漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0119325
漏洞标题:银客网绕过加速乐绕过软waf注入获得所有用户密码
相关厂商:yinker.com
漏洞作者: s0mun5
提交时间:2015-06-09 18:47
修复时间:2015-07-26 18:12
公开时间:2015-07-26 18:12
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-09: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开
简要描述:
银客网绕过加速乐绕过软waf注入获得所有用户密码
详细说明:
首先找到一个子域名 http://bbs.yinker.com
实际上这套系统存在注入漏洞
然而不巧的是 这个站使用了加速乐的服务
第一步绕过这个加速乐
那么就找到真实ip 怎么找 ?用百度
这个缓存为1月份的 还没有使用加速乐 看到了真实的ip
ok 绑定host 加速乐就绕过了
101.251.206.198 bbs.yinker.com
漏洞证明:
第二步 发现软waf过滤了 * concat 都关键词
union注入不可用 bool太慢 time太慢
sqlmap总会触发规则
使用一个奇怪的报错语句成功
分析这套系统的代码可以知道 密码做了多次加密 并存用户名 salt 都使用在了加密中 无法简单的进行解密
但是经过大量尝试后发现 用户在主站注册的时候,密码会直接同步到这个站的数据库中,并且不存在salt,为主站密码的直接md5。注意 是 实时同步 只要注册马上同步过来
那么使用下面的猥琐欲局,就拿到了所有用户的一次md5密码
只要不存在salt的全部为主站同步过来的用户
用户35w+
我们也可以用一个猥琐的方式快速获得大量存在弱密码的用户
比如密码为 yinker.com 的md5是 f9c6198fac090e1eadc2dd7e66a840f4
则语句为
然后我们可以成功登陆这个用户
所有用户可能受到威胁
修复方案:
进行更为严密过滤 更换真实ip
版权声明:转载请注明来源 s0mun5@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-06-11 18:10
厂商回复:
感谢提供的漏洞信息,我们会尽快处理。
最新状态:
暂无
漏洞评价:
评论
-
为了公关么 rank给的这么低(哭
( 普通白帽子 | Rank:493 漏洞数:24 | .)