当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082749

漏洞标题:我是如何登录任意新浪微博用户的(雷军微博演示)

相关厂商:新浪

漏洞作者: 五道口杀气

提交时间:2014-11-10 12:03

修复时间:2014-12-25 12:04

公开时间:2014-12-25 12:04

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-10: 细节已通知厂商并且等待厂商处理中
2014-11-12: 厂商已经确认,细节仅向厂商公开
2014-11-22: 细节向核心白帽子及相关领域专家公开
2014-12-02: 细节向普通白帽子公开
2014-12-12: 细节向实习白帽子公开
2014-12-25: 细节向公众公开

简要描述:

weibo.cn主域shell --> 审核源码 --> 调用内部接口获取任意用户SUB --> 登陆任意微博用户(所有权限)

详细说明:

神器又找到一个命令执行:
http://weibo.cn/interface/***/***.php?ck=1&c=iphone&gsid=***&since_id=1;cat /etc/passwd;%23

1.jpg


审核源码找到生成SUB的代码:

mask 区域 
*****v4_wap/class/*****


public static function createSub($uid, $clienttype = CLIENT_TYPE_MOBILE_WEB, $dinfo = array(), $domain = '.weibo.cn') {
		$params                 = array();
		/* 不支持cookie的情况 不允许renew */
		if (System::isWapRequest() && !user_info_device::supportCookie()) {
			$params['subrenewdisable'] = 1;
			$clienttype = CLIENT_TYPE_MOBILE_APP;
		}
        $ip                     = WapTool::getClientIP();
		$ua = (!empty($_GET['ua']) && !empty($_REQUEST['from'])) ? addslashes($_GET['ua']):$_SERVER['HTTP_USER_AGENT'];
		$dinfo['ua']			= $dinfo['ua'] ? $dinfo['ua'] : $ua;
        $dinfo                  = http_build_query($dinfo);
		$params['clienttype']   = $clienttype;
        $params['entry']        = WAPLOGIN_SSO_ENTRY;
        $params['uid']          = $uid;
        $params['domain']       = $domain;
        $params['ip']           = $ip;
        $params['dinfo']        = $dinfo;
        $params['m'] = md5($uid.$domain.$ip.$dinfo.$clienttype.WAPLOGIN_SSO_PIN);
        $url = WAPLOGIN_SSO_SESS_CREATE_URL . '?' . http_build_query($params);
        $ret = WapLogin::urlRequest($url, 1, 1);
        $ret = json_decode($ret, true);
        if (!$ret || $ret['retcode'] != '20000000' || !$ret['data']['sid']) {
			tttLogToFile('sub_create', date('H:i:s') . '|FAIL|' . self::reqFrom() . '|' . $_SERVER['REQUEST_URI'] . '|' .implode('|', $params) . '|' . json_encode($ret));
			return false;
		}
		tttLogToFile('sub_create', date('H:i:s') . '|SUSS|' . self::reqFrom() . '|' . $_SERVER['REQUEST_URI'] . '|' . implode('|', $params) . '|' . $ret['data']['sid']);
        return $ret['data']['sid'];
    }


请求雷军UID返回的SUB信息:

EFA8220A-537B-4905-9B8E-24C3A30C6035.png


成功登陆雷军微博:

4154468D-0D7A-4F7F-B537-ED7FF422012C.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 五道口杀气@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-11-12 22:19

厂商回复:

感谢这位安全研究员给我们反馈的安全问题,当天中午已经迅速修复。辛苦了~!我们特别设定了一个微博账号@appsecssrc供大家安全测试和验证问题使用。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-10 12:04 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    一楼,记者拍这里

  2. 2014-11-10 12:05 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    我草 要火!

  3. 2014-11-10 12:05 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    我要上头条~~

  4. 2014-11-10 12:05 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

    又个洞

  5. 2014-11-10 12:06 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    记者拍这里!!!

  6. 2014-11-10 12:06 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    雷军、Finger,二龙,看这里....

  7. 2014-11-10 12:06 | deepweb ( 实习白帽子 | Rank:67 漏洞数:9 | 2)

    赶紧占个好位置

  8. 2014-11-10 12:06 | creep ( 实习白帽子 | Rank:55 漏洞数:23 | 这家伙很懒,什么都没留下。)

    留名

  9. 2014-11-10 12:06 | xyang ( 普通白帽子 | Rank:242 漏洞数:51 | stay hungry stay foolish)

    意思是sina的修复不顶用么?

