当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0186368

漏洞标题:看我如何漫游豆瓣内网

相关厂商:豆瓣

漏洞作者: if、so

提交时间:2016-03-18 20:55

修复时间:2016-05-02 21:42

公开时间:2016-05-02 21:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-18: 细节已通知厂商并且等待厂商处理中
2016-03-18: 厂商已经确认,细节仅向厂商公开
2016-03-28: 细节向核心白帽子及相关领域专家公开
2016-04-07: 细节向普通白帽子公开
2016-04-17: 细节向实习白帽子公开
2016-05-02: 细节向公众公开

简要描述:

豆瓣啊,几年了,终于把你上了

详细说明:

一直想漫游豆瓣,可惜豆瓣架构太好,外网没有好的入手点,今天耐不住寂寞,终于突破进去了。还绕过了gmail
豆瓣用的是gmail,安全性非常高,有异地登陆拦截。一开始大数据搜索豆瓣的企业邮箱,找到几个,当时是不抱希望的,随手试了几个。没想到

liqin@douban.com 811007lqq

这个账号竟然进去了。
但是Google提示异常登陆,需要输入凭证,这时候上天眷恋了我,因为社工库里面写了手机号,果断填写,还有一个很stupid的问题,问常用登陆地在哪?还用说吗,肯定公司所在地北京啊。。
成功进入邮箱!

tu.png


进去发现这个员工权限挺高,搜索VPN,发现vpn页面

https://misc.douban.com/vpn/douban-vpn.html


vpnpage.jpg


根据提示,下载了VPN配置文件,并且在邮箱里面找到了祖传多年的KEY

vpn.png


成功连接vpn

cmd.png


vpn2.jpg


但是问题来了,需要二次认证,通过LDAP认证后,才能完全使用vpn,不然只能访问这个站点。
虽然说明上这么说,但是事实是什么谁知道了,于是尝试访问各个子系统,希望有能访问到的,并且是单点LDAP登陆口。
找了好久,终于发现满足所以条件的入口

http://openid2.dapps.douban.com/server/endpoint/?openid.assoc_handle=%7BHMAC-SHA1%7D%7B56ea9af3%7D%7BtbWH9A%3D%3D%7D&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.mode=checkid_setup&openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.ns.sreg=http%3A%2F%2Fopenid.net%2Fextensions%2Fsreg%2F1.1&openid.realm=http%3A%2F%2Felearning.intra.douban.com&openid.return_to=http%3A%2F%2Felearning.intra.douban.com%2F_dae%2Flogin%2Fverify%2F%3Fcontinue%3Dhttp%253A%252F%252Felearning.intra.douban.com%252Flesson%252F%26janrain_nonce%3D2016-03-18T12%253A23%253A37ZijUOUU&openid.sreg.optional=username%2Cuid&openid.sreg.required=email%2Cgroups


这个时候发现没有验证码,简直就是大门虚掩,直接去邮箱导出公司通讯录,提权出豆瓣员工邮箱前缀,一顿爆破
爆破出一个账号

hetao Douban.com


后续就用这个账号去二次认证

vpn3.jpg


最后成功认证,是个设计缺陷,应该只能限定vpn使用者的LDAP账号
最后一切搞定就是漫游了

漏洞证明:

大量内部系统,内网系统图已经呈现

de.jpg


sysadmin系统

3333.png


sys.jpg


4444.png


mysql.jpg


报销系统

baoxiao.jpg


wiki.jpg


权限申请

quanxian.jpg


豆瓣博客

blog.jpg


哈哈,和外网的blog是一样的

blog2.jpg


很多人是不是好奇,为什么没有后台了?因为在内网放着了

blog3.jpg


不一一列举了。。。

修复方案:

版权声明:转载请注明来源 if、so@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-03-18 21:42

厂商回复:

确认问题存在,非常感谢!

最新状态:

2016-03-18:已经修改了危险邮箱的密码,revoke 了 VPN key,禁用了问题账号,等我们全面复查之后再进一步更新,再次感谢!

2016-03-18:

2016-05-04:我们全面启用了 Gmail 的两步认证,也加强了 VPN 两步认证的安全性,后续会继续投入更多精力系统梳理安全问题,再次感谢白帽子!