当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086589

漏洞标题:北京格致璞的一次安全测试(请吃饭、抽屉、蜡笔等旗下应用百万用户受影响)

相关厂商:gozap.com

漏洞作者: s3xy

提交时间:2014-12-10 09:29

修复时间:2015-01-24 09:30

公开时间:2015-01-24 09:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-10: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经确认,细节仅向厂商公开
2014-12-21: 细节向核心白帽子及相关领域专家公开
2014-12-31: 细节向普通白帽子公开
2015-01-10: 细节向实习白帽子公开
2015-01-24: 细节向公众公开

简要描述:

格致璞注册用户个人信息均受影响,可泄漏用户手机号及imei码、imsi码、手机品牌、系统信息等。可替换官方请吃饭、抽屉、蜡笔同步等旗下应用程序。并可控制各应用接口。测漏格致璞在各社交网站或平台官方帐号密码。测漏格致璞所有应聘者简历信息等等。

详细说明:

首先是从一枚注入开始
注册后访问
http://www.labi.com/feedback/userThreadFeedback?page=1&ir=1&parentId=12035

1.jpg


参数parentId存在注入,sqlmap跑出数据库

2.jpg


直接找到最劲爆的db_gozapmanage,跑出用户名及密码

3.jpg


经过测试,发现格致璞总后台为http://admin.gozap.com
利用注入得到的管理员及密码admin/www.gozap.comjabber,成功登录总管理

4.jpg


在【蜡笔管理】--【用户激活管理】处,可查用户详细信息

5.jpg


包括用户手机号、用户imei码、imsi码、手机型号、品牌等一览无余。
在【基础管理】--【软件管理】处,可替换官方应用程序

12.jpg


下面继续收集信息
在【系统管理】--【管理中心用户管理】处,利用审核元素,可看到所有用户明文密码

6.jpg


至此,收集到大量后台管理员密码。

漏洞证明:

*****************************
下面利用得到的用户名及密码登录http://mail.gozap.com
拓展出的信息包括
【新浪】
开发平台

7.jpg


微博

8.jpg


【大众点评】

9.jpg


【智联招聘】

10.jpg


另外限于篇幅,不一一展示。
【包括微信、百度地图、Flurry、百度统计、个推、人人网、高德地图等格致璞帐号。】
另外还有些旗下应用的系统

11.jpg


未继续深入

修复方案:

过滤注入
定期自检
密码周期性更换

版权声明:转载请注明来源 s3xy@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-12-11 11:18

厂商回复:

正在积极处理bug

最新状态:

暂无


漏洞评价:

评论

  1. 2014-12-10 09:53 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    :p

  2. 2014-12-10 10:11 | Walnut King ( 路人 | Rank:10 漏洞数:1 | 虚心学习,知行合一)

    测漏亮了~~