漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-086589
漏洞标题:北京格致璞的一次安全测试(请吃饭、抽屉、蜡笔等旗下应用百万用户受影响)
相关厂商:gozap.com
漏洞作者: s3xy
提交时间:2014-12-10 09:29
修复时间:2015-01-24 09:30
公开时间:2015-01-24 09:30
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-12-10: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经确认,细节仅向厂商公开
2014-12-21: 细节向核心白帽子及相关领域专家公开
2014-12-31: 细节向普通白帽子公开
2015-01-10: 细节向实习白帽子公开
2015-01-24: 细节向公众公开
简要描述:
格致璞注册用户个人信息均受影响,可泄漏用户手机号及imei码、imsi码、手机品牌、系统信息等。可替换官方请吃饭、抽屉、蜡笔同步等旗下应用程序。并可控制各应用接口。测漏格致璞在各社交网站或平台官方帐号密码。测漏格致璞所有应聘者简历信息等等。
详细说明:
首先是从一枚注入开始
注册后访问
http://www.labi.com/feedback/userThreadFeedback?page=1&ir=1&parentId=12035
参数parentId存在注入,sqlmap跑出数据库
直接找到最劲爆的db_gozapmanage,跑出用户名及密码
经过测试,发现格致璞总后台为http://admin.gozap.com
利用注入得到的管理员及密码admin/www.gozap.comjabber,成功登录总管理
在【蜡笔管理】--【用户激活管理】处,可查用户详细信息
包括用户手机号、用户imei码、imsi码、手机型号、品牌等一览无余。
在【基础管理】--【软件管理】处,可替换官方应用程序
下面继续收集信息
在【系统管理】--【管理中心用户管理】处,利用审核元素,可看到所有用户明文密码
至此,收集到大量后台管理员密码。
漏洞证明:
*****************************
下面利用得到的用户名及密码登录http://mail.gozap.com
拓展出的信息包括
【新浪】
开发平台
微博
【大众点评】
【智联招聘】
另外限于篇幅,不一一展示。
【包括微信、百度地图、Flurry、百度统计、个推、人人网、高德地图等格致璞帐号。】
另外还有些旗下应用的系统
未继续深入
修复方案:
过滤注入
定期自检
密码周期性更换
版权声明:转载请注明来源 s3xy@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2014-12-11 11:18
厂商回复:
正在积极处理bug
最新状态:
暂无