的功能,也就没有继续深入。
0x04:
测试思路如果稍微猥琐点?
我突然想到了,这里有qyer.com的邮箱。那么这里的md5 password肯定也有一部分是穷游内部邮件系统在用的。于是乎我便稍微做了一下尝试,用biu.sql里头泄漏的email+md5破解的密码。然后成功进入了一个mm的邮箱。

漏洞证明:

0x05:
还是一个运营妹子哦,而且还有很多招聘信息:

8.jpg


通过对邮件的一些浏览:

9.jpg


10.jpg


最最最关键的,有一位员工居然把支付宝修改的登录密码+支付密码也毫无保留的发送过来了:

11.jpg


登录之后:

12.jpg


再看星标邮件:又一个非常多¥的账户:

14.jpg


登录下看看:上面的支付宝账户密码都拿到了的,而且支付密码也有的前提。

15.jpg


16.jpg


考虑到深入的危害性,没有再继续了,邮件还有很多敏感内容。不一一贴出来,声明已经把所有敏感文件清理并且删除,望尽快收到漏洞详情之后修改对应账户密码!

修复方案:

biu.qyer.com 目录权限设置的问题
用户弱口令问题
已经泄漏的用户问题。
要修改的都修改下吧。

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-06-07 13:36

厂商回复:

非常感谢提醒,正在处理中!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-07 12:34 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    账户里有6w?

  2. 2014-06-07 12:34 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @瘦蛟舞 不止。

  3. 2014-06-07 12:37 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    居然没有被雷。。

  4. 2014-06-07 12:53 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    嗯..提现不需要验证么

  5. 2014-06-07 12:53 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    @梧桐雨 有支付密码?

  6. 2014-06-07 12:54 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @YY-2012 必须有,不然怎么叫可以支付?

  7. 2014-06-07 12:55 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @梧桐雨 这么屌?你猜穷游奖励多少人民币!我猜他说:“这么厉害?这样吧,你六我四咱们平分了”

  8. 2014-06-07 13:00 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    分红吗,梧桐雨?

  9. 2014-06-07 13:16 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    妹子好凶!

  10. 2014-06-07 13:17 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    你碉堡了!

  11. 2014-06-07 13:18 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    禁止插队!

  12. 2014-06-07 13:19 | 邪恶大咖 ( 路人 | Rank:0 漏洞数:3 )

    专业卖黑阔三十年、两块钱一斤。

  13. 2014-06-07 13:31 | Tank ( 普通白帽子 | Rank:116 漏洞数:21 | 专注于白帽子渗透测试)

    这个影响快赶上猪猪侠报的携程漏洞了

  14. 2014-06-07 13:31 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    给力啊,支付宝有多少钱

  15. 2014-06-07 13:41 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @wefgod 30个众测的奖金,另外厂商对漏洞详情有疑问可以pm我。

  16. 2014-06-07 13:55 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @梧桐雨 支付密码怎么搞到的?

  17. 2014-06-07 13:58 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @小人物Reno 等细节公开:)

  18. 2014-06-07 15:10 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    危害等级:中漏洞Rank:10确认时间:2014-06-07 13:36那一刻,我笑了

  19. 2014-06-07 15:14 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @Mr .LZH 可能就是官方支付账户被社了,所以。。。中

  20. 2014-06-07 15:22 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    妹子一出,必输精品……

  21. 2014-06-07 16:19 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @梧桐雨 妹子你是不是体现了一部分,求分赃~~

  22. 2014-06-07 16:52 | zj1244 ( 普通白帽子 | Rank:273 漏洞数:33 | 小葵)

    危害等级:中 漏洞Rank:10 确认时间:2014-06-07 13:36 那一刻,我尿了

  23. 2014-06-07 17:04 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    10rank…白帽子都是活雷锋

  24. 2014-06-07 17:26 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    10rank…白帽子都是活雷锋

  25. 2014-06-07 17:34 | kider脚本小子 ( 路人 | Rank:4 漏洞数:2 | 系统软件安装及其调试。电脑硬件问题检测...)

    10rank…白帽子都是活雷锋

  26. 2014-06-07 17:47 | 腾讯厂商 ( 路人 | Rank:0 漏洞数:1 | script>document.cookie("http//a.cc/21.js...)

    @梧桐雨 你是个神奇人物 你要是妹子 我就把你收了

  27. 2014-06-07 17:58 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @Mr .LZH @zj1244 @ACGT @疯子 @kider脚本小子 我也搞不懂了,牵扯到那么大数额的东西厂商定义为中。。所幸的是官方在第一时间做了修补,这个还是要赞的!

  28. 2014-06-07 18:06 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @魇 小金额不用,大金额要。具体上限是多少我没看。

  29. 2014-06-07 18:23 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @梧桐雨 还好你没动!要不然xxxxxxxxxxxxx

  30. 2014-06-07 18:24 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @小人物Reno 嗯:)

  31. 2014-06-07 19:55 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    @梧桐雨 现在的白帽子就是被鄙视的雷锋啊

  32. 2014-06-07 20:24 | zj1244 ( 普通白帽子 | Rank:273 漏洞数:33 | 小葵)

    @梧桐雨 一般是无良厂商就不挖了

  33. 2014-06-07 20:55 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    支付类账号应该定时修改密码。。而且随机生成比较好吧。。另外他们没有数字证书一类的?

  34. 2014-06-28 14:06 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哎哟,哈哈

  35. 2014-07-08 06:58 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    这厂商,no zuo no die!!!!

  36. 2014-07-17 00:51 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    有点佩服你呢

  37. 2014-07-23 22:48 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    真是厉害 翻邮件狂魔