当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141447

漏洞标题:敏感信息+组合技巧拿下数据库和后台

相关厂商:北京三好互动教育科技有限公司

漏洞作者: 路人甲

提交时间:2015-09-16 09:03

修复时间:2015-10-31 09:50

公开时间:2015-10-31 09:50

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-16: 厂商已经确认,细节仅向厂商公开
2015-09-26: 细节向核心白帽子及相关领域专家公开
2015-10-06: 细节向普通白帽子公开
2015-10-16: 细节向实习白帽子公开
2015-10-31: 细节向公众公开

简要描述:

这种小技巧在高手看来简直是不值一哂,该漏洞并没有什么技术可言。

详细说明:

00X01 首选是对之前泄露的信息整理。某技术人员的VPN密码已经修改,已不能进入内网了。那么之前的收集的信息是否还可以利用,是否有密码没有修改呢?
整合之前搜集的信息
1.1 外网后台第一道防线

http://service.sanhao.com/login.php
用户名:beijing
密码:*******


001.jpg


1.2 密码未改,登录后是这样的

002.jpg


1.3 通过登录后台,尝试一些常见用户名和密码,结果发现这里的验证还是比较严格的。长度为10~20位,不能为纯数字或英文。不能有连续数字。

001.jpg


002.jpg


00X02 上面的后台先放着,继续找找泄露的信息能否找到账号密码。
2.1 一个外网链接数据库的phpmyadmin后台,下面可以选择数据库的IP地址

http://123.57.18.112/mysqladmin/index.php


001.jpg


2.2 虽然他们的数据库或者后台有IP限制,但是他们自己提供了一个很好的phpmyadmin的入口,那么之前搜集的数据库是不是可以都链接了呢?试试,截图如下。

003.jpg


2.3 重要的数据库我单独列出来。一个是BBS的数据库,一个是三好官网+后台的数据库
数据库里面的表。

001.jpg


002.jpg


2.4 三好主数据库数据如下,部分敏感信息做了简单的注释,大家可以通过命名就可以知道表的信息是什么。

table_name	table_rows	
ysyy_admin_op	660159	
ysyy_order_read	469674	
ysyy_teacher_time	442466	
ysyy_comment_operate	63836	
ysyy_bill	59801	
ysyy_sms	39186	//短信验证码
ysyy_course	26278	
ysyy_order_ct	16730	
ysyy_pay	16656	
ysyy_teacher_impression	15973	
ysyy_course_apply	15783	
ysyy_user	15681	//用户
ysyy_user_parent	15482	//家长
ysyy_user_recommend	15446	
ysyy_user_student	13888	
ysyy_teacher_cat	13518	
ysyy_teacher_stulabel	11967	
ysyy_user_teacher	11729	//讲师
ysyy_comment	10486	
ysyy_order	9409	
ysyy_room	8919	
ysyy_admin_feelog	8556	
ysyy_teacher_tag	6356	
ysyy_teacher_experience	5967	
ysyy_teacher_result	5196	
ysyy_order_se	3064	
ysyy_coupon_act	2959	
ysyy_teacher_album	2397	
ysyy_apply_cash	2332	
ysyy_coupon	1805	
ysyy_clip	1457	
ysyy_teacher_video	1153	
ysyy_news	1150	
ysyy_studentcount_operate	987	
ysyy_coupon_buy	785	
ysyy_seo	757	
ysyy_device_change	737	
ysyy_user_bank	713	//用户银行信息
ysyy_ev_test	681	
ysyy_device	561	
ysyy_recommend_teacher	298	
ysyy_price	252	
ysyy_community_news	190	
ysyy_admin	165	//后台管理员信息
ysyy_tag_cat	103	
ysyy_feedback	97	
test_relation	65	
ysyy_test_teacher	62	
ysyy_org	52	
ysyy_tag	42	
ysyy_sort	40	
ysyy_link	35	
admin_responsible	35	
ysyy_area	34	
ysyy_banner	29	
ysyy_community_tag	25	
ysyy_cat	24	
ysyy_recommend_notice	20	
ysyy_code	20	
ysyy_impression	15	
ysyy_individuation	12	
ysyy_student_label	12	
ysyy_textbook	11	
ysyy_room_tmp	10	
ysyy_service_qq	10	
ysyy_code_apply	6	
ysyy_client	1	
ysyy_coupon_template	1	
ysyy_mail	0	
ysyy_community_like	0	
ysyy_community_favorite	0	
ysyy_hobby	0	
ysyy_recommend_course	0	
ysyy_community	0	
ysyy_recommend	0	
ysyy_video_url	0	
ysyy_pay_admin	0	
ysyy_courseware	0	
ysyy_course_frame	0	
ysyy_character	0	
ysyy_notice	0


