当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024351

漏洞标题:拍蜜优存在安全漏洞可导致服务器域名等被控制

相关厂商:lucky-bee.com

漏洞作者: Finger

提交时间:2013-05-27 18:27

修复时间:2013-07-11 18:28

公开时间:2013-07-11 18:28

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-27: 细节已通知厂商并且等待厂商处理中
2013-05-28: 厂商已经确认,细节仅向厂商公开
2013-06-07: 细节向核心白帽子及相关领域专家公开
2013-06-17: 细节向普通白帽子公开
2013-06-27: 细节向实习白帽子公开
2013-07-11: 细节向公众公开

简要描述:

北京地铁站广告的那只小蜜蜂(拍蜜优)的域名、服务器、数据库 各种沦陷
服务器账号密码、数据库账号密码 域名可劫持、服务器可控制 数据库可控制
一个朋友去了拍蜜优 上午无聊 就看了下拍蜜优 于是那只小蜜蜂就被我抓到了
AD:已辞职 找工作中 有需要的私信

详细说明:

看了下主站 没发现什么问题
于是扫描拍蜜优官网的同IP段 找到了拍蜜优的后台(http://114.112.94.111/) 试了下 无弱口令 爆破5000个常见密码 无果
接着扫了下路径 发现存在列目录的问题 其中泄露了拍蜜优的一些日志(http://114.112.94.111/logs/) 相较而言问题不大(日志内容我没详细分析 本来想等一下再分析的 但之后不需要了)
后来又发现了一些路径:/mgm/
/mgm.php
但是访问这些路径时会直接跳转http://mgm.1kan.tv(这里说一下 移看和拍蜜优是一个公司旗下的)
禁用浏览器javascript还是跳转 所以肯定不是用javascript的方式跳转的
burp劫了一下http包 发现在response headers里有

Location: http://mgm.1kan.tv


HTTP/1.1 302 Found
Date: Thu, 23 May 2013 02:59:25 GMT
Server: Apache/2.2.3 (CentOS)
X-Powered-By: PHP/5.1.6
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Location: http://mgm.1kan.tv
Content-Length: 1386
Connection: close
Content-Type: text/html; charset=UTF-8


好吧 是用Location的方式跳转的
最重要的是在response里发现 虽然页面跳转了 但是还是返回了一些有用的信息:
【Tomcat系统监控平台】
好吧 到这里问题就严重了

想要不跳转 用WVS的HTTP Editor即可


于是便有了下面这些东东:
移看和拍蜜优的服务器账号密码、数据库账号密码 域名的账号密码
另外这个后台还能控制服务器和数据库服务器(关闭、启动、重启)

漏洞证明:

fuwuqi.jpg

jiankong.jpg

mysql.jpg


yuming.jpg


dns.jpg

修复方案:

VPN+ip认证

版权声明:转载请注明来源 Finger@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-05-28 11:25

厂商回复:

服务器和数据库密码并不能实际访问,重启,关闭的按钮是假的,万网后台密码的确是泄露了。

最新状态:

暂无