当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141447

漏洞标题:敏感信息+组合技巧拿下数据库和后台

相关厂商:北京三好互动教育科技有限公司

漏洞作者: 路人甲

提交时间:2015-09-16 09:03

修复时间:2015-10-31 09:50

公开时间:2015-10-31 09:50

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-16: 厂商已经确认,细节仅向厂商公开
2015-09-26: 细节向核心白帽子及相关领域专家公开
2015-10-06: 细节向普通白帽子公开
2015-10-16: 细节向实习白帽子公开
2015-10-31: 细节向公众公开

简要描述:

这种小技巧在高手看来简直是不值一哂,该漏洞并没有什么技术可言。

详细说明:

00X01 首选是对之前泄露的信息整理。某技术人员的VPN密码已经修改,已不能进入内网了。那么之前的收集的信息是否还可以利用,是否有密码没有修改呢?
整合之前搜集的信息
1.1 外网后台第一道防线

http://service.sanhao.com/login.php
用户名:beijing
密码:*******


001.jpg


1.2 密码未改,登录后是这样的

002.jpg


1.3 通过登录后台,尝试一些常见用户名和密码,结果发现这里的验证还是比较严格的。长度为10~20位,不能为纯数字或英文。不能有连续数字。

001.jpg


002.jpg


00X02 上面的后台先放着,继续找找泄露的信息能否找到账号密码。
2.1 一个外网链接数据库的phpmyadmin后台,下面可以选择数据库的IP地址

http://123.57.18.112/mysqladmin/index.php


001.jpg


2.2 虽然他们的数据库或者后台有IP限制,但是他们自己提供了一个很好的phpmyadmin的入口,那么之前搜集的数据库是不是可以都链接了呢?试试,截图如下。

003.jpg


2.3 重要的数据库我单独列出来。一个是BBS的数据库,一个是三好官网+后台的数据库
数据库里面的表。

001.jpg


002.jpg


2.4 三好主数据库数据如下,部分敏感信息做了简单的注释,大家可以通过命名就可以知道表的信息是什么。

table_name	table_rows	
ysyy_admin_op 660159
ysyy_order_read 469674
ysyy_teacher_time 442466
ysyy_comment_operate 63836
ysyy_bill 59801
ysyy_sms 39186 //短信验证码
ysyy_course 26278
ysyy_order_ct 16730
ysyy_pay 16656
ysyy_teacher_impression 15973
ysyy_course_apply 15783
ysyy_user 15681 //用户
ysyy_user_parent 15482 //家长
ysyy_user_recommend 15446
ysyy_user_student 13888
ysyy_teacher_cat 13518
ysyy_teacher_stulabel 11967
ysyy_user_teacher 11729 //讲师
ysyy_comment 10486
ysyy_order 9409
ysyy_room 8919
ysyy_admin_feelog 8556
ysyy_teacher_tag 6356
ysyy_teacher_experience 5967
ysyy_teacher_result 5196
ysyy_order_se 3064
ysyy_coupon_act 2959
ysyy_teacher_album 2397
ysyy_apply_cash 2332
ysyy_coupon 1805
ysyy_clip 1457
ysyy_teacher_video 1153
ysyy_news 1150
ysyy_studentcount_operate 987
ysyy_coupon_buy 785
ysyy_seo 757
ysyy_device_change 737
ysyy_user_bank 713 //用户银行信息
ysyy_ev_test 681
ysyy_device 561
ysyy_recommend_teacher 298
ysyy_price 252
ysyy_community_news 190
ysyy_admin 165 //后台管理员信息
ysyy_tag_cat 103
ysyy_feedback 97
test_relation 65
ysyy_test_teacher 62
ysyy_org 52
ysyy_tag 42
ysyy_sort 40
ysyy_link 35
admin_responsible 35
ysyy_area 34
ysyy_banner 29
ysyy_community_tag 25
ysyy_cat 24
ysyy_recommend_notice 20
ysyy_code 20
ysyy_impression 15
ysyy_individuation 12
ysyy_student_label 12
ysyy_textbook 11
ysyy_room_tmp 10
ysyy_service_qq 10
ysyy_code_apply 6
ysyy_client 1
ysyy_coupon_template 1
ysyy_mail 0
ysyy_community_like 0
ysyy_community_favorite 0
ysyy_hobby 0
ysyy_recommend_course 0
ysyy_community 0
ysyy_recommend 0
ysyy_video_url 0
ysyy_pay_admin 0
ysyy_courseware 0
ysyy_course_frame 0
ysyy_character 0
ysyy_notice 0


