当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168796

漏洞标题:走秀网(信息泄露&任意密码重置&源码泄露)

相关厂商:走秀网

漏洞作者: V1ct0r

提交时间:2016-01-10 09:59

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-10: 细节已通知厂商并且等待厂商处理中
2016-01-11: 厂商已经确认,细节仅向厂商公开
2016-01-21: 细节向核心白帽子及相关领域专家公开
2016-01-31: 细节向普通白帽子公开
2016-02-10: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

工作人员邮箱、电话、域名记录信息泄露&任意账户密码重置&网站手机版页面源码泄露
-o(╯□╰)o 赶紧交了 免得手痒 复习高数 明天就考试咯呀

详细说明:

#1.信息泄露
先从这个开始说吧,这是源于一个早期的遗留代码,但其暴露的一些信息依然是可用的。
Google Code:https://code.google.com/u/104096235605441642429/

0.png


1.png


wei.liu@xiu.com
yonghua.li@xiu.com
sky.gao@xiu.com
jincheng.li@xiu.com
lanke.hu@xiu.com
SAGE.WEI@xiu.com
mac.yang@xiu.com
oscar.ouyang@xiu.com
Qtest.list@xiu.com
being.wu@xiu.com
jady_rock@foxmail.com
lily.li@xiu.com
shuai.liu@xiu.com
michael.li@xiu.com
alian.zheng@xiu.com
lemon.chen@xiu.com
klobo.he@xiu.com
shuai.liu@xiu.com
michael.li@xiu.com
alian.zheng@xiu.com
nancy.zeng@xiu.com
Anney.liu@xiu.com
oniker.li@xiu.com
gracie.he@xiu.com
mini.wan@xiu.com
anthony.xin@xiu.com
being.wu@xiu.com
bezy.zhang@xiu.com
botao.yan@xiu.com
kevin.liu@xiu.com
lily.li@xiu.com
nicho.zuo@xiu.com
sage.wei@xiu.com
lemon.chen@xiu.com
ying.li@xiu.com
qing.liang@xiu.com
sheppard.bao@xiu.com
daniel.li@xiu.com
qiang.lv@xiu.com
maureen.mou@xiu.com
xigang.wang@xiu.com
grace.liu@xiu.com
Jincheng.li@xiu.com
amanda.wu@xiu.com
yang.wu@xiu.com
haiyan.huang@xiu.com
eri.zhang@xiu.com
beki.lee@xiu.com
kelly.ke@xiu.com
James.zhou@xiu.com
Yubing.wang@xiu.com
jt.wang@xiu.com
kai.du@xiu.com
huajin.pan@xiu.com 
andy.song@xiu.com
wuhen.xiong@xiu.com
andrew.bai@xiu.com
Anne.chen@xiu.com
Yingzhe.song@xiu.com
Tiny.ren@xiu.com
Guiping.li@xiu.com
Kinki.guo@xiu.com
Jane.rao@xiu.com
Jeni.wang@xiu.com
Leo.luo@xiu.com
yinghai.peng@xiu.com
pmic@xiu.com
xigang.wang@xiu.com
vinson.li@xiu.com
grace.liu@xiu.com
sage.wei@xiu.com
being.wu@xiu.com
lily.li@xiu.com
ying.li@xiu.com
jincheng.li@xiu.com
rita.zhang@xiu.com
BEZY.ZHANG@XIU.COM
eri.zhang@xiu.com
haiyan.huang@xiu.com
kevin.liu@xiu.com
yang.wu@xiu.com
amanda.wu@xiu.com
klobo.he@xiu.com


当时还在源码里面看见了一个Gmail

2.png


然后想登陆进去看看的时候,发现不在常用地登陆google会要求你输入预留的验证手机号,恰巧在另一个code里面发现了手机号信息

3.png


当然,在其他文件中也找到了一些手机号码:

13713659609
15919796795
13568850266
13601273503
13520532663
13276613219
13052034173
13924590513
18611556570    
13632556089
13510503225
13511016585
18666660500
18665323839
13510092690
15989597595   
13590407676
18611158858
13480693936
18657186012
13143427840
15902033062
13590407676
18603019151


猜到了,写代码的人会把自己的号码也放进去然后结合google提示的后两位手机号,正确的登陆进了邮箱,发现邮箱内的内容比较残旧了应该是以前用于检测服务是否正常运行的,并将情况发送给各个人员,并没有什么太多其他的有用信息。
然后继续看了看其他文件,发现了hosts文件

4.png


5.png


虽然时间比较久了,但是这里面的hosts基本都还是正确的。
#2.任意账户密码重置
http://wooyun.org/bugs/wooyun-2015-0159345 这是我上次提交的
这两天去看了看
http://m.xiu.com/myxiu/retrieve_phone.html
嗯!修复了啊,重写了代码还加上了语音验证码(使用语音验证码处缺少验证码提交的次数限制,可爆破,虽然此处需用户接听电话才可)~
可是...令我万万没想到的是...
http://m.xiu.com/myxiu/retrieve_phone.html(新的)
http://m.xiu.com/myxiu/retrieve_password.html(旧的)
在已有了重写的找回密码的页面之时,竟然旧的依然存在,没有进行删除...
而且利用上次发现的方法依然可以重置任意用户密码...让人哭笑不得

6.png

漏洞证明:

#3.网站手机版页面源码泄露
code地址:https://github.com/frontEnd-fucker/mobileXiu/tree/22bf2d3e0029ac972e85ca5c47ad67a973aec87e

7.png


8.png


估计应该是位今年离职的员工留下的backup?
泄露了整站的源码危险不言而喻。

修复方案:

该删的还是得删!

版权声明:转载请注明来源 V1ct0r@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-11 09:51

厂商回复:

感谢你对走秀网安全的关注

最新状态:

暂无

漏洞评价:

评价