当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156019

漏洞标题:百度某分站设计缺陷(普通登入用户利用技巧使用管理员权限功能,批量导出百万用户)

相关厂商:百度

漏洞作者: 0x 80

提交时间:2015-11-26 11:34

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-26: 细节已通知厂商并且等待厂商处理中
2015-11-26: 厂商已经确认,细节仅向厂商公开
2015-12-06: 细节向核心白帽子及相关领域专家公开
2015-12-16: 细节向普通白帽子公开
2015-12-26: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

百度某分站设计缺陷(普通登入用户利用技巧使用管理员权限功能,批量导出百万用户)
PS:百度问题也多
漏洞在源代码中

详细说明:

http://edu.baidu.com//
以普通身份登陆
然后注意
http://edu.baidu.com/taoli/resource/personInfoG.jsp

999991.jpg


这里功能都是提供给用户操作的
不过,当我们打开源代码就惨不忍睹了

</li>
		<li><a class="side_list" href="javascript:void(0)">账号管理</a>
			<ul style="display:none">
				<li><a href="/taoli/resource/adminList.jsp">账号列表</a></li>
			</ul>
		</li>
		<li><a class="side_list" href="javascript:void(0)">报表管理</a>
			<ul style="display:none">
				<li><a href="/taoli/resource/userLoginAction.jsp">报表管理</a></li>
			</ul>
		</li>
		<li><a class="side_list" href="javascript:void(0)">站内信</a>
			<ul style="display:none">
				<li><a id="inbox" href="/taoli/resource/inboxMessage/inbox.jsp">收件箱</a></li>
				<li><a href="/taoli/resource/inboxMessage/outbox.jsp">发件箱</a></li>
			</ul>
		</li>
		<li><a class="side_list" href="javascript:void(0)">用户管理</a>
			<ul style="display:none">
				<li><a href="/taoli/resource/userList.jsp">用户列表</a></li>
				<li><a href="/taoli/resource/userStatistics.jsp">用户统计</a></li>
			</ul>
		</li>
		<li><a class="side_list" href="javascript:void(0)">活动管理</a>
			<ul style="display:none">
				<li><a href="/taoli/resource/activity/activityManagge.jsp">节日营销活动</a></li>
			</ul>


看到这里我就产生了疑问
用户管理
我们来搭建地址访问下

http://edu.baidu.com//taoli/resource/userList.jsp


当前是普通用户身份登陆

91.jpg


有个导出按钮
我们来简单查询下
来个5年前的时间

99999991.jpg


92.jpg


这样一来
46755条数据就出来了
还可以批量导出
按理说这不应该是普通用户所具有的功能

9996.jpg


QQ截图20151126111003.jpg


从5年前的查询,就以及涉及百万用户了

/taoli/resource/userLoginAction.jsp


看看这个,报表管理

http://edu.baidu.com///taoli/resource/userLoginAction.jsp


9998.jpg


<li><a class="side_list" href="javascript:void(0)">资质管理</a>
			<ul style="display:none">
				<li><a href="/taoli/resource/friendListT.jsp">讲师资质审批</a></li>
				<li><a href="/taoli/resource/friendListP.jsp">培训资质审批</a></li>
				<li><a href="/taoli/resource/friendListK.jsp">考核资质审批</a></li>
			</ul>


http://edu.baidu.com/////taoli/resource/userStatistics.jsp


99889.jpg

漏洞证明:

可越级使用管理员的地址如下


http://edu.baidu.com//taoli/resource/userStatistics.jsp 用户统计
http://edu.baidu.com/taoli/resource/userList.jsp 用户管理,导出用户

/taoli/resource/userLoginAction.jsp

报表管理

修复方案:

过滤

版权声明:转载请注明来源 0x 80@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-26 12:01

厂商回复:

感谢对百度漏洞的关注。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-11-26 11:35 | 牛 小 帅 ( 普通白帽子 | Rank:819 漏洞数:194 | =============================是=========...)

    80哥 就是666

  2. 2015-11-26 11:39 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    犀利

  3. 2015-11-26 11:40 | hecate ( 普通白帽子 | Rank:687 漏洞数:103 | ®高级安全工程师 | WooYun认证√)

    好技巧

  4. 2015-11-26 11:40 | 北丐 ( 普通白帽子 | Rank:117 漏洞数:23 | 回收WB,1WB=5RMB,有意出售的表哥请私信)

    膜拜

  5. 2015-11-26 11:45 | CHai ( 路人 | Rank:1 漏洞数:1 | 萌新。)

    666666.膜拜老公!

  6. 2015-11-26 11:47 | 牛 小 帅 ( 普通白帽子 | Rank:819 漏洞数:194 | =============================是=========...)

    @CHai 嫂子好

  7. 2015-11-26 20:49 | 泪雨无魂 ( 普通白帽子 | Rank:180 漏洞数:50 )

    好牛逼

  8. 2015-11-27 00:44 | 0x 80 ( 普通白帽子 | Rank:1521 漏洞数:443 | 某安全公司招聘渗透测试工程师,安全运营,...)

    哪个是嫂子、?别乱叫

  9. 2015-11-28 11:22 | 酷帥王子 ( 普通白帽子 | Rank:222 漏洞数:62 | 天朗日清,和风送闲,可叹那俊逸如我顾影自...)

    @0x 80 屌毛一个