00X03 后台进不去是一个难题,有了数据库后台还进不去也太伤心了。解密了所有的管理员密码发现一个也解密不出来,那么就不是常规的加密方式了。继续翻搜集的信息,在API中找到了密码的生成

//管理员密码生成
public function passwordEncode($password, $salt) {
return md5(md5($password) . $salt . 'admin');


鉴于后台登录的规则,就构造了一个密码和salt(4位数字),然后替换三好的admin的密码和salt,成功登录后台。(画外音:数据库都有了还进后台干嘛? 答:shell啊~shell啊~可是并没有成功shell,也许自己功力不足啊!)
登录证明如下图:

001.jpg


00X04 本来在这里应该结束的,尝试上传php菜刀马的时候,发现IP就被封了。换IP继续撸。然后试了下正常上传,发现文件是在img下的站点,随意看了下,发现无法继续利用。
但是在编辑新闻咨询的时候,可以源代码编辑,那么可以利用的点就很多了。找一个有噱头的标题+加上恶意代码+置顶~
这里只是证明能够插入JS脚本,进行XSS攻击等。
4.1 源代码与非源代码的区别

005.jpg


4.2 前台咨询页面的表现

alert.jpg


4.3 接收的cookie等

cookie.jpg


4.4 其他说明。其实xss真是一个不容忽视的漏洞,这里不管他是不是XSS漏洞。但是它本身提供了源代码的编辑功能,危害很大的。可以恶意跳转,挂马、构造请求和构造点击劫持等等。这里不容忽视,因为在非源代码模式下,你根本发现不了异常。结合对网站业务流程的熟悉,可以有想不到的结果。
00X05 后台有个功能比较imba,登入web

001.jpg


5.1 分析了一下这个链接,感觉太恐怖了

http://www.sanhao.com/index.php?admin_session=【3c**此处打码***d3da】&user_id=66&user_type=1


管理员都是可以把自己的admin_session复制到这个链接,然后通过修改user_id即可直接登录教师的账号
5.2 来次提现可好?一般的提现都需要人工审核的,三好也不例外。但是,这样给不法分子利用,还是相当危险的啊!

001.jpg


00x06 这次真的结束了

漏洞证明:

总结:
漏洞证明就看上面了,危害有多严重就看利用漏洞的人有多猥琐,脑洞有多大了。
本来内网的数据库,结果你给我留了个“后门”登录。
信息泄露了一次,虽然只是一个企业邮箱的密码,但是涉及的其他敏感信息也被泄露了,你永远不知道哪些密码已经被他人记住了。
密码需要修改,整体都修改吧,虽然工程略大,但是信息的安全性为重,不是吗?

修复方案:

1、所有的密码都修改了吧
2、不要再用邮箱保存、发送密码和敏感信息了
3、自己去社工库查询下自己的信息是否泄露,适当增强密码的安全性
4、注销离职员工的账号
5、做好排查工作,检查管理员信息是否准确(默默的增加了一个管理员,看能找到吧。)
6、检测各个服务器有无异常登录、异常文件等
OK~夜深了~(该漏洞并没有什么技术可言)

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-16 09:48

厂商回复:

已经确认漏洞,谢谢提交!

最新状态:

暂无


漏洞评价:

评论