漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-032750
漏洞标题:创新工厂我来了,开复·李在哪里?开局篇
相关厂商:创新工场
漏洞作者: 猪猪侠
提交时间:2013-07-30 14:00
修复时间:2013-09-13 14:01
公开时间:2013-09-13 14:01
漏洞类型:应用配置错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-30: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经确认,细节仅向厂商公开
2013-08-09: 细节向核心白帽子及相关领域专家公开
2013-08-19: 细节向普通白帽子公开
2013-08-29: 细节向实习白帽子公开
2013-09-13: 细节向公众公开
简要描述:
通过一系列逻辑关联,只为挑战一下自己,看看到底能不能挖掘到开复·李同学的相关信息,
最终ROOT了在安全宝保护背后的创新工厂主站,以及旗下的相关公司,结果还是有点收获的。
再一次证明
#1 安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。
#2 躲在各种WAF、硬件防火墙背后并不能完全的解决安全问题。
// 等到开复·李同学看到了这个报告,就发终局篇{我是如何找到开复·李的}
详细说明:
#1 一次偶然的机会点开了创新工厂的首页,CHROME的一个插件会自动探测对应网站服务端的相关架构和信息,直接检测到创新工程的.svn信息泄露。
http://www.chuangxin.com/.svn/entries
#2 好的,经过一番摸索,发现创新工厂使用的是开源软件Wordpress为基础架构二次开发。
自然得到了非常非常有价值的信息!
http://www.chuangxin.com/chuangxin/.svn/text-base/wp-config.php.svn-base
#3 有了数据库的连接信息,要是有个phpmyadmin搭配就再美不过了。
很可惜没有,当时差点就放弃了,就像某些系统管理员认为的那样,就算让你读到了源代码、数据库配置又能怎样,你还不是威胁不到数据和业务安全!
觉得这样没有管理口,等于断了继续前进的道路。
#4 仔细分析,利用一切可以利用的资源或路径
后来我发现了一个有趣的地方,svn版本控制使用的用户,和创新工厂主站的数据库连接用户命一致,而且我也有了数据库的密码,会不会SVN密码也是这个?如果是的话,提交带后门的源码到开发库里面,下次开发人员可能就会直接同步到真实的主站。
很可惜,SVN密码和数据库密码不同。
#5 这个时候,我想到过暴破SVN的密码,尝试后无果,无意拿着nmap扫描了一下SVN的服务器,不扫不知道,一扫,测试服务器还开了80、MYSQL服务。
#6 直接用SVN泄露的文件内的mysql用户密码尝试连接,成功连接数据库。
#7 通过结合利用测试开发服务器内的数据和功能,最终拿到了创新工厂主站服务器的权限。
漏洞证明:
# 安全宝保护的背后
http://www.chuangxin.com/date/2013/?c=9%20'%20and%201=1
# 可爱的创新人社区,绝对的内部论坛
http://chuangxinren.com/,通过创新人的数据,可以间接辐射到旗下子公司。
修复方案:
#1 问题来自于开发人员、运维人员的安全意识不足。
#2 躲在WAF、硬件防火墙背后并不能解决安全问题。
#3 怎么修复问你们的道哥!(axis@anquanbao.com)
版权声明:转载请注明来源 猪猪侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2013-07-30 17:16
厂商回复:
我们开发和运维人员有点Low,不,是相当的Low,所以还请多多指教。
同时,从你通篇的详细介绍中我可以看出来,你是一个人才,以后必成大器!!!
少年,再次谢谢你为祖国繁荣昌盛做出的贡献。
最新状态:
暂无