当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125876

漏洞标题:域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

相关厂商:纳网科技

漏洞作者: 小胖子

提交时间:2015-07-10 11:32

修复时间:2015-08-29 08:40

公开时间:2015-08-29 08:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开

简要描述:

要重新审视国内中间服务商的安全状况了。
奇葩且神奇的漏洞!!

详细说明:

本次测试实际上是来自众测的需求。目标站点注册商是纳网科技。
纳网科技有限公司成立于2006年,是获得CNNIC认证(中国互联网信息中心)和ICANN认证(互联网域名体系最高管理机构)双认证的顶级注册商,专注于为企业、机构和个人提供互联网基础的解决方案和专业化信息服务。为企事业单位用好互联网而努力。
大量的企事业单位和政府域名注册在纳网。
随意搜索一下:Sponsoring Registrar: 厦门纳网科技有限公司
https://s.bt.gg/#newwindow=1&q=Sponsoring+Registrar:+%E5%8E%A6%E9%97%A8%E7%BA%B3%E7%BD%91%E7%A7%91%E6%8A%80%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8
列举部分域名:
事业单位类

mask 区域 
*****m.cn 招*****
*****cn  杭^*****


http://www.nwabc.cn
账号:cmschina.com.cn
通用密码:><
所有账号用这个“><”都能登录

1.png


政府类:

mask 区域 
*****i.gov*****
*****ety.g*****
*****y.go*****
*****c.gov*****
*****c.go*****
*****d.gov*****
*****p.co*****
*****j.go*****
*****j.gov*****
*****bb.g*****
*****dj.g*****
*****j.gov*****
*****.gov*****
*****sj.g*****
*****xj.g*****
*****.gov*****
*****j.go*****
*****ng.go*****
*****j.gov*****
*****g.gov*****
*****fy.g*****
*****urt.go*****
*****dj.go*****
*****s.gov*****
*****it.go*****
*****f.go*****
*****z.go*****
*****j.go*****
*****cj.g*****


hzbank.jpg

漏洞证明:

所有域名的管理平台都在
www.nwabc.cn 漏洞就出现在这个平台

abc.jpg


域名管理类似原万网域名管理,只需要域名,和域名管理密码,即可登陆管理。
在爆破登陆入口的时候发现如下问题。

burp.jpg


居然成功登陆,后来思考,密码这么复杂,不可能会这么巧吧。
经过反复验证,账号为域名,密码只需要包含尖括号 >< 闭合密码语句,即可顺利登陆
这逻辑,简直了。
并且,登陆后可返回正确的明文密码。

baoxing.jpg


简直妥妥的。
并且,在修改域名密码处,存在严重越权漏洞。
抓包修改密码。

139.jpg


修改域名ID,即可修改任意域名的管理密码,用burp跑一下批量重置也能另类劫持,只是动静比较大。

修复方案:

0x1:登陆处最好加上验证码吧,检查密码校验逻辑。
0x2:修改域名数据时进行用户鉴权。
0x3:明文密码是什么鬼?

版权声明:转载请注明来源 小胖子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-15 08:39

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向网站管理单位_纳网科技(为CNCERT处置体系单位)直接通报.域名服务商安全风险视同基础设施运行风险,rank20

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-10 11:33 | JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)

    前排

  2. 2015-07-10 11:33 | 高小厨 ( 普通白帽子 | Rank:814 漏洞数:74 | 不会吹牛的小二不是好厨子!)

    又来,屌屌的

  3. 2015-07-10 11:37 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    艾玛,我雷呢?

  4. 2015-07-10 11:51 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    艾玛,我雷呢?

  5. 2015-07-10 11:51 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    前排

  6. 2015-07-10 11:52 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    卧槽....我还没搞完,你就提交了

  7. 2015-07-10 11:54 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

    @小胖子 雷在裤裆里呢~

  8. 2015-07-10 11:58 | Focusstart ( 普通白帽子 | Rank:574 漏洞数:163 | 努力让某某某成为最幸福的女人!)

    @小胖子 雷在裤裆里呢~ 需要掏出来

  9. 2015-07-10 12:13 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    收下我的膝盖~

  10. 2015-07-10 12:13 | 有归于无 ( 实习白帽子 | Rank:84 漏洞数:15 | 有归于无)

    表哥吊吊的

  11. 2015-07-10 12:14 | 动感超人 ( 实习白帽子 | Rank:42 漏洞数:10 | 小心动感光波)

    我跪着,也看不到

  12. 2015-07-10 12:17 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    胖爷牛逼

  13. 2015-07-10 12:26 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这个漏洞还是挺神奇的,我猜表哥走的是狗屎运!闪一下⚡️

  14. 2015-07-10 12:27 | Y4ngshu ( 实习白帽子 | Rank:38 漏洞数:7 | 十年磨一剑。)

    雷了 - -

  15. 2015-07-10 12:29 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    胖爷流逼

  16. 2015-07-10 12:37 | 管管侠 ( 核心白帽子 | Rank:1368 漏洞数:108 | 休息几日,让你们先装会!!!)

    ⚡️ ⚡️ ⚡️ ⚡️ ⚡️ ⚡️ 劈死你

  17. 2015-07-10 12:43 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

  18. 2015-07-10 12:58 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    宝贝吊的飞起。

  19. 2015-07-10 13:47 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    ⚡️

  20. 2015-07-10 15:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

  21. 2015-07-10 15:30 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    ⚡️

  22. 2015-07-10 15:39 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

  23. 2015-07-10 15:50 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    总算明白了一个道理:在这里混,思路银荡才是王道,胖君,肥皂又掉地上鸟

  24. 2015-07-10 16:00 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    看样子昨天加的V 效果很到位啊

  25. 2015-07-15 09:39 | 酸奶、 ( 普通白帽子 | Rank:182 漏洞数:27 )

    胖爷V5

  26. 2015-08-06 18:35 | sql 认证白帽子 ( 核心白帽子 | Rank:1127 漏洞数:145 | 带着两个MM(mysql,mssql),玩3p(asp,php...)

    牛逼啊什么字典 怎么有那么奇葩的密码

  27. 2015-08-29 11:39 | 3ang ( 路人 | Rank:2 漏洞数:1 | 风往北吹,你走的好干脆!)

    6666666666

  28. 2015-08-29 11:51 | wsg00d ( 实习白帽子 | Rank:93 漏洞数:13 | 做一个安静、低调的学习狗)

    字典屌

  29. 2015-08-29 16:32 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)

    这样都行啊,这么奇葩

  30. 2015-08-29 17:52 | Mark ( 路人 | Rank:8 漏洞数:2 | 渗透你的心)

    好奇代码是怎么写的

  31. 2015-08-30 12:05 | Rainism ( 路人 | Rank:11 漏洞数:3 | hacking for fun)

    好奇葩

  32. 2015-09-14 10:07 | 厦门纳网科技有限公司(乌云厂商)

    此事已确认为技术问题,漏洞发现后我方已迅速修正。感谢您为纳网提出的宝贵建议,我们都会重视并迅速提出解决方案的,用户的最佳体验才是我们的服务宗旨。纳网科技,我们一直在努力。

  33. 2015-09-16 17:18 | 心云 ( 路人 | Rank:6 漏洞数:4 | 学好技术,读好书,做好人。)

    这思路。。。