域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125876

漏洞标题：域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

漏洞作者：小胖子

提交时间：2015-07-10 11:32

修复时间：2015-08-29 08:40

公开时间：2015-08-29 08:40

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-10：细节已通知厂商并且等待厂商处理中
2015-07-15：厂商已经确认，细节仅向厂商公开
2015-07-25：细节向核心白帽子及相关领域专家公开
2015-08-04：细节向普通白帽子公开
2015-08-14：细节向实习白帽子公开
2015-08-29：细节向公众公开

简要描述：

要重新审视国内中间服务商的安全状况了。
奇葩且神奇的漏洞！！

详细说明：

本次测试实际上是来自众测的需求。目标站点注册商是纳网科技。
纳网科技有限公司成立于2006年，是获得CNNIC认证（中国互联网信息中心）和ICANN认证（互联网域名体系最高管理机构）双认证的顶级注册商，专注于为企业、机构和个人提供互联网基础的解决方案和专业化信息服务。为企事业单位用好互联网而努力。
大量的企事业单位和政府域名注册在纳网。
随意搜索一下：Sponsoring Registrar: 厦门纳网科技有限公司
https://s.bt.gg/#newwindow=1&q=Sponsoring+Registrar:+%E5%8E%A6%E9%97%A8%E7%BA%B3%E7%BD%91%E7%A7%91%E6%8A%80%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8
列举部分域名：
事业单位类

mask 区域

*****m.cn 招*****
*****cn  杭^*****

http://www.nwabc.cn
账号：cmschina.com.cn
通用密码：><
所有账号用这个“><”都能登录

政府类：

mask 区域

*****i.gov*****
*****ety.g*****
*****y.go*****
*****c.gov*****
*****c.go*****
*****d.gov*****
*****p.co*****
*****j.go*****
*****j.gov*****
*****bb.g*****
*****dj.g*****
*****j.gov*****
*****.gov*****
*****sj.g*****
*****xj.g*****
*****.gov*****
*****j.go*****
*****ng.go*****
*****j.gov*****
*****g.gov*****
*****fy.g*****
*****urt.go*****
*****dj.go*****
*****s.gov*****
*****it.go*****
*****f.go*****
*****z.go*****
*****j.go*****
*****cj.g*****

漏洞证明：

所有域名的管理平台都在
www.nwabc.cn 漏洞就出现在这个平台

域名管理类似原万网域名管理，只需要域名，和域名管理密码，即可登陆管理。
在爆破登陆入口的时候发现如下问题。

居然成功登陆，后来思考，密码这么复杂，不可能会这么巧吧。
经过反复验证，账号为域名，密码只需要包含尖括号 >< 闭合密码语句，即可顺利登陆
这逻辑，简直了。
并且，登陆后可返回正确的明文密码。

简直妥妥的。
并且，在修改域名密码处，存在严重越权漏洞。
抓包修改密码。

修改域名ID，即可修改任意域名的管理密码，用burp跑一下批量重置也能另类劫持，只是动静比较大。

修复方案：

0x1：登陆处最好加上验证码吧，检查密码校验逻辑。
0x2：修改域名数据时进行用户鉴权。
0x3：明文密码是什么鬼？

版权声明：转载请注明来源小胖子@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-07-15 08:39

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向网站管理单位_纳网科技(为CNCERT处置体系单位)直接通报.域名服务商安全风险视同基础设施运行风险,rank20

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125876

漏洞标题：域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

相关厂商：纳网科技

漏洞作者：小胖子

提交时间：2015-07-10 11:32

修复时间：2015-08-29 08:40

公开时间：2015-08-29 08:40

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小胖子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125876

漏洞标题：域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

相关厂商：纳网科技

漏洞作者： 小胖子

提交时间：2015-07-10 11:32

修复时间：2015-08-29 08:40

公开时间：2015-08-29 08:40

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0125876"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小胖子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小胖子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小胖子@乌云