当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120490

漏洞标题:苏宁易购漏洞大礼包(某内部系统5W+弱口令、任意文件上传、1566台服务器密码泄漏)

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: niliu

提交时间:2015-06-14 19:20

修复时间:2015-07-30 18:12

公开时间:2015-07-30 18:12

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-14: 细节已通知厂商并且等待厂商处理中
2015-06-15: 厂商已经确认,细节仅向厂商公开
2015-06-25: 细节向核心白帽子及相关领域专家公开
2015-07-05: 细节向普通白帽子公开
2015-07-15: 细节向实习白帽子公开
2015-07-30: 细节向公众公开

简要描述:

由于信息比较敏感,不便深入测试了,希望厂商尽快修复吧。

详细说明:

这次主要以内部系统和通讯平台为主。
先说一下内部平台问题
1.

http://ydxuexi.cnsuning.com/clp/redirectLogin.htm

内部云店学习平台

QQ20150614-1@2x.png


无验证码,后端也没有放爆破机制
看了下源文件

if (self != top) {
	top.location = self.location;
};
$().ready( function() {
	var $errorMsgTip=$("#errorMsgTip");
	$("#login-btn").click(function(){
		var $username = $("#j_username");
		var $password = $("#j_password");
		if ($username.val() == "请输入SOA工号" || $username.val() == "") {
			$errorMsgTip.html("请输入SOA工号");
			$errorMsgTip.show();
			return false;
		}


发现苏宁的内部系统都是以工号进行认证的,并且通用。
只要其中一个系统接口有问题,撞出来的密码其他内部系统都可以登录。

QQ20150614-3@2x.png


同时内部社区也可以登录
2.内部云店社区

http://ydxuexi.cnsuning.com/clp/bbs/login.htm


QQ20150614-4@2x.png


3.苏宁人系统

http://snr.cnsuning.com/snr/redirectLogin.htm


都是通用的

QQ20150614-6@2x.png


这些系统接口都没有验证。
另外苏宁人--个人中心头像上传没有任何限制,可传任意文件

POST /snr/personCenter/uploadHeadImg.htm HTTP/1.1
Host: snr.cnsuning.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:38.0) Gecko/20100101 Firefox/38.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://snr.cnsuning.com/snr/info/index.htm
Cookie: 
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------69963336012649141951472253712
Content-Length: 5246
-----------------------------69963336012649141951472253712
Content-Disposition: form-data; name="root"
/snr/res/images/headimg
-----------------------------69963336012649141951472253712
Content-Disposition: form-data; name="headfile"; filename="touxiang.txt"
Content-Type: application/octet-stream
niliu@wooyun
-----------------------------69963336012649141951472253712--


目录可控,后缀可控,只是所有可用目录无执行权限...
证明
http://snr.cnsuning.com/static/1434267359613.txt

QQ20150614-15@2x.png


另外还有一处信息泄露

http://snr.cnsuning.com/server-status


QQ20150614-7@2x.png


另一处信息泄露

http://sso.cnsuning.com/server-status


QQ20150614-8@2x.png


漏洞证明:

最重要的是员工号命名规则被猜解出,仅仅撞了一个固定弱口令就撞出来5W+弱口令
相关接口

POST /IMuserAPI/v1/login/getimurl.do HTTP/1.1
Host: imapp.suning.com
UM_SYSTEM=UWPPORTAL&UUM_COMPANYCODE=oa.cnsuning.com&username=§10****01§&password=§****§


根据用户名命名规则生产了一个72W的用户名字典,测试成功如下

QQ20150614-9@2x.png


这些弱口令配合上一个漏洞里提到的内部豆芽系统,登录了几个账号看了一下。
豆芽是苏宁自己开发的类似QQ和微信的软件。
里面有企业所有的组织架构,员工联系方式,手机号,邮箱,职位信息等等。其中APP接口可以批量获取数据。
除了这些基本信息,登录后会同步改用户之前的所有聊天记录,云盘文件等等。
其中登录到了几个运维部门的账号 发现泄漏的信息太敏感,就没再深入测试了。

QQ20150614-10@2x.png


QQ20150614-11@2x.png


QQ20150614-12@2x.png


另外发现一个excel表格,打开后吓尿了...9个工作表统计了一下
620+138+306+301+30+171=1566台服务器IP+密码等信息

QQ20150614-13@2x.png


就不过多的截图不证明了。如果配合一个内网shell或vpn后果将不堪设想。请厂商赶紧修复吧!

修复方案:

我觉得问题的根源身份认证方式
1.内部系统对外接口没有限制,可猜测大量的账号密码。

建议内部系统统一一个认证接口登陆,加强认证防止撞库。可加入手机短信认证等


2.系统间身份认证又是通用的,才导致进一步的严重信息泄漏。

不同系统最好使用不同的密码,通用密码害死人啊。。


3.密码使用规则没有统一标准要求。豆芽系统重要程度不亚于邮件系统。

加强内部系统密码生产强度,特殊字符,大小写字母,数字,长度等方面


4。测试的时候发现厂商可能已经检测到此次测试行为,并对泄漏的密码进行了限制登录。这一点还是比较赞的。希望没对厂商业务造成影响。实在抱歉!

版权声明:转载请注明来源 niliu@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-15 18:11

厂商回复:

感谢提交,稍后送上礼品卡。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-14 19:25 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    ..................要不要这么屌

  2. 2015-06-14 19:54 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @小川 再打个雷就更好了

  3. 2015-06-14 20:04 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    雷了..

  4. 2015-06-14 20:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @niliu 5W个弱口令。、、

  5. 2015-06-14 20:07 | 高小厨 ( 普通白帽子 | Rank:814 漏洞数:74 | 不会吹牛的小二不是好厨子!)

  6. 2015-06-14 20:08 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @px1624 其实远远不止

  7. 2015-06-14 20:15 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

  8. 2015-06-14 21:10 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @niliu 弱口令才是王道啊

  9. 2015-06-14 21:19 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    目测应该是初始密码。员工安全意识不足

  10. 2015-06-14 21:37 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @小川 川神见笑了哈

  11. 2015-06-14 21:50 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    1566台服务器!!!

  12. 2015-06-14 21:58 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    苏宁怎么了

  13. 2015-06-14 22:20 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @0x 80 苏宁最近怀孕了

  14. 2015-06-14 22:37 | 泪雨无魂 ( 实习白帽子 | Rank:94 漏洞数:32 )

    屌。。

  15. 2015-06-14 22:38 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    膜拜。。

  16. 2015-06-14 23:38 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    牛逼

  17. 2015-06-15 00:00 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    好大的礼包~

  18. 2015-06-15 08:58 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    当年我发现主站所有生产环境服务器、数据库全用户名、密码,奖励了50大洋!!哼!

  19. 2015-06-15 23:10 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    目测很多初始密码,弱口令是永远的硬伤

  20. 2015-06-16 00:04 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  21. 2015-06-16 00:11 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    牛逼啊!

  22. 2015-06-17 16:34 | North ( 路人 | Rank:15 漏洞数:5 | 123456789)

    大神,请收下我的膝盖。

  23. 2015-08-17 22:00 | suolong ( 实习白帽子 | Rank:47 漏洞数:11 | 我有个野心,就是要成为世界第一的贱士!!)

    跪了 !

  24. 2015-08-17 22:05 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    目测固定口令应该是123456 或者是suning123