当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149722

漏洞标题:58赶集内网漫游(修改58线上代码、获取赶集用户密码和cookie、控制服务器、SVN、内部系统)

相关厂商:58同城

漏洞作者: 鸟云厂商

提交时间:2015-10-27 08:49

修复时间:2015-12-12 11:32

公开时间:2015-12-12 11:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-27: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开

简要描述:

都这样了,啥时候来乌云众测一波吧!
58赶集内网漫游(修改58线上代码、获取赶集用户密码和cookie、控制服务器、SVN大量代码、内部系统)

详细说明:

在对一个系统进行检测的时候得到一枚弱口令
http://wenti.ganji.com/feedback_v2/LogIn
赶集网问题反馈系统
验证码没有失效机制或设置不合理(前端刷新)导致可以爆破

mask 区域
*****ux*****
*****r1*****


详细看了看,发现这个接口和赶集的邮件系统以及OA是同一个账号体系。
所以上述系统也能爆破账号
#58-1 设置动态令牌进入内网
58和赶集已经合并,我们先用这个账号去58oa登录。

屏幕快照 2015-10-27 上午4.20.17.png


用密码登录提示错误,由返回的信息我们可以知道。这里需要58盾,58内部动态口令APP
58盾的逻辑我没想明白,只要有账号密码就能绑定(PC和Mobile都是)
绑定之后就用动态密码登录

WeChat_1445891089.jpeg


登录之后就是58的各大系统了
#58-2
unionold.58.com

屏幕快照 2015-10-27 上午4.33.00.png


58同城网总后台
这个系统没有验证码
也存在一批弱口令用户

mask 区域
*****g	111*****
***** 123*****
***** 12*****
*****123*****
***** 123*****
*****g 12*****
*****i 12*****
*****345*****
*****123*****
***** 12*****
*****an 12*****
*****2w3e4*****
*****1111*****
***** qwe*****
*****1 qw*****
*****123*****
***** 12*****
***** 12*****
*****1234*****
***** 12*****
*****1234*****
*****hao *****


挑了个高权限账号登录
以下是功能列表

屏幕快照 2015-10-27 上午4.58.51.png


58帮助中心全页面管理(可插恶意代码)


可修改网页,可插入偷取cookie、钓鱼、恶意跳转代码,一小时左右会将修改同步到线上

019AFC7E-B068-44C7-84BA-3AA08C8C3F4C.png


下面是可修改的线上证明

AEBBFFE7-D985-4CD3-A170-F111D93EE83A.png


修改58官方短信模板


屏幕快照 2015-10-27 上午4.49.33.png


屏幕快照 2015-10-27 上午4.50.48.png


管理58全国代理商


屏幕快照 2015-10-27 上午4.53.18.png


58主站页面模板管理


屏幕快照 2015-10-27 上午4.55.15.png


58抽奖管理、包含QB卡和密码、中奖概率设置、中奖信息


屏幕快照 2015-10-27 上午5.00.12.png


#GJ-1 赶集VPN系统
我就说怎么进不去后台
原来是VPN
https://sslvpn.ganji.com
是Junos的,用zhouxia登录,和之前的zhouxia04不一样,但是是同一个账户
成功登录,有几个系统列表。但是Junos可没有这么简单

屏幕快照 2015-10-27 上午6.04.53.png


#GJ-2 赶集内网首页

屏幕快照 2015-10-27 上午6.07.08.png


#GJ-3 Hadoop集群监控

屏幕快照 2015-10-27 上午6.09.35.png


#GJ-4 问题处理系统

屏幕快照 2015-10-27 上午6.13.59.png


#GJ-5 赶集wiki,各种密码、项目

屏幕快照 2015-10-27 上午6.18.14.png


#GJ-6 运维全网监控平台

屏幕快照 2015-10-27 上午6.19.51.png


#GJ-7 重点,赶集猫眼平台
猫眼平台是ganji日志和性能监控系统
当中可以看到实时的报错
而这些报错,导致我可以拿到用户密码和cookie
如下,用户的密码