  10. 2014-11-10 12:07 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    ccav请看这里

  11. 2014-11-10 12:08 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    冒泡

  12. 2014-11-10 12:08 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    卧槽,主域被getshell啦?

  13. 2014-11-10 12:09 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    ,,,要被玩坏了

  14. 2014-11-10 12:10 | six-door ( 普通白帽子 | Rank:211 漏洞数:31 )

    新浪频繁被射,是为哪般?到底是代码的扭曲还是运维的沦陷,敬请收看CCAV-13纪实频道--带你漫游新浪

  15. 2014-11-10 12:10 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    怎么不是王思聪

  16. 2014-11-10 12:11 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @小米 表示不服

  17. 2014-11-10 12:12 | 马燕羊蝎子 ( 实习白帽子 | Rank:83 漏洞数:10 | 亲,啥时候请吃马燕羊蝎子。)

    新浪频繁被射,是为哪般?到底是代码的扭曲还是运维的沦陷,敬请收看CCAV-13纪实频道--带你漫游新浪

  18. 2014-11-10 12:13 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    听说某某被黑,难道王思聪不买乌云,你们想雷军买乌云一人给你们发个手机吗?

  19. 2014-11-10 12:14 | Beep ( 实习白帽子 | Rank:65 漏洞数:4 | 专注PHP漏洞挖掘)

    我就是雷军!

  20. 2014-11-10 12:17 | 末笔丶 ( 普通白帽子 | Rank:191 漏洞数:41 | 有阴影的地方必定有光.)

    = =.都快被你们玩坏了

  21. 2014-11-10 12:18 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    你们这些可恶的前排!

  22. 2014-11-10 12:32 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

    mark!

  23. 2014-11-10 12:32 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    @毕月乌 301喊你回家吃饭

  24. 2014-11-10 12:38 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    新浪快被你们玩毁了

  25. 2014-11-10 12:38 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @新浪 上次不是说再也没人能上王思聪了么...这回怎么办呢? 准备被收购吧...

  26. 2014-11-10 12:40 | waterbug ( 路人 | Rank:10 漏洞数:2 | 我就是来给你点32个赞的!!!)

    上个月绩效坏在你手里,这个月绩效又坏在你手里,恨死你了

  27. 2014-11-10 12:40 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。下次会登录谁的微博

  28. 2014-11-10 12:47 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    mark

  29. 2014-11-10 12:49 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    感谢这位安全研究员给我们提交的漏洞,请与我们联系讨论一下奖励。诚邀更多白帽子和我们一起保护新浪、微博的安全。 @王思聪 @雷军 今晚商量一下明天把乌云添加到购物车。

  30. 2014-11-10 12:49 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  31. 2014-11-10 12:52 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    我是如何登录任意新浪微博用户的(罗永浩微博演示)

  32. 2014-11-10 12:53 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    又是神奇的路人甲

  33. 2014-11-10 12:57 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    卧槽

  34. 2014-11-10 12:58 | Knight ( 实习白帽子 | Rank:38 漏洞数:10 | 刚刚上洗手间,看到一个玉树临风的少年,气...)

    CCAV看这里。

  35. 2014-11-10 12:58 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    卧槽、又来..求关注我

  36. 2014-11-10 13:02 | Social ( 路人 | Rank:0 漏洞数:1 | 我有舒肤佳,谁要看。)

    CCAV看这里,妈妈我要上电视了

  37. 2014-11-10 13:03 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    稍叼啊

  38. 2014-11-10 13:10 | hughlvan ( 实习白帽子 | Rank:82 漏洞数:11 | 前半生拿命换钱,后半生拿钱换命,这就是理...)

    这几天新浪不断被she

  39. 2014-11-10 13:13 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    MARK

  40. 2014-11-10 13:17 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    今天下午三时许,万达和小米联合召开记者发布会,将展示万达和小米联合收购乌云ppt,从此以后乌云更名为,万达小米乌云。

  41. 2014-11-10 13:22 | bingfeng ( 路人 | Rank:10 漏洞数:3 | 万丈红尘三杯酒,千秋大业一壶茶。)

    只能默默的关注~

  42. 2014-11-10 13:23 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    又来了!!!CCAV看这里!

  43. 2014-11-10 13:27 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    不会是同一个人吧

  44. 2014-11-10 13:33 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    厂家还没出来辟谣?

