当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0186368

漏洞标题:看我如何漫游豆瓣内网

相关厂商:豆瓣

漏洞作者: if、so

提交时间:2016-03-18 20:55

修复时间:2016-05-02 21:42

公开时间:2016-05-02 21:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-18: 细节已通知厂商并且等待厂商处理中
2016-03-18: 厂商已经确认,细节仅向厂商公开
2016-03-28: 细节向核心白帽子及相关领域专家公开
2016-04-07: 细节向普通白帽子公开
2016-04-17: 细节向实习白帽子公开
2016-05-02: 细节向公众公开

简要描述:

豆瓣啊,几年了,终于把你上了

详细说明:

一直想漫游豆瓣,可惜豆瓣架构太好,外网没有好的入手点,今天耐不住寂寞,终于突破进去了。还绕过了gmail
豆瓣用的是gmail,安全性非常高,有异地登陆拦截。一开始大数据搜索豆瓣的企业邮箱,找到几个,当时是不抱希望的,随手试了几个。没想到

liqin@douban.com 811007lqq

这个账号竟然进去了。
但是Google提示异常登陆,需要输入凭证,这时候上天眷恋了我,因为社工库里面写了手机号,果断填写,还有一个很stupid的问题,问常用登陆地在哪?还用说吗,肯定公司所在地北京啊。。
成功进入邮箱!

tu.png


进去发现这个员工权限挺高,搜索VPN,发现vpn页面

https://misc.douban.com/vpn/douban-vpn.html


vpnpage.jpg


根据提示,下载了VPN配置文件,并且在邮箱里面找到了祖传多年的KEY

vpn.png


成功连接vpn

cmd.png


vpn2.jpg


但是问题来了,需要二次认证,通过LDAP认证后,才能完全使用vpn,不然只能访问这个站点。
虽然说明上这么说,但是事实是什么谁知道了,于是尝试访问各个子系统,希望有能访问到的,并且是单点LDAP登陆口。
找了好久,终于发现满足所以条件的入口

http://openid2.dapps.douban.com/server/endpoint/?openid.assoc_handle=%7BHMAC-SHA1%7D%7B56ea9af3%7D%7BtbWH9A%3D%3D%7D&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.mode=checkid_setup&openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.ns.sreg=http%3A%2F%2Fopenid.net%2Fextensions%2Fsreg%2F1.1&openid.realm=http%3A%2F%2Felearning.intra.douban.com&openid.return_to=http%3A%2F%2Felearning.intra.douban.com%2F_dae%2Flogin%2Fverify%2F%3Fcontinue%3Dhttp%253A%252F%252Felearning.intra.douban.com%252Flesson%252F%26janrain_nonce%3D2016-03-18T12%253A23%253A37ZijUOUU&openid.sreg.optional=username%2Cuid&openid.sreg.required=email%2Cgroups


这个时候发现没有验证码,简直就是大门虚掩,直接去邮箱导出公司通讯录,提权出豆瓣员工邮箱前缀,一顿爆破
爆破出一个账号

hetao Douban.com


后续就用这个账号去二次认证

vpn3.jpg


最后成功认证,是个设计缺陷,应该只能限定vpn使用者的LDAP账号
最后一切搞定就是漫游了

漏洞证明:

大量内部系统,内网系统图已经呈现

de.jpg


sysadmin系统

3333.png


sys.jpg


4444.png


mysql.jpg


报销系统

baoxiao.jpg


wiki.jpg


权限申请

quanxian.jpg


豆瓣博客

blog.jpg


哈哈,和外网的blog是一样的

blog2.jpg


很多人是不是好奇,为什么没有后台了?因为在内网放着了

blog3.jpg


不一一列举了。。。

修复方案:

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-03-18 21:42

厂商回复:

确认问题存在,非常感谢!

最新状态:

2016-03-18:已经修改了危险邮箱的密码,revoke 了 VPN key,禁用了问题账号,等我们全面复查之后再进一步更新,再次感谢!

2016-03-18:

2016-05-04:我们全面启用了 Gmail 的两步认证,也加强了 VPN 两步认证的安全性,后续会继续投入更多精力系统梳理安全问题,再次感谢白帽子!

漏洞评价:

评价

  1. 2016-03-18 20:56 | 陆由乙 ( 普通白帽子 | Rank:556 漏洞数:126 | 我是突突兔!)

    66

  2. 2016-03-18 20:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

    我当年是豆瓣的安全顾问来的

  3. 2016-03-18 20:57 | answer 认证白帽子 ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)

    前排

  4. 2016-03-18 20:58 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    @xsser xsser表示对此负责

  5. 2016-03-18 20:58 | 镱鍚 ( 普通白帽子 | Rank:235 漏洞数:32 | 。。!)