7D2FE994-C66F-4C0D-A8B2-DD562D016754.png


登录证明

B9FFD553-4DAD-4B32-A524-A21DA043206D.png


根据条件搜索错误内容包含“uname=”的信息
再得到一大批cookie和密码

9A52D33B-8D40-4700-9CC4-792565ECCC34.png


8254D277-C082-455A-A3E0-642091541A56.png


屏幕快照 2015-10-27 上午6.40.44.png


7797A647-9A23-4ACE-81E7-E7855CBDB317.png


屏幕快照 2015-10-27 上午6.47.39.png


屏幕快照 2015-10-27 上午6.49.15.png


总之,大量用户登录信息

屏幕快照 2015-10-27 上午6.50.54.png


#GJ-8 大量PHP请求信息,用户操作请求都在这里

屏幕快照 2015-10-27 上午6.56.31.png


{"HTTP_REQUESTURI": "/fang5/1731728134x.htm",
"REQUEST_TIME": 1445900086,
"HTTP_COOKIE": "GANJISESSID=ccaac82da01f1f4eb3e9d8a169804b4b;citydomain=luoyang;",
"REDIRECT_STATUS": "200",
"SERVER_SOFTWARE": "nginx",
"SCRIPT_NAME": "/post_detail.php",
"REQUEST_METHOD": "GET",
"USER": "www",
"SERVER_PROTOCOL": "HTTP/1.0",
"QUERY_STRING": "durl=fang5&puid=1731728134",
"HOME": "/home/www",
"gj_urlcat": "fang5",
"HTTP_GJ_CLIENT_IP": "61.135.189.110",
"CONTENT_LENGTH": "",
"HTTP_PORT": "80",
"HTTP_CONNECTION": "close",
"PHP_SELF": "/post_detail.php",
"SERVER_NAME": "*.ganji.com",
"REMOTE_PORT": "17850",
"SERVER_PORT": "1991",
"gj_urltype": "detail",
"SERVER_ADDR": "10.1.2.45",
"DOCUMENT_ROOT": "/server/www/ganji/ganji_online/fang/fangpc/webroot",
"HTTP_NNCOECTION": "close",
"GJ_REQUEST_ID": "11db4d93-da1f-4b7b-96c4-1c660252827a",


#GJ-9 可以重启赶集大量业务服务器
抓个包,设置定时10分钟一次重放请求,赶集今天肯定访问不了

屏幕快照 2015-10-27 上午7.00.03.png


屏幕快照 2015-10-27 上午7.01.23.png


#GJ-10 开关分布式发布订阅消息系统

屏幕快照 2015-10-27 上午7.03.43.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-28 11:31

厂商回复:

弱口令引发的惨案,洞主没有陪基友和媳妇,渗透了半夜,辛苦了,坐等礼品吧!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-27 08:52 | 正义的伙伴 ( 普通白帽子 | Rank:131 漏洞数:28 | 正义!!)

    沙发

  2. 2015-10-27 09:07 | we8_ ( 普通白帽子 | Rank:124 漏洞数:20 | ⚡️)

    司马的第六感很强啊

  3. 2015-10-27 09:12 | smarttang ( 路人 | 还没有发布任何漏洞 | 乌云两个帐号都是我的...t.qq.com/mojige...)

    我擦。。

  4. 2015-10-27 09:15 | DloveJ ( 普通白帽子 | Rank:1159 漏洞数:208 | <a href=javascrip:alert('xss')>s</a> 点...)

    我就想问为什么没有雷

  5. 2015-10-27 09:17 | zhiher ( 路人 | Rank:16 漏洞数:4 )

    6666

  6. 2015-10-27 09:25 | 残冰 ( 普通白帽子 | Rank:206 漏洞数:30 | 专业爆破5000000000000000000000年)

    还能快乐的玩耍??

