漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-059884
漏洞标题:小i机器人部分业务系统漏洞打包(命令执行等)
相关厂商:xiaoi.com
漏洞作者: 路人甲
提交时间:2014-05-08 12:04
修复时间:2014-06-22 12:05
公开时间:2014-06-22 12:05
漏洞类型:系统/服务补丁不及时
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-08: 细节已通知厂商并且等待厂商处理中
2014-05-08: 厂商已经确认,细节仅向厂商公开
2014-05-18: 细节向核心白帽子及相关领域专家公开
2014-05-28: 细节向普通白帽子公开
2014-06-07: 细节向实习白帽子公开
2014-06-22: 细节向公众公开
简要描述:
小i机器人部分业务系统运维方面存在不足,存在内部资料泄露的风险。
详细说明:
首先是补丁更新不及时,Struts2 S16、S17远程代码执行;
测试的link:
http://cloud.xiaoi.com/login!logout.do
此外还有一个:
http://222.73.228.81:8100/task/admin!auth.action
针对:cloud.xiaoi.com的深入
查看app.properties文件,可以看到数据库的链接信息以及一个邮箱的地址和密码
针对数据库查询可以发现数据库ibotcloud对应的api_user表存有大量用户信息,且密码是明文;
提取其中的@xiaoi.com的用户和密码进行尝试登录邮件,获得部分可以用账户和密码
根据邮件内容获得禅道zentao和svn的登录地址;
2. 禅道zentao和svn的弱口令
禅道系统的多数用户名和密码是相同的。(禅道和cloud在同一个服务器,数据库也是可以查看的,另外用户密码是md5加密,多数可以破解)
http://cloud.xiaoi.com:8888/index.php
SVN的弱口令,一个white.li就足够了。
漏洞证明:
1. 登录邮箱可以从企业网盘获取公司资料;
2. 通过svn的弱口令,可以从SVN获取公司资料
3.通过数据库zentao和ibotcloud里面的用户信息,可以尝试部分员工的邮箱密码,进而从邮箱邮件获取公司资料。
修复方案:
从测试的角度来讲,我的所作的确是深入了一点,但是如果仅仅是通过wooyun平台分次告诉你们软件需要打补丁,系统要改改密码的话,或许你们并不能发现这些问题的更大隐患,我将这些问题综合起来,或许会让你们明白安全是一个整体,这些事情不是毫无关联的,别有用心的黑客完全会这样做,并且做得比我隐蔽,比我更加深入。
另外我并不是你们竞争对手的雇佣,我所看到的保证绝对不会公开。
你们内部已经觉得公司有竞争对手的线人,希望通过以上内容你们能够明白获取资料还有另外一种方式。
cloud平台遗留的木马已经删除。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2014-05-08 13:38
厂商回复:
非常感谢,已通知相关人员进行处理
最新状态:
暂无