    前排

  6. 2016-03-18 20:59 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

    @xsser xsser表示对此负责

  7. 2016-03-18 21:03 | Looke ( 普通白帽子 | Rank:1273 漏洞数:158 | Shell)

    xsser表示对此负责

  8. 2016-03-18 21:04 | ′雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)

    xsser表示对我负责

  9. 2016-03-18 21:07 | ANS5 ( 普通白帽子 | Rank:337 漏洞数:103 | 此心安处是吾乡)

    xsser表示对我负责

  10. 2016-03-18 21:10 | 追寻 ( 普通白帽子 | Rank:210 漏洞数:46 | 学习新姿势中)

    xsser表示对我负责

  11. 2016-03-18 21:10 | hecate ( 普通白帽子 | Rank:810 漏洞数:127 | ®高级安全工程师 | WooYun认证√)

    xsser表示对此负责

  12. 2016-03-18 21:13 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    xsser表示对此负责

  13. 2016-03-18 21:14 | DeadSea ( 普通白帽子 | Rank:214 漏洞数:61 | 本人外形俊朗、眉清目秀、玉树临风、有明星...)

    xsser表示对我负责

  14. 2016-03-18 21:17 | 泳少 ( 普通白帽子 | Rank:255 漏洞数:83 | ★ 梦想这条路踏上了,跪着也要...)

    xsser表示对上了我之后负责

  15. 2016-03-18 21:19 | wolf ( 普通白帽子 | Rank:112 漏洞数:10 | wolf@伏宸安全团队)

    点个赞

  16. 2016-03-18 21:22 | Ton7BrEak ( 普通白帽子 | Rank:296 漏洞数:65 | 我要继续努力!)

    xsser表示对此负责

  17. 2016-03-18 21:22 | Fire ant ( 普通白帽子 | Rank:107 漏洞数:34 | 他们回来了................)

    xsser表示对此负责

  18. 2016-03-18 21:30 | 奈何彼岸 ( 普通白帽子 | Rank:140 漏洞数:49 | 乌云一下你就知道)

    可怕的内网漫游

  19. 2016-03-18 21:41 | Code Life ( 普通白帽子 | Rank:182 漏洞数:40 | Code Life,Join It!)

    xsser表示对看了这篇文章的人负责

  20. 2016-03-18 21:47 | mckelvin ( 路人 | Rank:10 漏洞数:4 )

    xsser表示对此负责

  21. 2016-03-18 21:48 | 奥巴马 ( 路人 | Rank:8 漏洞数:2 | hello 握日~)

    这个锅xsser要背

  22. 2016-03-18 21:59 | Can ( 普通白帽子 | Rank:116 漏洞数:36 | 我是水一样的男子,因为党说我是流动人口。)

    xsser表示对此负责

  23. 2016-03-18 22:11 | niliu 认证白帽子 ( 核心白帽子 | Rank:1729 漏洞数:227 | 逆流而上)

    xsser表示对此负责

  24. 2016-03-18 22:11 | 呆子不开口 ( 普通白帽子 | Rank:400 漏洞数:35 | 求各种兼职)

    @xsser 我也当过,赚过他们几千块钱

  25. 2016-03-18 22:16 | 晓庄 ( 路人 | Rank:29 漏洞数:7 | Make money.)

    xsser表示对我负责

  26. 2016-03-18 22:18 | 玄道 ( 普通白帽子 | Rank:140 漏洞数:41 | 就是注入 就是注入 注入)

    xsser表示对此负责

  27. 2016-03-18 22:36 | 纽伊斯特 ( 路人 | Rank:8 漏洞数:4 | 有的人活着,他已经死了。)

    @xsser xsser表示对此负责

  28. 2016-03-18 22:38 | Hxai11 ( 普通白帽子 | Rank:1207 漏洞数:232 | 最近手感不行,挖不到洞。。。)

    印象中,豆瓣好像挺难搞,洞主666

  29. 2016-03-18 22:40 | %23D0n9 ( 实习白帽子 | Rank:46 漏洞数:8 | "><)

    虽然看不到详情,但以洞主在众测的表现力,加上大大的精华闪电,这个漏洞学习价值很高!

  30. 2016-03-18 22:57 | 泪雨无魂 ( 普通白帽子 | Rank:303 漏洞数:70 | too young too simple)

    xsser表示对此负责

  31. 2016-03-18 23:23 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)

    xsser表示对此负责

  32. 2016-03-18 23:35 | loli 认证白帽子 ( 普通白帽子 | Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)

    牛逼。。。

  33. 2016-03-18 23:51 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  34. 2016-03-19 02:02 | 苏州同程旅游网络科技有限公司(乌云厂商)

    厉害啊

  35. 2016-03-19 06:45 | webhe4d ( 普通白帽子 | Rank:101 漏洞数:36 | 欢迎黑阔品尝我们学校鸭血粉丝 :))

    可以可以 :)

  36. 2016-03-19 08:13 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    xsser表示对此负责

  37. 2016-03-19 09:30 | 包包不是包 ( 路人 | Rank:9 漏洞数:5 | 逛了集市,有目标了,刷个iPhone7s Plus 出来)

    xsser表示对此负责

  38. 2016-03-19 11:51 | whynot ( 普通白帽子 | Rank:674 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    几年了,终于把你上了

  39. 2016-03-19 14:27 | 现实 ( 路人 | Rank:16 漏洞数:6 | 人道渺渺,天道莽莽)

    xsser表示对此负责

  40. 2016-03-19 15:35 | 学习委员 ( 实习白帽子 | Rank:96 漏洞数:7 | 人生真是寂寞如雪!)

    豆瓣啊,几年了,终于把你上了 爽死了

  41. 2016-03-21 10:07 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    xsser表示对我负责

  42. 2016-03-25 11:28 | 子默不语 ( 路人 | Rank:20 漏洞数:4 | 习惯夜的黑 享受寂寞)

    xsser表示对楼上负责

  43. 2016-04-26 10:44 | tSt ( 普通白帽子 | Rank:109 漏洞数:30 | 在开发里运维最强,运维里网络最强,网络里...)

    豆瓣人每天登录邮箱需要梯子么?