  7. 2015-10-27 09:41 | pyphrb ( 实习白帽子 | Rank:53 漏洞数:8 | ...........................................)

    司马的第六感很强啊

  8. 2015-10-27 09:58 | 小威 ( 普通白帽子 | Rank:504 漏洞数:78 | 活到老,学到老!)

    司马的第六感很强啊

  9. 2015-10-27 10:02 | 土夫子 ( 普通白帽子 | Rank:359 漏洞数:66 | 你怎样看世界,世界就怎样看你)

    司马的第六感很强啊

  10. 2015-10-27 10:03 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:123 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    司马!求预测双色球!!!

  11. 2015-10-27 10:05 | BMa ( 普通白帽子 | Rank:1829 漏洞数:205 )

    司马,求预测超级大乐透

  12. 2015-10-27 10:05 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    司马,发我一副3D眼镜!

  13. 2015-10-27 10:15 | fuckadmin ( 普通白帽子 | Rank:575 漏洞数:82 | 千里之堤溃于蚁穴)

    司马!求预测双色球!!!

  14. 2015-10-27 11:14 | sauren ( 实习白帽子 | Rank:72 漏洞数:24 | 天天打DOTA,快乐你我他~)

    都这样了,啥时候来乌云众测一波吧!

  15. 2015-10-27 13:30 | Azazel ( 实习白帽子 | Rank:38 漏洞数:8 | 别威胁哥,哥不是好惹的)

    一个神奇的网站

  16. 2015-10-27 13:33 | zhiher ( 路人 | Rank:16 漏洞数:4 )

    司马!求预测双色球!!!

  17. 2015-10-27 13:55 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    你们把司马忙的连众测都没法参加了

  18. 2015-10-27 14:05 | her0ma ( 普通白帽子 | Rank:637 漏洞数:92 | 专注小厂商三十年!)

    @炯炯虾 请不要黑我……

  19. 2015-10-27 14:24 | we8_ ( 普通白帽子 | Rank:124 漏洞数:20 | ⚡️)

    @her0ma 司马啊。。快去众测:P

  20. 2015-10-27 14:35 | 番茄师傅 ( 普通白帽子 | Rank:313 漏洞数:86 | http://www.tomatoyu.com/)

    司马!求预测双色球!!!

  21. 2015-10-27 14:35 | Herolon ( 普通白帽子 | Rank:225 漏洞数:46 | ******)

    58运维已哭晕在厕所了

  22. 2015-10-27 14:36 | 子墨 ( 普通白帽子 | Rank:218 漏洞数:25 | 天地不仁,以万物为刍狗;圣人不仁,以百姓为...)

    没打雷?

  23. 2015-10-27 14:36 | cmwl ( 实习白帽子 | Rank:99 漏洞数:10 | 我要一片雪白的世界*)

    司马!三围!!!

  24. 2015-10-27 17:13 | 小牛牛 ( 实习白帽子 | Rank:56 漏洞数:7 | 求带)

    我操牛逼,我去调戏下

  25. 2015-10-27 18:11 | debue喵 ( 实习白帽子 | Rank:40 漏洞数:8 | 写代码的猫。)

    司马!求预测双色球!!!

  26. 2015-10-27 18:32 | 偏執誑 ( 路人 | Rank:6 漏洞数:2 | 人生本来就有很多事是徒劳无功的啊)

    后排强势插入

  27. 2015-10-27 19:37 | 金枪银矛小霸王 ( 普通白帽子 | Rank:126 漏洞数:29 | 不会挖洞洞的猿猿不是好学生)

    @xsser 雷去哪了

  28. 2015-10-27 20:51 | ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)

    王鑫表示不服!

  29. 2015-10-28 07:02 | 剑心 ( 实习白帽子 | Rank:39 漏洞数:10 | xsser)

    汪鑫表示不福

  30. 2015-11-07 17:15 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1800 漏洞数:148 | 如果大海能够带走我的矮丑...)

    服!