当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157369

漏洞标题:斗鱼TV从一个IP未授权访问到2000多万用户信息(主播电话QQ任我看/kill各视频节点信息等)

相关厂商:douyu.tv

漏洞作者: 路人甲

提交时间:2015-12-01 17:22

修复时间:2016-01-19 22:30

公开时间:2016-01-19 22:30

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-01: 细节已通知厂商并且等待厂商处理中
2015-12-05: 厂商已经确认,细节仅向厂商公开
2015-12-15: 细节向核心白帽子及相关领域专家公开
2015-12-25: 细节向普通白帽子公开
2016-01-04: 细节向实习白帽子公开
2016-01-19: 细节向公众公开

简要描述:

最近找工作找实习,求解救

详细说明:

问题得从一个ip说起。
闲来无事,到处逛逛,在看斗鱼的时候挺多好看的妹纸直播,于是乎来看看斗鱼安全性如何。
随便在google上输入斗鱼信息,直到看到这一条信息

QQ图片20151201164112.png


我们打开看看

cdll.png


测试后得知后面跟着的那个id是直播的房间号,能够看到一些公开的信息
这其中的这些ip引起我的注意,这些ip肯定是跟直播有关的ip,我们扫扫看

QQ图片20151201164355.png


除了6379之外好像并没有什么值得我们利用的东西,这时候我想到,可不可能两个或者三个ip段都是斗鱼的?

QQ图片20151201165135.png


于是为了验证我的想法,我扫描了前一个ip段的内容
嘿嘿,主要问题来源于这个段

QQ图片20151201165656.png


看到了吗,看到这些信息我觉得有戏,于是还有很多诸如6379这类的端口,因为找不到根目录就不一一shell
接下来突破的关键点在集群系统,从这一个段的80端口来看,可能都是一些集群的机器和监控方面的内容

QQ图片20151201170128.png


关键问题出现在如下几个ip
http://119.90.48.215:8080/index.html
http://119.90.48.201:8080/index.html
首先说下这个问题,
Storm UI是一套集群系统,其中利用的地方不多,关键在于能够kill集群中的某些进程机器,设想一下随意kill掉某台集群服务器,说不定是什么视频直播的服务器还是啥,那么视频就直接卡死了,对主站造成的危害可想而知

QQ图片20151201170414.png


接下来才是问题的关键,由于这套集群系统的未授权访问导致了,众多的内网mysql密码账户泄露,但我们没办法进入内网,所以很难有实际的利用,但在接触过程中我发现一枚公网的mysql服务器密码,于是,打开了一扇新的大门

QQ图片20151201170715.png


看到了吗,关键!!
我们立即用远程连接mysql的工具尝试连接,成功!

QQ图片20151201164951.png


好多数据库,众多的数据库中,包含着众多的表,找到其中一个看看
全部是用户的信息,虽然没有密码,但是手机号qq号码都有,想象一下对一个主播而言最为大的威胁是什么,就是这些,可想而知危害

QQ图片20151201145415.png


我们看看表的行数

QQ图片20151201162816.png


2015年十月的用户总数达到2000多万,这些信息要是落入黑客手中可想而知危害
同时还爆出了内网一些列监控服务器的mysql密码和信息

QQ图片20151201145001.png


还有一系列斗鱼工作内部人员的邮箱电话信息

QQ图片20151201145114.png


如果进一步渗透,危害系数更大, 注意了斗鱼

漏洞证明:

QQ图片20151201162816.png

修复方案:

全面修复
(弱弱问一句,斗鱼招人吗,求解救)

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-12-05 22:26

厂商回复:

感谢!

最新状态:

暂无