00X03 后台进不去是一个难题,有了数据库后台还进不去也太伤心了。解密了所有的管理员密码发现一个也解密不出来,那么就不是常规的加密方式了。继续翻搜集的信息,在API中找到了密码的生成

//管理员密码生成
    public function passwordEncode($password, $salt) {
        return md5(md5($password) . $salt . 'admin');


鉴于后台登录的规则,就构造了一个密码和salt(4位数字),然后替换三好的admin的密码和salt,成功登录后台。(画外音:数据库都有了还进后台干嘛? 答:shell啊~shell啊~可是并没有成功shell,也许自己功力不足啊!)
登录证明如下图:

001.jpg


00X04 本来在这里应该结束的,尝试上传php菜刀马的时候,发现IP就被封了。换IP继续撸。然后试了下正常上传,发现文件是在img下的站点,随意看了下,发现无法继续利用。
但是在编辑新闻咨询的时候,可以源代码编辑,那么可以利用的点就很多了。找一个有噱头的标题+加上恶意代码+置顶~
这里只是证明能够插入JS脚本,进行XSS攻击等。
4.1 源代码与非源代码的区别

005.jpg


4.2 前台咨询页面的表现

alert.jpg


4.3 接收的cookie等

cookie.jpg


4.4 其他说明。其实xss真是一个不容忽视的漏洞,这里不管他是不是XSS漏洞。但是它本身提供了源代码的编辑功能,危害很大的。可以恶意跳转,挂马、构造请求和构造点击劫持等等。这里不容忽视,因为在非源代码模式下,你根本发现不了异常。结合对网站业务流程的熟悉,可以有想不到的结果。
00X05 后台有个功能比较imba,登入web

001.jpg


5.1 分析了一下这个链接,感觉太恐怖了

http://www.sanhao.com/index.php?admin_session=【3c**此处打码***d3da】&user_id=66&user_type=1


管理员都是可以把自己的admin_session复制到这个链接,然后通过修改user_id即可直接登录教师的账号
5.2 来次提现可好?一般的提现都需要人工审核的,三好也不例外。但是,这样给不法分子利用,还是相当危险的啊!

001.jpg


00x06 这次真的结束了

漏洞证明:

总结:
漏洞证明就看上面了,危害有多严重就看利用漏洞的人有多猥琐,脑洞有多大了。
本来内网的数据库,结果你给我留了个“后门”登录。
信息泄露了一次,虽然只是一个企业邮箱的密码,但是涉及的其他敏感信息也被泄露了,你永远不知道哪些密码已经被他人记住了。
密码需要修改,整体都修改吧,虽然工程略大,但是信息的安全性为重,不是吗?

修复方案:

1、所有的密码都修改了吧
2、不要再用邮箱保存、发送密码和敏感信息了
3、自己去社工库查询下自己的信息是否泄露,适当增强密码的安全性
4、注销离职员工的账号
5、做好排查工作,检查管理员信息是否准确(默默的增加了一个管理员,看能找到吧。)
6、检测各个服务器有无异常登录、异常文件等
OK~夜深了~(该漏洞并没有什么技术可言)

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-16 09:48

厂商回复:

已经确认漏洞,谢谢提交!

最新状态:

暂无