漏洞概要
关注数(24)
关注此漏洞
漏洞标题:布丁移动任意文件包含|验证码绕过(可获取153万用户密码,已入后台)
提交时间:2014-11-16 20:44
修复时间:2014-11-21 20:46
公开时间:2014-11-21 20:46
漏洞类型:文件包含
危害等级:高
自评Rank:16
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
布丁移动一处任意文件包含,验证码可绕过。已进入后台。
可远程连接MySQL(成功4台),泄漏带密文MD5 Hash的用户数据153万。
有手机号,密码,IMEI,MAC等信息。
详细说明:
任意文件包含位于:
非root,无法读shadow。首先尝试收集用户名,找到:
作为基本思路,收集了用户名列表就可以去破解邮箱了。
因为非root权限,而且是“文件包含”漏洞,所以读php文件中的配置是存在一些困难的。
我逐个用户测试能否读.bash_history文件。功夫不负有心人呐,找到了有权限的用户:
该文件记录了大量敏感信息,运维人员安全意识还不够。。。
漏洞证明:
MySQL数据库:
通用密码。。。 连接成功了4台MySQL Server。
153万用户,有密文:
应该是公司所有的人吧:
我试着插入一个aaa@buding.cn 123456,发现无法登录cms这个后台。基本确定有salt。
然而,后台验证码可绕过进行暴力破解(一次校验后不过期)。
破解出来几枚:
超级管理员:
后台功能未一一测试了。 ssh也未暴力破解。
后续深入渗透是个体力活,就到这里吧。 :)
修复方案:
1. 参数过滤,解决任意文件包含
2. 验证码使用一次之后必须过期
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-11-21 20:46
厂商回复:
最新状态:
2014-11-21:真的很抱歉,没有为作者评级上。漏洞已经转交给布丁项目的同学。危害等级是高,哎,真的对不住这位同学,我已经准备去HR领表了,希望得到你的原谅。。。
漏洞评价:
评论
-
2014-11-21 20:49 |
g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)
-
2014-11-21 21:41 |
lijiejie ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)
@创新工场 无需太自责,及时处理了漏洞就好。 我了解到的情况是wooyun有短信通知,估计你们填写的号码失效了,所以没收到短信。 Mail的话,如果是公共邮箱,不转发到个人邮件,没看到也属正常。 :)
-
2014-11-21 21:52 |
g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)
@lijiejie 弱弱问下,这个是布丁的app引起的还是web?厂商貌似把服务关了啊.....
-
2014-11-22 12:12 |
lijiejie ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)
@g0odnight 既然已经通知到了那肯定得先关了,处理修复后再上线。 这个是web的
-
2014-11-22 23:07 |
狮子找女友 ( 路人 | Rank:0 漏洞数:1 | life in security)