  45. 2014-11-10 13:51 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @M4sk 记者拍这里,我是乌云网最帅的男人,我叫Mosuan

  46. 2014-11-10 13:52 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    我已经猜到是谁提交的了

  47. 2014-11-10 13:53 | 咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )

    道口。。。。。

  48. 2014-11-10 13:58 | 10457793 ( 普通白帽子 | Rank:867 漏洞数:128 | 说好的借,为什么从来不还?O(∩_∩)O)

    又来?

  49. 2014-11-10 13:59 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    留名,记者拍这里。

  50. 2014-11-10 14:11 | 酸奶、 ( 普通白帽子 | Rank:182 漏洞数:27 )

    路人甲永远是这样牛叉。

  51. 2014-11-10 14:12 | 酸奶、 ( 普通白帽子 | Rank:182 漏洞数:27 )

    @新浪 下一个人会是谁呢。期待ing

  52. 2014-11-10 14:12 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    主域shell 这个问题比较大~

  53. 2014-11-10 14:13 | AZ0NE ( 路人 | Rank:29 漏洞数:10 | AZONE)

    ccav妓者报道

  54. 2014-11-10 14:21 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    马克

  55. 2014-11-10 14:54 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    @loli 我对小loli比较感兴趣~

  56. 2014-11-10 15:01 | T-MAC ( 路人 | Rank:19 漏洞数:2 )

    雷军又躺枪

  57. 2014-11-10 15:02 | 残废 ( 普通白帽子 | Rank:179 漏洞数:40 | 我是残废,啦啦啦啦)

    ccav看这里

  58. 2014-11-10 15:14 | debbbbie ( 路人 | Rank:10 漏洞数:2 | 深藏功与名 - A Rubyist)

    @红客十年 感觉叫万小云比较好听哎。。

  59. 2014-11-10 15:18 | H1d3r ( 路人 | Rank:18 漏洞数:2 |  ‮)

    牛×~~~ 路过的~~~

  60. 2014-11-10 15:19 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    乌小万

  61. 2014-11-10 15:46 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    @五***气 为何如此屌

  62. 2014-11-10 15:53 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)

    敢不敢把拿Shell的方式公布下。

  63. 2014-11-10 16:39 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    今天下午16时30分,万达和小米正式收购了乌云,从此乌云改名万小云。同时也有网友提出建议应该叫云小万,具体期待明天早上万达 小米 乌云联合记者会,这里是前方ccav记者十年为您报道。

  64. 2014-11-10 18:00 | 鸡鸡 ( 路人 | Rank:7 漏洞数:4 )

    主站Shell...真有你的。

  65. 2014-11-10 18:49 | Pooke ( 路人 | Rank:0 漏洞数:1 | 菜鸟团撸过。)

    把这些凑一堆,放出来,更好看。

  66. 2014-11-11 10:23 | testKaI ( 路人 | Rank:2 漏洞数:2 )

    主站shell?这么厉害

  67. 2014-11-11 11:00 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    主站shell?这么厉害,

  68. 2014-11-11 11:32 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    这个接口好给力啊!

  69. 2014-11-11 11:52 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    这是个什么接口

  70. 2014-11-11 13:24 | 路人N ( 路人 | Rank:12 漏洞数:8 )

    m

  71. 2014-11-12 22:50 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    记者拍这里!!!

  72. 2014-11-13 00:45 | icow ( 实习白帽子 | Rank:36 漏洞数:11 | 平心静气...)

    主站shell?这么厉害,

  73. 2014-11-13 09:11 | 达浪 ( 路人 | Rank:6 漏洞数:4 | 14X security team)

    王思聪再不买就被雷军买了

  74. 2014-12-02 22:53 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    这是一个挖洞拼神器的年代

  75. 2014-12-04 13:54 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    惊现神器!求神器!!

  76. 2014-12-07 22:58 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    我凑,这是啥神器,这么叼?

  77. 2014-12-25 12:15 | 默秒全 ( 路人 | Rank:2 漏洞数:3 | a....)

    我只是想求神器的

  78. 2014-12-25 12:26 | c2an ( 路人 | Rank:4 漏洞数:1 | 学习中)

    公开时间: 1970-01-01 08:33

  79. 2014-12-25 21:57 | lock ( 路人 | Rank:7 漏洞数:6 | 菜鸟一枚,大牛多指教)

    公开时间: 1970-01-01 08:33

  80. 2014-12-26 00:44 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    秒修复啊,赞研发