漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-083516
漏洞标题:布丁移动任意文件包含|验证码绕过(可获取153万用户密码,已入后台)
相关厂商:创新工场
漏洞作者: lijiejie
提交时间:2014-11-16 20:44
修复时间:2014-11-21 20:46
公开时间:2014-11-21 20:46
漏洞类型:文件包含
危害等级:高
自评Rank:16
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-16: 细节已通知厂商并且等待厂商处理中
2014-11-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
布丁移动一处任意文件包含,验证码可绕过。已进入后台。
可远程连接MySQL(成功4台),泄漏带密文MD5 Hash的用户数据153万。
有手机号,密码,IMEI,MAC等信息。
详细说明:
任意文件包含位于:
非root,无法读shadow。首先尝试收集用户名,找到:
作为基本思路,收集了用户名列表就可以去破解邮箱了。
因为非root权限,而且是“文件包含”漏洞,所以读php文件中的配置是存在一些困难的。
我逐个用户测试能否读.bash_history文件。功夫不负有心人呐,找到了有权限的用户:
该文件记录了大量敏感信息,运维人员安全意识还不够。。。
漏洞证明:
MySQL数据库:
通用密码。。。 连接成功了4台MySQL Server。
153万用户,有密文:
应该是公司所有的人吧:
我试着插入一个aaa@buding.cn 123456,发现无法登录cms这个后台。基本确定有salt。
然而,后台验证码可绕过进行暴力破解(一次校验后不过期)。
破解出来几枚:
超级管理员:
后台功能未一一测试了。 ssh也未暴力破解。
后续深入渗透是个体力活,就到这里吧。 :)
修复方案:
1. 参数过滤,解决任意文件包含
2. 验证码使用一次之后必须过期
版权声明:转载请注明来源 lijiejie@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-11-21 20:46
厂商回复:
最新状态:
2014-11-21:真的很抱歉,没有为作者评级上。漏洞已经转交给布丁项目的同学。危害等级是高,哎,真的对不住这位同学,我已经准备去HR领表了,希望得到你的原谅。。。